Ana menüden Real Time Analyzer tıkladığımızda yukarıdaki Real Time Threat
Analyzer ekranı karşımıza gelmektedir. İlk gelen ekran dashboard ekranıdır.
Default olarak NSP Health, IPS , Application and GTI ekranları gelmektedir. Sağ
taraftaki Options kısmından yeni
ekranlar oluşturabilmekteyiz. En kullanışlı olan CPU , Throughput ,Port Status,
Top 10 Attacks hazır ekranlar olarak ayarlanabilir.
IPS kısmında tesbit edilen ataklar ile ilgili bilgilere ulaşabilmekteyiz.
Dril-Down özelliği olan bu ekranda üzerine tıkladığımız bilgilerin detaylarına
ulaşabilmekteyiz.
Application and GTI bölümünde mevcut trafikteki kullanılan uygulamalar ve
GTI dan alınan bilgiler görülebilmektedir. Özellikle hangi ülkelerden ne
kadarlık bir atak oluşturulduğu bilgisi bize fayda sağlamaktadır. Yada sizin
kullanılmasını istemediğimiz bir uygulama kullanılıyorsa yine IPS üzerinde
bunları raporlardan tesbit edip o uygulamanın imzasını aktif ederek engelleme
yapabilirsiniz.
Port Status olarak Statistics- Flows seçilerek mevcut aktif trafik
boyutları ile ilgili detaylı bilgilere ulaşabilmekteyiz.
Ek olarak Trafiğin aktığı portlar üzerindeki Rx/Tx bilgilerini
görebilmekteyiz. Toplam Bytes sayısı ve CRC oluşup oluşmadığını bu ekranlardan
görebilmekteyiz.
Sağ tarafta bulunan Options > Dashboard > New diyelim. Yeni bir
dashboard oluşturalım.
Dashboard için bir isim verip OK diyoruz.
Type olarak General seçersek Monitor kısmında görülen tanımlar için
bilgileri görebileceğimiz bir ekran oluşturmuş olacağız.
Type olarak IPS i seçersek IPS ile ilgili rapor ekranları
oluşturabilmekteyiz. IPS Quarantine Summary gibi.
Type olarak Sensor Performance seçtiğimizde kullandığımız sensörün
performansına ait bilgileri görebileceğimiz ekranları oluşturabilmekteyiz.
Sensor CPU,Throughput, Port Throughput bilgileri için ekranlar
oluşturabilmekteyiz.
Options kısmından Monitor > New dediğimizde yeni bir monitor ekranı
oluşturabilmekteyiz. Monitor için bir isim veriyoruz. Data Source olarak Alerts
seçip OK diyelim.
Display Filter kısmında sol taraftaki filter criteria kısmından
istediklerimizi seçip filtre değerlerimizi oluşturup Next diyoruz. Örneğin Dest
IP sağ tarafa atıp açılan kutucuğu destination ip adresi için bir ip adresi
bilgisi yazabiliriz.
Gösterilecek olan alanlarıda buradan seçip Finish diyerek monitor oluşturma
işlemimizi tamamlıyoruz.
İkinci kısım olan Alerts tıkladığımızda bizi yukarıdaki gibi bir ekran
karşılayacaktır. Time a göre sıralanmış ve tesbit edilen atakların listesi
önümüze gelecektir. İlk ekranda atak ile ilgili genel bilgileri
görebilmekteyiz. Atak name,Count,Result,Src IP ,Dst IP ,Country bilgilerine görebilmekteyiz.
Herhangi bir atağın üzerine tıkladığımızda atak ile ilgili detaylı bilgilere
ulaşabilmekteyiz.
Actions kısmından source IP yi karantina ekleme yada paket analizi
yapabilmekteyiz.
Alarmlar ekranında sağ tarafta Group By seçip açılan menüden istediğimiz
veriye göre alarmları gruplayabilmekteyiz. Örneğin Attack Name yada Source IP
gibi.
Attack Name e göre grupladığımızda atak ismine göre ataklar
sıralanmaktadır. İstediğimiz atak isminin üstüne tıklayıp daha detaylı
bilgilere ulaşabilmekteyiz. Yoğun alarm oluşan sistemlerde gruplama yoluyla
hızlıca istediğimiz verilere ulaşabiliriz.
Herhangi bir alarmın üzerinde sağ tıklarsak yukarıdaki gibi bir menü
açılmaktadır. Acknowledge yapabilirz yada atağı yapan ip yi karantina
alabiliriz yada bir incident oluşturabiliriz.
Ana ekranda Hosts kısmına geldiğimizde karantinaya alınan ip adreslerini
görebilmekteyiz.
Karantina listesinde herhangi birinin üzerinde sağ tıkladığımızda
yukarıdaki menüdeki işlemleri yapabilmemizi sağlamaktadır. Karantinaya alınan
ip adresini release edebiliriz yada karantina süresini uzatabiliriz. Defaultta
1 saat karantinaya alınmaktadır.
Incident Viewer kısmında incident olarak etiketlenen atakları
görebilmekteyiz. Gerekli açıklamalar yazılarak incident yönetimi sağlanabilmektedir.
Comments kısmına atakla ilgili yazılan açıklamaları görebilmekteyiz.
Host Forensic kısmında epo yada vulnerability manager ürünlerinden gelen
bilgileri görebilmekteyiz.
Preferences > General kısmında genel ayarlar görülebilmektedir. Path to
wireshark.exe kısmına tıkladığımızda
Açılan panelde wireshark uygulamasının kurulu olduğu dizine gidilip
wireshark.exe seçilerek oluşan ataklardaki packet capture verilerini
inceleyebilme şansına sahip olmaktayız.
Alert View kısmında alarmlar için hangi bilgilerin alerts ekranında
görünmesini belirleyebilmekteyiz.
Hosts View kısmında da Hosts bölümünde hangi bilgilerin görüntülenebilmesini seçtiğimiz alanlar
mevcuttur.
Watch List kısmında High Medium Low ve Informational için kullanılacak
renkleri ayarlayabilmekteyiz.
Historical Threat Analyzer
NSM ana menüsünde Historical Threat Analyzer tıkladığımızda
Bize belirli tarih aralığı seçeceğimiz bir ekran gelecektir. İstediğimiz
zaman dilimini seçip OK diyerek o tarihler arasındaki alarmları
listeyebilmekteyiz.
Real Time Analyzer kısmında 100000 alarm kaydı bulunmaktadır. Bundan önceki
alarmlar üzerinde inceleme yapacaksak Historical Threat Analyzer bölümünü açmamız gerekmektedir.
Böylece McAfee Network Security Manager makalelerimizi tamamlamış bulunuyorum. NSM ile uğraşanların işine oldukça yaracağı bir yazı dizisi olduğu kanaatindeyim.
Hiç yorum yok:
Yorum Gönder