Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SecurityOnion ile Ağ güvenliğini İzlemek

771 views

Published on

SecurityOnion ile Ağ güvenliğini İzlemek

Published in: Engineering

SecurityOnion ile Ağ güvenliğini İzlemek

  1. 1. SecurityOnion ile Ağ Güvenliğini İzlemek Furkan Çalışkan, GCFA, CISA, CISM’
  2. 2.  Güvenlik İzleme & Olay Müdahale Yetkilisi @  www.furkancaliskan.com  GCFA, CISA, CISM, 27001 LA  NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat meraklısı  Öncesi;  TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri  Ziraat Bankası – BT Müfettişi  Netaş – Linux Sistem Programcısı Hakkımda
  3. 3.  Giriş  Neden güvende hissedemiyoruz?  NSM nedir? Neden kaçınılmazdır?  Security Onion  Giriş  Araçlar  Demo  Teşekkürler İçerik
  4. 4.  Gelişen siber tehditler  Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.  False sense of security! (Cahillik, mutluluktur)  SIEM vs. Visibility  Durumsal farkındalık «SA» eksikliği. Büyük yapıların getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.  Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni korur)  «Prevention is ideal but detection is must» Eric Cole Neden güvende hissed(em)iyoruz?
  5. 5.  Assume breach (Aksini kim iddia edebilir?  )  Sistemlerine ait «normal»’i bil.  Sistemlerden toplayabildiğin (ve analiz edebileceğin!) kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)  Bunları kaydet, zenginleştir, korele et.  Otomatikleştir!  Anormallikleri sapta NSM Nedir? CM Nedir?
  6. 6. Vaka: Kullanıcılarınızdan birisi Yandex’e ‘vergi hesaplama’ yazdı ve bir uygulama indirdi Herşey yolunda? % kaç ‘zararlı’? Bir alarm gördüm sanki....
  7. 7.  232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)  İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)  Bu IP’yi Bro datası ile zenginleştirsen;  www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe  Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python  Virustotal )  EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)  EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)  domain_stats ile zenginleştirsen;  domain.com 3 gün önce kaydedilmiş  geo_ip ile zenginleştirsen;  Rusya’da shared hosting sağlayan bir firma  İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10 Veri zenginleştirme?
  8. 8.  Eski Mandiant (Fireeye) çalışanlarından Doug Burks  Şirket içi kullanım amaçlı (Mandiant)  Temelde bir entagrasyon projesi  IDS + Bro + PCAP kayıt + endpoint + loglama + analiz ortamı vb.  Ücretsiz, açık kaynak kodlu  Kurulumu ve kullanımı kolay
  9. 9.  IDS (Saldırı Tespit Sistemi)  Snort yada Suricata: Talos ruleset, ET ruleset  PCAP kayıt  netsniff_ng  Bro  Trafik analiz aracı ~ IDS  Endpoint  Sysmon + Autoruns + OSSEC  Sguil/Squert  Analiz konsolu  Elsa  Loglama modülü   ELK Temel Bileşenler
  10. 10.  3 mod  Standalone  Sensor  Server  Salt ile merkezi yönetim  Donanım planlaması  En az 2 network interface  Disk  Ram  Daha çok ram ve disk!   ‘Production’ ve ‘evaluation’ kurulumlar  Adım adım kurulum rehberi: http://tiny.cc/gazisecon Kurulum https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
  11. 11. IDS (Snort / Suricata) İmza formatı Çıktı alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Pandora Usage"; flow:established,to_server; content:"POST"; http_method; content:"/radio/xmlrpc/"; http_uri; content:"pandora.com|0d 0a|"; http_header; threshold: type threshold, track by_src, count 1, seconds 3600; reference:url,www.pandora.com; classtype:policy-violation; sid:2014997; rev:1;)
  12. 12. Bro conn.log, dns.log, ftp.log, http.log, ssl.log, notice.log, intel.log vb.
  13. 13. Rob Joyce @ NSA//TAO Chief ‘en büyük kabusumuz, tüm ağ akışını loglayan ve o veri içerisinde anormallik arayan birilerinin olması’ https://www.youtube.com/watch?v=bDJb8WOJYdA
  14. 14. PCAP kayıt
  15. 15. Loglama altyapısı (ELSA) Diğer bileşenlerin loglamalarının merkezi olarak toplandığı yer
  16. 16.  OSSEC  Sysmon  Autoruns Endpoint loglama
  17. 17. OSSEC (+Sysmon) - Açık kaynak kodlu LIDS ürünü - Uçnoktalarda görünürlük sağlıyor - Geniş parser desteği - WAZUH fork - Agent kurulumu sıkıntılı (auto-ossec, Puppet vs.) - Sysmon entegrasyonu
  18. 18. Sguil
  19. 19. Büyük resim :)
  20. 20. Örnek zararlı trafik analizi
  21. 21. Analiz Kaynak: malware-traffic-analysis.net
  22. 22.  Docker  ELSA -> ElasticSearch + Logstash + Kibana  domain_stats, freq_server, ElastAlert, Curator  Kullanıma hazır! (Beta) ELK?
  23. 23. ELK?
  24. 24. Kitap tavsiyesi
  25. 25. Teşekkürler https://www.furkancaliskan.com caliskanfurkan@gmail.com https://twitter.com/caliskanfurkan_

×