Symantec EDR Kurulumu – SEPM Entegrasyon

Başlamadan önce önemli not: Sıfırdan kurulum yapıyorsanız bir önceki yazı işinize yarayacaktır. 
Symantec EDR 4.0 Ova deployment yazısı için buraya tıklayabilirsiniz.


Ilk olarak Symantec Endpoint Detection and Response ürününe Symantec Endpoint Protection Manager’ın kullandığı veri tabanını tanımlamamız gerekiyor.

1. Settings Global menüsü altında Synapse bölümünde “Enable Symantec Endpoint Protection Correlation” tikliyoruz. 
2. Hemen aşağısında bulunan “ADD SEPM DATABASE” e tıklayıp, SEPM için kullandığımız veritabanı bilgilerini girmemiz gerekiyor. Eğer SEPM DB kullanıcısını kullanmak istemezseniz, DB için yeni kullanıcı yaratabilirsiniz.Aşağıdaki görselde doldurmanız gereken alanlar bulunuyor.
   DB Type: SEPM’in kendi veritabanını kullanıyorsanız “Embedded DB”‘yi seçmeniz gerekiyor.
   Entry Name: Bu bağlantıya vereceğiniz isim.
   DB Name: SEPM’in kullandığı veritabanı adı.
   IP Address: Veritabanı IP
   Port: 1433 default port
   User Name: Veritabanı kullanıcı adı
   Password : Veritabanı kullanıcısı şifresi

   

3. “Save” dedikten sonra bağlantının sağlıklı olduğunu görmek için bir kaç saniye beklememiz gerekiyor.
4.  Sağlıklı bağlantıyı gördükten sonra SEPM’ın kendisi ile entegrasyonumuzu gerçekleştirmeye başlayabiliriz.
   Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder bölümünde  “Configure SEPM Controller“a tıklayarak açılan sihirbaz/wizard üzerinde gerekli alanları dolduruyoruz.
   

   

   Entry Name : Bağlantıya vereceğiniz isim (SEPM Sertifikasındaki hostname’i tercih etmenizi öneririm)

   IP Address : SEP Manager IP Adresi 

   UserName : SEPM Admin (EDR için yeni bir admin kullanıcısı oluşturmanız şiddetle önerilmektedir. Yeni SEP Admin oluşturmak için :Admin > Administrators > Add an administrator. Önemli not: Password Never Expires’a tıklayın ki ileride şifrenin süresi dolduğunda bağlantı problemleri yaşanmasın)

   SEPM SSL:  sertifikayı https://<sepmserverip>:8443 adresine gidip Download Certificate ‘e tıklayarak indirebilirsiniz.

5.  EDR yetenekleri kazandırmak istediğiniz SEP Client’larını / gruplarını seçiyoruz. Eğer tüm clientlara dahil etmek istiyorsak herhangi bir grup seçmemize gerek yok, bir değişiklik yapmadan “NEXT” diyebilirsiniz. Belirli grupları dahil etmek istiyorsak + işaretine tıklayarak istediğimiz grupları seçiyoruz.
   
   
   
6. Host Integrity ve Karantina politikalarının yönetimini EDR üzerinden yapmak için gerekli ayarlamaları yapıyoruz.  
7. Endpoint Activity Recorder ayarlarını yapıyoruz.
   Bu özelliği aktive ettikten sonra, altında yapacağımız ayarlar, bu aktivitelerin ne sıklıkla EDR yönetim arayüzüne gönderileceğini seçiyoruz. Bu örnekten “Near Real Time” seçtik.  Süreli veya boyut sınırlandırmalı olarak gönderimi de sağlayabilirsiniz. Süre ve boyut belirledikten sonraki davranışı, belirlenen sınırlardan hangisine ilk ulaştıysa, gönderimi o zaman yapacaktır. 
   Process launch ve terminate aktiviteleri çok fazla log oluşturacaktır. Ben demo ortamı olduğu için sadece launch’ı devreye aldım.
8. Eğer log/alarm üretmesini istemediğiniz uygulama veya dosya yolu varsa ekleyebiliyoruz.
   
9. Endpoint Activity Recorder özelliğini belirli sep gruplarında kullanmak istemiyorsak, veya farklı konfigürasyonlarda kullanmak istiyorsak, grupları ve konfigürasyonları ayarlıyoruz. Ör: VDI Clientlar disk sorunu
   
10. “Status u Healthy olarak görene kadar bekliyoruz.
    
11. Ajanların EDR’a kayıt olup olmadıklarını  yukarıdaki ekranın sağında bulunan 3 nokta simgesine tıklayarak açılan menüden  “Enrollment Statistics ” sekmesinden takip edebilirsiniz.  Kayıt işlemi biraz vakit alabilir.
    
    

    Status	Açıklama
    Enrollable	Ajan EDR için gereksinimleri karşılıyor.
    Unsupported	Aşağıdaki durumlardan biri bu uyarıya sebep olabilir; Sep Agent’ın versiyonu 14.0 RU1’in altında olması. Bilgisayar, EDR Network sensörü ile keşfedilmiş, üzerinde ajan olmayabilir. Ajan’ın yüklü olduğu işletim sistemi Windows olmayabilir.
    Unknown	Ajan’ın Enrollment Status’ü hakkında bilgi almadığı dönemde görülür. Kısa süre içerisinden “Authentication Pending”
    In Progress	Kayıt Sürecinde.
    Authentication Pending	Kayıt Sürecinde
    Enrolled	EDR 2.0 ile Kayıt olundu
    Unenrolled	Kayıt olmuştu fakat bir sebeple silindi
    EDR Disabled	Settings-> Global altındaki ayarlarda EDR özelliği kapatılmuş

    
    
    
    
12. Kayıt durumlarını Ajan tarafından troubleshoot etmek isterseniz, Sep Client üzerinde sağ üstten Help->Troubleshooting–>ATP Connection Status : Connected olmalı.
    
    
    
    

 

Video Anlatım