Başlamadan önce önemli not: Sıfırdan kurulum yapıyorsanız bir önceki yazı işinize yarayacaktır.
Symantec EDR 4.0 Ova deployment yazısı için buraya tıklayabilirsiniz.
Ilk olarak Symantec Endpoint Detection and Response ürününe Symantec Endpoint Protection Manager’ın kullandığı veri tabanını tanımlamamız gerekiyor.
- Settings [wp-svg-icons icon=”cog-2″ wrap=”span”] [wp-svg-icons icon=”arrow-right-2″ wrap=”span”] Global [wp-svg-icons icon=”arrow-right-2″ wrap=”span”] menüsü altında Synapse bölümünde “Enable Symantec Endpoint Protection Correlation” tikliyoruz.
- Hemen aşağısında bulunan “[wp-svg-icons icon=”plus” wrap=”i”]ADD SEPM DATABASE” e tıklayıp, SEPM için kullandığımız veritabanı bilgilerini girmemiz gerekiyor. Eğer SEPM DB kullanıcısını kullanmak istemezseniz, DB için yeni kullanıcı yaratabilirsiniz.Aşağıdaki görselde doldurmanız gereken alanlar bulunuyor.
DB Type: SEPM’in kendi veritabanını kullanıyorsanız “Embedded DB”‘yi seçmeniz gerekiyor.
Entry Name: Bu bağlantıya vereceğiniz isim.
DB Name: SEPM’in kullandığı veritabanı adı.
IP Address: Veritabanı IP
Port: 1433 default port
User Name: Veritabanı kullanıcı adı
Password : Veritabanı kullanıcısı şifresi - “Save” dedikten sonra bağlantının sağlıklı olduğunu görmek için bir kaç saniye beklememiz gerekiyor.
- Sağlıklı bağlantıyı gördükten sonra SEPM’ın kendisi ile entegrasyonumuzu gerçekleştirmeye başlayabiliriz.
Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder bölümünde “[wp-svg-icons icon=”plus” wrap=”i”]Configure SEPM Controller“a tıklayarak açılan sihirbaz/wizard üzerinde gerekli alanları dolduruyoruz.
Entry Name : Bağlantıya vereceğiniz isim (SEPM Sertifikasındaki hostname’i tercih etmenizi öneririm)
IP Address : SEP Manager IP Adresi
UserName : SEPM Admin (EDR için yeni bir admin kullanıcısı oluşturmanız şiddetle önerilmektedir. Yeni SEP Admin oluşturmak için :Admin > Administrators > Add an administrator. Önemli not: Password Never Expires’a tıklayın ki ileride şifrenin süresi dolduğunda bağlantı problemleri yaşanmasın)
SEPM SSL: sertifikayı https://<sepmserverip>:8443 adresine gidip Download Certificate ‘e tıklayarak indirebilirsiniz.
- EDR yetenekleri kazandırmak istediğiniz SEP Client’larını / gruplarını seçiyoruz. Eğer tüm clientlara dahil etmek istiyorsak herhangi bir grup seçmemize gerek yok, bir değişiklik yapmadan “NEXT” diyebilirsiniz. Belirli grupları dahil etmek istiyorsak + işaretine tıklayarak istediğimiz grupları seçiyoruz.
- Host Integrity ve Karantina politikalarının yönetimini EDR üzerinden yapmak için gerekli ayarlamaları yapıyoruz.
- Endpoint Activity Recorder ayarlarını yapıyoruz.
Bu özelliği aktive ettikten sonra, altında yapacağımız ayarlar, bu aktivitelerin ne sıklıkla EDR yönetim arayüzüne gönderileceğini seçiyoruz. Bu örnekten “Near Real Time” seçtik. Süreli veya boyut sınırlandırmalı olarak gönderimi de sağlayabilirsiniz. Süre ve boyut belirledikten sonraki davranışı, belirlenen sınırlardan hangisine ilk ulaştıysa, gönderimi o zaman yapacaktır.
Process launch ve terminate aktiviteleri çok fazla log oluşturacaktır. Ben demo ortamı olduğu için sadece launch’ı devreye aldım. - Eğer log/alarm üretmesini istemediğiniz uygulama veya dosya yolu varsa ekleyebiliyoruz.
- Endpoint Activity Recorder özelliğini belirli sep gruplarında kullanmak istemiyorsak, veya farklı konfigürasyonlarda kullanmak istiyorsak, grupları ve konfigürasyonları ayarlıyoruz. Ör: VDI Clientlar disk sorunu
- “Status u Healthy olarak görene kadar bekliyoruz.
- Ajanların EDR’a kayıt olup olmadıklarını yukarıdaki ekranın sağında bulunan 3 nokta simgesine tıklayarak açılan menüden “Enrollment Statistics ” sekmesinden takip edebilirsiniz. Kayıt işlemi biraz vakit alabilir.
Status
Açıklama
Enrollable
Ajan EDR için gereksinimleri karşılıyor.
Unsupported
Aşağıdaki durumlardan biri bu uyarıya sebep olabilir;
Sep Agent’ın versiyonu 14.0 RU1’in altında olması.
Bilgisayar, EDR Network sensörü ile keşfedilmiş, üzerinde ajan olmayabilir.
Ajan’ın yüklü olduğu işletim sistemi Windows olmayabilir.
Unknown
Ajan’ın Enrollment Status’ü hakkında bilgi almadığı dönemde görülür. Kısa süre içerisinden “Authentication Pending”
In Progress
Kayıt Sürecinde.
Authentication Pending
Kayıt Sürecinde
Enrolled
EDR 2.0 ile Kayıt olundu
Unenrolled
Kayıt olmuştu fakat bir sebeple silindi
EDR Disabled
Settings-> Global altındaki ayarlarda EDR özelliği kapatılmuş
- Kayıt durumlarını Ajan tarafından troubleshoot etmek isterseniz, Sep Client üzerinde sağ üstten Help->Troubleshooting–>ATP Connection Status : Connected olmalı.
Video Anlatım
Be First to Comment