Mcafee Integrity Control

Merhaba bu makalemde Mcafee ürünü olan Mcafee integirty control uygulamasını anlatmaya çalışacağım. Uygulamadan biraz bahsetmek gerekirse Mcafee bu ürünü kritik sistemlerde kullanılmak üzere dizayn etmiştir. Sistemi lock down ederek White list ve Black list mantığıyla çalışmaktadır. Mcafee ePO üzerinden kontrol edilmektedir. Bildiğiniz gibi Mcafee uygulamaların hepsi ePO üzerinden yönetilmektedir. Uygulama 3 modülden oluşmaktadır.

·         Application Control

·         Change Control

·         Integrity Control

            Mcafee Integrity Control uygulamasını nerelerde kullanırız diye kendimize sorduğumuzda kritik sistemlerde kullanabiliriz yani antivirüs programını kullanamayacağımız sistemlere uygulayabiliriz örneğin Bankaların ATM’lerinde de kullanabiliriz. Biliyorsunuz ki ATM’lerde Windows XP işletim sistemi kullanılmaktadır. Windows 7 geçiş düşünülebilir belki ama sertifikasyon işlemleri olsun maliyet olsun hemen bir geçiş olmayabilir. Bu süre zarfında sistemlerimizi daha güvenliği hale getirebiliriz. Ayrıca point-of-service (POS) ve kiosklarda da kullanabiliriz. Sistem olarak yük getirmesini istemediğimiz durumlarda tercih edebiliriz.

            Bu dönemlerde ATM’e yönelik trojanlar mevcut bunlardan bir tanesinden bahsetmek gerekirse Bolddie virüsü kullanıcıların şifrelerini çalmaya çalışsan ATM’in içindeki tüm paraları tek bir seferde çekmeye çalışan bir virüsden bahsediyoruz. Rusya merkezli olduğu tahmin ediliyor. Doğu avrupada da ortaya çıktığı tespit edilmiştir.

            Evet sistemin bu kadar önemli olduğu bahsettikten sonra programdan bahsedelim. Kuruluş aşamasını geçiyorum. (Genellikle Next’leyip geçiyoruz J) Uygulama için gerekli olan sistem gereksinimleri aşağıdaki gibidir.

            Bir uygulama sunucusu ve Bir Database sunucusu olması gerekmektedir. Uygulama sunucusu ve Database sunucu kurulumlarında olması gereken bazı maddeler vardır Bunlar aşağıdaki gibidir.

ePO Server için aşağıdaki gereksinimlerin yanında dikkat edilmesi gerek hususlar şunlardır:

·        Windows domain yapısına üye edilmiş sunucu olmalıdır.

·        Microsoft. NET Framework 2.0 veya üzeri yüklenmiş olmalıdır.

·        Microsoft tarafından tavsiye edilen Windows güncellemeleri yapılmış olmalıdır.

·        İşletim sistemi kurulumunda bölgesel dil seçeneği mutlaka İngilizce ayarlanmalıdır.

·        Veri tabanı sunucusu “Database collation” “ English default: SQL_Latin1_General_Cp1_CI_AS” olmalıdır.

·        Veri tabanı sunucu üzerinde Nested triggers aktif edilmelidir.

 

Ürün

Yazılım

CPU

RAM

DISK

NIC

ePolicy Orchestrator (Yönetim sunucusu)

 

Windows Server 2012 English 64 bit

 

Windows Server 2008 English Service Pack 2 ve üzeri 64 bit

Windws Server 2008 R2 English 64 bit

 

Microsoft SQL Server 2008 R2 32 ve 64 bit Service pack 1/2/R2 Enterprise/Standard/Express Edition, Workgroup Edition

 

Microsoft SQL Server 2012 32 ve 64 bit Enterprise Edition, Express Edition, Standard Edition, Business Intelligence Edition

 

Atanmış sunucu olmalıdır.

 

Statik IP

 

En az 2.66 Ghz 64 bit

4 çekirdekli

En az 8 GB

80 GB

(OS)

 

120 GB

(Veri)

1

McAfee Agent

 

McAfee Agent uygulaması Windows/Linux/MAC/HP-UX/IBM AIX işletim sistemine sahip istemci ve sunucular üzerinde çalışır.

 

Desteklenen işletim sistemi listesinin detayları link içerisinde bulunmaktadır. http://kc.mcafee.com/corporate/index?page=content&id=KB51573

500 Mhz

256 MB

32 MB

1

Device Control

 

http://kc.mcafee.com/corporate/index?page=content&id=KB68147

 

Pentium III, 1 GHz veya üstü

1 GB

En az

200 MB

 

1

Application Control

https://kc.mcafee.com/corporate/index?page=content&id=KB73341

Single/Multiple Intel Pentium CPU

512 MB

En az 100 MB

1

Change Control

https://kc.mcafee.com/corporate/index?page=content&id=KB76459

Single/Multiple Intel Pentium CPU

512 MB

En az 100 MB

1

Integrity Control

Desteklenen platform ve yazılım detayları Application Control ve Change Control modülleri ile aynıdır.

Single/Multiple Intel Pentium CPU

512 MB

En az 100 MB

1

 

Programın kullanıdığı portlar aşağıdaki gibidir.

Agent server Communication port

80

Agent server Communication secure port

443

Agent wake-up Communication port

8081

Agent broadcast Communication port

8082

Console to application server Communication port

8443

Client to server authenticated Communication port

8444

SQL Server Tcp Port

1443

 

Uygulamanın topolojisi aşağıdaki gibidir.

 

 

MCAFEE INTEGRITY CONTROL – CLIENTKURULUM AŞAMALARI

Bu kadar teknik bilgiden sonra uygulamanın görsel olarak anlatımına başlayabiliriz. Kurulum yapıldıktan sonra web üzerinden erişim sağlayabiliyoruz. Erişim linki örneği aşağıdaki gibidir.

https://Servername&ip_adress:8443/

Aşağıdaki resimde giriş ekranı görülmektedir. AD username ve password veya local username ile giriş yapılabilir.

 

 

 

Giriş yapıldıktan sonra dashboard aşağıdaki gibidir. Aşağıdaki tablarda System Tree, Reports, Policy Katalog, Solidcore Events görmekteyiz. Zaten en çok bu tabları kullanacağız. Dilerseniz bu tabları teker teker inceleyelim

 

System Tree: Yüklü clientların olduğu yer olarak tanımlayabiliriz. Clientların durumunu ve tasklarını gönderebileceğimiz alandır. Aslında işimizin birçoğu bu ekran üzerinden gerçekleşmektedir.

 

 

Queries & Reports: Adından da anlaşılacağı gibi scheduled taskların ve raporların ayarlanabildiği alan olarak özetleyebiliriz.

 

 

Policy Catalog: Uygulamamızın politikalarının uygulandığı ve hazırlandığı alandır. Product bölümünde ise modüllere göre politika uygulayabiliriz. Modüllere göre nasıl bir politika yapılır. Açıklamaları aşağıda belirtilmiştir.

 

Application Control: Client üzerindeki uygulama kısıtlaması yapmak istediğimizde Application control menüsünden işlem yapmak gerekmektedir. Örn: c:\notepad.exe çalışmasın gibi

Change Control: Client üzerinde regedit değerlerinin ve sistem dosyalarının modify edilmesi engellemek için Change control menüsünden işlem yapmak gerekmektedir.

Integirty Monitor: Client üzerindeki yasaklanmış politikalarda erişim olduğunda alarm oluşacaktır. Bu işlem içinde Integrity monitör menüsünden yapılandırmamız gerekmektedir.

DLP: Data Loss Prevention modülü aktif ise bu menüden işlem yapıyoruz. Biz bu sistemde usb yasaklama için kullanıyor olacağız.

Mcafee Agent: Mcafee agent server ile client arasındaki bağlantıyı kurmak için ihtiyacımız olacaktır. Kurulumdan sonra server ile client arasındaki bağlantı süresini belirleyebiliyoruz.

VirusScan Enterprise: Mcafee antivirüs modülü ile ilgili politikalar belirlemek için bu alan kullanılmaktadır. Örn: X sunucunun d: driver’ini tarama gibi veya her hafta su zamanda tarama yap gibi ayarlanabilir.

Solidcore General: Solidcore üzerindeki password değişikliğinin yapıldı alandır.

 

 

Solidcore Events: Uygulamamızın clientlar üzerindeki events’lerını görmek için ve bu eventlara göre aksiyon almamıza yarayan alandır. 4 menüyü incelediğimizde politikalar kısmından sonra en çok kullanacağımız alan olarak değerlendirebiliriz.

Görsel olarak basic anlatımı bu şekildeydi. Şimdi aşağıda client’a ilk kurulum nasıl yapılır  anlatmaya çalışacağım ve biraz daha derine inceleme yapacağız.

Kurulum yapmak istediğimiz makinaya öncelikle mcafee agent’i yüklememiz gerekmektedir. Agent’a ulaşmak için uygulamanın kurulu olduğu sunucuda şu dizinden ulaşabiliriz. “Kurulu olan dizin:\McAfee\ePolicy Orchestrator\DB\Software\Current\EPOAGENT3000\Install\0409\FramePkg.exe” Restart gerektirmeyen bir işlem olduğundan kolaylıkla uygulanabilir. Bu kurulum server ile client arasındaki iletişimi sağlamaktadır. System tree alanında gözükecektir.

Sonrasında tasklardan ilgili agentları yüklememiz gerekecektir. Aşağıdaki resimde solidcore aktif hale gelmesi için task başlatmayı göstermektedir. Actions < Agent < Modify Tasks on a Single System

 

Bir sonraki ekrana New Task diyerek aşağıdaki ekran karşımıza gelmektedir. Bu ekranda Mcafee Agent < Product Deployment < Solidcore Install seçerek ilgili kompenantların yüklenmesi için komut göndermiş oluyoruz. Bu işlemi yaptıktan sonra restart etmemiz gerekmektedir.

 

Restart sonrasında bir task daha göndermemiz gerekiyor. Bu task solidcore agent’ını enable hale getirerek sistemi lock down yapacaktır.

 

 

Sistem üzerinde client’a kurulum bu şekilde yapabiliyoruz. Asıl iş bu zamandan sonra başlayacaktır. Client üzerinde politikaları belirlememiz gerekiyor. Nasıl belirlenir. Aşağıda bunları inceleyeceğiz. Client üzerinde iyi bir analiz yaparak sistem kesintilerin önüne geçebiliriz.

MCAFEE INTEGRITY CONTROL ePO ÜZERİNDEN POLICY UYGULANMASI

Uygulamamız üzerinden client’a bazı politikalar gönderelim ve politikaları inceleyelim. Policy Catalog kısmına tıklayıp mcafee’in default’ta gelen politikaları görebiliriz. Ve kendimize ait politika oluşturabiliriz. Daha önce de anlattığım gibi product bölümünden application control veya diğerlerinden birini seçerek policy oluşturabiliriz. Bize isterseniz application control’den başlayalım. Yukarıdan new policy diyerek politikanın ismini girerek 1. Adıma başlıyoruz. Aşağıdaki resimde de gördüğümüz üzere test adında politika create ettim şimdi içeriğini inceleyelim.

 

Mcafee’nin default olarak bazı politikaları mevcut eğer bizim ihtiyacımız karşılamıyor ise update edebiliriz.  Yukarıda tablarda da gördüğümüz üzere updaters, trusted users, trusted directories diye bölümlerden politikayı oluşturabiliyoruz.

Aşağıda c:\Burak klasörünü trusted directories kısmına ekledim c:\burak klasörü dışında kalan klasörlerde uygulama izin vermeyecektir.

Yâda klasör bazlı yapılmayacak ise tek bir user allow hakkı olsun diğer hangi userla girilirse girsin işlem yapamayacaktır.

Şimdi bu oluşturduğumuz test ismindeki politikayı client’a uygulama şekli aşağıda  gösterilmiştir. System tree kısmından client’i seçip acitons\agent\set policy & Inheritance kısmında tıkladığımızda işlemin ilk adımı bitmektedir.

Aşağıdaki resimde ilgili politika ismi seçilip save dedikten sonra client’a politikayı assign etmiş oluyoruz.

Dilerseniz yapmış olduğumuz politikayı test edelim. C:\ içinde rastgele bir klasör seçelim mesela solidcore klasörünün içinde shortcut oluşturmak istediğimde Access denied uyarısı vermesi gerekiyor. Aşağıdaki resimde inceleyebiliriz.

Şimdi c:\burak klasöründe aynı işlemi deneyelim. Burada herhangi bir problem ile karşılaşmadık. White listesine eklediğimizden burada Access denied uyarısı almamış bulunuyoruz.

Aynı mantıkla başka politikalar belirleyebiliriz. Örneğin read protect, write protect ve write protect’de ise Delete, Rename, Create hard links, Modify contents, Append, Truncate, Change owner, Create Alternate Data Stream engelleyebiliriz.

 

MCAFEE INTEGRITY CONTROL ePO ÜZERİNDEN RAPORLAMA YAPILANDIRILMASI

Bu bölümümüzde kullanmış olduğumuz uygulamanın yaptığı politikalar dışında önemli olan raporlama kısmını incelemeye alalım.

Console giriş yaptıktan sonra yukarıda ki menülerden Queries & Reports bölümüne tıklıyoruz.

 

Default olarak 160 adet report modeli var eğer istersek kendimizde manuel olarak report oluşturabiliriz. Ama zaten kayıtlı olarak bulunan hazır raporlar işimizi görecektir. Birkaç tanesini alıp deneyelim.

Örnek olarak ilk başta Agent Communnication Summary raporunu çekelim.

 

Şimdi dilerseniz manuel olarak bir rapor oluşturalım. Aşağıdaki yerden new diyerek işlemimize başlıyoruz.

İlk adımda Events göre rapor oluşturmak istiyorum bunun için Events bölümünden threat events kısmını seçerek ilerliyoruz.

İkinci adımda ilgili yerleri seçip raporlamamıza şekil veriyoruz.

Bu ekranda raporumuzun görünüm şeklini belirliyoruz.

 

Son bölümde filtre uyguluyoruz. Raporumuzda görülmesi gereken events’ları belirtip manuel oluşturduğumuz rapor işlemini sonlandırıyoruz.

Oluşturduğumuz rapor doğrultusunda File modified update eventlerini SQL’den çekerek karşımıza getirecektir.

Bir rapor daha hazırlayalım işlerimizin kolaylığı ve üst yöneticilerimize sunacağımız bir rapor olmasını istiyoruz. Mcafee integrity control clientları lockdown ettiğinde status olarak solidcore olarak gözükmektedir. Fakat client üzerinde bir işlemimiz olduğunda uygulamayı update moda almamız gerekiyor. Yukarıda bu işlemin nasıl gerçekleştiğini anlatmıştım. Raporumuzda scheduled olarak ayarlarsak kontrol altımızda olur. Şimdi raporu oluşturalım.

Ana menüden Queries & Reports kısmında new diyerek sol taraftan solidcore seçiyoruz ve açılan pencerede Solidcore Client Properties seçip ilerliyoruz.

Bir sonraki ekranımızda etiketleme ve grafiğimizin şeklini belirliyoruz.

Bu ekranımızda oluşacak olan raporda görülmesini istediğimiz bilgileri belirliyoruz.

Yukarıda yaptığımız işlemlerden sonra alt tarafta bulunan run butonuna tıklayarak işlemimizi sonlandırıyoruz. Ve karşımıza pasta grafikli rapor çıkmaktadır. Üzerine tıkladığımızda ayrıntılı bilgi vermektedir.

Bu yaptığımız raporları scheduled olarak ayarlayabiliyoruz. Bunun için menüden server task kısmından yapılandırabiliriz.

Yukarıdaki sayfadan new task diyerek işleme başlayabiliriz.

Name kısmını doldurup ilerliyoruz.

Bu kısımda query alanını dolduruyoruz. Sonrasında gönderme şeklini belirliyoruz. Email veya export edebiliyoruz. İlgili kişilerin mail adresini yazıp dosya formatını seçip bir sonraki adıma geçebiliriz.

Bu adımda scheduled tipini start date ve start zamanını belirleyebiliyoruz.  Rapor oluşturma işleminide bitirmiş oluyoruz.

Bu makalede Mcafee Integrity Control ürününü ele aldık Kurulum, Policy dağıtımı ve Raporlamadan bahsettik Umarım faydalı olmuştur. Bir sonraki makalede görüşmek üzere

Exit mobile version