Siber Güvenlik İşlemleri Merkezi için Windows Olay günlüklerini anlama


Windows Olay günlükleri

Siber Güvenlik operasyon merkezi, kuruluşların ve müşterilerin hassas iş verilerini koruyor. Görünürlük, tehditleri uyarma ve araştırma ve risk yönetimine yönelik bütünsel bir yaklaşımla işletmenin değerli varlıklarının aktif olarak izlenmesini sağlar.

Analytics hizmeti, şirket içi veya yönetilen güvenlik hizmeti olabilir. Olay günlüklerini toplamak ve günlükleri gerçek dünya saldırıları ile analiz etmek, güvenlik operasyon merkezinin kalbidir.

Etkinlikler – Güvenlik operasyonları merkezi

Olaylar, hata kodları olan sistemler tarafından üretilir, cihazlar normal işlevine başarılı veya başarısız olaylar üretir. Bu nedenle olay günlüğü, tehditleri tespit etmek için önemli bir rol oynar. Organizasyonda Windows, Linux, güvenlik duvarları, IDS, IPS, Proxy, Netflow, ODBC, AWS, Vmware vb. birden fazla sayı ve çeşit bulunmaktadır.

DÖRT

Bu cihazlar genellikle saldırganların ayak izlerini günlük olarak izler ve analiz etmek için SIEM araçlarına iletir. Bu makalede, günlük toplayıcıya olayların nasıl aktarıldığını göreceğiz. Windows olayları veya olay kimlikleri hakkında daha fazla bilgi için Buraya bakın.

Günlük Toplayıcı

Herhangi bir cihazdan günlükleri almak için merkezi bir sunucudur. Burada Windows 10 makinesinde Snare Agent’ı dağıttım. Bu nedenle, Windows olay günlüklerini toplayacağız ve Snare Agent kullanarak Windows 10 makine saldırılarına yönelik saldırıları tespit edeceğiz.

Tuzak SIEM’dir(GÜVENLİK OLAYI VE OLAY YÖNETİMİ) Çözüm günlük toplayıcı ve olay analizörü çeşitli işletim sistemlerinde Windows, Linux, OSX Apple ve Microsoft SQL Server tarafından oluşturulan veritabanı ajanı MSSQL olaylarını destekler. Hem Enterprise hem de Opensource Agent’ları destekler.

Trampet Kurulumu

  • Demo amacıyla, hiçbir kimlik bilgisi kullanmıyorum, ancak günlükleri sızıntı olmadan korumak için her zaman güçlü parolalar kullanılması önerilir.

Trampet Web arayüzü: –

  • Varsayılan olarak, snare Port 6161’de çalışacaktır.
  • TCP veya UDP veya TLS/SSL Protokolleri ile rastgele bir bağlantı noktası da seçilebilir.
  • Snare oturum açmak için kimlik bilgileri isteyecektir. Burada kimlik doğrulaması vermedim.
  • Aşağıdaki şekil, tuzak aracı yükleme başarısını gösterir ve ekranda ek ayrıntılar sağlar.

Ağ ve Dosya Hedefi Yapılandırması

  • Windows 10’umuz Snare konsoluna olay günlükleri göndermeye başladı.
  • Trampet konsolu localhost’ta çalışıyor ve bir Windows makinesinden günlükleri topluyor.

NOT: Günlükler merkezi bir sunucuya gönderilebilir, ardından merkezi sunucu push günlüklerini SIEM’e gönderebilir (SIEM’deki yükü azaltmak için bu yöntem kullanılır), tuzak günlüklerini doğrudan SIEM’e gönderin (SIEM’iniz uzun ve kısa süreli depolama için iyi bir kapasiteye sahipse- Bu yöntem konuşlandırılabilir), SIEM’inizi tuzak bağlantı noktası ayrıntılarıyla yapılandırmanız önerilir ve test bağlantısı, günlükleri toplamanın ardılı olmalıdır.

  • Böylece ağ hedef IP’sini SIEM IP veya LOG TOPLAMA IP’si olarak değiştirebilirsiniz.
  • Yukarıdaki şekil, SNARE, SYSLOG, CEF (Common Event Format) veya LEEF (Log Event Extended Format) çeşitli formatlarda olay günlüklerini toplamak ve depolamak için hedefin localhost ile yapılandırıldığını gösterir.
  • Varsayılan olarak, günlükleri toplayacak ve snare biçiminde dosya kaydedecek ve günlükler SIEM’e iletilecektir.

Erişim Yapılandırması

  • Web sunucusu bağlantı noktası, konsol erişimi için kimlik doğrulama, Web sunucusu Protokolü, ortamınıza göre kolayca tanımlanabilir.
  • Yukarıdaki şekil, web sunucusu bağlantı noktası 6161, Snare aracı bağlantı noktası 6262 ve demo amaçlı web sunucusu protokolü olarak HTTP ile bir yapılandırmayı göstermektedir, Günlükleri iletmek için güvenli bağlantı için önerilen yükleme sertifikası.

Amaç Yapılandırması

  • Amaç, Windows Oturum Açma/Oturumu Kapatma, dosya veya dizine erişim, güvenlik ilkesi değişikliği, sistemin yeniden başlatılması ve kapatılması gibi farklı kategorilere sahip olayları içerir.
  • Bir öncelik atamak için belirli olayları değiştirin veya silin(kritik, Yüksek, Düşük & Bilgi)

Denetim Hizmeti İstatistikleri

  • Denetim Hizmeti, snare’in bağlı olmasını ve günlüklerin SIEM’e gönderilmesini sağlar.
  • SIEM’e iletilen günlük ortalama olay baytlarını gösterir.
  • Ağ arızaları durumunda, Soc Administrator hizmetin durumunu kontrol edebilir.

Güvenlik Sertifikasyonu – Güvenlik operasyonları merkezi

  • Bağlantıyı şifreli hale getirmek ve WEB-UI’ye kendinden imzalı bir sertifika oluşturmak için, günlükleri SIEM’e iletmenin güvenli bir yolunu oluşturmak için aracı ve ağ hedefi sertifika doğrulamasını tuzağa düşürün.
Güvenlik operasyonları merkezi

Servisi yeniden başlat

  • SIEM, bir süredir Snare aracısından Olay günlüklerini almıyorsa, sorun giderme ve snare sunucusundan günlükleri alma zamanı gelmiştir.
  • Yukarıdaki şekil, Snare hizmetlerinin başarıyla yeniden başlatıldığını göstermektedir.

Etkinlikler – Güvenlik operasyonları merkezi

  • Windows 10 olay günlüklerini dağıtılan SIEM’inize yönlendiriyor veya olaylar tuzak konsolunda görüntülenebilir.
  • Trampet ile ortamınıza yönelik her saldırıyı açıp arayamadığınızda, bu nedenle saldırıları algılamak için logları SIEM for Intelligence’a yönlendiriyoruz.
  • SIEM, etkili bir korelasyon kuralı oluşturarak saldırganları tuzağa düşürecek bir Akıllı olacaktır.
  • Windows 10 makinesine şifre denemesi başarısız olan Olay Kimlikleri 4625 ve ardından Başarılı 4689 Olayı olan yukarıdaki resimler.
  • Windows Olay Kimliklerinin Listesi Burada

NOT: Yukarıdaki rakamlar, başarılı bir oturum açmanın ardından başarısız denemeleri gösterir.

Korelasyon kuralı ve Olaylar

  • Saldırgan adamları tespit etmek için bir savunma kuralı yazmak üzere tasarlanmış bir motor, Her kural benzersiz bir olay olacaktır.
  • Örnek: Brute-force girişimi için bir kural yazdığınızı varsayalım, Brute-force denemeleri, sunucuya farklı bir parola ile sürekli iş parçacıklarına sahip olacaktır.
  • göre NOT: başarısız denemeler ve ardından başarılı bir oturum açma.

Korelasyon Kuralı : başarısız parola denemeleri + Ardından başarılı Oturum Açma = Brute-force (Olay)

Artık müşteri ortamınız Bilinen kullanım senaryosu için hazır (Kaba kuvvet algılandı), ayrıca kendi kullanım senaryonuzu oluşturabilir veya yazabilir ve karmaşık siber saldırıları tespit etmek için SIEM’inizde konuşlandırabilirsiniz !!!

Ayrıca, önde gelen çevrimiçi kurslardan birini almanızı öneririz. SOC Analisti – Siber Saldırı Saldırı Eğitimi | SOC analisti olmak için becerilerinizi geliştirmek için Sıfırdan.



Source link