Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Bu döküman Adli Bilişim Nedir?,Adli Bilişim Uzmanı ne yapar?,Nasıl Adli Bilişim Uzmanı olunur ve hangi sertifakalar alınır gibi temel konuları anlatmak için hazırlanmıştır.Sunumda Adli Bilişimde kullanılan araçların isimlerinide yer verilmiştir.Umarım işinize yarar. www.gurelahmet.com ve ahmetgurel.yazilim@gmail.com üzerinden ulaşabilirsiniz.
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Bu döküman Adli Bilişim Nedir?,Adli Bilişim Uzmanı ne yapar?,Nasıl Adli Bilişim Uzmanı olunur ve hangi sertifakalar alınır gibi temel konuları anlatmak için hazırlanmıştır.Sunumda Adli Bilişimde kullanılan araçların isimlerinide yer verilmiştir.Umarım işinize yarar. www.gurelahmet.com ve ahmetgurel.yazilim@gmail.com üzerinden ulaşabilirsiniz.
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Pardus Kurulumu
PARDUS, Debian GNU/Linux [1] temelli açık kaynak kodlu bir işletim sistemidir. İnternet üzerinden ücretsiz olarak indirilebilmekte ve kolay kurulabilmektedir. Kişisel veya kurumsal kullanımlar için Pardus’un rekabet edebilir ve sürdürülebilir bir işletim sistemi haline getirilmesi için TÜBİTAK ULAKBİM bünyesinde geliştirme ve idame çalışmaları devam ettirilmektedir.
OSSEC (HIDS)
Veri merkezlerinde tüm sistemlerin loglarının izlenmesi ve olası anormallikleri tespit edip, müdahale edilebilmesi için proaktif bir sistem yönetiminin kurulması gerekmektedir. Böyle bir proaktif sistem kurulumu olarak NIDS (network-based intrusion detection ) ve HIDS (host-based intrusion detection) olmak üzere iki farklı yöntem bulunmaktadır. Bu makalede OSSEC (HIDS) yöntemi kullanarak log izleme (monitorig), dosya bütünlük kontrolü, rootkit tespiti özelliklerine değineceğiz.
2. Siber Tehdit Avcılığı
● Siber saldırılar çeşitli yöntemler ve taktikler kullanılarak
gerçekleştirilmektedir.
● Herhangi bir siber saldırı durumuyla karşılaştığınızda veya
şüphelendiğinizde bir çok noktanın araştırılması gerekmektedir.
– Bu tür durumlarda kritik logları kapsamlı bir şekilde analiz
ederek siber saldırı durumunun genel resmini olabildiğince
doğru tespit etmek gerekir.
– Analiz sonucunda iyileştirici tedbirler almak için gerekli olan
bilgiler ortaya çıkarılmalıdır.
3. Siber Tehdit Avcılığı
● Bu dokümanda siber saldırı yöntemleri arasında kullanılan
psexec aracını inceleyeceğiz.
● PsExec kullanıldığında
– Sunucu tarafından oluşması beklenen loglar nelerdir?
– Istemci tarafında oluşması beklenen loglar nelerdir?
– Sistemler üzerindeki default ayarlar, oluşması beklenen
loglar için yeterli mi?
– Değilse?
– Yeterli bilgi içeren logları elde etmek için yapılması gereken
ayarlar nelerdir?
4. Siber Tehdit Avcılığı
● Amaç-1:
– PsExec aracını kullanan saldırganların arkada bıraktıkları
izleri analiz ederek, saldırganların tespit edilmesini
sağlamaktır.
● Amaç-2:
– Siber olaylara müdahale kapsamında alınan SIEM ürünleri
yeterli seviyede kurgulanmadığında, saldırıların tespit
edilemeyeceğini göstermek.
5. PsExec Avcılığı
● Bu çalışma sanal yapıda bulunan Windows 2012R2 Domain
controller ve Windows-7 istemciden oluşan bir yapı üzerinde
gerçekleştirilmiştir.
– Kaynak makine (Source host): Windows-7
– Hedef makine (Destination host): Win2012R2
● PsExec çalıştırıldığından kaynak ve hedef makine üzerinden
oluşan bir takım loglar analiz edilecektir.
6. Windows-7 Log Analizi
Sysmon
● Event ID : 1 (Process Create)
– PsExec64.exe
– Uzaktan çalıştırılan komut “CommandLine” bölümünde görülmektedir.
8. Windows-7 Log Analizi
Security
● Event ID : 4688 (A new process has been created)
● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde
edilebilmektedir.
9. Windows-7 Log Analizi
Security
● Event ID : 4689 (A process has exited)
● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde
edilebilmektedir.
10. Windows-7 Log Analizi
Registry
● PsExec kayıt defteri bilgisi
● Bilgisayar üzerinde PsExec daha önce çalıştırılmışsa, kayıt defterinde bir
değişiklik görülmeyecektir.
11. Windows 2012R2 Log analizi
Sysmon
● Event ID : 1 (Process Create)
● PsExec hedef makine üzerinde çalıştırdığı process
"C:WindowsPSEXESVC.exe"
● Kullanıcı bilgiside görülmektedir.
12. Windows 2012R2 Log analizi
Sysmon
● Event ID : 5 (Process Terminated)
● "C:WindowsPSEXESVC.exe" sonlandırılmıştır.
13. Windows 2012R2 Log analizi
System
● Event ID : 7045 (A service was installed in the system)
● Yüklenen servisin adı ve yerini görebiliyoruz.
14. Windows 2012R2 Log analizi
System
● Event ID : 7036 (The service entered the running state)
● Servis çalışır durumunu gösteren logu görüyoruz.
15. Windows 2012R2 Log analizi
System
● Event ID : 7036 (The service entered the stopped state)
● Servisin durduğunu gösteren logu görüyoruz.
16. Windows 2012R2 Log analizi
Security
● Event ID : 5156 (The Windows Filtering Platform has permitted a
connection)
● Port 445 üzerinden
bağlantı bilgileri
17. Windows 2012R2 Log analizi
Security
● Event ID : 5156 (The Windows Filtering Platform has permitted a
connection)
● Port 135 üzerinden
bağlantı bilgileri
18. Windows 2012R2 Log analizi
Security
● Event ID : 5140 (A network share object was accessed)
● Bağlantı yapan kullanıcı
bilgisi
● ip adres bilgisi
● Paylaşım bilgisi
gibi bilgiler görülmektedir.
19. Windows 2012R2 Log analizi
Security
● Event ID : 4672 (Special privileges assigned to new logon)
● Bağlantı yapan kullanıcı
bilgisi
● Atanmış yetkiler
gibi bilgiler görünmektedir.
20. Windows 2012R2 Log analizi
Security
● Event ID : 5145 (A network share object was checked to see whether client
can be granted desired access)
● Event ID: 5145 logu birden fazla oluşabilir.
● ip adres bilgisi
● Bağlantı yapan kullanıcı bilgisi
● Hedef bilgisi gibi bilgiler görülmektedir.
21. Sonuç
● Varsayılan Windows ayarları ile yeterli miktarda log tutulmadığını unutmayın.
● Ayrıntılı log elde etmek için önceden yapılandırılması gerekenler
– Gerekli denetim ilkesi logları
– Sysmon
●
Bu ayarlar yapıldığında sistemler üzerinde oluşan log kayıtlarındaki artış, yapı
kurulurken dikkate alınmalıdır.
● Siber saldırılar oldukça/arttıkça veya şüpheli durumlarda izleri takip edebilmek ve
ayrıntılı inceleme yapabilmek önemlidir. Bundan dolayı eğer verimli bir yapı
oluşturulmazsa, olay incelemeleri çözülemeyebilir.
– Saldırgan ne yaptı?
● PsExec kullanıldığında burada analiz edilen loglar dışında çıkabilecek ek loglar
olabilir.