EDR Nedir?
Firma çalışanlarının en çok karşılaştıkları sorunlardan bir tanesi gün geçtikçe sayısı artan uç noktaların korumasıdır. Bu zorluklar şu şekildedir;
-Birleştirme.
-Entegrasyon Eksikliği.
-Gelişmiş güvenlik sistemindeki karmaşıklıklar.
-Zararlı yazılımlar.
-Uzman kişi sayısındaki seyreklik.
Açılımı "Endpoint Threat Detection and Response" Türkçesi ile Uç nokta tehdit tespiti ve tepkisi, Normal tehditleri algılamanın üstüne gelişmiş tehditleri de tespit eden ve tepki veren bir araçtır. MDR ve tehdit avı gibi teknolojilerle entegrelidir.
Uç nokta ne demektir?
Yerel ve geniş ağdaki iletişimleri kabul eden ve sürekli etkileşim içinde olan cihazlar ya da yollardır. Bunlara örnek olarak Modem, hub, bridge veya swtich'i verebiliriz.
MDR ve tehdit avı nedir?
MDR, yani açılımı ile "Managed Detection and Response" 7/24 yönetilen siber güvenlik serbis hizmeti veren, tehdit algılaması yapan, tepki veren ve iyileştiren bir araçtır. Bu servis, tehdit durumunda firmanın omuzlarındaki yükü hafifletir. Dış kaynak servislerini izlemede ve gelişmiş tehditlere tepki vermede kullanılır.
Tehdit avı, gelişmiş sistemleri analiz ve algılama işlemi yapan manuel bir işlem sürecidir.
4 Ana başlıkta EDR'ın sağladığı çözümler;
Güvenlik olayları algılaması
Makine öğrenmesi ve analizini kullanarak uygulamaların davranış ihlallerini, iç ve dış ağ için verilen tavizlerin doğruluğunu kontrol eder.
Güvenlik vakaları incelemesi
-Spesifik olarak objelerde ya da ayarlarda ve tüm uç noktalarda araştırma.
-Zararlı aktivitelerin doğrulanması.
-Sürekli av halinde olan bir sistem.
Uç noktayı kapsayan vakalar
Manuel veya otomatik olarak firma ağını karantinaya alır. Karantinaya düşenleri otomatik veya isteğe bağlı şekilde siler.
İyileştirme
Tehdit öncesi ve sonrası için gerekli iyileştirmeleri yapar.
EDR'ın özellikleri
-Merkezileştirilmiş olay araştırması ve binlerce uç noktalardan görünebilirlik.
-Manuel alışma ve güvenlik işlemler entegrasyonunun otomasyonu.
-Uç noktalar için gerekli gelişmiş tespit kapasitesi.
-Hızlı uç nokta iyileştirmesi ve yaşanan tehditlerin tekrardan yaşanmasını engeller.
EDRın sağladığı imkanlar
-Veri toplamada ve incelemede adli uyumluluk.
-Manuel görev tanımı
-Tehdit önleme
-IOC Taraması
-Uç nokta izolasyonu
EDR Tipi çö;zümleme neler yapar?
Uç nokta vaka tespiti
-Uç nokta aktivitelerini ve yer alan objelerini izleyerek güvenlik sorunlarını algılar.
-Kural ihlallerini algılar.
Vaka araştırması
Güvenlik vakalarını inceler.
Vaka kapsaması ve tepkisi
-Enfeksiyon öncesi uç noktaları iyileştirmek ve yaşanan vakaları incelemek.
-Zararlı dosyaları ortadan kaldırır. Geriye döner ve uç noktaları iyileştirir.
Veri toplaması
-Veri setlerini toplar. Ram kullanımı, Hard disk görünümleri ve benzeri gibi verileri ileri analiz yapmak için toplar.
Peki EDR'a yapılan yatırımın geri dönüşümü nasıl olur?
Uzun vadede maliyetleri düşürür.
-İşlemleri otomasyonlaştırır.
-İş bozukluğunu engeller.
-Akıcı iş diyagramı.
-Kısa sürede tehdit tespiti.
-Yapı içi uyumluluk sağlar.
Saldırı risklerini düşürür.
-Güvenlik açıklarının kapatılmasında rol oynar.
-Gelişmiş tespit yapar.
--Analizleri daha aç;ık hale getirir.
-Entegrasyon yapar.
-Tehdit avı yapar.
Kaspersky EDR
Kaspersky EDR'ın özelliklerini bu 4 başlık altında inceleyebiliriz.
Tahminleme
-Sızma testi servisi sağlar.
-Uygulama bazlı güvenlik değerlendirmesi sağlar.
-Saldırı keşif servisi sağlar.
-Kaspersky tehdit göz gezdirimi sağlar.
-APT Portal
Önleme
-Siber güvenlik eğitimleri verir.
-Firma odaklı çözümler
-Güvenlik farkındalığı kazandırır.
-Endüstriyel siber güvenliği sağlar.
Bertaraf
-Güvenlik bakım anlaşmaları yapar.
-Hesap güvenliği yönetimine sahiptir.
-Dijital bazlı adli rapor çıkarır.
-Zararlı yazılımlar için analiz yapar.
-Uç noktalar için koruma ve tepki sağlar.
Tespit
-APT ve özelleştirilebilir müşteri raporları.
-Veri tehditi geri beslemelerini sağlar.
-Yönetilmiş kaspersky güvenliği.
-KATA(Kaspersky Anti Targeted Attack) Platformu.
-Uçnokta tespiti ve tepkisi.
Tehdit ve saldırı katmanları
Giriş noktası(Maruziyet önleme)
-Ağ filtrelemesi
-Bulut bazlı içerik filtreleme
-Port Kontrolleri
Sızma(Çalışma Öncesi)
-Uç nokta sağlamlaştırması, itibar servisleri, makine öğrenmesi bazlı algılama.
-Statik ve dinamik veri kullanımı
Enfeksiyon(Çalışma zamanı Kontrolü)
-Davranış analizleri
-Sızma önlemesi
-Fidye yazılım koruması
-Ayrıcalık kontrolü
Hedeflere erişme(Otomatik bertaraf)
-Otomatik geri alma.
-Gelişmiş dezenfektasyon.
-Kayıt ve bertaraf.
KATA
KATA Dağıtım kiti
-Merkezi yol bileşenleri ve sensörler için içinde CentOS 7.4 versiyonu barındıran bir imaj dosyası diski.
-Sandbox bileşenleri için CentOS 6.9 versiyonu barındıran bir imaj dosyası diski.
-Windows XP SP3, 64-bit Windows 7 ve 64-bit Windows işletim sistemleri için sandbox bileşenlerini barındıran imaj dosyası diski.
-U&ç nokta bileşenleri için kurulum dosyası. (msi uzantılı bir dosya.)
-Son kullanıcı lisans sözleşmesi
-Gizlilik politikası.
-KSN Beyanı.
-KATA Platforumunun kullandığı öncü parti yazılımlar hakkında bilgi dosyası.
Yazılım ve Donanım Gereksinimleri
Web üzerinden programı çalıştırmak için aşağıdaki tarayıcılardan biri gereklidir.
-Windows için Google Chrome(versiyon 74 veya daha ilerisi).
-Linux için Google Chrome(versiyon 74 veya daha ilerisi).
-Mozilla Firefox(versiyon 66 veya daha ilerisi).
-Microsoft Edge(versiyon 44 veya daha ilerisi).
-Safari(12.0 veya daha ilerisi).
Programı sanal makinelerde çalıştırmak istiyorsanız Vmware ESXİ 5.5.0 veya 6.7.0 hypervisorına ihtiyacınız vardır.
Uç nokta bileşenlerini yüklemek için gerekli yazılım gereksinimleri
Windows 7 SP1 Enterprise x86 x64.
Windows 8.1.1 Enterprise x86 x64.
Windows 10 RS3 Enterprise x86 x64.
Windows 10 RS4 Enterprise x86 x64.
Windows 10 RS5 Enterprise x86 x64.
Windows 10 RS6 Enterprise x86 x64.
Windows Server 2008 R2 Enterprise x64.
Windows Server 2012 Standard x64.
Windows Server 2012 R2 Standard x64.
Windows Server 2016 Standard x64.
Eğer uç nokta sensör bileşenlerini Kaspersky uç nokta güvenliği parçası olarak kullanıyorsanız bunun için gerekli yazılımlar şu şekildedir.
-11.1.1 KES Versiyonunda uç nokta sensör bileşenleri için 3.6 versiyonunu barındıran sistem.
-KES Versiyonu 10 SP2 MR3 ve versiyon 11.0 da bulunan uç nokta sensör bileşenleri için gerekli olan versiyon 3.0 barındıran istemi.
Uç nokta bileşenleri yüklemek için gerekli olan donanım gereksinimleri
Minimum
-İşlemci: SSE2 Rapor rehberine sahip 2GHz veya daha hızlı bir işlemci.
-Ram: 2GB
-Yerel diskde gerekli olan alan: 2GB Boş yer
-Veri transferi 1 gbit/s hızına sahip bir ağ adaptörü.
Önerilen konfigrrasyon
-İntel Core i3 3.10GHz veya hızı ona denk olan bir işlemci.(SSE2 Destekli)
Ram: 40 MB
Yerel diskde gerekli olan alan: 100 MB'lık boş yer
Sanallaştırma 5.1de Uç nokta güvenliği için gerekli olan KSV 3.6 yazılımında uyumluluk
Windows Server 2008 R2 Enterprise x64
Windows Server 2012 Standard x64
Windows Server 2012 R2 Standard x64
Windows Server 2016 Standard x64.
KSV'yi sanal donanımda çalıştırmak için aşağıdaki hypervisorlardan birisinin yüklü olması gerekir. (Sanallaştırma yazılımına göre değişkenlik gösterebilir.)
Microsoft Hyper-V platform:
Microsoft Windows Server 2016 Hyper-V hypervisor
Microsoft Windows Server 2012 R2 Hyper-V hypervisor
Citrix Hypervisor platform: Citrix XenServer 7.1 LTSR hypervisor.
VMware vSphere platform:
VMware ESXi 6.7 hypervisor
VMware ESXi 6.5 hypervisor
VMware ESXi 6.0 hypervisor with the latest updates
KVM hypervisor
Ubuntu Server 18.04 LTS.
Ubuntu Server 16.04 LTS.
Red Hat Enterprise Linux Server 7.5.
CentOS 7.5.
Proxmox VE platform: Proxmox VE 5.2 hypervisor.
Skala-R platform: R-Virtualization 7.0.6 hypervisor.
HUAWEI FusionSphere platform: HUAWEI FusionCompute CNA 6.3.1 hypervisor.
Uç nokta bileşenlerinin uyumluluk gösterdiği diğer antivirüs yazılımları
Symantec Endpoint Protection.
Trend Micro Maximum Security.
Sophos Endpoint Protection.
ESET NOD32 Business Edition Smart Security.
BitDefender GravityZone Advanced Business Security.
Merkezi bağdaştırıcı bileşenleri için gereksinimler
50 Mbit/s hız
Uç nokta sensör bileşenlerine sahip 1.000 bilgisayar
İşlemci: 12 çekirdekli, 2.7 GHz
RAM: 128 GB
Disk ayrımı: 2 TB Sistem dosyaları için, 4 TB KATA İçerik veri tabanını tutmak için boş alan.
Her biri 1 Gbit/s veri transferine sahip iki ağ adaptörü.
Sensör bileşenleri için gereksinimler
İşlemci: 16 çekirdek, 2.7 GHz
RAM: 32 GB
Disk ayrımı: 500 GB Boş alan
Her biri 1 Gbit/s veri transferine sahip iki ağ adaptörü.
Sandbox bileşenleri için gereksinimler
VT-x ve EPT desteği olan, en az 8 çekirdekli, 2.7GHz hızlı intel işlemci.
Not: AMD işlemcileri desteklenmiyor.
RAM: 32 GB
Disk ayrımı: 300 GB Boş alan
Her biri 1 Gbit/s veri transferine sahip iki ağ adaptörü.
SIKÇA SORULAN SORULAR
Bu program bir eklenti midir?
Hayır. Bu program ayrı bir üründür. Bu yüzden ayrı lisanslar da gerekmektedir.
Bizim firmamızda KES(Kaspersky Endpoint Security) kullanıyoruz. Buna ne gerek var?
KES, her ne kadar KATA Platformu ile aynı gibi gözükse de kullanım alanları farklıdır. KATA Platformunda ekstradan tehdit tespit ve bertaraf için ayrı modülleri bulunmakta. Tabiki bu KES'e ihtiyacınız olmadığı anlamına gelmez. KATA, KES ile entegreli şekilde çalışmalıdır.
Herhangi log managerdan ya da SIEM Uygulamasından farkı nedir?
KATA Platformu, log tutumu konusunda daha detaylı log tutabilmekte. Sistem bazlı değil bilgisayar bazlı log tutmakta. Aynı zamanda tehdit tespit ve bertarafına yardımcı olmakla kalmaz otomatik olarak yapar.
Neden bu kadar fazla donanım ve yazılım gereksinimi gerektirmekte?
KATA Platformu, sistem bazlı kayıtlamanın üzerine spesifik olarak bilgisayar bazlı kayıtlama da yapmakta. Saniyede gerçekleşen logları işlemek ve depolamak güçlü bir gereksinim istemekte.
Lisanslama işlemi nasıl oluyor?
Lisanslama işlemi, kullanıcı sayısı ve yıl bazlı olarak olmakta. Sistemin içine girecek kullanıcı sayısı ve lisans süresi ücreti belirlemekte.
Sistemimde başka güvenlik uygulamaları da bulunmakta. KATA Platformu bunlarla entegreli midir?
KATA Platformu API desteği sağlamakta. JSON Bazlı veri setleri ve SOAR Uygulamaları ile entegrasyon sağlanabilir.
Hazırlayan: Mihail Frolov
