2. @BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
BGA | Hakkında
4. @BGASecurity
Ajanda BGA | NETSEC
Sysmon
Wazuh
Mitre ATT&CK
➢ Yapısı ve yetenekleri
➢ Örnek kural yazılması ve Sysmon kurulumu
➢ Sysmon loglarının takip edilmesi
➢ Neden Sysmon?
➢ Wazuh ile Sysmon loglarının toplanması
➢ Log analizi ve alarm oluşturulması
➢ Alarmların görüntülenmesi ve görselleştirilmesi
➢ Wazuh nedir?
➢ Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
➢ Örnek Mitre ATT&CK senaryosu
➢ Nedir?
Uygulama
Ekstra
Kaynaklar
➢ PLATINUM grubuna ait aktivitelerin
Sysmon ile tespit edilmesi
➢ Logların Wazuh ile toplanması ve alarm üretilmesi
➢ Alarmları görselleştirme ve olay analizi
➢ Windows 10 Sysmon kurulumu
➢ Sysmon loglarını alternatif toplama yöntemleri
(nxlog)
➢ Wazuh-SIEM entegrasyon senaryoları
➢ https://documentation.wazuh.com
➢ https://attack.mitre.org/
➢ https://docs.microsoft.com/en-us/sysinternals/
6. @BGASecurity
Sysmon
Sysmon nedir?
BGA | NETSEC
System Monitor (Sysmon) sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak
kayıt edilmeyen olayları kayıt etmeyi sağlayan Windows Sysinternals ailesi içerisinde
yer alan ücretsiz bir araçtır.
Sysmon güncel versiyon: Sysmon v10.0 (Haziran 11, 2019)
Client: Windows 7 and higher.
Server: Windows Server 2008 R2 and higher.
Geliştiriciler: Mark Russinovich and Thomas Garnier
https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysmon
8. @BGASecurity
Sysmon
Yapısı ve yetenekleri
BGA | NETSEC
➢ Komut satırı loglama (current ve parent proccess)
➢ İşlemlere ait dosya özet değeri alma (SHA1 (the default), MD5, SHA256 or IMPHASH)
➢ Birden fazla hash değerini aynı anda kaydedebilme
➢ İşlemlere ait (current ve parent proccess) GUID değerlerini kaydedebilme (korelasyon için)
➢ Driver, DLL yükleme olaylarını imza ve hash değeri ile birlikte kaydedebilme
➢ DNS loglama
➢ Ağ bağlantılarını takip edebilme
➢ Dosya oluşturma zamanındaki değişiklikleri algılama
9. @BGASecurity
Sysmon
Yapısı ve yetenekleri
BGA | NETSEC
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
14. @BGASecurity
Sysmon
Sysmon kurulumu
BGA | NETSEC
Sysmon, takip ettiği olaylarla ilgili analiz yapmaz ve kendisini saldırganlardan korumaya ya da saklamaya çalışmaz.
18. @BGASecurity
Wazuh
Wazuh nedir?
BGA | NETSEC
Açık kaynak kodlu, lisans ücreti olmayan host tabanlı saldırı tespit sistemidir.
Wazuh, tehdit algılama, bütünlük izleme, olaya müdahale, uyumluluk takibi
gibi birçok özelliği içerisinde barındıran güvenlik izleme çözümüdür.
29. @BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
MITRE ATT&CK ™ Framework, saldırıları daha iyi sınıflandırmak, ve bir kurumun riskini
değerlendirmek için tehdit avcıları, kırmızı ve mavi takımların kullandığı kapsamlı taktik
ve tekniklerin yer aldığı matristir.
ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) Framework,
yaklaşık olarak beş yıldır MITRE Corp. tarafından geliştirilmektedir.
https://attack.mitre.org/
37. @BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi
BGA | NETSEC
PLATINUM is an activity group that has targeted victims since at
least 2009. The group has focused on targets associated with
governments and related organizations in South and Southeast Asia.
https://www.microsoft.com/security/blog/2016/04/26/digging-deep-for-
platinum/