SlideShare a Scribd company logo

Ossec kurulumu

Kurtuluş Karasu
Kurtuluş Karasu

OSSEC (HIDS) Veri merkezlerinde tüm sistemlerin loglarının izlenmesi ve olası anormallikleri tespit edip, müdahale edilebilmesi için proaktif bir sistem yönetiminin kurulması gerekmektedir. Böyle bir proaktif sistem kurulumu olarak NIDS (network-based intrusion detection ) ve HIDS (host-based intrusion detection) olmak üzere iki farklı yöntem bulunmaktadır. Bu makalede OSSEC (HIDS) yöntemi kullanarak log izleme (monitorig), dosya bütünlük kontrolü, rootkit tespiti özelliklerine değineceğiz.

Technology
1 of 22
OSSEC (HIDS) (Host-Based Intrusion Detection System) İçindekiler OSSEC (HIDS) ................................................................................................................................ 1 (Host-Based Intrusion Detection System)........................................................................................ 1 OSSEC Nedir?............................................................................................................................ 2 OSSEC Özellikleri ....................................................................................................................... 2 OSSEC Mimarisi......................................................................................................................... 3 OSSEC HIDS Log Analizi.............................................................................................................. 4 OSSEC Sunucu Kurulumu............................................................................................................ 4 OSSEC Konfigürasyon Dosyası................................................................................................. 9 OSSEC Güvenlik Duvarı Ayarı .................................................................................................11 AGENT Kurulumu .....................................................................................................................12 CentOS.................................................................................................................................12 Windows..............................................................................................................................18 Alert Logları.............................................................................................................................21 Kaynaklar.................................................................................................................................22
Veri merkezlerinde tüm sistemlerin loglarınınizlenmesi ve olasıanormallikleri tespitedip, müdahale edilebilmesi içinproaktif birsistemyönetimininkurulmasıgerekmektedir. Böylebirproaktif sistem kurulumuolarak NIDS(network-basedintrusiondetection ) ve HIDS (host-basedintrusiondetection) olmaküzere iki farklıyöntembulunmaktadır.Bumakalede OSSEC(HIDS) yöntemi kullanaraklog izleme (monitorig),dosyabütünlükkontrolü,rootkittespiti özelliklerine değineceğiz. OSSEC Nedir? OSSEC,TrendMicro tarafındandesteklenen,tamamenaçıkkaynakkodlu,standaloneçalışabildiği gibi,agent/masteryapısıile merkezi yönetimde sağlayabilenbirhost-basedsaldırıtespitsistemidir. Temel olarakloganalizi (loganalysis),dosyabütünlükkontrolü (integritychecking),rootkittespiti (rootkitdetection),gerçekzamanlıalarmüretme (real-timealerting) ve tespitedilensaldırılara karşılık aktif cevapverme (active response)özelliği ileanlıkaksiyonlaralmagibi özellikleri bulunmaktadır. OSSEC, bir çok platformda(Linux,Unix,Windows,Vmware ..) çalışabilmektedir. Agentless özelliği ile de router,switchgibi ağ cihazlarınınlogizlenmesisağlanabilmektedir. OSSEC Özellikleri  Log İzleme(Monitoring):Sistemloglarınıizleyipanalizederve herhangi birproblemtespit edilirse alarmüretebilir.Örnek; websunucusunaaitloglarabirsızma girişimini işareteden loglardüşmeye başladığızamanalarmüretilebilir.  Dosya BütünlükKontrolü(File IntegrityChecking): Sistemdeki dosyalarınbelirli periyotlarda kontrol edilmesini sağlar.Böylce kontrol edilmekistenendosyalarınhash’ini alırve üzerinde değişiklikyapılan dosyalarıntespitedilip,alarmüretilmesi için herkontrolde birönceki durumlakarşılaştırarakdosyanındeğiştirilipdeğiştirilmediği tespitedilir.Örnek;sisteme sızmaya çalışanbirisinintemel özelliklerindenbirisisteme üzerindekibelirli dosyaları
değiştirmekyadayeni dosyalareklemektir.Budurumdadosyabütünlükkontrolüile sistem üzerinde yapılanlartespitedilebilir.  Rootkit Tespiti:Sistemlerüzerindeperiyodikolarakrootkittaramasıyapılabilirve böylece tarama esnasındaherhangi birrootkit,trojanveyavirüstespitedilirse anındaalarm üretilebilir. Örnek;Rootkitpskomutununişlevinideğiştirerekkullanıcılarınbazıprocessleri görmesini engeller.  Active Response:Sistemlerüzerindeherhangibiranormalliktespitedildiğinde anında aksiyonalınabilir.Örnek;websunucuüzerinde taramayapanbirisininipadresi loglar üzerindentespitedildiğindeanındabuipnin bloklanmasısağlanabilir. OSSEC Mimarisi Server:OSSEC ServeryadaManager olarakadlandırılanbileşenveri merkezinekurulanOSSECHIDS sistemininmerkezi yönetimyeridir. Agent: HIDStemelli izlenmesiniistediğimizherbirsistemekurulanbileşendir.Amaçsistemloglarını toplamakve analizedilmesi içinOSSECserver’a göndermektir.Agentkurulumuiçindüşükyetkili kullanıcıyeterlidirve agentile ilgilikonfigürasyonunçoğuOSSECservertarafındantutulmaktadır. Agentless:HIDStemelli izlenmesini istediğimizve agentkuramadığımızsistemleri izlemekiçin kullanılanbileşendir. Örnek;Güvenlikduvarı,ağanahtarı, yönlendirici gibi ağcihazlarınaagent kurulamadığıiçinbu özellikkullanılmaktadır. Syslog: Syslogözelliği olancihazlardansyslogile loglar ossecserver’agönderilerekloglar analiz edilebilir. Aktif ağcihazlarınınloglarınıalıp,analizetmekiçinideal biryöntemdir. Yukardaki şekilde temelolarakgörüldüğüüzereloglarıalınmakistenensunuculara agentkurulumu yapılıp,loglarOSSEC Server’agönderilirve ossecserverüzerinde analizyapılarak,alarmüretilebilirve
bu alarmlogları arşivlenebilir.Agentile birlikteaktif ağcihazlarınınloglarınınanalizi içinsyslog da kullanılır. OSSEC HIDS Log Analizi Ossecserver’aanalizişlemi içinbirloggeldiğinde öncelikliolarakdecodingişlemi gerçekleştirilerek logiçerisindeki ilgili bilgilerçıkartılır.Bu decodingişlemiiki aşamadanmeydanagelmektedir.Birinci aşama pre-decodingişlemidirve pre-decodingesnasındatarih-saat,hostname,programismi ve log bilgileri ayrıştırılır.İkinci aşamadadecodingişleminde isesabitolmayanve kurallarlailişkilendirilmek istenenbilgilerayrıştırılır.Örneğin;ipadresi,portnumarası,kullanıcıadı vb. Log üzerinde ilgili bilgiler ayrıştırıldıktan sonraosseckonfigürasyondosyasındatanımlanankurallarlaeşleştirmeyapılarak alarm üretilmesi sağlanır. OSSEC Sunucu Kurulumu Ossecserverkurulumunu CentOSLinux release 7.2.1511 (Core) işletimsistemine kuruyorolacağız. CentOSişletimsistemini minimal kurduğumuziçin,ossecile ilgili gereklipaketleriyüklüyoruz. [root@ossec~]# yum update [root@ossec~]# yum groupinstall "Development tools" Not: Zaman ve tariheş zamanlamasıiçinntpsunucuayarını yapmayıunutmuyoruz. OSSEC (HIDS) Manager/Agentkurulumunageçişyapmakiçin,OSSEC(HIDS) paketini aşağıdabelirtilen linktenindiriyoruz. http://ossec.github.io/downloads.html
şu an sonsürüm olarakossec2.8.3 paketini indiriyoruzve kontrol etmekiçinchecksumdosyasınında indiriyoruz.İndirme işlemindensonraaşağıdaki şekilde görüldüğüüzere hashkontrolü gerçekleştiriyoruz. Daha sonra aşağıda belirtildiği gibi “tar”komutunukullanarakçıkartıyoruz. [root@ossec ~]# tar -zxvf ossec-hids-2.8.3.tar.gz Çıkartılan dizine geçipkurulumuaşağıdaki şekilde görülüğüüzere başlatıyoruz. [root@ossec ossec-hids-2.8.3]# ./install.sh Yukarıdaki şekilde görüldüğüüzere kurulumuhangi dildeyapacağımızsoruyor. Kurulumaİngilizce olarakdevamediyorum.
Dili seçtiktensonrakarşılamaekranıgelmektedir.Devametmekiçin entertıklıyoruz.
Yukardaki şekilde görüldüğüüzereöncelikli olarakne türbirkurulumyapmakistediğimizi soruyor. Ossecserverkurulumu yapacağımıziçinburada“server”yazıp entertıklıyoruz. İkinci olarakossecserverkurulumununhangi dizine kurulacağınısoruyor. Varsayılandizine kurulsun diyipilerliyoruz. Üçüncü olarak uyarıları e-mail olarakalıpalmayacağımızısoruyor şimdilik “n”seçerekdevam ediyorum. İleride konfigürasyondosyasıüzerinde değişiklikyaparakaktif hale getireceğiz. Dördüncüolarak dosyabütünlükkontrolünüsoruyor.Aktif etmekistediğimiçin “y”diyerekdevam ediyorum. Beşinci olarak Rootkittespiti kontorlünüsoruyor.Aktif etmek istediğimiçin“y”diyerekdevam ediyorum. Altıncı olarak Active response kontrolünüsoruyor.Aktif etmek istediğimiçin“y”diyerekdevam ediyorum. Yukardaki şekilde görüldüğüüzereRemote olaraksyslogüzerindenlogalmakiçin remote syslog’u aktif ediyoruz. Logların analizedileceğidizinlerbelirtilip,entertıkladığımızdapaketkurulumubaşlayacaktır.
Yukardaki şekilde görüldüğüüzerekurulumtamamlanmışolup,OSSECservisininçalıştırılması- durdurulması,konfigürasyondosyasınınyeri ve agentyönergelerininbulunduğubilgi ekranıile karşılaşacaksınız. Bu aşamada ossecserverkurulumutamamlanmışolduğunagöre,ossecservisini başlattığımızdaossec kendi local hostunuizlemeye başlayacaktır. [root@ossec~]# /etc/init.d/ossecstart Ossecserverüzerinde çalışanservisleri görüntülemekiçinaşağıdaki komutukullanabilirsiniz. [root@ossec~]# ps -auwx |grep "ossec" |grep -v "grep" OSSEC KonfigürasyonDosyası Osseckonfigürasyondosyası“/var/ossec/etc/ossec.conf”dur. [root@ossec~]# vi /var/ossec/etc/ossec.conf Aşağıda şekildegörüldüğügibimail konfigürasyonunuyapabilirsiniz. Mail konfigürasyonundae- postalarıngönderilmesini istediğinizpostaadresini ve e-postasunucusununipadresini giriyoruz. Burada e-postasunucusuolarakrelayizni olankendi e-postasunucunuzu kullanabilirsiniz.
Konfigürasyondosyasındaherhangi bir değişiklikyapıldığındaossecservisi yenidenbaşlatılmalıdır. Osseckonfigürasyondosyasındaki temel bölümler <global> Bu bölümde e-postaayarlarıve whitelistiptanımlarıyapılmaktadır. </global> <rules> Bu bölümde logizlenmesi esnasındahangi kurallarınaktif olduğuyazılmaktadır.Varayılanolarak belirli kurallaraktif olarakgelmektedir.Buradayazılankurallar“/var/ossec/rules”dizinialtında bulunmaktadır. </rules> <syscheck> Bu bölümde dosyabütünlükkontrolüyapılmaktadır.Varsayılanolarak belirlidosyalardaki değişiklikler belirli sıklıklardakontrol edilirken,belirli dosyalarındakontrol edilmediği belirtilmiştir. </syscheck> <rootcheck> Bu bölümde rootkitkontrolüyapılırkenkullanılanilgili veritabanlarıbelirtilmiştir. </rootcheck> <remote>
Bu bölümiki türlübulunmaktadır.Bağlantıayarı secure olanagentların kullandığıUDP 1514 portundançalışanbağlantıdır. Bağlantıayarı syslogolansyslogüzerindenlogtoplayıp,analizetmek içinUDP 514 portundançalışanbağlantıdır. Syslogüzerindelogalınacakağ bilgisinin <allowed- ips>192.168.46.0/24</allowed-ips> belirtildiğigibi konfigürasyonaeklenmesi gerekmektedir. </remote> <alerts> Bu bölümde analizedilenloglarüzerinden hangi seviyedealarmüretileceği belirleniyor.Ayrıcahangi seviyedekialarmlarıne-postaolarakgönderilmesi bekleniyor. </alerts> <active-response> Bu bölümde active response özelliğininkullanılacağıkomutlar ve bloklamaişlemininnasıl yapılscağı tanımlanmaktadır. </active-response> <command> Bu bölümde active response özelliğindekullanılacakkomutlartanımlanmaktadır. </command> <localfile> Bu bölümde izlenmesi istenenlogdosyalarınınyerleri ve formatlarıtanımlanmaktadır.Agentlardada izleneceklogdosylarınıntanımlamasıbuşekildegirilmektedir. </localfile> Daha detaylıkonfigürasyonbilgileri için http://ossec- docs.readthedocs.org/en/latest/syntax/ossec_config.html adresindeninceleyebilirsiniz. OSSEC GüvenlikDuvarıAyarı OSSEC serveragentlarlailetişimde UDP1514 portunukullandığıiçinve syslogüzerindenalınanloglar için de UDP 514 portukullanıldığıiçinsunucuüzerinde buiki portaizinverilmelidir. -A INPUT-p udp --dport514 -s 192.168.46.0/24 -jACCEPT -A INPUT-p udp --dport1514 –s 192.168.46.0/24 -jACCEPT Yukarıda belirtilen örnekte CentOS6sürümleri için 192.168.46.0/24 ağında UDP 1514 ve 514 portlarınaizinverilmektedir. Aşağıdaki şekildegörüldüğüüzere CentOS7sürümüiçin UDP 1514 ve 514 portlarının güvenlikduvarıkonfigürasyonuyapılmıştır.
AGENT Kurulumu Ossecserverkurulumve konfigürasyonçalışmalarıtemel olaraktamamlandığınagöre loglarını izlemekve analizetmekistediğimizsunucularaagentkurulumuyapabiliriz. İzlemekistediğimiz sunucularaagentyükleme işlemi birkaçadımdagerçekleşir;  Agentkurulumuyapılır.  Ossecserverüzerinden herbiragentiçinkeyoluşturulur.  Oluşturulanbukey’leragentlarayüklenir.  Agentenönemli özelliklerindenbiri server/clientarasındailetişiminşifreli gerçekleşmesi. CentOS Centosrelease 6.6(Final) üzerine agentkurulumuyapacağız.Kurulumuyapmakiçinaşağıdaki linkten ossecpaketini indiriyoruz. Ossecserverkurulumuiçinpaketi zatenindirmiştik.Sadece kurulum esnasındaserverdeğil,agentkurulumugerçekleştireceğiz. http://ossec.github.io/downloads.html paketi indirdiktensonraaşağıdaki komutukullanarakçıkartıyoruz. Kurulumubaşlatıyoruz. [root@centos6 ~]# tar -zxvfossec-hids-2.8.3.tar.gz [root@centos6 ossec-hids-2.8.3]#./install.sh
Yukarıdaki şekilde görüldüğüüzere ossecserverdaki kuruluma benzerşekilde dil’iseçipdevam ediyoruz. Hangi tür kurulumyapacağımızısoruyor“agent” yazıp devamediyoruz. Hangi dizine kurulumyapacağımızısoruyor“/var/ossec”varsayılanolarakbırakıp devamediyoruz. OSSEC Serveripadresini soruyor ossecserveripadresini giripdevamediyoruz. Dosyabütünlükkontrolüyapıpyapmayacağımızısoruyor“y” diyip devamediyoruz. Rootkittespitedipetmeyeceğimizi soruyor“y”diyipdevamediyoruz. Active reponse özelliğini aktif edipetmeyeceğimizisoruyorşimdilik“n”diyipdevamediyoruz.
Bu aşamadansonra varsayılanolarakhangi log dosyalarınıizleyeceğini gösteripentertıkladığımızda kurulumbaşlayacaktır. Eğer kurulumhatavermedendevamederse,aşağıdaki şekildegörüldüğügibi birçıktı verecektir. Agentkurulumunutamamladığımızagöre ossecservertarafındaekleme işlemine geçipkey oluşturabiliriz. Ossecserverüzerinde agentlarlailgiliyönetimişlerini “manage_agents”uygulamasıile yapılmaktadır.Aşağıdabelirtildiğişekildeuygulamakomutunuçalıştırıyoruz. [root@ossec~]# /var/ossec/bin/manage_agents Aşağıdaki şekildegörüldüğüüzere uygulamaçalıştığındayapılabilecekyönetimişlerininlistesi ekrana gelmektedir.Şekildegörüldüğüüzere  “A” yeni agentekleyebiliriz.  “E” eklenmişagentakeyalmak
 “L” ekli agentlarılisteler  “R” agentkaldırmaişlemi yapılabilir  “Q” uygulamadançıkmakiçin Sisteme agentekleme işlemi yapacağımıziçin“A”diyerekdevamediyoruz.Aşağıdaki şekilde görüldüğüüzere agentiçinbirisim,ipadresini ve biridsoruyor.Agentidvarsayılanolarakkabul ediyorum.Böylece sistemherbiragenteklendiğindeidyi otomatikolarakarttırarakdevamedecektir. Agentekleme işlemindensonrauygulamaanaekranadönecektir.Buaşamadailgili agentiçinanahtar (key) oluşturacağız. Anahtaroluşturmakiçin“E” yazıp devamediyoruzve sistemagentlarılisteleyip,anahtarını görüntülemekistediğimizagentınidsini girmemizistiyor.Aşağıdaki şekildegörüldüğüüzere idyi girdiğimizde bizebuagentın anahtarını veriyor.Anahtarıkopyaladıktansonrauygulamadan“Q” diyerekçıkıyoruz.
Uygulamadançıktıktan sonradeğişiklikleringeçerli olmasıiçinossecserverınyenidenbaşlatıyoruz. [root@ossec~]# /var/ossec/bin/ossec-control restart Ossecserverüzerinde agentileilgiliişlemleritamamladığımızagöre,kopyaladığımızanahtarıagenta importetme işlemine geçebiliriz. Agenttarafındayine “manage_agents”uygulamasınıkullanarakimportişlemini gerçekleştireceğiz. [root@centos6 ~]# /var/ossec/bin/manage_agents Aşağıdaki şekildegörüldüğüüzere agenttarafında “manage_agents”uygulamasınınözellikleri farklıdır. Aşağıdaki şekilde görüldüğüüzeresadece importişlemi yapmakiçingerekliözellikvardır. Ossecserverüzerinde oluşturduğumuzanahtarıimportetmekiçin“I”diyipdevamediyoruz. Aşağıdaki şekildegörüldüğüüzere kopyaladığımızanahtarıilgili yere yapıştırıyoruzve “y” diyerek onaylıyoruz.
Anahtarimportişlemi tamamlanınca“Q”diyerekuygulamadançıkıyoruzve değişiklikleringeçerli olmasıiçinagentı yenidenbaşlatıyoruz. [root@centos6 ~]# /var/ossec/bin/ossec-control restart Agentkurulumişlemi tamamlanmıştır.Ossecservertarafındavarsayılanayarlarlaizlemeişlemi başlamışolmasıgerekmektedir. Aktif olanagentları aşağıdaki şekilde görüldüğüüzerelisteleyebiliriz. Agent kontrol
Windows Windows2008R2 üzerine agentkurulumuyapacağız.Kurulumuyapmakiçin aşağıdaki linktenossec windowsçalıştırılabilirdosyasınıindiriyoruz. http://ossec.github.io/downloads.html windows üzerinde agentexedosyasınıçalıştırdığımızdaaşağıdaki şekillerde görüldüğüüzere next, nextdiyerekagentkurulumunutamamlıyoruz.
Agentkurulumusonrasıossecagentmanagerçalışacaktır. Aşağıdaki şekildegörüldüğüüzere ossec serveripadresini ve bumakineninanahtarınısoruyor.Anahtarelde etme işlemini birönceki bölümde anlatıldığıgibi elde edip,ossecserveripadresini ve anahtarıgiripkaydediyoruz. İlgili bilgileri kaydettiktensonra“Manage”sekmesindenStartOSSECtıkladığımızda agentservisi çalışacaktır. Agentsağ altköşesindenservisinStartedolduğunugörüyorolmalısınız.
Windowsagentkurulumlarıdatamamlandığınagöre agentların durumunu kontrol etmekiçinaşağıda belirtilenkomutlarıçalıştırıyoruz. Aşağıdaki şekilde görüldüğüüzerewindows2008Ragentımızaktif durumdadır. [root@ossec~]# /var/ossec/bin/list_agents –a [root@ossec~]# /var/ossec/bin/agent_control -lc Aşağıdaki şekildegörüldüğüüzere local ve windows2008R2 makineninaktif olduğunugörüyoruz. Not: Agenttarafındaki tümkonfigürasyonlaragentosseckonfigürasyondosyasıüzerinden yapılmaktadır.Agenttarafındaki konfigürasyondosyasınıincelersenizişletimsistemiüzerindeki hangi logdosyalarınınanalizedilmesi,dosyabütünlükkontrolüyapılandosyalarınhangileri olduğuve rootkitkontrolüyapılmasıiçinkullanılanilgili veritabanlarınıgörebilirsiniz. Alert Logları Ossecserver/clientkurulumçalışmalarıtemel olaraktamamlanmıştır. Local makine dışında,biradet centosve bir adetwindowsmakine üzerindenloglaralınıp,analizedilmektedir.Buanalizsonucunda oluşanalarmlarossecserverüzerinde /var/ossec/logsdizini altındakaydedilmektedir. Buradanlogları inceleyebilirsiniz.
Kaynaklar http://ossec-docs.readthedocs.org/en/latest/manual/index.html http://ossec.github.io/docs/ https://www.syslogs.org/ossec-hids-kurulumu-ve-yapilandirmasi/ https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security- notifications-on-ubuntu-14-04 http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/merkezi-tehdit-tespit-ve-izleme-sistemleri- 1.html http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/merkezi-tehdit-tespit-ve-izleme-sistemleri- 2.html https://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/merkezi-tehdit-tespit-ve-izleme-sistemleri- 3.html https://www.digitalocean.com/community/tutorials/how-to-monitor-ossec-agents-using-an-ossec- server-on-ubuntu-14-04 http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/ossec-acik-kaynak-kodlu-saldiri-tespit- sistemi-ve-kurulumu.html http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/ossec-acik-kaynak-kodlu-saldiri-tespit- sisteminin-yapilandirilmasi.html

Recommended

Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiBilgiO A.S / Linux Akademi
 
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringBilgiO A.S / Linux Akademi
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Hacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellHacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellAdeo Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

Recommended

Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiBilgiO A.S / Linux Akademi
 
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringBilgiO A.S / Linux Akademi
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Hacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellHacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellAdeo Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıKurtuluş Karasu
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet AraştırmasıISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet AraştırmasıBGA Cyber Security
 
Her yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiHer yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiAhmet Han
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriFatih Ozavci
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunumeroglu
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIBGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıBGA Cyber Security
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Turkhackteam Blue Team
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiSızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiFerhat Ozgur Catak
 
Scada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiScada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiAhmet Gürel
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziBGA Cyber Security
 
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARIMICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARIBGA Cyber Security
 
linux-enterprise-cluster
linux-enterprise-clusterlinux-enterprise-cluster
linux-enterprise-clusterKurtuluş Karasu
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 

More Related Content

What's hot

Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıKurtuluş Karasu
 
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet AraştırmasıISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet AraştırmasıBGA Cyber Security
 
Her yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiHer yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiAhmet Han
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriFatih Ozavci
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunumeroglu
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIBGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıBGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiSızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiFerhat Ozgur Catak
 
Scada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiScada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiAhmet Gürel
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziBGA Cyber Security
 
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARIMICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARIBGA Cyber Security
 

What's hot (20)

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
 
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet AraştırmasıISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
 
Her yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiHer yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliği
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage Kullanımı
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri Yontemleri
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – II
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
 
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı Araçları
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
 
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiSızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
 
Scada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiScada Sistemleri ve Güvenliği
Scada Sistemleri ve Güvenliği
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
 
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARIMICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI
 

Viewers also liked

Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Bünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiBünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiKasım Erkan
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKasım Erkan
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiDevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiBilgiO A.S / Linux Akademi
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk M sharifi
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM AlienVault
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 

Viewers also liked (20)

linux-enterprise-cluster
linux-enterprise-clusterlinux-enterprise-cluster
linux-enterprise-cluster
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Puppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi OtomasyonuPuppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi Otomasyonu
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim Sunumu
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) Eğitimi
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
Bünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiBünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisi
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 
Kurtulus
KurtulusKurtulus
Kurtulus
 
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiDevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
 
Sızma Testleri Sonuç Raporu
Sızma Testleri Sonuç RaporuSızma Testleri Sonuç Raporu
Sızma Testleri Sonuç Raporu
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 

Similar to Ossec kurulumu

Işletim sistemi kurulumu
Işletim sistemi kurulumuIşletim sistemi kurulumu
Işletim sistemi kurulumuErol Dizdar
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
Işletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleriIşletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleriErol Dizdar
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta GüvenliğiFevziye Tas
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıBGA Cyber Security
 
Ofansif ve Defansif Powershell
Ofansif ve Defansif PowershellOfansif ve Defansif Powershell
Ofansif ve Defansif PowershellBGA Cyber Security
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
Sunucu işletim sistemi 1
Sunucu işletim sistemi 1Sunucu işletim sistemi 1
Sunucu işletim sistemi 1Erol Dizdar
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 

Similar to Ossec kurulumu (11)

Işletim sistemi kurulumu
Işletim sistemi kurulumuIşletim sistemi kurulumu
Işletim sistemi kurulumu
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
 
Işletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleriIşletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleri
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım Kitapçığı
 
Ofansif ve Defansif Powershell
Ofansif ve Defansif PowershellOfansif ve Defansif Powershell
Ofansif ve Defansif Powershell
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
Sunucu işletim sistemi 1
Sunucu işletim sistemi 1Sunucu işletim sistemi 1
Sunucu işletim sistemi 1
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 

More from Kurtuluş Karasu

Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)Kurtuluş Karasu
 
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve ÇözümüWordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve ÇözümüKurtuluş Karasu
 
USB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ AdaptörüUSB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ AdaptörüKurtuluş Karasu
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Kurtuluş Karasu
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 

More from Kurtuluş Karasu (10)

Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
 
Ubuntu Kurulum Dokümanı
Ubuntu Kurulum DokümanıUbuntu Kurulum Dokümanı
Ubuntu Kurulum Dokümanı
 
Centos kurulumu
Centos kurulumuCentos kurulumu
Centos kurulumu
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem Yönetimi
 
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
 
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve ÇözümüWordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
 
USB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ AdaptörüUSB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ Adaptörü
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 

Ossec kurulumu

  • 1. OSSEC (HIDS) (Host-Based Intrusion Detection System) İçindekiler OSSEC (HIDS) ................................................................................................................................ 1 (Host-Based Intrusion Detection System)........................................................................................ 1 OSSEC Nedir?............................................................................................................................ 2 OSSEC Özellikleri ....................................................................................................................... 2 OSSEC Mimarisi......................................................................................................................... 3 OSSEC HIDS Log Analizi.............................................................................................................. 4 OSSEC Sunucu Kurulumu............................................................................................................ 4 OSSEC Konfigürasyon Dosyası................................................................................................. 9 OSSEC Güvenlik Duvarı Ayarı .................................................................................................11 AGENT Kurulumu .....................................................................................................................12 CentOS.................................................................................................................................12 Windows..............................................................................................................................18 Alert Logları.............................................................................................................................21 Kaynaklar.................................................................................................................................22
  • 2. Veri merkezlerinde tüm sistemlerin loglarınınizlenmesi ve olasıanormallikleri tespitedip, müdahale edilebilmesi içinproaktif birsistemyönetimininkurulmasıgerekmektedir. Böylebirproaktif sistem kurulumuolarak NIDS(network-basedintrusiondetection ) ve HIDS (host-basedintrusiondetection) olmaküzere iki farklıyöntembulunmaktadır.Bumakalede OSSEC(HIDS) yöntemi kullanaraklog izleme (monitorig),dosyabütünlükkontrolü,rootkittespiti özelliklerine değineceğiz. OSSEC Nedir? OSSEC,TrendMicro tarafındandesteklenen,tamamenaçıkkaynakkodlu,standaloneçalışabildiği gibi,agent/masteryapısıile merkezi yönetimde sağlayabilenbirhost-basedsaldırıtespitsistemidir. Temel olarakloganalizi (loganalysis),dosyabütünlükkontrolü (integritychecking),rootkittespiti (rootkitdetection),gerçekzamanlıalarmüretme (real-timealerting) ve tespitedilensaldırılara karşılık aktif cevapverme (active response)özelliği ileanlıkaksiyonlaralmagibi özellikleri bulunmaktadır. OSSEC, bir çok platformda(Linux,Unix,Windows,Vmware ..) çalışabilmektedir. Agentless özelliği ile de router,switchgibi ağ cihazlarınınlogizlenmesisağlanabilmektedir. OSSEC Özellikleri  Log İzleme(Monitoring):Sistemloglarınıizleyipanalizederve herhangi birproblemtespit edilirse alarmüretebilir.Örnek; websunucusunaaitloglarabirsızma girişimini işareteden loglardüşmeye başladığızamanalarmüretilebilir.  Dosya BütünlükKontrolü(File IntegrityChecking): Sistemdeki dosyalarınbelirli periyotlarda kontrol edilmesini sağlar.Böylce kontrol edilmekistenendosyalarınhash’ini alırve üzerinde değişiklikyapılan dosyalarıntespitedilip,alarmüretilmesi için herkontrolde birönceki durumlakarşılaştırarakdosyanındeğiştirilipdeğiştirilmediği tespitedilir.Örnek;sisteme sızmaya çalışanbirisinintemel özelliklerindenbirisisteme üzerindekibelirli dosyaları
  • 3. değiştirmekyadayeni dosyalareklemektir.Budurumdadosyabütünlükkontrolüile sistem üzerinde yapılanlartespitedilebilir.  Rootkit Tespiti:Sistemlerüzerindeperiyodikolarakrootkittaramasıyapılabilirve böylece tarama esnasındaherhangi birrootkit,trojanveyavirüstespitedilirse anındaalarm üretilebilir. Örnek;Rootkitpskomutununişlevinideğiştirerekkullanıcılarınbazıprocessleri görmesini engeller.  Active Response:Sistemlerüzerindeherhangibiranormalliktespitedildiğinde anında aksiyonalınabilir.Örnek;websunucuüzerinde taramayapanbirisininipadresi loglar üzerindentespitedildiğindeanındabuipnin bloklanmasısağlanabilir. OSSEC Mimarisi Server:OSSEC ServeryadaManager olarakadlandırılanbileşenveri merkezinekurulanOSSECHIDS sistemininmerkezi yönetimyeridir. Agent: HIDStemelli izlenmesiniistediğimizherbirsistemekurulanbileşendir.Amaçsistemloglarını toplamakve analizedilmesi içinOSSECserver’a göndermektir.Agentkurulumuiçindüşükyetkili kullanıcıyeterlidirve agentile ilgilikonfigürasyonunçoğuOSSECservertarafındantutulmaktadır. Agentless:HIDStemelli izlenmesini istediğimizve agentkuramadığımızsistemleri izlemekiçin kullanılanbileşendir. Örnek;Güvenlikduvarı,ağanahtarı, yönlendirici gibi ağcihazlarınaagent kurulamadığıiçinbu özellikkullanılmaktadır. Syslog: Syslogözelliği olancihazlardansyslogile loglar ossecserver’agönderilerekloglar analiz edilebilir. Aktif ağcihazlarınınloglarınıalıp,analizetmekiçinideal biryöntemdir. Yukardaki şekilde temelolarakgörüldüğüüzereloglarıalınmakistenensunuculara agentkurulumu yapılıp,loglarOSSEC Server’agönderilirve ossecserverüzerinde analizyapılarak,alarmüretilebilirve
  • 4. bu alarmlogları arşivlenebilir.Agentile birlikteaktif ağcihazlarınınloglarınınanalizi içinsyslog da kullanılır. OSSEC HIDS Log Analizi Ossecserver’aanalizişlemi içinbirloggeldiğinde öncelikliolarakdecodingişlemi gerçekleştirilerek logiçerisindeki ilgili bilgilerçıkartılır.Bu decodingişlemiiki aşamadanmeydanagelmektedir.Birinci aşama pre-decodingişlemidirve pre-decodingesnasındatarih-saat,hostname,programismi ve log bilgileri ayrıştırılır.İkinci aşamadadecodingişleminde isesabitolmayanve kurallarlailişkilendirilmek istenenbilgilerayrıştırılır.Örneğin;ipadresi,portnumarası,kullanıcıadı vb. Log üzerinde ilgili bilgiler ayrıştırıldıktan sonraosseckonfigürasyondosyasındatanımlanankurallarlaeşleştirmeyapılarak alarm üretilmesi sağlanır. OSSEC Sunucu Kurulumu Ossecserverkurulumunu CentOSLinux release 7.2.1511 (Core) işletimsistemine kuruyorolacağız. CentOSişletimsistemini minimal kurduğumuziçin,ossecile ilgili gereklipaketleriyüklüyoruz. [root@ossec~]# yum update [root@ossec~]# yum groupinstall "Development tools" Not: Zaman ve tariheş zamanlamasıiçinntpsunucuayarını yapmayıunutmuyoruz. OSSEC (HIDS) Manager/Agentkurulumunageçişyapmakiçin,OSSEC(HIDS) paketini aşağıdabelirtilen linktenindiriyoruz. http://ossec.github.io/downloads.html
  • 5. şu an sonsürüm olarakossec2.8.3 paketini indiriyoruzve kontrol etmekiçinchecksumdosyasınında indiriyoruz.İndirme işlemindensonraaşağıdaki şekilde görüldüğüüzere hashkontrolü gerçekleştiriyoruz. Daha sonra aşağıda belirtildiği gibi “tar”komutunukullanarakçıkartıyoruz. [root@ossec ~]# tar -zxvf ossec-hids-2.8.3.tar.gz Çıkartılan dizine geçipkurulumuaşağıdaki şekilde görülüğüüzere başlatıyoruz. [root@ossec ossec-hids-2.8.3]# ./install.sh Yukarıdaki şekilde görüldüğüüzere kurulumuhangi dildeyapacağımızsoruyor. Kurulumaİngilizce olarakdevamediyorum.
  • 7. Yukardaki şekilde görüldüğüüzereöncelikli olarakne türbirkurulumyapmakistediğimizi soruyor. Ossecserverkurulumu yapacağımıziçinburada“server”yazıp entertıklıyoruz. İkinci olarakossecserverkurulumununhangi dizine kurulacağınısoruyor. Varsayılandizine kurulsun diyipilerliyoruz. Üçüncü olarak uyarıları e-mail olarakalıpalmayacağımızısoruyor şimdilik “n”seçerekdevam ediyorum. İleride konfigürasyondosyasıüzerinde değişiklikyaparakaktif hale getireceğiz. Dördüncüolarak dosyabütünlükkontrolünüsoruyor.Aktif etmekistediğimiçin “y”diyerekdevam ediyorum. Beşinci olarak Rootkittespiti kontorlünüsoruyor.Aktif etmek istediğimiçin“y”diyerekdevam ediyorum. Altıncı olarak Active response kontrolünüsoruyor.Aktif etmek istediğimiçin“y”diyerekdevam ediyorum. Yukardaki şekilde görüldüğüüzereRemote olaraksyslogüzerindenlogalmakiçin remote syslog’u aktif ediyoruz. Logların analizedileceğidizinlerbelirtilip,entertıkladığımızdapaketkurulumubaşlayacaktır.
  • 8.
  • 9. Yukardaki şekilde görüldüğüüzerekurulumtamamlanmışolup,OSSECservisininçalıştırılması- durdurulması,konfigürasyondosyasınınyeri ve agentyönergelerininbulunduğubilgi ekranıile karşılaşacaksınız. Bu aşamada ossecserverkurulumutamamlanmışolduğunagöre,ossecservisini başlattığımızdaossec kendi local hostunuizlemeye başlayacaktır. [root@ossec~]# /etc/init.d/ossecstart Ossecserverüzerinde çalışanservisleri görüntülemekiçinaşağıdaki komutukullanabilirsiniz. [root@ossec~]# ps -auwx |grep "ossec" |grep -v "grep" OSSEC KonfigürasyonDosyası Osseckonfigürasyondosyası“/var/ossec/etc/ossec.conf”dur. [root@ossec~]# vi /var/ossec/etc/ossec.conf Aşağıda şekildegörüldüğügibimail konfigürasyonunuyapabilirsiniz. Mail konfigürasyonundae- postalarıngönderilmesini istediğinizpostaadresini ve e-postasunucusununipadresini giriyoruz. Burada e-postasunucusuolarakrelayizni olankendi e-postasunucunuzu kullanabilirsiniz.
  • 10. Konfigürasyondosyasındaherhangi bir değişiklikyapıldığındaossecservisi yenidenbaşlatılmalıdır. Osseckonfigürasyondosyasındaki temel bölümler <global> Bu bölümde e-postaayarlarıve whitelistiptanımlarıyapılmaktadır. </global> <rules> Bu bölümde logizlenmesi esnasındahangi kurallarınaktif olduğuyazılmaktadır.Varayılanolarak belirli kurallaraktif olarakgelmektedir.Buradayazılankurallar“/var/ossec/rules”dizinialtında bulunmaktadır. </rules> <syscheck> Bu bölümde dosyabütünlükkontrolüyapılmaktadır.Varsayılanolarak belirlidosyalardaki değişiklikler belirli sıklıklardakontrol edilirken,belirli dosyalarındakontrol edilmediği belirtilmiştir. </syscheck> <rootcheck> Bu bölümde rootkitkontrolüyapılırkenkullanılanilgili veritabanlarıbelirtilmiştir. </rootcheck> <remote>
  • 11. Bu bölümiki türlübulunmaktadır.Bağlantıayarı secure olanagentların kullandığıUDP 1514 portundançalışanbağlantıdır. Bağlantıayarı syslogolansyslogüzerindenlogtoplayıp,analizetmek içinUDP 514 portundançalışanbağlantıdır. Syslogüzerindelogalınacakağ bilgisinin <allowed- ips>192.168.46.0/24</allowed-ips> belirtildiğigibi konfigürasyonaeklenmesi gerekmektedir. </remote> <alerts> Bu bölümde analizedilenloglarüzerinden hangi seviyedealarmüretileceği belirleniyor.Ayrıcahangi seviyedekialarmlarıne-postaolarakgönderilmesi bekleniyor. </alerts> <active-response> Bu bölümde active response özelliğininkullanılacağıkomutlar ve bloklamaişlemininnasıl yapılscağı tanımlanmaktadır. </active-response> <command> Bu bölümde active response özelliğindekullanılacakkomutlartanımlanmaktadır. </command> <localfile> Bu bölümde izlenmesi istenenlogdosyalarınınyerleri ve formatlarıtanımlanmaktadır.Agentlardada izleneceklogdosylarınıntanımlamasıbuşekildegirilmektedir. </localfile> Daha detaylıkonfigürasyonbilgileri için http://ossec- docs.readthedocs.org/en/latest/syntax/ossec_config.html adresindeninceleyebilirsiniz. OSSEC GüvenlikDuvarıAyarı OSSEC serveragentlarlailetişimde UDP1514 portunukullandığıiçinve syslogüzerindenalınanloglar için de UDP 514 portukullanıldığıiçinsunucuüzerinde buiki portaizinverilmelidir. -A INPUT-p udp --dport514 -s 192.168.46.0/24 -jACCEPT -A INPUT-p udp --dport1514 –s 192.168.46.0/24 -jACCEPT Yukarıda belirtilen örnekte CentOS6sürümleri için 192.168.46.0/24 ağında UDP 1514 ve 514 portlarınaizinverilmektedir. Aşağıdaki şekildegörüldüğüüzere CentOS7sürümüiçin UDP 1514 ve 514 portlarının güvenlikduvarıkonfigürasyonuyapılmıştır.
  • 12. AGENT Kurulumu Ossecserverkurulumve konfigürasyonçalışmalarıtemel olaraktamamlandığınagöre loglarını izlemekve analizetmekistediğimizsunucularaagentkurulumuyapabiliriz. İzlemekistediğimiz sunucularaagentyükleme işlemi birkaçadımdagerçekleşir;  Agentkurulumuyapılır.  Ossecserverüzerinden herbiragentiçinkeyoluşturulur.  Oluşturulanbukey’leragentlarayüklenir.  Agentenönemli özelliklerindenbiri server/clientarasındailetişiminşifreli gerçekleşmesi. CentOS Centosrelease 6.6(Final) üzerine agentkurulumuyapacağız.Kurulumuyapmakiçinaşağıdaki linkten ossecpaketini indiriyoruz. Ossecserverkurulumuiçinpaketi zatenindirmiştik.Sadece kurulum esnasındaserverdeğil,agentkurulumugerçekleştireceğiz. http://ossec.github.io/downloads.html paketi indirdiktensonraaşağıdaki komutukullanarakçıkartıyoruz. Kurulumubaşlatıyoruz. [root@centos6 ~]# tar -zxvfossec-hids-2.8.3.tar.gz [root@centos6 ossec-hids-2.8.3]#./install.sh
  • 13. Yukarıdaki şekilde görüldüğüüzere ossecserverdaki kuruluma benzerşekilde dil’iseçipdevam ediyoruz. Hangi tür kurulumyapacağımızısoruyor“agent” yazıp devamediyoruz. Hangi dizine kurulumyapacağımızısoruyor“/var/ossec”varsayılanolarakbırakıp devamediyoruz. OSSEC Serveripadresini soruyor ossecserveripadresini giripdevamediyoruz. Dosyabütünlükkontrolüyapıpyapmayacağımızısoruyor“y” diyip devamediyoruz. Rootkittespitedipetmeyeceğimizi soruyor“y”diyipdevamediyoruz. Active reponse özelliğini aktif edipetmeyeceğimizisoruyorşimdilik“n”diyipdevamediyoruz.
  • 14. Bu aşamadansonra varsayılanolarakhangi log dosyalarınıizleyeceğini gösteripentertıkladığımızda kurulumbaşlayacaktır. Eğer kurulumhatavermedendevamederse,aşağıdaki şekildegörüldüğügibi birçıktı verecektir. Agentkurulumunutamamladığımızagöre ossecservertarafındaekleme işlemine geçipkey oluşturabiliriz. Ossecserverüzerinde agentlarlailgiliyönetimişlerini “manage_agents”uygulamasıile yapılmaktadır.Aşağıdabelirtildiğişekildeuygulamakomutunuçalıştırıyoruz. [root@ossec~]# /var/ossec/bin/manage_agents Aşağıdaki şekildegörüldüğüüzere uygulamaçalıştığındayapılabilecekyönetimişlerininlistesi ekrana gelmektedir.Şekildegörüldüğüüzere  “A” yeni agentekleyebiliriz.  “E” eklenmişagentakeyalmak
  • 15.  “L” ekli agentlarılisteler  “R” agentkaldırmaişlemi yapılabilir  “Q” uygulamadançıkmakiçin Sisteme agentekleme işlemi yapacağımıziçin“A”diyerekdevamediyoruz.Aşağıdaki şekilde görüldüğüüzere agentiçinbirisim,ipadresini ve biridsoruyor.Agentidvarsayılanolarakkabul ediyorum.Böylece sistemherbiragenteklendiğindeidyi otomatikolarakarttırarakdevamedecektir. Agentekleme işlemindensonrauygulamaanaekranadönecektir.Buaşamadailgili agentiçinanahtar (key) oluşturacağız. Anahtaroluşturmakiçin“E” yazıp devamediyoruzve sistemagentlarılisteleyip,anahtarını görüntülemekistediğimizagentınidsini girmemizistiyor.Aşağıdaki şekildegörüldüğüüzere idyi girdiğimizde bizebuagentın anahtarını veriyor.Anahtarıkopyaladıktansonrauygulamadan“Q” diyerekçıkıyoruz.
  • 16. Uygulamadançıktıktan sonradeğişiklikleringeçerli olmasıiçinossecserverınyenidenbaşlatıyoruz. [root@ossec~]# /var/ossec/bin/ossec-control restart Ossecserverüzerinde agentileilgiliişlemleritamamladığımızagöre,kopyaladığımızanahtarıagenta importetme işlemine geçebiliriz. Agenttarafındayine “manage_agents”uygulamasınıkullanarakimportişlemini gerçekleştireceğiz. [root@centos6 ~]# /var/ossec/bin/manage_agents Aşağıdaki şekildegörüldüğüüzere agenttarafında “manage_agents”uygulamasınınözellikleri farklıdır. Aşağıdaki şekilde görüldüğüüzeresadece importişlemi yapmakiçingerekliözellikvardır. Ossecserverüzerinde oluşturduğumuzanahtarıimportetmekiçin“I”diyipdevamediyoruz. Aşağıdaki şekildegörüldüğüüzere kopyaladığımızanahtarıilgili yere yapıştırıyoruzve “y” diyerek onaylıyoruz.
  • 17. Anahtarimportişlemi tamamlanınca“Q”diyerekuygulamadançıkıyoruzve değişiklikleringeçerli olmasıiçinagentı yenidenbaşlatıyoruz. [root@centos6 ~]# /var/ossec/bin/ossec-control restart Agentkurulumişlemi tamamlanmıştır.Ossecservertarafındavarsayılanayarlarlaizlemeişlemi başlamışolmasıgerekmektedir. Aktif olanagentları aşağıdaki şekilde görüldüğüüzerelisteleyebiliriz. Agent kontrol
  • 18. Windows Windows2008R2 üzerine agentkurulumuyapacağız.Kurulumuyapmakiçin aşağıdaki linktenossec windowsçalıştırılabilirdosyasınıindiriyoruz. http://ossec.github.io/downloads.html windows üzerinde agentexedosyasınıçalıştırdığımızdaaşağıdaki şekillerde görüldüğüüzere next, nextdiyerekagentkurulumunutamamlıyoruz.
  • 19.
  • 20. Agentkurulumusonrasıossecagentmanagerçalışacaktır. Aşağıdaki şekildegörüldüğüüzere ossec serveripadresini ve bumakineninanahtarınısoruyor.Anahtarelde etme işlemini birönceki bölümde anlatıldığıgibi elde edip,ossecserveripadresini ve anahtarıgiripkaydediyoruz. İlgili bilgileri kaydettiktensonra“Manage”sekmesindenStartOSSECtıkladığımızda agentservisi çalışacaktır. Agentsağ altköşesindenservisinStartedolduğunugörüyorolmalısınız.
  • 21. Windowsagentkurulumlarıdatamamlandığınagöre agentların durumunu kontrol etmekiçinaşağıda belirtilenkomutlarıçalıştırıyoruz. Aşağıdaki şekilde görüldüğüüzerewindows2008Ragentımızaktif durumdadır. [root@ossec~]# /var/ossec/bin/list_agents –a [root@ossec~]# /var/ossec/bin/agent_control -lc Aşağıdaki şekildegörüldüğüüzere local ve windows2008R2 makineninaktif olduğunugörüyoruz. Not: Agenttarafındaki tümkonfigürasyonlaragentosseckonfigürasyondosyasıüzerinden yapılmaktadır.Agenttarafındaki konfigürasyondosyasınıincelersenizişletimsistemiüzerindeki hangi logdosyalarınınanalizedilmesi,dosyabütünlükkontrolüyapılandosyalarınhangileri olduğuve rootkitkontrolüyapılmasıiçinkullanılanilgili veritabanlarınıgörebilirsiniz. Alert Logları Ossecserver/clientkurulumçalışmalarıtemel olaraktamamlanmıştır. Local makine dışında,biradet centosve bir adetwindowsmakine üzerindenloglaralınıp,analizedilmektedir.Buanalizsonucunda oluşanalarmlarossecserverüzerinde /var/ossec/logsdizini altındakaydedilmektedir. Buradanlogları inceleyebilirsiniz.
  • 22. Kaynaklar http://ossec-docs.readthedocs.org/en/latest/manual/index.html http://ossec.github.io/docs/ https://www.syslogs.org/ossec-hids-kurulumu-ve-yapilandirmasi/ https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security- notifications-on-ubuntu-14-04 http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/merkezi-tehdit-tespit-ve-izleme-sistemleri- 1.html http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/merkezi-tehdit-tespit-ve-izleme-sistemleri- 2.html https://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/merkezi-tehdit-tespit-ve-izleme-sistemleri- 3.html https://www.digitalocean.com/community/tutorials/how-to-monitor-ossec-agents-using-an-ossec- server-on-ubuntu-14-04 http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/ossec-acik-kaynak-kodlu-saldiri-tespit- sistemi-ve-kurulumu.html http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/ossec-acik-kaynak-kodlu-saldiri-tespit- sisteminin-yapilandirilmasi.html