Forefront Client Security Database boyutları

Forefront ile birlikte Microsoft en yeni güvenlik çözüm paketini sundu.Genel anlamda Server Security,Client Security ve Edge Security olarak sınıflandırabileceğimiz yapı ile organizasyonumuzdaki güvenlik altyapısını en üst seviyeye çıkarabiliriz.

Forefront Client Security , ismi itibariyle sadece client yani istemci workstationlar üzerinde görev yapmıyor.Aynı zamanda varolan sunucularımızda birer istemci olarak algılandığı için kapsama alanımıza giriyor.

Forefront Client Security, işletmenizdeki sistemleri virus ve casus yazılımlara karşı korurken aynı zamanda sağladığı merkezi yönetim ile birlikte ayrıntılı raporlar oluşturmanızı sağlıyor. Kurulum aşamasında farklı deploy seçenekleri karşımıza çıkıyor.Bununla ilgili aşağıdaki makaleyi inceleyebilirsiniz.

http://technet.microsoft.com/tr-tr/library/bb418915(en-us).aspx

Görüldüğü gibi varolan yapımızı gözönünde buludurarak değişik deployment planları yapabiliriz.Bunun dışında önemli bir konuda Forefront Client Security’nin SQL 2005 kullanıyor olması.Client Security şu veritabanlarını aktif olarak kullanır:

  • SQL Server 2005 Reporting Services Report database
  • Collection database
  • Reporting database
  • (Optionally) WSUS database

Bu databaselerin boyutları tabiki organizasyona göre farklılık gösterebilir.Örneğin eğer bir işletme tüm güncelleştirmelerini yapmıyor ise sisteme sızan birçok malware yüzünden oldukça fazla event oluşacaktır.Buda daha fazla veritabanı gereksinimi doğurur.Default olarak FCS içerisindeki database boyutları aşağıdaki tabloda gösterilmiştir.

Şimdi kullanacağımız bu veritabanları için boyutları gözden geçirelim.

Collection – reporting database boyutları:

Resimde gördüğümüz gibi Collection ve reporting database boyutlarını FCS kurulumu sırasında belirliyoruz.FCS ile yönettiğimiz tüm bilgisayarla belirli kısa aralıklarla Collection Server’a bilgi gönderir.Buradadan ise ,daha uzun süre saklanacağı Reporting Database’e aktarılır.Bu aktarılma işlemi hergün 01:00 ‘da gerçekleşir.Bu birazcık zaman alabilir.Tabiki buda yapımıza bağlı.Örneğin 395 gün tutulma sınırı varsa ve 2000 management edilen computer varsa bu süre yaklaşık 2 saattir.Ama yönetilen pc sayısı 10000’ çıkarsa aktarılma işlemide yaklaşık 6 saat sürecektir.Dikkat etmemiz gerekn nokta bu sürenin sahip olduğumuz donanımla alakalı olması.Örneğin 8GB ramli ve üzerinde AWE etkin olan bir sunucu önemli bu süreyi önemli ölçüde hızlandıracaktır.(AWE ile ilgili bilgi için tıklayın)

Biz kurulum sırasında buradaki veritabanı boyutunu belirtirken birkaç noktaya dikkat etmeliyiz.Öncelikle kullandığımız SQL server sürümü önemlidir.Varolan yapısı nedeniyle SQL Server Standart daha fazla yer kaplayacaktır.Bunun dışında:

  • Yönetilen bilgisayar sayısı
  • Kötü yazılım(Malware) olaylarının sıklığı
  • Keşfedilen Security state assessment (SSA) vulnerability sayısı
  • Yapılacak tarama sayısı ve çeşidi

gibi faktörleride ,veritabanı boyutumuzu belirlerken göz önünde bulundurmalıyız.Aslında database boyutunu oluşturan yukarıdaki olayların oluşturduğu event sayısı.Ne kadar çok event oluşuyorsa veritabanı boyutu o derece artacaktır.Örneğin temel birkaç işlemin oluşturduğu event sayısı:

EYLEM EVENT SAYISI
Antimalware scan Tarama sırasında 2 adet
Threat detected Tehdit bulunduğunda 2 adet
Security state assessment (SSA) scan 1 adet
SSA vulnerability detected 1 adet
Definition update 1 adet
Policy update 1 adet
State summary 1 adet

Mesela Scan Now butonuna basıp tarama başlattığımızda yularıdaki tabloya göre 4 adet event oluşur.2 tanesi Antimalware scan için, 1 event SSA için, 1 event ise definition update için.

Bunun yanında kullandığımız alert’lerde veritabanında yer tutacaktır.Bunların boyutları eventlardan çok daha büyüktür fakat eventlar kadar sık kullanılmadığı için çok fazla sıkıntı yaratmazlar.

Reporting Database içerisinde bilgileri ne kadar tutarsak o kadar fazla büyüme olucaktır.Yani buradaki konfigurasyon bize bağlı.Eventlar alertler deploy edilen client security agentları buradaki büyümeyi oluşturuyor.Varsayılan olarak reporting databasede bilgilerin tutulacağı süre 395 gündür.Yani 1 sene + 1 ay.Bu süre doldıktan sonra silme işlemi gerçekleşir.Bu süreyi kendimize göre ayarlayabiliriz.Bunun için herhangi bir arayüz bulunmuyor.Biz MOM 2005 Reporting componentini yüklediğimizde SystemCenterReporting database altına p_updategroomdays isimli bir procedure oluşur.Bu precedure üzerinde oynama yaparak 395 olan değeri değiştirebiliriz.Bunun için:

1. Microsoft SQL Server konsolunu açarak Query Analyzer’ı tıklarız.
2. İlgili logon bilgilerini gireriz.
3. Toolbardaki SystemCenterReporting butonuna basarız.
4. Query – ServerName – Untitled1 bölümüne aşağıdaki komutu girip Query ve ardından Execute’a basarız.

exec p_updategroomdays ‘Tabloismi’, istenilengunsayısı

Örneğin aşağıdaki gibi bir komut ile SC_AlertFact tablosu için sınırı 300 gün yapabiliriz.

exec p_updategroomdays ‘SC_AlertFact_Table’, 300

SQL Server tempdb database

Bu veritabanı ise SQL Server tarafından kullanılan sistem veritabanıdır.Yani databse üzerinde işlemler yapılırken sorgular çalıştırılırken kullanılan geçici depodur.Bu veritabanı otomatik olarak max 2Gb kullanacak şekilde ayarlanmıştır.

Leave a Reply

Your email address will not be published. Required fields are marked *

71 + = 76