IT & IoT Security | Cloud | It's all about the life itself

Merhaba

ArcSight SmartConnectors, event log’ları yada data’ları toplanacak olan network cihazları ile ArcSight Manager veya ArcSight Logger arasında bağlantıyı sağlayan Java tabanlı bir application ya da bir appliance olarak karşımıza çıkıyor.

SmartConnector , toplanan data’yı standart bir formata (CEF) sokuyor ve hedefe yolluyor. Hedefe yollarken de filtreliyor, dolayısıyla, verimlilik artıyor, iş akışı hızlanyıror.

SmartConnector Installer, platforma göre bir binary file ya da executable file olabilir. yazılım olarak kurulan bu connector formatı aşağıdaki gibidir:

ArcSight-#.#.#.####-Connector-ARCH
Version Number Platform

Örnek: ArcSight-5.1.1.5782.0-Connector-Win.exe Bu bir Windows Installer paketidir.

ArcSight Connector Appliance, içerisinde birden fazla SmartConnector barındırır ve “Container” ismiyle anılır. Bu nedenle SmartConnector kurulumu (extraction) kısmını atlamış oluyoruz ve konfigurasyon adımını gerçekleştiriyoruz.

Bu yazımda “Connector Appliance içerisine yeni bir SmartConnector eklerken hangi adımlar ile karşılaşıyoruz” ‘u inceleyeceğiz.

1- Connector Appliance konsoluna giriş yapınız.

2-

3- Manage menüsü seçilir.

4- Sol tarafta görmüş olduğunuz localhost altındaki container‘lar SmartConnector’leri barındırır.

5- Yeni bir SmartConnector eklemek istediğimizde container’ı seçiyoruz.

6- Yukarıdaki resimde seçili olan Adds a new connector butonu tıklanır.

7- Sonrasında ne yapacağımızı kısaca açıklayan bir pencere çıkıyor karşımıza “next” ile devam edebiliriz.

8-

9- Yukarıdaki resimde gördüğümüz gibi bir sonraki ekranda “connector” tipini belirlediğimiz ekrandır. Hangi tip connector konfigurasyonu yapmak istiyorsak seçip “next” ile ilerleyebiliriz.

10-

11- Connector tipi olarak CEF file seçtiğim için CEF Log File path’ini girmemiz gerekiyor. Eğer CEF file seçmediyseniz bu bilgiye ihtiyaç olmayacaktır.

12-

13- Yukarıdaki örnekte MS Windows Event Log – Unified connector tipini seçtim. Next ile devam.

14-

15- Üst kısımlarda 10. maddede CEF Log File belirtmiştik.Burada ise üstte görüldüğü gibi doldurmamız gereken bir çok attribute bulunmaktadır. Yani seçtiğiniz connector tipine göre detayları farklıdır. ArcSight CEF file ile devam ediyorum .

16- Sırada destination belirleme işlemi geliyor.

17-

18- Her destination için belirtmemiz gereken farklı parametreler mevcut. Sırasıyla bunları inceleyelim:

19- ArcSight Manager seçilirse;

Yukarıda doldurmanız gereken parametreleri görebilirsiniz. Burdaki user ArcSight Maneger üzerinde yetkili bir account olmalı.

20- ArcSight Logger seçilirse;

21- NSP Device seçilirse;

22- Destination CEF file olursa;

23- Destination CEF Syslog ise;

24- Destination CSV File ise;

25- İstediğimiz destination’i seçip next ile devam edeceğiz.

26-

27- Yukarıda gördüğünüz gibi bir sonraki ekran connector detayları ile ilgilidir. Uygun şekilde dolduruyoruz.

28- Next ile devam ettiğinizde connector oluşturulacaktır. Sonraki görüntü aşağıdaki gibidir.

29-

30-

31- Yukarıdaki resimde de container 1 ‘e eklenmiş olan Windows Event Log connector detaylarını görebiliyorsunuz.

32- Artık Connector Appliance’ı üzerinden connector’leriniz üzerinde işlem yapabilirsiniz.

Bu yazımda Connector Appliance’ı içerisine yeni bir connector eklemeyi gözledik. ArcSight bileşenleri ile ilgili bir sonraki yazımda görüşmek üzere.