Bu makalede, Logsign SIEM sistemini kullanılarak yapımızda bulunan
yetkili hesaplarla gerçekleşebilecek uzak masaüstü bağlantısı (RDP)
işlemleriyle ilgili alert üretilmesini bu alertlerin mail ile gönderilmesini nasıl gerçekleştirebileceğimize bakacağız.
Eğer belirli sunuculara yapılan veya belirli kullanıcılar ile gerçekleştirilen RDP bağlantılarıyla ilgili alert üretecek isek "Liste" oluşturmamız gerekir. Bu örneğimizde "bir kullanıcıya ait" tüm firewall rdp erişim bağlantı log kayıtlarını alert olarak almak istediğimizden liste oluşturmayacağız.
"Alerts" altındaki "Alert Rules" bölümüne girelim ve "New Alert Rule" tıklayarak alert oluşturmaya başlayalım:
Yapımızdaki Fortigate loglarını incelediğimizde RDP bağlantı loglarının aşağıdaki değerlere sahip olduğunu görüyoruz.
Destination.Port:3389
Protocol.Name:TCP
Source.UserName:MURAT
Event.Action:pass
Dolayısıyla kurallarımızı (rule) bunlara göre belirleyeceğiz:
Diğer alanları da aşağıdaki şekilde dolduruyoruz:
Description: rdp_baglantisi_yapildi_murattas (Alert ismi belirliyoruz)
Category: System (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertler "System" grubu altında görüntülenecek)
Severity: Alert (Bu alert, "Alert" kategorisinde indekslenecek.)
Action Column: Source.Username
Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar bu alerti logsign üzerinde görebilecekler)
Silence Time:
0 saniye ( Logsign tüm alertleri durmaksızın gönderecek)
Mute: 0 hours ( Alert kuralı sessize alınmamış yani normal şekilde çalışacak.)
When to Perform: Always (Bu alert her zaman çalışacak.)
Index events : Kutu işaretlenmeli (sadece mail atılsın, sistemde tutulmasın istiyorsak işaretlemiyoruz)
Email : Kutu işaretlenmeli
Email users: Logsign, burada listelenen kullanıcıya mail gönderecek
(Bu kullanıcılar; Settings-->
Delegation --> User Management altında tanımlanmış olmalı.)
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder