Deep Security Connected Threat Defense Kavramı
11.01.2022Deep Security yeni ortaya çıkan zararlı yazılımlar ile baş etmek için gelişmiş malware korumasını Connected Threat Defense ile birlikte güçlendirir.
Modern veri merkezlerinde giderek daha fazla yaşanan veri ihlalleri Phishing ve Spear-Phishing gibi hedefli saldırıların sonucudur.
Bu tür durumlarda virus yazarları klasik antivirus tarayıcılarını atlatmak için bizim ortamlarımıza özel zararlı yazılımlar geliştirirler.
Deep Security yeni ortaya çıkan zararlı yazılımlar ile baş etmek için gelişmiş malware korumasını Connected Threat Defense ile birlikte güçlendirir.
Sezgisel tarama sayesinde,Deep Security şüpheli olarak kabul edilen döküman dosyalarını tanıyabilir ve bunları otomatik olarak Deep Discovery Analyzer’a analiz için gönderebilir.
Analizde dosyanın bir parçası malware içeriyorsa Deep Discovery bu bilgiyi Trend Micro Apex Central’a gönderir.
Apex Central vasıtasıyla belirli bir zararlı yazılım için alınacak aksiyon belirlenebilir ve herhangi bir Trend Micro ürünü tehditlerin ortadan kaldırılması için Apex Centralın şüpheli nesne listesine üye olabilir.
Connected Threat Defense, birden fazla Trend Micro ürününün,gelişmiş tehditlere karşı birden çok koruma katmanda savunmak için tehdit bilgilerini ve analizini paylaşmasına olanak tanır.
Connected Threat Defense Aşamaları
Connected Threat Defense gelişmiş sunucu güvenliği için Prevent,Detect ve Respond olmak üzere komple bir güvenlik seti içerir.
Detect
Connected Threat Defense bileşenleri standard koruma yöntemleri ile tespit edilemeyen gelişmiş zararlı yazılımları,davranış ve iletişimleri tespit eder.
Connected Threat Defense saldırı ve saldırganları malware imzalarına güvenmeden Sandbox içerisinde analiz eder ve yapabileceklerini ortaya çıkarır.
Respond
Connected Threat Defense bileşenleri paylaşılan tehdit zekası ve anlık güvenlik güncelleştirmeleri ile tehditlere karşı hızlı yanıt verir.
Protect
Connected Threat Defense bileşenleri potensiyel olabilecek zaafiyetleri değerlendirir ve endpointleri, sunucuları ve uygulamaları proaktif bir biçimde korur.
Tehditlerin Görüntülenmeleri ve Analiz Edilmeleri
Connected Threat Defense bileşenleri sistem genelinde komple görünürlülük sunar,tehditlerin etkisini değerlendirir ve analiz eder.
Connected Threat Defense Gereksinimleri
Deep Security’nin Connected Threat Defense’e dahil olabilmesi için Deep Security,Deep Discovery Analyzer ve Apex Central arasındaki bağlantının kurulmuş olması gerekmektedir.
Deep Security’i Deep Discovery Analyzer’a bağlamadan önce ortamımızın aşağıdaki gereksinimleri sağladığından emin olmamız gerekmektedir.
- Deep Security Manager,Deep Security Agentlar veya Virtual Appliance’lar ile birlikte kurulmuş ve yapılandırılmış olmalıdır. Deep Security üzerindeki politikalar şüpheli dosyaları tespit edip gönderecek şekilde yapılandırılmış olmalıdır.
- Deep Discovery Analyzer kurulmuş ve Sandboxlar oluşturulmuş olmalıdır.
- Trend Micro Apex Central kurulmuş olmalıdır
- Deep Discovery Analyzer ve Deep Security Apex Cental içerisinde Managed Server list içerisinde yer almalıdır.
Connected Threat Defense Nasıl Çalışır?
Tüm bileşenler dağıtıldıktan ve yapılandırıldığında Connected Threat Defense aşağıda ifade edildiği şekilde çalıştırılır.
1. Deep Security ajanları politika ayarları ile birlikte korunan bilgisayarlar üzerinde zararlı yazılımları tespit edebilecek şekilde yapılandırılmıştır
2. Şüpheli olarak kabul edilen dosyalar toplanır ve Deep Security Manager’a gönderilirler
3. Deep Security Manager şüpheli dosyaları Deep Discovery Analyzer’a analiz için gönderir
4. Deep Discovery Analyzer izole sandbox ortamında bu dosyaları çalıştırır ve gözlemler
5. Deep Discovery Analyzer analiz sonuçlarını Trend Micro Apex Central’a gönderir analiz de dosya için tanımlanmış olan aksiyon Trend Micro Apex Central üzerinde alınabilir.
Diğer Trend Micro ürünleri örneğin,Apex One,Deep Discovery Inspector veya Email Inspector Trend Micro Apex Central’a bağlanmış olabilir ve listeyi güncelleyebilir.
6. Deep Security Manager Apex Central’dan şüpheli dosyaların listesini alır
7. Şüpheli dosyaların listesi şüpheli dosyalara karşı korumanın sağlandığı Deep Security ajanlarına gönderilir .
Şüpheli dosyalara Anti-Malware policy’de tanımlanan aksiyon alınır.
Trend Micro Apex Central
Apex Central,tüm Trend Micro dağıtımlarımız içinde güvenliğin katmanları arasında merkezi yönetim,izleme ve raporlama imkanı sunar.
Özelleştirilebilir veriler sayesinde hızlı bir biçimde görünürlülük,tanımlama ve yanıt imkanı sağlar.
Apex Central içerisinde yer alan Summary Dashboard ekranını kullanarak Apex Central networkümüz hakkında özet bilgi sahibi olabiliriz.
Deep Security ile Trend Micro Apex Central Bağlantısının Gerçekleştirilmesi
Connected Threat Defense’e dahil olmak için Deep Security’nin Apex Central’a Managed Server olarak eklenmiş olması gerekmektedir. Bunun için aşağıdaki adımları izlememiz gerekmektedir.
1. Apex Central’da Administration > Managed Servers > Server Registration yolunu izliyoruz.
2. Server Type listesinden Deep Security seçimini yaparak Add a Product diyoruz.
3. Deep Security Manager bilgilerini yazdıktan sonra Save butonuna basıyoruz.
4. Deep Security Managed Server olarak listelenecektir.
Deep Discovery Analyzer
Deep Discovery Analyzer sistemimize uygun olarak oluşturmuş ve yapılandırmış olduğumuz sanal makine imajları (uygulamalar,sürücüler,uygulamaların dili) ile Custom Sandbox analizi imkanı sunar.
Bu şekilde standard sanal makine imajlarından kaçmaya çalışan gelişmiş tehditlerin tespit edilebilme oranını yükseltir.
Deep Security aşağıdaki dosya tiplerini Deep Discovery Analyzer’a analiz için gönderebilir.
• doc • docx • gul • hwpx • jar • js • jse • jtd • lnk • mov • pdf • ppt • pptx • ps1 • rtf • swf • vbe • vbs • xls • xlsx • xml
Şüpheli Aktiviteler
Deep Discovery Analyzer sandbox içerisinde Deleted AV registry entry,Added autorun in registry
Created message box gibi birçok aktivite izlenebilmektedir.
Deep Discovery Analyzer ile Apex Central Bağlantısının Gerçekleştirilmesi
Deep Discovery Analyzer Managed Server olarak Apex Central’a eklenmelidir.
1. Apex Central yönetim sunucusunda Administration > Managed Servers > Server Registration yolunu izleyelim ve Server Type olarak Deep Discovery Analyzer seçimini yaparak Add a product diyelim
2. Deep Discovery Analyzer’a ait bilgileri yazalım ve Save butonuna basalım.
3. Deep Discovery Analyzer Managed Server olarak eklenecektir.
Apex Central Product Directory
Apex Central yönetim konsolunda Deep Security ve Deep Discovery Analyzer’ı
Product Directories’e ekleyelim.
1. Bunun için Directories > Products’a tıklayalım ve Directory Management diyelim.
2. Local Folder’a tıklayalım ve Add Folder diyelim.
3. Yeni klasör için bir isim verelim örneğin Trend Micro Servers.
4. New Entity klasörünü genişletelim ve Analyzer ve Deep Security’i Trend Micro Servers klasörüne taşıyalım.
5. Deep Discovery Analyzer ve Deep Security Trend Micro Servers klasöründe görüntülenecektir.
Deep Security’nin Connected Threat Defense İçin Yapılandırması
Connected Threat Defense’i policy veya makine bazlı etkinleştirebiliriz. Bunun için aşağıdaki adımların izlenmesi gerekmektedir.
1. Malware Scan Configuration oluşturulur ve bir policy’e uygulanır
2. Deep Security dosyaları Deep Discovery Analyzer’a gönderecek şekilde yapılandırılır
3. Suspicious Object List’e üye olunur
4. Sandbox analizi etkinleştirilir
a) Malware Scan Configuration Oluşturulması
Malware Scan Configuration oluşturularak Deep Security’nin şüpheli dosyaları tespit etmesini ve Deep Discovery Analyzer’a daha fazla analiz için gönderilmesini sağlayabiliriz.
1. Deep Security Manager konsolunda Policies menusune tıklayalım.
2. Other-Malware Configurations’ı genişletelim.
3. General sekmesinde Scan documents for exploits and Scan for exploits against known critical vulnerabilities and aggressive detection of unknown suspicious exploits seçimini yapalım.
4. Computers yada Policies menusunu kullanarak düzenlemiş olduğumuz Malware Scan Configuration’ı policy’e atayalım.
5. Anti-Malware’in On veya Inherited(On) olarak etkinleştirilmiş olduğunu doğrulayalım.
b) Deep Security’nin Dosyaları Deep Discovery Analyzer’a Göndermesi için Yapılandırılması
1. Deep Security Manager konsolunda Administration menüsüne tıklayalım.
2. Sol tarafta bulunan System Settings’i genişletelim ve Connected Threat Defense’e tıklayalım.
3. Connected Threat Defense ekranındayken Enable submission of suspicious file to Deep
Discovery Analyzer seçimini yapalım.
4. Dosyaların otomatik olarak Deep Discovery Analyzer’a gönderilebilmeleri için
Enable automatic file submission seçimini yapalım.
5. Dosyaların otomatik olarak Deep Discovery Analyzer’a gönderilmesi işlemi 15 dakikada bir gerçekleşir ve her bir gönderim de en fazla 100 dosya gönderilebilir.
6. Use the Deep Discovery Analyzer associated with the Apex Central that Deep Security is registered with seçimini yapalım.
7. Add/Update Certificate seçimini yaparak doğru Deep Discovery Analyzer sertifikasının güncellenmesini sağlayalım. Test Connection diyerek bağlantının gerçekleştirebildiğinden emin olalım.
c)Suspicious Object list’ Üye Olunması
1. Connected Threat Defense sekmesindeyken aşağı doğru inelim ve Compare Objects against Suspicious Object List ve Use the Apex Central That Deep Security is registered with seçimlerini yapalım.
2. Add/Update Certificate seçimini yaparak doğru Apex Cental sertifikasının güncellenmesini sağlayalım. Test Connection diyerek bağlantının gerçekleştirebildiğinden emin olalım.
d)Sandbox Analiz Etkinleştirilmesi
1. Bir adet policy açalım ve Anti-Malware Protection modülüne tıklayalım.
2. Connected Threat Defense sekmesine gelelim ve gerekli ayarları yapılandıralım.
Use Apex Central’s Suspicious Object List,Deep Security ve Apex Central arasında bir bağlantı kurulmuş ise bu seçeneği On veya Inherited (On) olarak yapılandırabiliriz.
Bu sayede bu policy’nin uygulandığı Deep Securirty agent yüklü bilgisayarlardaki şüpheli dosyaları tespit etmek için Apex Central’ın şüpheli dosya listesini kullanabiliriz
Sandbox Analysis,Bu seçeneği On veya Inherited(On) olarak seçerek bu policy tarafından korunan bilgisayarlarda bulunan şüpheli dosyaların DDAN’a gönderilmesini sağlayabiliriz.
Analize Gönderilen Dosyaların Takibi
Analizi gerçekleştirilen dosyaların durumu Deep Discovery Analyzer ve Apex Central üzerinden takip edilebilir.
1. Deep Discovery Analyzer yönetim konsolunda Virtual Analyzer>Submitters’e tıklayarak
Deep Security tarafından submit edilmiş dosya olduğunu görüntüleyebiliriz.
2. Deep Security göndermiş olan dosyanın göndericisi olarak gözüküyor olmalıdır.
3. Virtual Analyzer > Submissions’a tıklayalım.
4. Processing sekmesinde Analyzer tarafından bugünün tarihiyle analiz edilmiş olan örnek olduğunu doğrulayalım.
5. Gönderilen dosya ile ilgili işlem tamamladığında Completed sekmesinde görüntülenecektir.
6. Virtual Analyzer > Suspicious Objects’e tıklayalım ve dosyanın liste içerisinde görülebilir olduğunu doğrulayalım.
7. Dosya adı yerine benzersiz olan hash bilgisini kontrol ederek dosyayı tanımlayabiliriz.
8. Apex Central yönetim konsoluna dönelim ve Threat Intel > Virtual Analyzer Suspicious
Objects bölümünde nesnenin/dosyanın listede görüldüğünü doğrulayalım.
9. Dosyayı listeden seçelim ve Configure Scan Action diyelim.
Scan action ekranında For selected files seçili iken Block seçimini yapalım ve Apply diyelim. İstendiğinde, tarama eyleminin uygulamasını onaylayın. Apply Scan Action’a tıklayın.
Scan Action Block olarak değişecektir.
Bu makalede Trend Micro Deep Security Connected Threat Defense kavramından bahsettim.
Başka bir Deep Security makalesinde görüşmek üzere.