Versions Compared

Version Old Version 24 New Version 25
Changes made by

Utkucan Saraç (Unlicensed)

İrem Kara

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Sınıflamanın aktif olduğu projelerde sınıflama hareketlerinin kaydı tutulur. Sınıflama Logları veri tabanına ya da CSV veya CEF formatında yazılabilir. Logları herhangi bir SIEM Sınıflama projesi ve Log Analiz Paneli için şablon proje Sınıflama modülü kurulumuyla hazır olarak gelir. Sınıflama faaliyetlerinin takibinin yapıldığı projelerde, sınıflama hareketleri düzenli olarak kaydedilir. Bu sınıflama logları, bir veri tabanına yazılarak herhangi bir Güvenlik Bilgi ve Olay Yönetimi (SIEM) aracı veya Log Analiz Paneli ile izleyebilir, analiz edilebilirsiniztarafından izlenebilir ve analiz edilebilir.

GEODI Log Analiz Paneli

Log Analiz paneli ile sınıflama aktiviteleriniz izler, kullanıcı ve sınıf bazında analizler yapabilirsiniz.

Log Analiz Paneli için şablon proje sınıflama modülü ile hazır gelir. Aktivasyon için aşağıdaki adımları izlemelisiniz:

...

Sınıflama İçin oluşturulmuş template proje seçilir.

...

Proje içerisinde hazır gelen kaynağa Sınıflama loglarının bulunduğu dizin/veritabanı eklenir.

Kaynaklarda yer alan veri tabanın kaynağı için sınıflama logunu yazdığınız veri tabanını seçilir.

...

.

  1. ACC.Classifier grubuna üye kullanıcılar paneli görebilirler.

  2. Kaydet ve indexlemeyi başlat.

  3. GEODI log kayıtları içinde yer alan veriyi işleyecektir. Yeni log kayıtları değişenleri tara tanımına göre otomatik olarak işlenmeye devam edecektir.

Örnek Sınıflama Paneli

...

...

SIEM Uygulamaları

GEODI Loglarını SIEM uygulamalarında kullanabilirsiniz. Loglar CSV, CEF formatında, bir VT üzerinde tabloya ya da syslog ile yazılabilir. Tercihinizi; Sınıflama Modülü, Davranış, Log Formatı üzerinden yapabilirsiniz.

...

CSV veya CEF formatı

...

Veri Tabanı Formatı

  • Sınıflama Logları Veritabanına yazıldığında aşağıdaki bilgiler yazılır.

  • Diğer loglar için GEODI Logları sayfasına bakabilirsiniz.

Log Time

Sınıflamanın yapıldığı zaman

Log User

Client IP’si

Log App

GEODI

Log App Ver

GEODI Versiyonu

Log Module

DLPClassifier

Log Security Level

https veya http

Log Level

medium

File

Sınıflanan içeriğin UNCPath bilgisi

Örnek: C:\Users\<user>\Desktop\Yeni Microsoft Word Belgesi (2).docx

PreviousClass

Previous Class

Mevcut Sınıf(Sınıfı olmayan içerikler için değeri = “?” )

Class

Verilen Sınıf

Source

Sınıflama işleminin yapıldığı yöntem(Shell/Add-In)

ClientIP

Client IP’si

ClientUser

Client User adı

Process Memory(Kb)

Sistemde log yazıldığı sıradaki kullanılan bellek.

Process Max Memory(Kb)

Sistemde Bellek kullanımının ulaştığı tepe noktası.

AutoClass

AutoClass kolonuna otomatik öneri olarak veya zorla kullanılmışsa otomatik ile belirlenen sınıfın ID değeri geliyor. Otomatik hiç kullanılmamışsa boş loglanacak.

ActionType

  • Auto: Otomatik seçilerek sınıf verildi

  • Manuel: Manuel sınıf seçildi.

  • Offline: manuel sınıf seçildi.

  • AUTOCLASS Body Email: Outlook desktop. %AUTOCLASS% metni ile zorla otomatik sınıflandı.

  • Auto Menu Click: Add-In üzerindeki otomatik tıklanarak sınıflandı

  • Class Menu Click: Add-In üzerinden bir sınıf seçilerek sınıflandı

  • Form UI: Form arayüzü açıldı. form üzerinden seçim yapıldı.

  • Forced AutoClass: Otomatik zorunlu idi. zorla otomatik sınıflama yapıldı

Veritabanı formatı

Sınıflama Logları Veritabanına yazıldığında yukarıdakilere ek olarak aşağıdaki bilgiler de yazılır.

...

Object ID

...

Unique ID

...

Log Time

...

işlem yapılan zaman

...

Log User

...

sınıflama yapan User

...

Log App

...

GEODI

...

Log App Ver

...

GEODI Versiyonu

...

Log Module

...

DLPClassifier

...

Log Security Level

...

https veya http

...

Log Level

...

medium

...

AutoClass

AutoClass kolonuna otomatik öneri olarak veya zorla kullanılmışsa otomatik ile belirlenen sınıfın ID değeri geliyor. Otomatik hiç kullanılmamışsa boş loglanacak.