SlideShare a Scribd company logo

SecurityOnion ile Ağ güvenliğini İzlemek

Download as PPTX, PDF
Furkan Çalışkan
Furkan Çalışkan

SecurityOnion ile Ağ güvenliğini İzlemek

1 of 29
SecurityOnion ile Ağ Güvenliğini İzlemek Furkan Çalışkan, GCFA, CISA, CISM’
 Güvenlik İzleme & Olay Müdahale Yetkilisi @  www.furkancaliskan.com  GCFA, CISA, CISM, 27001 LA  NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat meraklısı  Öncesi;  TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri  Ziraat Bankası – BT Müfettişi  Netaş – Linux Sistem Programcısı Hakkımda
 Giriş  Neden güvende hissedemiyoruz?  NSM nedir? Neden kaçınılmazdır?  Security Onion  Giriş  Araçlar  Demo  Teşekkürler İçerik
 Gelişen siber tehditler  Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.  False sense of security! (Cahillik, mutluluktur)  SIEM vs. Visibility  Durumsal farkındalık «SA» eksikliği. Büyük yapıların getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.  Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni korur)  «Prevention is ideal but detection is must» Eric Cole Neden güvende hissed(em)iyoruz?
 Assume breach (Aksini kim iddia edebilir?  )  Sistemlerine ait «normal»’i bil.  Sistemlerden toplayabildiğin (ve analiz edebileceğin!) kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)  Bunları kaydet, zenginleştir, korele et.  Otomatikleştir!  Anormallikleri sapta NSM Nedir? CM Nedir?
Vaka: Kullanıcılarınızdan birisi Yandex’e ‘vergi hesaplama’ yazdı ve bir uygulama indirdi Herşey yolunda? % kaç ‘zararlı’? Bir alarm gördüm sanki....
 232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)  İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)  Bu IP’yi Bro datası ile zenginleştirsen;  www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe  Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python  Virustotal )  EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)  EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)  domain_stats ile zenginleştirsen;  domain.com 3 gün önce kaydedilmiş  geo_ip ile zenginleştirsen;  Rusya’da shared hosting sağlayan bir firma  İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10 Veri zenginleştirme?
 Eski Mandiant (Fireeye) çalışanlarından Doug Burks  Şirket içi kullanım amaçlı (Mandiant)  Temelde bir entagrasyon projesi  IDS + Bro + PCAP kayıt + endpoint + loglama + analiz ortamı vb.  Ücretsiz, açık kaynak kodlu  Kurulumu ve kullanımı kolay
 IDS (Saldırı Tespit Sistemi)  Snort yada Suricata: Talos ruleset, ET ruleset  PCAP kayıt  netsniff_ng  Bro  Trafik analiz aracı ~ IDS  Endpoint  Sysmon + Autoruns + OSSEC  Sguil/Squert  Analiz konsolu  Elsa  Loglama modülü   ELK Temel Bileşenler
 3 mod  Standalone  Sensor  Server  Salt ile merkezi yönetim  Donanım planlaması  En az 2 network interface  Disk  Ram  Daha çok ram ve disk!   ‘Production’ ve ‘evaluation’ kurulumlar  Adım adım kurulum rehberi: http://tiny.cc/gazisecon Kurulum https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
IDS (Snort / Suricata) İmza formatı Çıktı alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Pandora Usage"; flow:established,to_server; content:"POST"; http_method; content:"/radio/xmlrpc/"; http_uri; content:"pandora.com|0d 0a|"; http_header; threshold: type threshold, track by_src, count 1, seconds 3600; reference:url,www.pandora.com; classtype:policy-violation; sid:2014997; rev:1;)
Bro conn.log, dns.log, ftp.log, http.log, ssl.log, notice.log, intel.log vb.
Rob Joyce @ NSA//TAO Chief ‘en büyük kabusumuz, tüm ağ akışını loglayan ve o veri içerisinde anormallik arayan birilerinin olması’ https://www.youtube.com/watch?v=bDJb8WOJYdA
PCAP kayıt
Loglama altyapısı (ELSA) Diğer bileşenlerin loglamalarının merkezi olarak toplandığı yer
 OSSEC  Sysmon  Autoruns Endpoint loglama
OSSEC (+Sysmon) - Açık kaynak kodlu LIDS ürünü - Uçnoktalarda görünürlük sağlıyor - Geniş parser desteği - WAZUH fork - Agent kurulumu sıkıntılı (auto-ossec, Puppet vs.) - Sysmon entegrasyonu
Sguil
Büyük resim :)
Örnek zararlı trafik analizi
Analiz Kaynak: malware-traffic-analysis.net
 Docker  ELSA -> ElasticSearch + Logstash + Kibana  domain_stats, freq_server, ElastAlert, Curator  Kullanıma hazır! (Beta) ELK?
ELK?
Kitap tavsiyesi
Teşekkürler https://www.furkancaliskan.com caliskanfurkan@gmail.com https://twitter.com/caliskanfurkan_

Recommended

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10
Murat KARA
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 

Recommended

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10
Murat KARA
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
Pentest rapor örnek
Pentest rapor örnekPentest rapor örnek
Pentest rapor örnek
hamdi_sevben
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest HizmetiBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
BGA Cyber Security
 
Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-
Murat KARA
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
Murat KARA
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
Using Splunk for Information Security
Using Splunk for Information SecurityUsing Splunk for Information Security
Using Splunk for Information Security
Splunk
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
Splunk
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
BGA Cyber Security
 
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
Murat KARA
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaBeyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
PRISMA CSI
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA Cyber Security
 

More Related Content

What's hot

Pentest rapor örnek
Pentest rapor örnekPentest rapor örnek
Pentest rapor örnek
hamdi_sevben
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
BGA Cyber Security
 
Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-
Murat KARA
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
Murat KARA
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
Using Splunk for Information Security
Using Splunk for Information SecurityUsing Splunk for Information Security
Using Splunk for Information Security
Splunk
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
Splunk
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
BGA Cyber Security
 
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
Murat KARA
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaBeyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
PRISMA CSI
 

What's hot (20)

Pentest rapor örnek
Pentest rapor örnekPentest rapor örnek
Pentest rapor örnek
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) Eğitimi
 
Using Splunk for Information Security
Using Splunk for Information SecurityUsing Splunk for Information Security
Using Splunk for Information Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
 
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaBeyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi Toplama
 

Similar to SecurityOnion ile Ağ güvenliğini İzlemek

Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA Cyber Security
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
BGA Cyber Security
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriCihat Işık
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
BGA Cyber Security
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
 
M.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz Asayis
M.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz AsayisM.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz Asayis
M.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz Asayis
Fatih Çengel
 
Log Yönetiminin Artan Önemi
Log Yönetiminin Artan ÖnemiLog Yönetiminin Artan Önemi
Log Yönetiminin Artan Önemi
Burak DAYIOGLU
 
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik Ailesi
ÇözümPARK
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security Solutions
Hakki Aydin Ucar
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
Fevziye Tas
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi Guvenligi
Bilal Dursun
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Kasım Erkan
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 

Similar to SecurityOnion ile Ağ güvenliğini İzlemek (20)

Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit Sistemleri
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
M.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz Asayis
M.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz AsayisM.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz Asayis
M.Ferhan Akman Mehmet Akin Remzi Arslan Mehmet Yavuz Asayis
 
Log Yönetiminin Artan Önemi
Log Yönetiminin Artan ÖnemiLog Yönetiminin Artan Önemi
Log Yönetiminin Artan Önemi
 
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik Ailesi
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security Solutions
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi Guvenligi
 
Tuaghmohammad_Kalte-CV-Guncel
Tuaghmohammad_Kalte-CV-GuncelTuaghmohammad_Kalte-CV-Guncel
Tuaghmohammad_Kalte-CV-Guncel
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 

SecurityOnion ile Ağ güvenliğini İzlemek

  • 1. SecurityOnion ile Ağ Güvenliğini İzlemek Furkan Çalışkan, GCFA, CISA, CISM’
  • 2.  Güvenlik İzleme & Olay Müdahale Yetkilisi @  www.furkancaliskan.com  GCFA, CISA, CISM, 27001 LA  NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat meraklısı  Öncesi;  TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri  Ziraat Bankası – BT Müfettişi  Netaş – Linux Sistem Programcısı Hakkımda
  • 3.  Giriş  Neden güvende hissedemiyoruz?  NSM nedir? Neden kaçınılmazdır?  Security Onion  Giriş  Araçlar  Demo  Teşekkürler İçerik
  • 4.  Gelişen siber tehditler  Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.  False sense of security! (Cahillik, mutluluktur)  SIEM vs. Visibility  Durumsal farkındalık «SA» eksikliği. Büyük yapıların getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.  Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni korur)  «Prevention is ideal but detection is must» Eric Cole Neden güvende hissed(em)iyoruz?
  • 5.  Assume breach (Aksini kim iddia edebilir?  )  Sistemlerine ait «normal»’i bil.  Sistemlerden toplayabildiğin (ve analiz edebileceğin!) kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)  Bunları kaydet, zenginleştir, korele et.  Otomatikleştir!  Anormallikleri sapta NSM Nedir? CM Nedir?
  • 6. Vaka: Kullanıcılarınızdan birisi Yandex’e ‘vergi hesaplama’ yazdı ve bir uygulama indirdi Herşey yolunda? % kaç ‘zararlı’? Bir alarm gördüm sanki....
  • 7.
  • 8.  232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)  İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)  Bu IP’yi Bro datası ile zenginleştirsen;  www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe  Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python  Virustotal )  EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)  EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)  domain_stats ile zenginleştirsen;  domain.com 3 gün önce kaydedilmiş  geo_ip ile zenginleştirsen;  Rusya’da shared hosting sağlayan bir firma  İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10 Veri zenginleştirme?
  • 9.  Eski Mandiant (Fireeye) çalışanlarından Doug Burks  Şirket içi kullanım amaçlı (Mandiant)  Temelde bir entagrasyon projesi  IDS + Bro + PCAP kayıt + endpoint + loglama + analiz ortamı vb.  Ücretsiz, açık kaynak kodlu  Kurulumu ve kullanımı kolay
  • 10.  IDS (Saldırı Tespit Sistemi)  Snort yada Suricata: Talos ruleset, ET ruleset  PCAP kayıt  netsniff_ng  Bro  Trafik analiz aracı ~ IDS  Endpoint  Sysmon + Autoruns + OSSEC  Sguil/Squert  Analiz konsolu  Elsa  Loglama modülü   ELK Temel Bileşenler
  • 11.  3 mod  Standalone  Sensor  Server  Salt ile merkezi yönetim  Donanım planlaması  En az 2 network interface  Disk  Ram  Daha çok ram ve disk!   ‘Production’ ve ‘evaluation’ kurulumlar  Adım adım kurulum rehberi: http://tiny.cc/gazisecon Kurulum https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
  • 12.
  • 13. IDS (Snort / Suricata) İmza formatı Çıktı alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Pandora Usage"; flow:established,to_server; content:"POST"; http_method; content:"/radio/xmlrpc/"; http_uri; content:"pandora.com|0d 0a|"; http_header; threshold: type threshold, track by_src, count 1, seconds 3600; reference:url,www.pandora.com; classtype:policy-violation; sid:2014997; rev:1;)
  • 14. Bro conn.log, dns.log, ftp.log, http.log, ssl.log, notice.log, intel.log vb.
  • 15. Rob Joyce @ NSA//TAO Chief ‘en büyük kabusumuz, tüm ağ akışını loglayan ve o veri içerisinde anormallik arayan birilerinin olması’ https://www.youtube.com/watch?v=bDJb8WOJYdA
  • 17.
  • 18. Loglama altyapısı (ELSA) Diğer bileşenlerin loglamalarının merkezi olarak toplandığı yer
  • 19.  OSSEC  Sysmon  Autoruns Endpoint loglama
  • 20. OSSEC (+Sysmon) - Açık kaynak kodlu LIDS ürünü - Uçnoktalarda görünürlük sağlıyor - Geniş parser desteği - WAZUH fork - Agent kurulumu sıkıntılı (auto-ossec, Puppet vs.) - Sysmon entegrasyonu
  • 21. Sguil
  • 25.  Docker  ELSA -> ElasticSearch + Logstash + Kibana  domain_stats, freq_server, ElastAlert, Curator  Kullanıma hazır! (Beta) ELK?
  • 26. ELK?
  • 28.