Bu makalemizde Kaspersky Total Security for Business uygulamasını kullanarak Kurum/Şirket bünyesinde sadece belirli uygulamaların çalıştırılmasına izin vererek diğer tüm uygulamaları nasıl engelleyebileceğimizi göreceğiz.
Kasperksy Total Security for Business ürünü ile belirli uygulamalar engellenerek geri kalanı serbest bırakılabileceği gibi, daha güvenli bir metot olan "application whitelist" de yapılabilir.Bu sayede,kurumsal ölçekte izin verilen uygulamalar çalıştırılarak, diğer tüm uygulamaların engellenmesi sağlanabilir:
Application Whitelist Uygulama Adımları:
A) MEVCUT UYGULAMA ENVANTERİNİ TOPLAMA
1) Öncelikle client bilgisayarlarla ilgili aşağıdaki şekilde "inventory" task oluşturulmalı ve tüm clientlar için düzenli olarak çalıştırılmalıdır (Bu sayede tüm uygulamaların envanteri toplanır):
2) "Add" denilerek "All Hard Drives" seçilir (Varsayılan olarak sadece "Program Files", "Program Filex (x86) ve "C:\windows" dizinleri altındaki dosyaların envanteri toplanıyor. Biz tüm hard diskimizdeki çalıştırılabilir dosyaları toplasın istiyoruz):
3) İki kez "forward" tıklanarak gelen ekranda bu task haftada bir çalışacak şekilde ayarlanır (Kaynak tüketimi olduğundan bu görevin (task) öğle saatlerine denk getirilmesi uygun olur):
4) "Forward" tıklanarak gelen ekranda bu task'a isim verilir ve sırasıyla "forward" ve "finish" tıklanır ve bitirilir. Bu task hemen çalıştırılabileceği gibi takvimlenen tarihlerde de çalıştırılabilir.
5) Daha sonra "Advanced" altındaki "Application management" altındaki "Executable Files" sekmesine tıklandığında bu menü altında envanteri toplanan tüm çalıştırılabilir dosyalara erişilebilir:
6) "Export list" yapılarak "csv" formatındaki "çalıştırılabilir uygulama envanteri" export edilir:
7) Elde edilen liste incelenerek, kurum çapındaki uygulamalar, bu uygulamaların kategorileri ve Kasperksy tarafından bilinmeyen (unknown) uygulamalar tespit edilir. Bu uygulamar içerisinden Kurum/Şirket içerisinde kullanılmakta olanları tespit edilerek ilerdeki adımda "manuel whitelist" oluşturulacaktır.
B) İZİN VERILEN UYGULAMALAR İÇİN KATEGORİLER OLUŞTURMA
8) Öncelikle Kaspersky Security Center açılır ve "Application Management" altındaki "Application Categories" bölümüne girilir."Create Category" denilerek öncelikle Kurum ölçeğinde izin verilen "uygulama kategorileri" belirlenir. Bunun için, daha önce toplanmış olan uygulama envanterinden faydalanılabilir:
İlk sıradaki seçenek seçilir:
Kategoriye isim verilerek devam edilir:
"Add" seçilerek "KL Category" opsiyonu seçilir:
Kurum ölçeğinde kullanılan uygulamaların kategorileri belirlenir:
İki kez "Forward" denileren "Finish" e tıklanır.
Benzer şekilde, Kasperksy tarafından tanınmayan (unknown) uygulamalar için de ayrı bir "hash bazlı izin verilen" uygulama kategorisi belirlenir (manuel_whitelist)
Bilinmeyen uygulamanın SHA-256 hash verisi ilgili kutuya girilebilir:
Benzer şekilde, belirli bir örnek bilgisayar üzerindeki dosyaların hash bilgilerine göre veya belirli bir konumdaki (dosya sunucu gibi) uygulamalarla ilgili de "otomatik" belirlenen uygulama kategorileri oluşturulabilir. Bu sayede; klasör veya bilgisayardaki uygulamalar güncellendiğinde otomatik olarak bu uygulamalardan kategori oluşturulacaktır:
C) CLIENT POLICY OLUŞTURMA
9) Yeni bir "policy" oluşturularak "application startup control" sekmesine girilir ve daha önce oluşturulmuş olan tüm "uygulama kategorileri" teker teker eklenir. Daha sonra, "whitelist" "notify" seçilir. Bu sayede seçilmiş olan kategoriler dışında çalıştırılan ve whitelist'in devreye alınması durumunda "block" edilecek olan uygulamaların logları sisteme düşecektir. (Şu anda engelleme yapılmamakta, sadece çalıştırılan uygulamalar izlenmektedir).
D) LOG FİLTRESİ OLUŞTURMA
Log filtresi oluşturularak "Notify" yapılan yani bloklama durumunda engellenebilecek olan tüm uygulamalar aşağıdaki şekilde izlenir.
Öncelikle, "Events" sekmesinde "create a selection" seçilir:
"Application prohibited in test mode" kutucuğu işaretlenir:
"Time" bölümüne girilir ve 14 gün ( 2 hafta boyunca gelen logları izleyeceğimiz için) seçilir ve "OK" tıklanarak oluşturulan log filtresi kaydedilir.
"Events" bölümünde "app_monitor" filtresi seçildiğinde, düşen loglar görülecektir:
Event Listesinden ilgili log'a sağ tıklanarak "add to category" denilir ve daha önce oluşturulmuş olan "hash bazlı izin verilen uygulama" kategorisine eklenir. Bu şekilde 2 hafta boyunca, Kasperksy tarafından bilinmeyen ama Kurum ölçeğinde kullanılmakta olan uygulamalar "hash bazlı uygulama kategorisi" listesine veya "kategori bazlı uygulama kategorisi" listesine manuel olarak ekleme işlemi yapılır.
E) WHITELIST/BLOCK MODUNA GEÇİŞ
2 hafta boyunca Kurumsal uygulamalar belirlenerek çalıştırılan tüm uygulamalar loglardan tespit edildikten sonra (kategorisi bilinmeyen uygulamalar) ve manuel olarak hash bazlı whitelist listesine eklendikten sonra sıra, izin verilen bu uygulamalar dışındaki diğer tüm uygulamaların engellenmesine gelecektir. Bunun için daha önce oluşturulan client policy açılır ve "application control" altındaki sekmede "notify" ayarı "block" olarak değiştirilir:
F) İZLEME
"Events" bölümünde "Application Startup prohibited" uyarıları takip edilerek, "false positives" olarak belirlenen uygulamalar da "manuel whitelist" kategorisine eklenmelidir.Bu loglar düzenli olarak takip edilmelidir:
Kasperksy Total Security for Business ürünü ile belirli uygulamalar engellenerek geri kalanı serbest bırakılabileceği gibi, daha güvenli bir metot olan "application whitelist" de yapılabilir.Bu sayede,kurumsal ölçekte izin verilen uygulamalar çalıştırılarak, diğer tüm uygulamaların engellenmesi sağlanabilir:
Application Whitelist Uygulama Adımları:
A) MEVCUT UYGULAMA ENVANTERİNİ TOPLAMA
1) Öncelikle client bilgisayarlarla ilgili aşağıdaki şekilde "inventory" task oluşturulmalı ve tüm clientlar için düzenli olarak çalıştırılmalıdır (Bu sayede tüm uygulamaların envanteri toplanır):
2) "Add" denilerek "All Hard Drives" seçilir (Varsayılan olarak sadece "Program Files", "Program Filex (x86) ve "C:\windows" dizinleri altındaki dosyaların envanteri toplanıyor. Biz tüm hard diskimizdeki çalıştırılabilir dosyaları toplasın istiyoruz):
3) İki kez "forward" tıklanarak gelen ekranda bu task haftada bir çalışacak şekilde ayarlanır (Kaynak tüketimi olduğundan bu görevin (task) öğle saatlerine denk getirilmesi uygun olur):
4) "Forward" tıklanarak gelen ekranda bu task'a isim verilir ve sırasıyla "forward" ve "finish" tıklanır ve bitirilir. Bu task hemen çalıştırılabileceği gibi takvimlenen tarihlerde de çalıştırılabilir.
5) Daha sonra "Advanced" altındaki "Application management" altındaki "Executable Files" sekmesine tıklandığında bu menü altında envanteri toplanan tüm çalıştırılabilir dosyalara erişilebilir:
6) "Export list" yapılarak "csv" formatındaki "çalıştırılabilir uygulama envanteri" export edilir:
7) Elde edilen liste incelenerek, kurum çapındaki uygulamalar, bu uygulamaların kategorileri ve Kasperksy tarafından bilinmeyen (unknown) uygulamalar tespit edilir. Bu uygulamar içerisinden Kurum/Şirket içerisinde kullanılmakta olanları tespit edilerek ilerdeki adımda "manuel whitelist" oluşturulacaktır.
B) İZİN VERILEN UYGULAMALAR İÇİN KATEGORİLER OLUŞTURMA
8) Öncelikle Kaspersky Security Center açılır ve "Application Management" altındaki "Application Categories" bölümüne girilir."Create Category" denilerek öncelikle Kurum ölçeğinde izin verilen "uygulama kategorileri" belirlenir. Bunun için, daha önce toplanmış olan uygulama envanterinden faydalanılabilir:
İlk sıradaki seçenek seçilir:
Kategoriye isim verilerek devam edilir:
"Add" seçilerek "KL Category" opsiyonu seçilir:
Kurum ölçeğinde kullanılan uygulamaların kategorileri belirlenir:
İki kez "Forward" denileren "Finish" e tıklanır.
Benzer şekilde, Kasperksy tarafından tanınmayan (unknown) uygulamalar için de ayrı bir "hash bazlı izin verilen" uygulama kategorisi belirlenir (manuel_whitelist)
Bilinmeyen uygulamanın SHA-256 hash verisi ilgili kutuya girilebilir:
Benzer şekilde, belirli bir örnek bilgisayar üzerindeki dosyaların hash bilgilerine göre veya belirli bir konumdaki (dosya sunucu gibi) uygulamalarla ilgili de "otomatik" belirlenen uygulama kategorileri oluşturulabilir. Bu sayede; klasör veya bilgisayardaki uygulamalar güncellendiğinde otomatik olarak bu uygulamalardan kategori oluşturulacaktır:
C) CLIENT POLICY OLUŞTURMA
9) Yeni bir "policy" oluşturularak "application startup control" sekmesine girilir ve daha önce oluşturulmuş olan tüm "uygulama kategorileri" teker teker eklenir. Daha sonra, "whitelist" "notify" seçilir. Bu sayede seçilmiş olan kategoriler dışında çalıştırılan ve whitelist'in devreye alınması durumunda "block" edilecek olan uygulamaların logları sisteme düşecektir. (Şu anda engelleme yapılmamakta, sadece çalıştırılan uygulamalar izlenmektedir).
D) LOG FİLTRESİ OLUŞTURMA
Log filtresi oluşturularak "Notify" yapılan yani bloklama durumunda engellenebilecek olan tüm uygulamalar aşağıdaki şekilde izlenir.
Öncelikle, "Events" sekmesinde "create a selection" seçilir:
"Application prohibited in test mode" kutucuğu işaretlenir:
"Time" bölümüne girilir ve 14 gün ( 2 hafta boyunca gelen logları izleyeceğimiz için) seçilir ve "OK" tıklanarak oluşturulan log filtresi kaydedilir.
"Events" bölümünde "app_monitor" filtresi seçildiğinde, düşen loglar görülecektir:
Event Listesinden ilgili log'a sağ tıklanarak "add to category" denilir ve daha önce oluşturulmuş olan "hash bazlı izin verilen uygulama" kategorisine eklenir. Bu şekilde 2 hafta boyunca, Kasperksy tarafından bilinmeyen ama Kurum ölçeğinde kullanılmakta olan uygulamalar "hash bazlı uygulama kategorisi" listesine veya "kategori bazlı uygulama kategorisi" listesine manuel olarak ekleme işlemi yapılır.
E) WHITELIST/BLOCK MODUNA GEÇİŞ
2 hafta boyunca Kurumsal uygulamalar belirlenerek çalıştırılan tüm uygulamalar loglardan tespit edildikten sonra (kategorisi bilinmeyen uygulamalar) ve manuel olarak hash bazlı whitelist listesine eklendikten sonra sıra, izin verilen bu uygulamalar dışındaki diğer tüm uygulamaların engellenmesine gelecektir. Bunun için daha önce oluşturulan client policy açılır ve "application control" altındaki sekmede "notify" ayarı "block" olarak değiştirilir:
F) İZLEME
"Events" bölümünde "Application Startup prohibited" uyarıları takip edilerek, "false positives" olarak belirlenen uygulamalar da "manuel whitelist" kategorisine eklenmelidir.Bu loglar düzenli olarak takip edilmelidir:
Teşekkür ediyorum.Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder