EN
EN

SIEM ve Kritik Windows Olay Kayıtları


Bilişim altyapılarının güvenlik açısından denetlenmesi ve güvenlik seviyelerinin tespit edilerek açıklıklarının kapatılması gibi çalışmalar kurumların gerçekleşecek siber saldırılara karşı daha güçlü olmasını sağlar. Saldırı öncesi alınan bu önlemler kadar saldırıyı daha gerçekleşirken algılayarak engellemek veya tehdit istihbaratı platformları ile koordineli çalışarak korunması gereken sistemlerin hedef haline gelmesini önlemek gibi teknikler de gün geçtikçe önem kazanmaktadır. Bu önlemler siber olaylara müdahale ve adli bilişim süreçlerinin etkili bir şekilde yürütülmesi için büyük öneme sahiptir. 5651 yasasının getirdiği zorunluluklar ve siber olay sonrası adli analiz prosedürlerinin dijital kanıtlara yani olay kayıtlarını tutan loglara ihtiyaç duyması nedeniyle bu logları toplayarak analiz etmeye ve saldırı belirtilerini tespit edip alarm üretmeye yarayan SIEM ürünlerine ilgi her geçen gün artmaktadır. SIEM’in en verimli ve etkili şekilde çalışmasını sağlamak için kritik verileri işleyen, saklayan veya ileten tüm sistemlerin olay kayıtlarının üretilip güvenli bir şekilde saklanması ve bunun yanı sıra işlenmesi için SIEM’e gönderilmesi gerekmektedir. Windows sunucularının yaygın bir şekilde kullanılması nedeniyle bu işletim sisteminin olay kayıtlarının izlenmesi büyük önem taşımaktadır.

SIEM’in İzlemesi Gereken Kritik Windows Olay Kayıtları

Hesap Giriş: Etki Alanı Denetleyicileri (Domain Controller) veya Güvenlik Hesapları Yöneticisi(SAM ) gibi sistemlerde kimlik doğrulama girişimlerinin kayıt edilmesini sağlayan yapılandırmadır. Bu kategori ile bir bilgisayara erişmeye çalışan girişimleri izleyen Logon/Logoff denetiminin aksine hesaplara ait veri tabanı izlenmektedir.

Bu kategorideki önemli olay kayıtları:

- Hesap Giriş Bilgilerinin(Credentials) Geçerliliğinin Denetimi
- Kerberos Kimlik Doğrulama Servisi Denetimi
- Kerberos Hizmet Bileti Denetimi
- Diğer Logon/Logoff Olaylarının Denetimi

Hesap Yönetimi: Kullanıcıların bilgisayar hesapları ve grupları ile ilgili değişiklikleri izlemeye yarar.

Bu kategorinin önemli olay kayıtları:

- Uygulama Grupları Denetimi (Grup oluşturma; grup üyelerini değiştirme, ekleme ve kaldırma gibi aktiviteleri gerçekleştiren uygulama grubu)
- Bilgisayar Hesapları Denetimi
- Dağıtım Grupları Denetimi (Eposta dağıtımını yapan grup türü)
- Güvenlik Grupları Denetimi (Erişim ve yetkilendirme işlemlerini yapan grup türü)
- Kullanıcı Hesapları Denetimi

Ayrıntılı İzleme: Bir bilgisayarın nasıl kullanıldığı ve bu bilgisayar üzerindeki her bir uygulamanın ve kullanıcının aktivitelerini izlemek gibi yöntemleri kapsar.

Bu kategorinin önemli olay kayıtları:

- Veri Koruma Uygulama Programlama Arayüzü Aktivitelerini İzleme (Data Protection application programming interface – DPAP)
- Tak-Çalıştır (Plug and Play) Servislerinin İzlenmesi
- Proses Oluşumunu İzleme
- Proses Sonlanmasını izleme
- Sisteme Gelen Uzaktan Yordam Çağrısı(Remote Procedure Call- RPC) Aktivitelerini İzleme

Etki Alanına (Domain Controller) Erişimlerin İzlenmesi: Aktif Dizin Etki Alanı sistemindeki servislere erişilmesi ve değiştirilmesi gibi aktivitelerin denetimini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- Dizin Servisleri Replikasyonlarının Ayrıntılı İzlenmesi
- Dizin Hizmetlerine Erişimin Denetimi
- Dizin Hizmetlerinde Değişikliklerin Denetimi
- Dizin Hizmetlerinin Replikasyonu İşlemlerinin Denetimi

Logon/Logoff Aktivitelerinin Denetimi: Bir bilgisayara etkileşimli olarak veya ağ üzerinden giriş yapma girişimlerinin izlenmesini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- Hesap Kilitlenmesi Denetimi
- Kullanıcı ve Cihaz İsteklerinin Denetimi
- IPsec Extended Modu Denetimi
- Grup Üyelikleri Denetimi
- IPSec Main Modu Denetimi
- IPSec Quick Modu Denetimi
- Logoff İşlemlerinin Denetimi
- Logon İşlemlerinin Denetimi
- Ağ Politikaları Sunucusunun Denetimi
- Özel Logon Aktiviteleri Denetimi

Nesnelere Erişimin Denetimi: Bir bilgisayar veya ağ üzerindeki spesifik nesnelere(object) erişimleri denetlemeyi kapsar. Bunun için bir dosyaya, dizine, registry kayıtlarına ve diğer nesnelere erişim işlemlerini izlemek için uygun erişim denetimi sınıflandırmasının Success veya Failure olarak ayarlanması gerekmektedir.

Bu kategoride izlenen önemli olay kayıtları:

- Yetkilendirme Yönetimi Uygulamalarının (Audit Application Generated) Denetimi
- Sertifikasyon Servisleri Denetimi
- Ayrıntılı Dosya Paylaşımı Denetimi
- Dosya Paylaşımı Denetimi
- Dosya Sistemi Denetimi
- Platform Bağlantılarını Filtreleme Aktivitelerini İzleme
- Platform Paket Düşürülmesini  Filtreleme İşlemlerinin Denetimi
- Handle Manipülasyonu Denetimi
- Kernel Nesnesi Denetimi
- Windows Kayıt Defteri(Registry) denetimi
- Kaldırılabilir Depolama Denetimi
- SAM Denetimi
- Merkezi Erişim Politikası Denetimi

Politika değişikliği denetimi: Yerel bir sistem veya ağ üzerindeki güvenlik politikalarındaki önemli değişiklikleri denetleme işlemlerini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- Denetimlerle İlgili Politika Değişikliği Denetimi
- Kimlik Doğrulama Politikasındaki Değişikliklerin Denetimi
- Yetkilendirme Politikasındaki Değişikliklerin Denetimi
- Filtreleme Platformu Politika Değişikliği Denetimi
- Microsoft Protection Service Politikasındaki Değişikliklerin Denetimi- (Microsoft Protection Service MPSSVC.exe, Firewall tarafından kullanılan malware tehditlerine karşı korunma servisi)

İzin kullanımı denetimi: Belirli izinlerin sistemlerde nasıl kullanıldığının denetimini gerçekleştirir.

Bu kategoride izlenen önemli olay kayıtları:

- Kritik Olmayan İzinlerin Denetimi
- Kritik İzinlerin Denetimi
- Diğer İzin Kullanımlarının Denetimi

Sistem düzeyinde değişiklerin denetimi:

Bir bilgisayar üzerinde meydana gelen,diğer kategorilerde yer almayan ancak güvenlik açısından kritik olan sistem düzeyindeki değişikliklerin denetimini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- IPSec Driver Denetimi
- Diğer Olay Kayıtları Denetimi
- Güvenlik Durumu Değişikliği Denetimi
- Güvenlik Sistemi Genişletme Denetimi
- Sistem Bütünlüğü Denetleme

Global Nesne Erişimi Denetimi: Bu denetim mekanizması, dosya sistemi ya da Windows kayıt defteri servislerindeki nesne(object) türlerinin her biri için Sistem Erişim Kontrol Listesi (system access control lists –SACLs) oluşturmaktadır. Böylece erişim kontrol listesi o türdeki her bir nesneye uygulanacaktır. Global Nesne Erişim denetimi, sistemdeki her bir kaynağın bir denetim kuralı ile korunduğunu kanıtlamaya yardımcı olacaktır.

Kaynakça:

1) https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings






İlgili İçerikler: