THT DUYURU

chat
Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

ugursuz reklam
takipci
Seçenekler

Saldırı Tespit ve Kayıt Yönetimi/Stajyer Asistan Kulubu

puqe16 - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
09/2016
Nereden:
Nereye
Mesajlar:
997
Konular:
59
Teşekkür (Etti):
139
Teşekkür (Aldı):
57
Ticaret:
(0) %
1
2483
09-07-2018 17:12
#1


LOG NEDİR ;
Kısaca Bilişim sistemlerinin çeşitli amaçlar için ürettiği kayıt bilgileridir.
Sadece Güvenlik ile ilgili bir kavram değildir.İşletim sistemleri web sunucuları gibi birçok alanda kullanılmaktadır.
Log Yönetim Uzmanlarının görevi sistemlerden gelen logları depolamak değil gelen logları analiz etmek gerekli rapor ve alarm mekanizmalarını Yönetim onayı ile BT Yönetimi dahil etmek olmalıdır.



Kim hangi tarihte hangi ip adresini kullanarak sisteme girmiş ?


Güvenlik Analizi için Kullanılabilecek Log Analiz Kuralları

Bu kurallar ikiye ayrılır;
1-) Basit Kurallar
2-) Korelasyon Gerektiren Kurallar
Bunlardan Bazıları;

1-) Basit Kurallar
*Belirli zaman aralıklarında kimler oturum açtı?
*USB bellek kullanımı oldu mu?
*Sistem yöneticileri takip ediliyor mu?
*Bilgisayar adı (hostname), IP adresi, MAC adresi değişikliği oldu mu?
*Kimler hangi IP adresini aldı?
*Bu IP adresleri ile nerelere erişidi?
*Sisteme uzak bağlantı sağlandı mı?
*Kimler hangi saatle VPN bağlantısı kurdu?


2-) Korelasyon Gerektiren Kurallar
*1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
*5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar
*5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar
*1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar
Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız *olunursa uyar
*Aynı kullanıcıdan 1 dakika içerisinde 5 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar
*Administrators grubuna kullanıcı eklenirse uyar


Genişletilmiş Kurallar ve Senaryolar Örnekleri

Hedef:445 nolu port ataklarını tespit etmek:
* Gereksiz Atak loglarından kurtulmak isteniyor
* 5 dakikada en az 1 düzine atak logu isteniyor
* 1 saatlik periyotta en az 100 atak logu


Hedef: Windows makinelere brute force login ataklarının tespit etmek :
* 60 saniye boyunca windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması isteniyor.
*Firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor.


Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti:
- Saldırgan internetten ip uzayında tarama yaparsa
* Ids veya güvenlik duvarından alınan kayıtlar
- Açık portları kullanarak güvenlik duvarından geçerse
* Güvenlik duvarından alınan ACCEPT kaydı
- Gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa
* Veri tabanından alınan LOGON ATTEMPT kaydı
- Bilgilendir/ müdahale et
* Alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir.
Konu puqe16 tarafından (10-07-2018 00:17 Saat 00:17 ) değiştirilmiştir.
M3m0ry, Says, Mehmet Online Teşekkür etti.
Says - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
06/2018
Mesajlar:
154
Konular:
9
Teşekkür (Etti):
3
Teşekkür (Aldı):
2
Ticaret:
(0) %
09-07-2018 18:56
#2
emeğine sağlık
esmeryanak Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler