McAfee NSM Real Time Threat

Real Time Threat Analyzer

Ana menüden Real Time Analyzer tıkladığımızda yukarıdaki Real Time Threat Analyzer ekranı karşımıza gelmektedir. İlk gelen ekran dashboard ekranıdır. Default olarak NSP Health, IPS , Application and GTI ekranları gelmektedir. Sağ taraftaki Options  kısmından yeni ekranlar oluşturabilmekteyiz. En kullanışlı olan CPU , Throughput ,Port Status, Top 10 Attacks hazır ekranlar olarak ayarlanabilir.

IPS kısmında tesbit edilen ataklar ile ilgili bilgilere ulaşabilmekteyiz. Dril-Down özelliği olan bu ekranda üzerine tıkladığımız bilgilerin detaylarına ulaşabilmekteyiz.

Application and GTI bölümünde mevcut trafikteki kullanılan uygulamalar ve GTI dan alınan bilgiler görülebilmektedir. Özellikle hangi ülkelerden ne kadarlık bir atak oluşturulduğu bilgisi bize fayda sağlamaktadır. Yada sizin kullanılmasını istemediğimiz bir uygulama kullanılıyorsa yine IPS üzerinde bunları raporlardan tesbit edip o uygulamanın imzasını aktif ederek engelleme yapabilirsiniz.

Port Status olarak Statistics- Flows seçilerek mevcut aktif trafik boyutları ile ilgili detaylı bilgilere ulaşabilmekteyiz.

Ek olarak Trafiğin aktığı portlar üzerindeki Rx/Tx bilgilerini görebilmekteyiz. Toplam Bytes sayısı ve CRC oluşup oluşmadığını bu ekranlardan görebilmekteyiz.

Sağ tarafta bulunan Options > Dashboard > New diyelim. Yeni bir dashboard oluşturalım.

Dashboard için bir isim verip OK diyoruz.

Type olarak General seçersek Monitor kısmında görülen tanımlar için bilgileri görebileceğimiz bir ekran oluşturmuş olacağız.

Type olarak IPS i seçersek IPS ile ilgili rapor ekranları oluşturabilmekteyiz. IPS Quarantine Summary gibi.

Type olarak Sensor Performance seçtiğimizde kullandığımız sensörün performansına ait bilgileri görebileceğimiz ekranları oluşturabilmekteyiz. Sensor CPU,Throughput, Port Throughput bilgileri için ekranlar oluşturabilmekteyiz.

Options kısmından Monitor > New dediğimizde yeni bir monitor ekranı oluşturabilmekteyiz. Monitor için bir isim veriyoruz. Data Source olarak Alerts seçip OK diyelim.

Display Filter kısmında sol taraftaki filter criteria kısmından istediklerimizi seçip filtre değerlerimizi oluşturup Next diyoruz. Örneğin Dest IP sağ tarafa atıp açılan kutucuğu destination ip adresi için bir ip adresi bilgisi yazabiliriz.

Gösterilecek olan alanlarıda buradan seçip Finish diyerek monitor oluşturma işlemimizi tamamlıyoruz.

İkinci kısım olan Alerts tıkladığımızda bizi yukarıdaki gibi bir ekran karşılayacaktır. Time a göre sıralanmış ve tesbit edilen atakların listesi önümüze gelecektir. İlk ekranda atak ile ilgili genel bilgileri görebilmekteyiz. Atak name,Count,Result,Src IP ,Dst IP ,Country bilgilerine görebilmekteyiz.

Herhangi bir atağın üzerine tıkladığımızda atak ile ilgili detaylı bilgilere ulaşabilmekteyiz.

Actions kısmından source IP yi karantina ekleme yada paket analizi yapabilmekteyiz.

Alarmlar ekranında sağ tarafta Group By seçip açılan menüden istediğimiz veriye göre alarmları gruplayabilmekteyiz. Örneğin Attack Name yada Source IP gibi.

Attack Name e göre grupladığımızda atak ismine göre ataklar sıralanmaktadır. İstediğimiz atak isminin üstüne tıklayıp daha detaylı bilgilere ulaşabilmekteyiz. Yoğun alarm oluşan sistemlerde gruplama yoluyla hızlıca istediğimiz verilere ulaşabiliriz.

Herhangi bir alarmın üzerinde sağ tıklarsak yukarıdaki gibi bir menü açılmaktadır. Acknowledge yapabilirz yada atağı yapan ip yi karantina alabiliriz yada bir incident oluşturabiliriz.

Ana ekranda Hosts kısmına geldiğimizde karantinaya alınan ip adreslerini görebilmekteyiz.

Karantina listesinde herhangi birinin üzerinde sağ tıkladığımızda yukarıdaki menüdeki işlemleri yapabilmemizi sağlamaktadır. Karantinaya alınan ip adresini release edebiliriz yada karantina süresini uzatabiliriz. Defaultta 1 saat karantinaya alınmaktadır.

Incident Viewer kısmında incident olarak etiketlenen atakları görebilmekteyiz. Gerekli açıklamalar yazılarak incident yönetimi sağlanabilmektedir.

Comments kısmına atakla ilgili yazılan açıklamaları görebilmekteyiz.

Host Forensic kısmında epo yada vulnerability manager ürünlerinden gelen bilgileri görebilmekteyiz.

Preferences > General kısmında genel ayarlar görülebilmektedir. Path to wireshark.exe kısmına tıkladığımızda

Açılan panelde wireshark uygulamasının kurulu olduğu dizine gidilip wireshark.exe seçilerek oluşan ataklardaki packet capture verilerini inceleyebilme şansına sahip olmaktayız.

Alert View kısmında alarmlar için hangi bilgilerin alerts ekranında görünmesini belirleyebilmekteyiz.

Hosts View kısmında da Hosts  bölümünde hangi bilgilerin görüntülenebilmesini seçtiğimiz alanlar mevcuttur.

Watch List kısmında High Medium Low ve Informational için kullanılacak renkleri ayarlayabilmekteyiz.

Historical Threat Analyzer

NSM ana menüsünde Historical Threat Analyzer tıkladığımızda 

Bize belirli tarih aralığı seçeceğimiz bir ekran gelecektir. İstediğimiz zaman dilimini seçip OK diyerek o tarihler arasındaki alarmları listeyebilmekteyiz.

Real Time Analyzer kısmında 100000 alarm kaydı bulunmaktadır. Bundan önceki alarmlar üzerinde inceleme yapacaksak Historical Threat Analyzer  bölümünü açmamız gerekmektedir.

Böylece McAfee Network Security Manager makalelerimizi tamamlamış bulunuyorum. NSM ile uğraşanların işine oldukça yaracağı bir yazı dizisi olduğu kanaatindeyim.