Bir önce ki makalemde Lepide Auditor ürünün kurulumu basit bir şekilde gerçekleştirmiştik. İlgili makaleye buradan inceleyebilirsiniz.
Bu makaledeki amacım sizlere ortamınızda bulunan sunucuların denetlenmesinin ne kadar kolay bir şekilde gerçekleşeceğini göstermektir. Piyasada bu noktada pek çok ürün olmasına karşın ben bu makalemde Lepide ile sizlere bir Active directory ve Group Policy Object değişikliklerinin nasıl izleneceği konusunda bilgi vereceğim.
Kurulumu bitirdikten sonra ilk olarak Lepide Auditor konsolunu açıyorum. Karşıma gelen ekran ‘da servis hesabi için bir kullanıcı belirliyoruz. Active Directory üzerinde lepide adında bir kullanıcı oluşturdum. İlerliyen süreçte Domain Controller, Group Policiy Object, Exchange Server, File Server ve SQL Server sunucularına agent dağıtacağımız için bu kullanıcıya Domain Admin, Enterprise Admin, Group Policy Creator yetkisi verdim. OK butonuna tıklıyorum.
Karşıma gelen ekranda Add Component kısmında Active Directory ve Group Policy ürünlerini izleyeceğimizi için seçiyoruz.
Karşıma gelen ekranda Advanced Configuration ‘u seçiyorum. Next butonuna tıklıyorum.
Karşıma gelen ekranda Dünya ikonuna tıklayarak otomatik bir şekilde domain name ‘i getirmektedir. Eğer bu butona bastıktan sonra domain ismi gelmiyor ise muhtemel Lepide sunucusu DNS ip adreslerini kontrol edin. Eğer DNS ip adresleri doğru ise Lepide sunucusu ile domain controller sunucuları ayrı bir Vlan da olabilir. Veya bu sunucular ile arasında bir firewall olabilir. Böyle bir durum için kurulum makalesini hatırlayın. İlgili portların açık olduğunu kontrol edin.
Servis hesabı ve Agent deploy etmek için oluşturduğumuz lepide kullanıcısının bilgilerini giriyorum.
Agent ‘lımı yoksa Agent ‘sızmı kurulum yapmak istediğimizi sormakta. Ben agent ile ortamı izlemek istediğim için With Agent ‘ı seçerek Next butonuna tıklıyorum.
Eğer siz Agent yüklemek istemiyorsanız bu durumda agent’ sız ilerleyebilirsiniz. Ürün bazlı agent farklı sonuçlar doğurmaktadır. Örneğin Exchange Server için non-owner mailbox özelliğini kullanmak istiyorsanız veya mailbox audit logları açma, kapatma izleme gibi gelişmiş denetleme seçenekleri için agent yüklemek şarttır. Active Directory için ise temel olarak böyle bir şart olmamasına karşın agent’ ın bize sağlayacağı en büyük avantaj DC üzerinde çalışan bir servis olacağı için olası bir network kesintisi veya sunucu kapatma açma gibi durumlarda loglar DC üzerinde kuyruklanır, bağlantı tekrar geldiğinde bu loglar Lepide sunucusuna iletilir. Bu sayede log kaybı olmayacağı için özel bir durum yok ise agent ile devam etmenizi öneririm.
Not: Eğer Agent ile ortamımızı izlemek istiyorsak Antivirüs tarafında gerekli dışlamaları yapmamız gerekmektedir.
Karşıma gelen ekran ‘da mevcut yapıda bulunan Exchange sunucumu ve Active Directory rol ‘ü kurulmuş olan sunucumu görüyorum. Bu ekranda izlemesini yapmak istemediğiniz Active Directory veya Exchange Server sunucularınızı change auditing kısmından kaldırabilirsiniz. Ben sadece Active Directory ve Group Policy Object izlemesi yapacağım için Domain Controller sunucumu tikleyip Next butonuna tıklıyorum.
Karşıma gelen ekranda bir önceki ekranda seçtiğim sunucularımı görüntülüyorum. Herhangi bir yanlışlık var mı kontrol ediyorum.
Ortamımda bir tane DC olduğu için varsayılan olarak PDC gelmektedir. Sizin ortamınızda birden çok DC var ise lepide sunucusunun olduğu site içersindeki bir DC ‘yi seçmeniz gerekmektedir.
Next butonuna tıklıyorum.
Karşıma gelen ekranda Active Directory ve Group Policy Object ‘te yapılacak olan değişikliklerin verilerinin tutulacağı bir SQL server bilgisi giriyoruz. Ben Demo ortamımda Server 2014 Express versiyonunu kullandım. Eğer ortamınızda 1000 üzerinde user var ise eğer SQL Server Standard kullanmanız gerekmektedir.
Windows kimlik doğrulaması sadece Lepide sunucusu ile SQL sunucusu aynı bilgisayarda ise çalışmaktadır. Eğer Lepide sunucusu ile SQL sunucusu ayrı ise mutlaka SQL Authentication kullanılmalıdır. Not: Ürün sürekli güncellendiği için yeni sürümlerde bu konuda değişiklik olabilir. Eğer böyle bir iş ihtiyacı var ise support üzerinden kolaylıkla destek alabiliyoruz.
Üç nokta ‘ya tıklıyorum. Açılan ekranda Lepide için kullanmak istediğim SQL sunucusunu seçiyorum. Eğer SQL sunucunuz Lepide sunucunuz üzerinde değilse elle bu tanımı yapabilirsiniz. Veya SQL sunucusu üzerinde varsayılan olarak kapalı gelen SQL Browser servisini açarsanız burada SQL sunucunuz listelenecektir. Ancak güvenlik nedenleri ile bu servisin kapalı tutulmasını tavsiye ediyorum
Windows Authentication yerine SQL Server Authentication seçiyorum. SQL üzerinde sa kulllanıcısını giriyorum. Test Connection butonuna tıkladıktan sonra ekrana Connection Successful yazısı gelmektedir.
Eğer bu SQL server konsolide bir SQL server ise “sa” kullanıcısı verilmeyebilir. Bu durumda Lepide için bir DB oluşturulup sql kullanıcısı tanımlanıp, ilgili SQL kullanıcısının Lepide DB için DB_owner yetkisine sahip olması yeterlidir.
Otomatik olarak database oluşturabilir veya daha önce oluşturdugunuz bir database’i seçebiliriz. SQL compatibility level minimum 2008 ve SQL collaction type sql_latin1_general_ci_as olması gerekmektedir. Ben otomatik olarak bu ekrandan LepideADDB isminde database oluştuyorum. Next butonuna tıklayıp ilerliyorum.
Active Directory üzerinde tüm organizational unit ‘leri takip etmek istiyorum. Eğer belirli bir OU altındaki objeleri takip etmek istiyorsanız bu bölümde filtre uygulayabilirsiniz. Burayı bu şekilde geçtikten sonra yine değiştirme şansına sahipsiniz. Next butonuna tıklıyorum.
AD üzerinde pek çok öz nitelik bulunmaktadır. Genel olarak bir kullanıcı veya obje için pek çok öz nitelik denetlenebilir. Varsayılan olarak tüm öz nitelikleri takip ediyoruz. Ancak bazı durumlarda örneğin sadece şifre değiştirme, kullanıcı adı değiştirme veya benzeri özel öznitelikleri (attribute) takip etmek istiyor isek buradan yine filtreleme yapabiliyoruz.
Next butonuna tıklıyorum.
Not: Failed Logon ile User Logon / Logoff özelliğini ayrı bir makalede anlatacağım.
Aldığımız loglar ‘ın arşivlenmesini sağlamaktadır. Şu an benim yapımda gerek olmadığı için bu alanı boş bırakıyorum. Ancak ürünü kurduktan ve kullanmaya başladıktan bir süre sonra eğer SQL veri tabanı şişmeye başlar ise 1 aydan, 3 aydan, 6 aydan veya 1 yıldan eski logları şirketinizin iş ihtiyacına göre arşivleyebilirsiniz. Tarih seçimi tamamen size kalmış. Bu bölümü yine daha sonra aktifleştirebiliyorsunuz. Veya kurulum sırasında şu anda da ayarlayabilirsiniz.
Next butonuna tıklıyorum.
Yes butonuna tıklıyorum. Lepide konsolunu tekrardan başlatmaktadır.
Lepide üzerinde GPO izlemesini yapabilimemiz için Lepide sunucumuza Group Policiy Management rol ‘ü kuruyoruz.
Lepide sunucumuza Active Directory ve Group Policy Object özelliği eklendi. Active Directory sunucusunda firewall ve anti virüs izinleri verildiyse log ‘lar bu ekrana düşmektedir. Active Directory sunucuma gidip bir değişiklik gerçekleştireceğim.
Active directory üzerinde lepide kullanıcıma bir açıklama giriyorum. Tekrardan lepide sunucuma dönüyorum.
Lepide Konsolumuz üzerinde Active Directory üzerinde yaptığımız değişikliğin buraya geldiğini görüntülüyorum.
Ayrıca verilen geldiğini yine yukarıdaki ekranda “Data Insertion” bölümünden en son hangi tarih ve saatte veri tabanına veri işlendiğini görebilirsiniz.
Eğer Active Directory veya Group Policy Object üzerinde yaptığımız değişlikler ekranımıza düşmüyorsa 3 farklı sebepten dolayı olabilir. Antivirüsün agent ‘ı bloklaması, Veri tabanı bağlantısı problemi veya firewall üzerinde port izinleri verilmemiştir.
Active Directory veya Group Policy üzerinde yapılan değişiklikleri kendimize veya kurumuzda ki çalışanlara veya yöneticilere mail ile otomatik olarak gönderebiliriz. Lepide konsolumu aciyorum sol tarafta bulunan menülerden User & Entity Behavior Analytics ‘i açıyorum. Karşıma gelen ekranda States & Behavior ‘un altında bulunan menüde Active Directory Report kısmına geliyorum. Bu kısımda yapılan bütün haraketler için rapor ve anlık bilgilendirme mail’i gönderimini sağlayabiliriz.
Tabiki aklınıza şu gelebilir. Ürün çok güzel ancak ben bütün gün bu ekranları mı izleyeceğim? Tabiki HAYIR. Günün sonunda her izleme-denetleme ürününde olduğu gibi kritik aksiyonları bizim Alert olarak tanımlamamız gereklidir. Örneğin en çok kullanılan “Group Membership Change” yani kritik bir grubun ki örneğin “Domain Admins” grup üyeliklerinin değişimi mutlaka uyarı gerektirir. Veya her türlü GPO değişikliği. Çünkü normal şartlarda GPO sık sık değiştirilmez. Ya da etkisi büyük olacağı için mutlaka kontrollü, bilgilendirme ile yapılmalıdır.
Şimdi hızlıca bir Alert nasıl oluşturulur onu görelim.
İlk olarak Active Directory üzerinde kullanıcı silindiğinde Alert ayarını gerçekleştireceğim. “User Delete” Sağ tıklıyorum açılan pencerede Set Alert diyorum.
Karşıma gelen ekranda tek tek değilde tek bir alert içerisinde birden fazla gerçekleşen olay için Alert ayarlıyabilirim. Ben sadece Kullanıcı silindiğinde mail göndermesini istiyorum. Next butonuna tıklıyorum.
Karşıma gelen ekranda filtreleme yapabiliriz. Yani belirli bir kullanıcı silindiğinde veya belirli bir admin kullanıcısı kullanıcı sildiğinde uyarıyı oluşturabiliriz. Veya 1 dakika içerisinde 10 kullanıcı silindiğinde bu uyarıyı oluştur gibi daha anlamlı uyarılar tanımlayabiliriz. Ben All seçiyorum ve Next butonuna tıklıyorum.
Karşıma gelen ekranda Alert tipini seçebiliriz. Ben varsayılan olarak “Critical Error” seçiyorum.Bu ekranda Add butonuna tıklayarak gönderici mail adresi ve SMTP ayarlarını gireceğim.
Karşıma gelen ekranda “Add New Email Account” butonuna tıklayarak gönderici mail adresini ve SMTP ayarını gerçekleştireceğim.
Karşıma gelen ekranda SMTP ayarlarını ve Gönderici mail adresi bilgilerimi giriyorum. OK butonuna tıklıyorum.
Not: Buraya siz “lepide” isminde bir SMTP hesabı açarak tanımlama yapabilirsiniz veya Relay yetkisi vererek istediğiniz şekilde mail sunucusu üzerinden mail gönderimi sağlayabilirisiniz.
Karşıma gelen ekranda Alıcı mail adresini giriyorum. OK butonuna tıklıyorum.
Karşıma gelen ekranda eklediğim email ayarını görebiliyorum. Next butonuna tıklıyorum.
Karşıma gelen ekranda yapmış olduğum alert için bir isim giriyorum. Finish butonuna tıklıyorum. Başarılı bir şekilde Alert oluştu. Active directory üzerinde herhangi bir kullanıcı silindiği zaman Lepide eklemiş olduğumuz mail adresine bilgilendirme mail ‘i atacaktır.
Lepide Active Directory ve Group Policy Object izleme makalemin sonuna geldik. Makale serimin bir Sonraki bölümünde File Server izleme adımları ile devam edeceğim.
Makalemi okuduğunuz için teşekkür ederim.
Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.
info@itstack.com.tr ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.