Sevgili üstlerim ve astlarım,
bugün sizlere Wazuh’un ne olduğundan ve örnek bir saldırı tespitinden bahsedeceğim. Hepinize iyi okumalar.
bugün sizlere Wazuh’un ne olduğundan ve örnek bir saldırı tespitinden bahsedeceğim. Hepinize iyi okumalar.
-Wazuh Nedir?-
Wazuh, bir güvenlik olay yönetimi (SIEM) ve log yönetimi çözümüdür. Açık kaynaklı olarak geliştirilmiştir ve şirketlerin, hükümetlerin ve diğer kuruluşların ağlarındaki güvenlik olaylarını izlemelerine, analiz etmelerine ve yönetmelerine yardımcı olur.
-Elasstic Stack-
Elastic Stack, Wazuh gibi güvenlik olay yönetimi ve log yönetimi çözümleri olarak kullanılan açık kaynaklı aracıdır.
ES, Elasticsearch, Logstash ve Kibana gibi açık kaynaklı yazılımlardan oluşan bir üçlüdür. Elasticsearch, büyük miktarda veri depolayabilen ve hızlı bir şekilde arama yapabilen bir arama motorudur. Logstash, farklı kaynaklardan veri toplayabilen bir log toplayıcıdır ve Kibana, Elasticsearch üzerindeki verileri görselleştirmek ve analiz etmek için bir arayüzdür. ES, büyük miktarda veriyi işlemek, analiz etmek ve raporlamak için idealdir.
Wazuh ise, OSSEC'in özelliklerini kullanarak, merkezi bir yönetim paneli aracılığıyla birden fazla ağdaki güvenlik olaylarını izleyebilir ve raporlayabilir. Wazuh ayrıca, sunucu ve istemci makinelerde çalışan birçok farklı güvenlik aracından (örneğin, intrusion detection sistemleri, antivirüs yazılımları, firewall'lar, vs.) verileri toplayabilir ve birleştirebilir. Wazuh, verileri gerçek zamanlı olarak izleyerek ayrıntılı raporlar üretir ve güvenlik ekibi tarafından hızlı bir şekilde yanıt verilmesini sağlar.
ES ve Wazuh, birlikte kullanılabilecek güçlü araçlardır. Wazuh, logları toplamak ve analiz etmek için Logstash gibi araçları kullanabilir ve Elasticsearch'te depolanan verileri görselleştirmek ve analiz etmek için Kibana'yı kullanabilir. Böylece, ES ve Wazuh, büyük ölçekli ağlarda güvenlik olaylarının izlenmesi, analiz edilmesi ve yönetilmesi için kapsamlı bir çözüm sunar.
-Wazuh Ne İçin Kullanılır?-
Wazuh, merkezi bir yönetim paneli aracılığıyla birden fazla ağdaki güvenlik olaylarını izleyebilir ve raporlayabilir. Ayrıca, Wazuh ajanları kurarak, sunucu ve istemci makinelerde çalışan birçok farklı güvenlik aracından (örneğin, intrusion detection sistemleri, antivirüs yazılımları, firewall'lar, vs.) verileri toplayabilir ve birleştirebilir.
Wazuh, verileri gerçek zamanlı olarak izleyerek ayrıntılı raporlar üretir ve güvenlik ekibi tarafından hızlı bir şekilde yanıt verilmesini sağlar. Wazuh ayrıca, birçok farklı veri kaynağından (sunucu, istemci, ağ cihazları vb.) logları toplayarak, birleştirerek ve analiz ederek, güvenlik olaylarının izlenmesini ve analiz edilmesini kolaylaştırır.
Wazuh, açık kaynaklı olması sayesinde özelleştirilebilir ve ölçeklenebilir bir çözümdür. Şirketler, Wazuh'u kurarak güvenlik olaylarını izlemek ve analiz etmek için gereksinim duydukları özellikleri ve ölçeği sağlayabilirler. Wazuh, aynı zamanda, PCI DSS, HIPAA, GDPR gibi düzenlemelere uygunluk sağlayarak, kuruluşların uyum gereksinimlerini karşılamalarına da yardımcı olur.
-Wazuh'un Kullanım Alanları-
Şirketler: Şirketler, Wazuh'u ağlarında güvenlik olaylarını izlemek, analiz etmek ve yönetmek için kullanabilirler. Wazuh, ayrıca, şirketlerin uygunluk gereksinimlerini karşılamalarına yardımcı olabilir.
Hükümetler: Hükümetler, Wazuh'u devlet ağlarında güvenlik olaylarını izlemek, analiz etmek ve yönetmek için kullanabilirler.
E-ticaret: E-ticaret şirketleri, Wazuh'u müşterilerinin kişisel ve finansal bilgilerini korumak için kullanabilirler.
Finans: Finans kuruluşları, Wazuh'u müşterilerinin finansal bilgilerini ve ağlarını korumak için kullanabilirler.
Sağlık: Sağlık kuruluşları, Wazuh'u hastaların tıbbi bilgilerini ve kişisel bilgilerini korumak için kullanabilirler.
Enerji: Enerji sektörü, Wazuh'u enerji altyapısını korumak için kullanabilirler.
Eğitim: Eğitim kurumları, Wazuh'u öğrencilerin ve personelin kişisel bilgilerini korumak için kullanabilirler.
Telekomünikasyon: Telekomünikasyon şirketleri, Wazuh'u müşterilerinin kişisel ve finansal bilgilerini korumak için kullanabilirler.
-Wazuh ve GDPR-
Wazuh, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi düzenlemelere uygunluk sağlayabilen bir güvenlik olay yönetimi ve log yönetimi çözümüdür. GDPR, AB vatandaşlarının kişisel verilerinin işlenmesini düzenler ve bu verilerin işlenmesinde yüksek bir veri koruma standardı sağlar.
Wazuh, GDPR uygunluğunu sağlamak için aşağıdaki özelliklere sahiptir:
Veri kayıt ve takibi: Wazuh, birçok farklı veri kaynağından (sunucu, istemci, ağ cihazları vb.) logları toplayarak, birleştirerek ve analiz ederek güvenlik olaylarını izleyebilir. Bu sayede, kuruluşlar, AB vatandaşlarının kişisel verilerinin işlenmesini takip edebilirler.
Veri güvenliği: Wazuh, şifreleme ve erişim kontrolü gibi güvenlik önlemleri ile AB vatandaşlarının kişisel verilerinin güvenliğini sağlamaya yardımcı olur.
Raporlama: Wazuh, verileri gerçek zamanlı olarak izleyerek ayrıntılı raporlar üretir ve güvenlik ekibi tarafından hızlı bir şekilde yanıt verilmesini sağlar. Bu sayede, kuruluşlar, GDPR gereksinimlerine uygun raporlar hazırlayabilirler.
Uyum: Wazuh, kuruluşların GDPR gibi düzenlemelere uygunluğunu sağlamalarına yardımcı olabilir. Wazuh, özellikle, PCI DSS, HIPAA, GDPR gibi düzenlemelere uygunluk sağlayarak, kuruluşların uyum gereksinimlerini karşılamalarına da yardımcı olur.
-Örnek Tehdit Tespit Senaryosu-
Bir saldırgan, bir şirketin sunucularına uzaktan erişim sağlamaya çalışıyor. Saldırgan, sunuculara SSH protokolü üzerinden bağlanmaya çalışıyor ve birkaç deneme yaptıktan sonra, doğru kimlik bilgilerini girmeyi başarıyor.
Wazuh tarafından tespit edilen adımlar:
Wazuh, sunuculara SSH protokolü üzerinden erişmeye çalışan tüm IP adreslerini izler.Saldırganın IP adresi, Wazuh tarafından izlenir ve belirtilen bir kurala göre incelenir. Örneğin, "yanlış kimlik bilgileriyle SSH girişi" kuralı aktif edilebilir.Saldırgan, yanlış kimlik bilgileriyle birkaç kez SSH protokolü üzerinden sunucuya erişmeye çalışırken, Wazuh bu aktiviteyi izler ve saldırganın giriş denemelerini tespit eder.Saldırgan doğru kimlik bilgilerini girerek sunucuya erişirken, Wazuh, belirli bir kurala göre saldırı tespiti gerçekleştirir.
Örneğin, "SSH giriş denemesi sayısının üst sınırı aşıldığında bir uyarı oluşturma" kuralı aktif edilebilir.Wazuh, saldırganın başarılı bir şekilde sunucuya eriştiğini tespit eder ve belirtilen kurala göre bir uyarı oluşturur.Sistem yöneticisi veya güvenlik ekibi, Wazuh tarafından oluşturulan uyarıya yanıt vererek, saldırganın erişimini kısıtlayabilir veya saldırıya yanıt verebilir.
Teşekkür ederim.
