McAfee SIEM collector ile IIS loglarının toplanması

4
1043
McAfee

Öncelikle hangi web sitesinin logları alınacağı ve bu logların hangi dizin altında saklandığının tespip etilmesi gerekir.

IIS üzerinde ilgili web sitesine sağ tıkalayarak Manage Website > Advanced Settings seçenekleri ile ilerlenir.

Bu aşamada ID kısmı önemlidir. ID numarasına göre log dosyalarının bulunduğu alanda klasörleri tesip edeceğiz.

Log dosyasının konumunu websitesi nin üzerindeki logging başlığı altından bulabiliriz.

%SystemDrive%\inetpub\logs\LogFiles

Ancak bu bır duzenleme yapmalıyız. McAfee collector ile  toplanan IIS loglarında ufak bir field duzenlemesi gerekir. Asagıdaki SS leri takip ederek text dosyasında tutulacak IIS log filed’ları düzenleyelim.

Asagıda gorüldüğü üzere tüm fieldları seçiniz.

bu işlemden sonra cmd’u yönetici olarak çalıştırıp iisreset /restart yada elle servislerden IIS servislerini yeniden başlatamak gerekir.

Eğer işlem başarılı olduysa log dosyasına yeni field ler eklenecektir

Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

Daha sonrasında McAfee Siem Collector’u ilgili IIS sunucunun olduğu sunucuya kuruyoruz. Bunun için mcafee siem collector’u indirmeliyiz. Eğer McAfee müşterisiyseniz grant numaranız ile mcafee product download web sayfasından indirebilirsiniz.

Collector kurulumu süper next ile ilerleyerek tamamlanabilir. Bir exe dosyasıdır.

Bize siem sunucumuzun (ESM) ip adresini sormaktadır. Bilgileri doğru şekilde girerek devam ediyoruz. Bu işlemden sonra kurulum işlemin başlanacak ve sunucu üzerine kurduğumuz collector kurulumu kısa sürede bitecektir.

Başlat menüsünden McAfee SIEM Collector Manager Utility uygulaması üzerinde basit birkaç configurasyon ile IIS loglarını karşı tarafa gönderebileceğiz. Aşağıdaki adımları takip edebilirsiniz.

Collector ‘e file menüsü altından + işareti seçilerek log toplanacak organizasyon için konteynır yapılanıdırıyoruz.

Son oluşturulan konteynır içinde clients bölümünde generic: LogTail ‘e add ‘e tıklanarak ilerlenmelidir ve aşağıdaki gibi bilgiler girilmeli.

Daha net bir SS kaydını aşağıda paylaştım.

Tüm collector yapılandırmlarını bitirmeden önce, hiyerarşik olarak yukarıdan aşağı konteynır içlerini enable etmeliyiz.

Logların McAfee SIEM tarafında biriktirilmesi.

Datasource ‘u Receiver üzerine aşağıdaki gibi ekleyeceğiz. Benim yapılandırmam lab ortamı olduğunu unutmayınız. Genel hatları ile IIS logları üzerinde bilgiler paylaşıyorum. Diger siem yapılandırması best practice konusunda bu ekran görüntüleri size referans olmayacaktır.

Receiver değişiklikler farketti, bunları Yes diyerek uygulayabilirsiniz.

Değişiklikler uygulanana dek bekleyiniz.

Burada ‘rollout policy to all device now’ ı işaretleyerek tüm cihazlara uyguluyorum. Tabi ben ESM combo (yani VM) versiyonunu kullandığım için aslında tek cihaza uygulayacak. OK diyerek devam edelim.

İşlem tamamlandığında aşağıdaki gibi bir ifade göreceksiniz.

Bu işlemden sonra Mcafee SIEM çözümünüz IIS loglarını toplamaya başlayacaktır.

Sorularınız için aşağıdan yorum alanından ulaşabilirsiniz.

4 YORUMLAR

  1. Selam, kısaca cevap vermek gerekirse evet yapabilirsin, Microsoft zaten hali hazırda destekliyor bu tür bir senaryoyu biraz zahmetli bir yöntemle olsa da yapabilmen mümkün. Klasik microsoft 🙂 Yorum yazdığın mail adresine birkaç örnek video paylaşacağım.

  2. Rica etsem bana da gönderebilir misiniz? Siem üzerinde bayağı eksiklerimiz var. Her türlü dökümana açığım (: Şimdiden teşekkür ederim.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz