EN

SIEM ve KRİTİK WİNDOWS OLAY KAYITLARI

19 Mart 2018

Bilişim altyapılarının güvenlik açısından denetlenmesi ve güvenlik seviyelerinin tespit edilerek açıklıklarının kapatılması gibi çalışmalar kurumların gerçekleşecek siber saldırılara karşı daha güçlü olmasını sağlar. Saldırı öncesi alınan bu önlemler kadar saldırıyı daha gerçekleşirken algılayarak engellemek veya tehdit istihbaratı platformları ile koordineli çalışarak korunması gereken sistemlerin hedef haline gelmesini önlemek gibi teknikler de gün geçtikçe önem kazanmaktadır. Bu önlemler siber olaylara müdahale ve adli bilişim süreçlerinin etkili bir şekilde yürütülmesi için büyük öneme sahiptir. 5651 yasasının getirdiği zorunluluklar ve siber olay sonrası adli analiz prosedürlerinin dijital kanıtlara yani olay kayıtlarını tutan loglara ihtiyaç duyması nedeniyle bu logları toplayarak analiz etmeye ve saldırı belirtilerini tespit edip alarm üretmeye yarayan SIEM ürünlerine ilgi her geçen gün artmaktadır. SIEM’in en verimli ve etkili şekilde çalışmasını sağlamak için kritik verileri işleyen, saklayan veya ileten tüm sistemlerin olay kayıtlarının üretilip güvenli bir şekilde saklanması ve bunun yanı sıra işlenmesi için SIEM’e gönderilmesi gerekmektedir. Windows sunucularının yaygın bir şekilde kullanılması nedeniyle bu işletim sisteminin olay kayıtlarının izlenmesi büyük önem taşımaktadır.

SIEM’in İzlemesi Gereken Kritik Windows Olay Kayıtları

Hesap Giriş: Etki Alanı Denetleyicileri (Domain Controller) veya Güvenlik Hesapları Yöneticisi(SAM ) gibi sistemlerde kimlik doğrulama girişimlerinin kayıt edilmesini sağlayan yapılandırmadır. Bu kategori ile bir bilgisayara erişmeye çalışan girişimleri izleyen Logon/Logoff denetiminin aksine hesaplara ait veri tabanı izlenmektedir.

Bu kategorideki önemli olay kayıtları:

- Hesap Giriş Bilgilerinin(Credentials) Geçerliliğinin Denetimi
- Kerberos Kimlik Doğrulama Servisi Denetimi
- Kerberos Hizmet Bileti Denetimi
- Diğer Logon/Logoff Olaylarının Denetimi

Hesap Yönetimi: Kullanıcıların bilgisayar hesapları ve grupları ile ilgili değişiklikleri izlemeye yarar.

Bu kategorinin önemli olay kayıtları:

- Uygulama Grupları Denetimi (Grup oluşturma; grup üyelerini değiştirme, ekleme ve kaldırma gibi aktiviteleri gerçekleştiren uygulama grubu)
- Bilgisayar Hesapları Denetimi
- Dağıtım Grupları Denetimi (Eposta dağıtımını yapan grup türü)
- Güvenlik Grupları Denetimi (Erişim ve yetkilendirme işlemlerini yapan grup türü)
- Kullanıcı Hesapları Denetimi

Ayrıntılı İzleme: Bir bilgisayarın nasıl kullanıldığı ve bu bilgisayar üzerindeki her bir uygulamanın ve kullanıcının aktivitelerini izlemek gibi yöntemleri kapsar.

Bu kategorinin önemli olay kayıtları:

- Veri Koruma Uygulama Programlama Arayüzü Aktivitelerini İzleme (Data Protection application programming interface – DPAP)
- Tak-Çalıştır (Plug and Play) Servislerinin İzlenmesi
- Proses Oluşumunu İzleme
- Proses Sonlanmasını izleme
- Sisteme Gelen Uzaktan Yordam Çağrısı(Remote Procedure Call- RPC) Aktivitelerini İzleme

Etki Alanına (Domain Controller) Erişimlerin İzlenmesi: Aktif Dizin Etki Alanı sistemindeki servislere erişilmesi ve değiştirilmesi gibi aktivitelerin denetimini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- Dizin Servisleri Replikasyonlarının Ayrıntılı İzlenmesi
- Dizin Hizmetlerine Erişimin Denetimi
- Dizin Hizmetlerinde Değişikliklerin Denetimi
- Dizin Hizmetlerinin Replikasyonu İşlemlerinin Denetimi

Logon/Logoff Aktivitelerinin Denetimi: Bir bilgisayara etkileşimli olarak veya ağ üzerinden giriş yapma girişimlerinin izlenmesini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- Hesap Kilitlenmesi Denetimi
- Kullanıcı ve Cihaz İsteklerinin Denetimi
- IPsec Extended Modu Denetimi
- Grup Üyelikleri Denetimi
- IPSec Main Modu Denetimi
- IPSec Quick Modu Denetimi
- Logoff İşlemlerinin Denetimi
- Logon İşlemlerinin Denetimi
- Ağ Politikaları Sunucusunun Denetimi
- Özel Logon Aktiviteleri Denetimi

Nesnelere Erişimin Denetimi: Bir bilgisayar veya ağ üzerindeki spesifik nesnelere(object) erişimleri denetlemeyi kapsar. Bunun için bir dosyaya, dizine, registry kayıtlarına ve diğer nesnelere erişim işlemlerini izlemek için uygun erişim denetimi sınıflandırmasının Success veya Failure olarak ayarlanması gerekmektedir.

Bu kategoride izlenen önemli olay kayıtları:

- Yetkilendirme Yönetimi Uygulamalarının (Audit Application Generated) Denetimi
- Sertifikasyon Servisleri Denetimi
- Ayrıntılı Dosya Paylaşımı Denetimi
- Dosya Paylaşımı Denetimi
- Dosya Sistemi Denetimi
- Platform Bağlantılarını Filtreleme Aktivitelerini İzleme
- Platform Paket Düşürülmesini  Filtreleme İşlemlerinin Denetimi
- Handle Manipülasyonu Denetimi
- Kernel Nesnesi Denetimi
- Windows Kayıt Defteri(Registry) denetimi
- Kaldırılabilir Depolama Denetimi
- SAM Denetimi
- Merkezi Erişim Politikası Denetimi

Politika değişikliği denetimi: Yerel bir sistem veya ağ üzerindeki güvenlik politikalarındaki önemli değişiklikleri denetleme işlemlerini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- Denetimlerle İlgili Politika Değişikliği Denetimi
- Kimlik Doğrulama Politikasındaki Değişikliklerin Denetimi
- Yetkilendirme Politikasındaki Değişikliklerin Denetimi
- Filtreleme Platformu Politika Değişikliği Denetimi
- Microsoft Protection Service Politikasındaki Değişikliklerin Denetimi- (Microsoft Protection Service MPSSVC.exe, Firewall tarafından kullanılan malware tehditlerine karşı korunma servisi)

İzin kullanımı denetimi: Belirli izinlerin sistemlerde nasıl kullanıldığının denetimini gerçekleştirir.

Bu kategoride izlenen önemli olay kayıtları:

- Kritik Olmayan İzinlerin Denetimi
- Kritik İzinlerin Denetimi
- Diğer İzin Kullanımlarının Denetimi

Sistem düzeyinde değişiklerin denetimi:

Bir bilgisayar üzerinde meydana gelen,diğer kategorilerde yer almayan ancak güvenlik açısından kritik olan sistem düzeyindeki değişikliklerin denetimini sağlar.

Bu kategoride izlenen önemli olay kayıtları:

- IPSec Driver Denetimi
- Diğer Olay Kayıtları Denetimi
- Güvenlik Durumu Değişikliği Denetimi
- Güvenlik Sistemi Genişletme Denetimi
- Sistem Bütünlüğü Denetleme

Global Nesne Erişimi Denetimi: Bu denetim mekanizması, dosya sistemi ya da Windows kayıt defteri servislerindeki nesne(object) türlerinin her biri için Sistem Erişim Kontrol Listesi (system access control lists –SACLs) oluşturmaktadır. Böylece erişim kontrol listesi o türdeki her bir nesneye uygulanacaktır. Global Nesne Erişim denetimi, sistemdeki her bir kaynağın bir denetim kuralı ile korunduğunu kanıtlamaya yardımcı olacaktır.

Kaynakça:

1) https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Pardus 17.1 Çıktı.
Pardus 17.1 Çıktı.
Tübitak Pardus ekibi tarafından geliştirilen Pardus İşletim Sisteminin yeni versiyonu 17.1 çıktı.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog