İPUCU

Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

Saldırı Tespit ve Kayıt Yönetimi/Stajyer Asistan Kulubu

puqe16 - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2016
Nereden:
Nereye
Mesajlar:
998
Konular:
59
Teşekkür (Etti):
144
Teşekkür (Aldı):
60
Ticaret:
(0) %
09-07-2018 17:12
#1
Saldırı Tespit ve Kayıt Yönetimi/Stajyer Asistan Kulubu


LOG NEDİR ;
Kısaca Bilişim sistemlerinin çeşitli amaçlar için ürettiği kayıt bilgileridir.
Sadece Güvenlik ile ilgili bir kavram değildir.İşletim sistemleri web sunucuları gibi birçok alanda kullanılmaktadır.
Log Yönetim Uzmanlarının görevi sistemlerden gelen logları depolamak değil gelen logları analiz etmek gerekli rapor ve alarm mekanizmalarını Yönetim onayı ile BT Yönetimi dahil etmek olmalıdır.



Kim hangi tarihte hangi ip adresini kullanarak sisteme girmiş ?


Güvenlik Analizi için Kullanılabilecek Log Analiz Kuralları

Bu kurallar ikiye ayrılır;
1-) Basit Kurallar
2-) Korelasyon Gerektiren Kurallar
Bunlardan Bazıları;

1-) Basit Kurallar
*Belirli zaman aralıklarında kimler oturum açtı?
*USB bellek kullanımı oldu mu?
*Sistem yöneticileri takip ediliyor mu?
*Bilgisayar adı (hostname), IP adresi, MAC adresi değişikliği oldu mu?
*Kimler hangi IP adresini aldı?
*Bu IP adresleri ile nerelere erişidi?
*Sisteme uzak bağlantı sağlandı mı?
*Kimler hangi saatle VPN bağlantısı kurdu?


2-) Korelasyon Gerektiren Kurallar
*1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
*5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar
*5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar
*1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar
Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız *olunursa uyar
*Aynı kullanıcıdan 1 dakika içerisinde 5 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar
*Administrators grubuna kullanıcı eklenirse uyar


Genişletilmiş Kurallar ve Senaryolar Örnekleri

Hedef:445 nolu port ataklarını tespit etmek:
* Gereksiz Atak loglarından kurtulmak isteniyor
* 5 dakikada en az 1 düzine atak logu isteniyor
* 1 saatlik periyotta en az 100 atak logu


Hedef: Windows makinelere brute force login ataklarının tespit etmek :
* 60 saniye boyunca windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması isteniyor.
*Firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor.


Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti:
- Saldırgan internetten ip uzayında tarama yaparsa
* Ids veya güvenlik duvarından alınan kayıtlar
- Açık portları kullanarak güvenlik duvarından geçerse
* Güvenlik duvarından alınan ACCEPT kaydı
- Gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa
* Veri tabanından alınan LOGON ATTEMPT kaydı
- Bilgilendir/ müdahale et
* Alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir.
Konu puqe16 tarafından (10-07-2018 00:17 Saat 00:17 ) değiştirilmiştir.
M3m0ry, Says, Mehmet Online Teşekkür etti.
Says - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
06/2018
Mesajlar:
154
Konular:
9
Teşekkür (Etti):
3
Teşekkür (Aldı):
2
Ticaret:
(0) %
09-07-2018 18:56
#2
emeğine sağlık
esmeryanak Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı