OpenEDR Nedir?
Bu yazımızda açık kaynak kodlu OpenEDR teknolojisinden bahsedeceğiz. Serinin ilk yazısında OpenEDR nedir, nasıl kurulur, cihazların entegresyonundan ve giriş ekranının bize sunduğu özellikleri sizlere anlatacağız.
Xcitium şirketinin yani eski adıyla Comodo olarak da tanıdığımız şirketinin altında olan bir ürün olduğunu belirtmek isteriz.
OpenEDR adını Introducing Open Source Endpoint Detection and Response Sözcüklerinin kısaltmasından almaktadır. Bu teknolojiyi Xcitium Platformu içerisinde ücretsiz olarak deneyimleyebilirsiniz. OpenEDR kullanıcılarına gelişmiş, ücretsiz, açık kaynaklı bir uç nokta algılama ve yanıt çözümü sunmaktadır.
Mitre ATT&CK görünürlüğü ile gerçek zamanlı olarak olay korelasyonu ve düşman tehdit etkinliği ve davranışlarının temel neden analizi için bir algılama sağlamaktadır.
Daha önceki yazılarımızda EDR teknolojilerine değinmiştik. Hatırlamak veya detaylı bilgi sahibi olmak için yazının devamını okumadan önce geçmiş yazımıza buradan göz atabilirsiniz.
OpenEDR Kurulum Nasıl Yapılır?
OpenEDR’a ilk olarak erişiminizi https://www.openedr.com/ adresinden sağlayıp, Get Started for Free butonundan kaydolacağınız sekmeye gidebilirsiniz. Kayıt gerçekleştirirken ayrıca ekstra güvenlik sağlamak amacıyla da 2FA özelliği ile giriş yapmanızı isteyecektir. Mail aktivasyonunuz geldikten sonra ise kolaylıkla sisteme giriş yapabilirsiniz.
Sisteme girdiğimizde bizi oldukça gelişmiş bir arayüz karşılamakta. Klasik Arayüz için ise aşağıda size bir bildiri verecektir, oradan da yine dilediğiniz özellikleri farklı bir arayüzle kullanabilirsiniz.
Security, Managed Security, Assets, Software Inventory, Management ve Settings olarak altı ana başlıktan oluşmaktadır. Serimizin ilk yazısında Assets modülünden bahsedeceğiz.
Cihazlarınızı entegre etmek için Assets modülünün içinde yer alan Devices sekmesinden yapabilirsiniz. Burada yapmanız gereken aşağıdaki görselde de görüldüğü üzere kurulması istenilen işletim sistemini seçerek indirmek. İndirilen ajanın kurulumunu yaparken next->next diyerek kurulum işlemini tamamlayabilirsiniz.
Assets Modülü
Assets modülü yukarıda da bahsedildiği üzere kurulum yapma, kullanıcı işlemlerini gerçekleştirme, cihaz yönetiminizi sağlayan bir modül sağlar.
Assets modülünün altında yer alan user management kısmından kullanıcıları oluşturabilirsiniz. Yer almasını istediğiniz kullanıcıların yetkinliklerine göre de rol verebilme seçeneğine sahipsiniz. Ayrıca kullanıcı eklemelerini yaptıktan sonra eklenen cihazın kontrolünü, hangi özelliklerin açık olduğunu örn: (EDR, AV) buradan takip edebilirsiniz.
Kullanıcı ekleme işlemlerini yaptıktan sonra dilerseniz bir grup oluşturup kullanıcılarınızı grup bazlı ayırabilirsiniz. Bunun getirdiği avantaj ise bir prosedürü cihazlarımıza uygulamak istediğimizde gruplara ayrıldığı taktirde kullanım ve zaman avantajı sağlamasıdır.
Aşağıdaki görselde yine kullanıcı ve grup oluşturma aşamalarını görebilirsiniz.
Prosedür kurma başlığımıza serimizin bir sonraki yazısında değineceğiz.
Cihazlarını ekledikten sonra yine aynı modül içerisinde Devices sekmesinden cihazlarını görüntüleyebilirsiniz. İşlem yapmak istediğiniz cihaz üzerinden ise yine prosedür çalıştırabilirsiniz.
Bunun yanı sıra işlem yapabileceğiniz diğer özellikleri aşağıda sırasıyla verilmiştir.
- Enroll Device,
- Remote Control,
- File Transfer,
- Remote Tools,
- Run Procedure,
- Manage Profiles,
- Install or Manage Packages,
- Refresh Device Information,
- Power Options,
- Owner,
Windows cihazlar için seçeneklerin hepsi aktif olarak sunulurken, Linux işletim sistemi için ise Remote Control, File Transfer, Remote Tools, Run Procedure, Power Options seçenekleri aktif değildir.
Remote Control Özelliğini kullanmak için küçük bir kurulum dosyası indirmeniz istenmektedir. Bu işlemi next-> next olarak ilerleterek kurulan uygulama ile rahatça cihaza uzaktan erişimi gerçekleştirebilirsiniz.
ComoRemoteControl aplikasyonu ile aşağıdaki görseldeki gibi cihazlarını görebilir, sağ taraftan da dosya paylaşma veya uzak bilgisayarda dosya oluşturma özelliğinde kolaylıkla kullanabilirsiniz.
- Remote Control Tools özelliğinden de yukarıdaki işlemi gerçekleştirebilirsiniz fakat bunun yanın sıra bu sekme içerisinde Command Promp veya Powershell yetkisi de alabilmektesiniz. Bahsedilen özellikleri yine aşağıda görselleriyle sizin için destekledik. Burada aynı işlemin iki yerde yapılması kafa karışıklığına yol açsa da ihtiyaca yönelik sekme kullanımı açısından kolaylık sağlamaktadır.
- Assets modününün altında sizlere aktaracağımız son özellik ise Network Management özelliği. Bu modülün altında ilk önce discovery sekmesinden Create Discovery seçeneğinden discovery task oluşturmanız gerekmektedir. Discovery oluştururken daha önce sisteme eklediğiniz cihazları çoklu olarak seçme özelliğine sahipsiniz. Dilerseniz bunları grup olarak da ayırabilirsiniz. Oluşturma aşamasında Discovery type belirtmenizi isteyecektir bu kısımda isteğe bağlı olarak SNMP olarak da seçebilirsiniz. Daha sonra ilgili cihazın üzerine tıklayarak detaylara inebilirsiniz. Kullanıcılar ilk öncelikle Auto Enrollment seçeneğinde sunulan seçenekleri uygulamalılar.
Aşağıda gördüğünüz arayüzün farklı olmasının nedeni en başta belirtmiş olduğumuz, diğer arayüz seçeneğine geçebilme özelliğinden kaynaklanmaktadır.
Burada çeşitli taskları belirledikten sonra dilerseniz başlama tarihi ve saatini de belirtebilirsiniz.
Assets modülünden size aktaracağımız özellikleri şimdilik bu yazımızda sonlandırıyoruz. Kalan özellikleri serinin devamında sizlere aktarmaya devam edeceğiz.
Dilerseniz OpenEDR kullanımı kavramak için XCitiumAcademy sitesinden eğitimlerini tamamlayıp sertifikanızı da alabilirsiniz.
İlgilenenler için linke gidebilirsiniz: https://www.xcitiumacademy.com/resource-center/index#Case%20Studies%20&%20White%20Papers
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.