Splunk ‘ın CentOS 6 üzerinde çalıştırılması

Merhaba,

Splunk hakkında kısaca bilgi vererek başlayabilirim. Splunk;  log üreten kaynaklardan log’ları toplayıp indeksleyen bir yazılımdır. Toplanan ve indekslenen log’lar üzerinde arama,gözlem,analiz yapabilirsiniz ve raporlar hazırlayabilirsiniz, elde ettiğiniz veriler ile hata denetimi ve güvenlik zafiyetlerine karşı gözlemler yapabilirsiniz, önlemler alabilirsiniz.Ürün hakkında daha detaylı bilgi almak isterseniz http://www.splunk.com/view/product-tour/SP-CAAAAGV adresini ziyaret edebilirsiniz. Benzer bir başka ürün hakkında bilgi almak isterseniz http://www.aydogmusoglu.com/?s=arcsight adresinden daha önce yayınlanmış olan yazıları inceleyebilirsiniz.

Ürünü, windows işletim sistemine de kurabilirsiniz. Bazı testlerim için ürünü CentOS 6 üzerinde çalıştırmak istedim. Ürünü CentOS üzerinde çalışmak da windows üzerinde çalıştırmak da oldukça kolay.

Ürünün download sayfasından, splunk-6.1.3-220630-linux-2.6-x86_64.rpm kurulum dosyasın temin edebilirsiniz.Ürünü CentOS yerine Debian veya windows üzerine kurmak isterseniz ilgili dosyalar da download sayfasında mevcut.

Continue reading “Splunk ‘ın CentOS 6 üzerinde çalıştırılması”

Exchange Server Mailbox Audit Log ‘larının HP ArcSight SIEM Solution ile Gözlemi

Merhaba;

Aşağıdaki anlatımımızda;

Ben,

Exchange Server 2010 üzerinde Mailbox Auditing yapısından, mailbox auditing konfigürasyonundan , mailbox audit log’larının LogBinderEX ile Syslog Common Event Format ‘ta HP ArcSight SIEM sistemine aktarılmasından bahsettim.

Eşim,

Selda , Exchange Server 2010 Mailbox Audit Log ‘larının HP ArcSight SIEM sistemi ile normalizasyonundan , yorumlanmasından , filtrelenmesinden ve istenilen kriterlerde raporlanmasından (HP ArcSight SIEM sistemi hakkında bilgilendirme yaparak ) bahsetti.

Exchange Server Mailbox Audit log ‘larını HP ArcSight SIEM sistemi (diğer SIEM çözümleri için aşağıdaki nota bakınız!) ile yorumlamak ve aksiyon aldırabilmek kurumsal firmaların Mesajlaşma Sistemleri yönetimi ve Bilgi Güvenliği yönetimi açısından oldukça önemlidir.

Not : SIEM çözümlerine Gartner’s Magic Quadrant’tan bakabilirsiniz.

Herkese sorunsuz ve neşeli günler dileriz.

ArcSight Logger Appliance Initial Configuration

Merhaba,

Security Information Event Management ürünleri arasında ilk sırada olan ArcSight ürününden ve bu ürünün bileşenlerinden daha önce bahsetmiştim. Yazıya aşağıdaki linkten ulaşabilirsiniz:

http://www.aydogmusoglu.com/hp-arcsight-a-genel-bakis.html

Bu yazımda ArcSight bileşenlerinden biri olan “Logger” ’dan bahsedeceğim.

ArcSight Logger , yüksek “throughput” , verimli ve uzun süreli depolama , hızlı veri analizi sağlayan bir log yönetim çözümüdür. Logger, event’leri alır ve depolar, raporlama ve search desteği sunar ve isteğe bağlı olarak ta seçilen event’leri forward eder. RAW data’yı compress’ler, adli işlemler için genellikle modifiye edilmemiş data’yı alır.

ArcSight Logger iki farklı türde bulunur: ArcSight Logger Appliance ve ArcSight Software Logger

Continue reading “ArcSight Logger Appliance Initial Configuration”

ArcSight SIEM Solution ve Bileşenlerine dair topology örnekleri

arcsight

Üstteki resimde ArcSight ESM bileşeninin nasıl bir rol üstlendiğini görüyouz.

Aşağıdaki resimde de aynı şekilde ArcSight Manager, bütün bileşenlerin ortak bağlantı noktası aslında. Dizayn size kalmış.

siem_arcsight_intro

Aşağıdaki topology’de Correlation Engine’nin çalışma şeklini anlayabiliyoruz. Toplanan veriyi nasıl standart bir forma soktuğunu ve kullandığı filtreleme, ölçeklendirme, kategorize etme gibi birçok özelliği ile iş akışını hızlandırdığını ve verimi arttırdığını da farketmek zor değil.

Continue reading “ArcSight SIEM Solution ve Bileşenlerine dair topology örnekleri”

HP ArcSight `a Genel Bakış

Günümüzde organizasyonlarda farklı cihazlardan fazla sayıda ve farklı türde log üretilir. Bir kurumun sadece bir branch’inde bile router,firewall,IDS,IPS,vs. birçok cihazdan gelen yetkisiz erişim girişimlerini,network tehditlerini,vs. sürekli izlemek gerekir ve incelenmesi gereken çok fazla sayıda log bulunmaktadır. Gün içerisinde yapılan aktiviteler de ( firewall events, Anti-virus data, application logs, database access, file server access gibi) milyonlarca event/log üretir. Ve bazen de belirli bir kullanıcının ne zaman , ne yaptığını (forensic) bilmek gerekebilir. İşte bunun gibi nedenlerden dolayı organizasyonlar bir SIEM ürününe ihtiyaç duyarlar.

SIEM nedir?

SIEM ( Security Information and Event Management) ürünü, büyük bir network’teki çeşitli network cihazlarından bütün log data’larını toplar, tanımlar, güvenlik tehditlerini ve şüpheli davranışları raporlar. SIEM ürünü bunun dışında birçok network’ten ve cihazdan toplanan bütün log data’larının depolanmasını, arşivlenmesini ve ilişkilendirilmesini sağlayarak , uzun zaman alan adli soruşturmaları ( Forensic Investigation) kolaylaştırır (Sonuçlandırılabilmesini sağlar).

Peki bu toplanan milyarlarca log data’sına ne oluyor?

Continue reading “HP ArcSight `a Genel Bakış”