• Buradasın

    Güvenlik Otomasyonu ve API Kullanımı Eğitimi

    youtube.com/watch?v=BbR8vMu-sjA

    Yapay zekadan makale özeti

    • Bu video, bir konuşmacının güvenlik otomasyonu konusunda sunduğu kapsamlı bir eğitim içeriğidir. Konuşmacı, önceki videolarda front-end üzerinde Selenium kütüphanesi kullanarak otomasyon yapma yöntemlerini anlattığını belirtmektedir.
    • Video, güvenlik otomasyonunda API'ların kullanımı üzerine odaklanmaktadır. İçerik, SonicWall firewall üzerinde API kullanıcı oluşturma, Postman ile Python'ın requests kütüphanesi kullanarak firewall'a erişim sağlama, Python script oluşturma ve Kaspersky Security Center ile entegrasyon adımlarını adım adım göstermektedir. Son bölümde ise zararlı yazılım tespit edildiğinde otomatik olarak firewall'daki access kuralını güncelleyerek VPN kullanıcılarının iç kaynaklara erişimini engelleyen bir otomasyon örneği uygulanmaktadır.
    • Eğitim, COVID döneminde evden çalışma senaryolarında yaşanan güvenlik açıklarını ele alarak, endpoint security ve firewall arasındaki API entegrasyonu ile nasıl otomatik müdahale edilebileceğini göstermektedir. Ayrıca, oluşturulan script'in exe dosyasına dönüştürülmesi ve Kaspersky Security Center'da event konfigürasyonu ile nasıl entegre edileceği de detaylı olarak anlatılmaktadır.
    00:16Güvenlik Otomasyonu ve API Kullanımı
    • Geçtiğimiz hafta güvenlik otomasyonunun neden gerekli olduğu ve Selenium kütüphanesi yardımıyla front-end üzerinde otomasyon yapma konusu ele alınmıştı.
    • Bu hafta daha kalıcı ve somut bir çözüm sunulacak, güvenlik otomasyonu yaparken API'lar kullanılacak.
    • Selenium kütüphanesi front-end elementleri üzerinde otomasyon yaparken, API'lar üreticinin belirlediği çerçeveye istinaden interaksiyon sağlar ve yazılım geliştirmeye daha uygun olur.
    02:04Senaryo Tanıtımı
    • COVID döneminde birçok firma çalışanlarını eve gönderdikten sonra bilgisayar sağlayabilecek altyapıya sahip olmadı ve bu durumda kişisel bilgisayarların şirket ortamına dahil edilmesi büyük bir güvenlik açığı oluşturuyor.
    • Müşterinin evden çalışma döneminde çalışanlarının kişisel bilgisayarlarını kullanmasına izin vermesi ve VPN Compties Control gibi güvenlik kontrol mekanizmalarını aktif hale getirmemesi, zararlı yazılımların ağda yayılmasına neden oldu.
    • Endpoint security katmanında VPN üzerinde çalışan makinaların zararlı yazılım tespit ederse, firewall'a kural şeklinde komut göndererek VPN kullanıcıların iç network'e olan bağlantısını kesme mekanizması oluşturulması gerekiyor.
    04:29Senaryo Adımları
    • İlk adım olarak firewall tarafında API interface'lerini aktif hale getirip, komutlar ve API'lar yardımıyla firewall'a müdahale edilecek.
    • İkinci adım olarak firewall üzerinde mevcut VPN kullanıcılarının iç ağa erişmesini sağlayan access rule tespit edilecek ve test edilecek.
    • Üçüncü adım olarak Postman ve Python'ın Requests kütüphanesi yardımıyla firewall'a login olabilecek, kural yazabilecek ve çıkış yapabilecek bir script yazılacak.
    • Son adım olarak endpoint security katmanında VPN'den gelen kullanıcıda bir şey tespit edilirse bütün VPN'i kapatacak bir script çalıştırılacak.
    05:31Firewall API Ayarları
    • Firewall'un ana sayfasına girip, API'ları kullanırken ayrı bir kullanıcı oluşturulması öneriliyor çünkü firewalllar aynı kullanıcının aynı anda login olmasına izin vermiyor.
    • SonicWall örneğinde administration kısmından API aktif hale getiriliyor ve basic authentication seçiliyor.
    • UUID (Unique Identifier) özelliği aktif hale getirilerek, firewall'daki her bir yapılandırmanın benzersiz bir ID'si atanıyor ve API ile iletişime geçerken bu ID kullanılıyor.
    07:29API Dökümantasyonu İncelemesi
    • API'yi aktif hale getirdikten sonra, kullanacağınız ürünün API dökümantasyonunu incelemeniz gerekiyor.
    • SonicWall, Palo Alto, Fortinet, Kaspersky, Symantec gibi tüm ürünlerde API dökümantasyonu internette veya üreticilerde public olarak mevcut oluyor.
    • API dökümantasyonunda kullanılan HTTP metotları (GET, POST, PUT, DELETE) ve API ile nasıl iletişime geçilebileceği gösteriliyor.
    08:34HTTP Metotları ve Authentication
    • GET metodu mevcut veriyi alırken, POST metodu veri gönderir, PUT metodu mevcut resource'u günceller ve DELETE metodu resource'u siler.
    • HTTP 200 yanıtını alırsanız bir sıkıntı yok demektir, 200'ün dışındaki metotlarda problem var demektir.
    • Basic key authentication için "api.sonicos.out" adresine POST metodu ile kullanıcı adı ve şifre gönderilmelidir.
    09:52API Endpoint'leri ve İşlemler
    • API access rules kısmında gerekli endpoint'i (api.sonicos.access.rules.ipv4.uid) bulabilirsiniz.
    • Konfigürasyon yaptıktan sonra bekleyen konfigürasyonu commit etmek için "api.sonicos.config.pending" adresine POST request gönderilmelidir.
    • Çıkış yapmak için de aynı authentication endpoint'e DELETE talebi gönderilmelidir.
    11:06Postman Kullanımı
    • Postman, API kodları yazarken kullanılan basit bir araçtır ve scriptler yazmayı kolaylaştırır.
    • Authentication endpoint'e POST request göndererek kullanıcı adı ve şifre ile giriş yapılabilir.
    • Postman'da "Generate Code Snippets" özelliği ile istediğiniz programlama dilinde requesti yapacak kodu kaydedebilirsiniz.
    12:19Access Rule Güncelleme
    • Access rule'ı almak için "api.sonicos.access.rules.ipv4.uid" adresine GET request gönderilmelidir.
    • Access rule'ın içeriğini alıp, action allow kısmını "deny" olarak değiştirerek PUT request göndererek güncelleme yapılabilir.
    • Değişiklikleri uygulamak için "api.sonicos.config.pending" adresine boş bir POST request gönderilmelidir.
    16:41Python ile Script Oluşturma
    • Dört farklı talebin kodunu yazdıktan sonra, bunları birleştirmek için Python scriptleri oluşturulmalıdır.
    • PyCharm gibi bir Python geliştirme ortamı kullanılabilir.
    • Yeni bir proje oluşturulup, "automation.python" adında yeni bir script oluşturulabilir.
    17:25Python Otomasyon Script'i Hazırlama
    • Request adlı kütüphane import edilerek otomasyon script'i hazırlanıyor.
    • Script'te header'lar ekleniyor ve değişkenler (payload, response) düzenleniyor.
    • SSL sertifika hatası için "ssl_verify=False" ekleniyor.
    19:36Script'in Çalıştırılması ve Loglama
    • Script çalıştırıldığında login, config, rule edit ve insert işlemlerinin başarılı olduğu görülebiliyor.
    • Loglama için "print response" ve "info response text" eklenerek script'in çalışması log dosyasına kaydediliyor.
    • Script'in her çalıştırıldığında log dosyasının altına eklenmesi sağlanıyor.
    22:25Firewall Kontrolü
    • Firewall tarafında aksiyonun gerçekten gerçekleştiğine bakılıyor.
    • Access rule kısmında "L2 IPPool" kuralının dinay'a çekildiği görülebiliyor.
    • Bu durum script'in çalıştığını gösteriyor.
    23:05Script'i Endpoint Security'e Entegre Etme
    • Python script'i diğer bilgisayara aktarılıyor ve "pip install request" ile request paketi yükleniyor.
    • Python script'i exe dosyasına çevirmek için "pyinstaller" modülü kullanılıyor.
    • Exe dosyası oluşturulduktan sonra çalıştırıldığında login, kural değişikliği ve çıkış işlemlerinin başarılı olduğu görülebiliyor.
    25:57Endpoint Security'de Kural Oluşturma
    • Kaspersky Security Center kullanılarak endpoint security ürününde kural oluşturuluyor.
    • "Medicius object detect" ve "Network attack detected" olaylarında script'in çalışması için event konfigürasyonu yapılıyor.
    • Network attack detected olayında VPN bağlantısını kesmek mantıklı olabilir çünkü bu ağda Kaspersky kurulu olmayan makinalardan saldırı olduğunu gösterir.
    28:55Senaryo Tanıtımı
    • Senaryonun uygulama kısmına geçiliyor ve scriptin aktif olarak çalışıp çalışmadığı test edilecek.
    • Windows tabanlı bir laptop ve telefon, 3G/4G üzerinden internete çıkarılacak ve firewall'a VPN ile bağlanacak.
    • Bilgisayarda zararlı dosya açıldığında, tüm VPN kullanıcılarının internetinin kesilmesi ve hızlı bir log dosyasının oluşması gerekiyor.
    30:01Test Hazırlığı
    • Laptop ve telefon 4G üzerinden internete çıkarılıp VPN'e bağlanıyor.
    • Telefon, lokal kaynağa sürekli ping atıyor.
    • Zararlı yazılım indirildiğinde, script otomatik olarak çalışıp VPN bağlantısını kesiyor.
    32:17Sonuç ve Açıklama
    • Firewall, endpoint security ürününün tespit ettiği tehdit durumunda access kuralını güncelleyerek VPN kullanıcılarının iç kaynaklara erişmesini engelliyor.
    • Zararlı durum olduğunda VPN'den LAN'a erişim dinay duruma geliyor.
    • ITG'nin yapması gereken, VPN client'larını inceleyip zararlı durum olup olmadığını kontrol etmek ve sonrasında kuralı tekrar allow etmek.
    33:33Kapanış
    • İzleyicilerden soru ve yorumlarını YouTube yorum kısmından yazmaları isteniyor.
    • Önümüzdeki haftaki videoda security automation ürünlerinin daha detaylı kullanımı gösterilecek.
    • İzleyicilerden abone olmaları isteniyor.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor