Pratik Bilişim Notları: Logsign Alarm oluşturma

Bu makalede Logsign SIEM sistemini kullanılarak yapımızda bulunan Admin yetkili hesaplarında gerçekleşebilecek şifre değişikliği işlemleriyle ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini nasıl gerçekleştirebileceğimize bakacağız.

Logsign yapısında lokal veya AD üzerindeki tüm admin şifre değişiklikleri "EventMap.Type: Password, EventMap.SubType: Change" şeklinde indexlendiği için tüm admin şifre değişikliklerini monitor edebiliyor olacağız.

1) LİSTE OLUŞTURMA:

İlk olarak "Alerts" altındaki "Assets and Behaviours" bölümüne gireceğiz ve yapımızdaki admin yetkili kullanıcılardan oluşan bir "liste" oluşturacağız.

"New List" e tıklayalım:

Bu örnekte "destek3" admin kullanıcımıza bir örnek. Bu listeye hepsini teker teker ekleyeceğiz.

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: Admin_users_list (Listenin adını giriyoruz)
Type: Static
Severity : Information
Tag: Definition
Key fields for query: Destination.Username ( Çünkü; şifre değiştirme loglarında "şifresi değişen" kullanıcı, destination.user bölümünde yer alıyor.)
Match Type: Static Key

2) ALERT OLUŞTURMA:

"Alerts" altındaki "Alert Rules" bölümüne gireceğiz ve 1. adımda oluşturduğumuz "liste" mizi alert içerisinde kullanacağız.

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: Admin_password_changed (Alertin adını giriyoruz)

Alert rules:

EventMap.Type EQUAL Password

EventMap.SubType EQUAL Change

Destination.Username BEHAVIOUR Admin_users_list

Category: TAPDK (Alert'in, "alert rules" bölümünde hangi kategori altında listeleneceğini belirliyoruz.)

Severity: Alert (Bu Alert'in, "Alert" yani acil bir uyarı kategorisinde olduğunu belirtiyoruz.)

Action Column: Source.Username

Share: Security Admin ("Security admin" grubuna üye olan logsign kullanıcıları bunu logsign arayüzünde görebilirler)

Silence Time: 0 ( Logsign, kaç tane alert olursa olsun hepsini listeler veya mail gönderir)

Mute: 0 hours ( Alert sürekli çalışacak)

When to Perform: Always (Her zaman bu alert çalışacak.İstersek belirli saatlerde çalıştırabiliriz.)

Index events : Kutuyu işaretliyoruz.

Email : Kutuyu işaretliyoruz.

Email users: Alert'in mail olarak gönderileceği kullanıcı(lar) (Bu kullanıcının, Settings--> Delegation --> User Management altında da oluşturulması gerekiyor.)

3) "Alerts" başlığı altında indekslenen alertlerimizi görebiliriz. Bize gelen bir uyarı maili formatı aşağıdaki şekilde olacaktır:

Umarım faydalı olmuştur.

Murat TAŞ

Kısaca..

Merhaba

Bu sayfada yer alan bilgiler, yaptığım çalışmaların bir kısmıyla ilgili tuttuğum notlarım kullanılarak hazırlanmıştır.

Bilgilerin hepsi sistemler üzerinde denenmiş ve çalıştırılmıştır. Bununla birlikte, sistemler üzerinde meydana getirebilecek olumsuz durumlarla ilgili sorumluluk size aittir.

Sayfamda ağırlıklı olarak aşağıdaki ürünlerle ilgili paylaşımlar mevcuttur:

Fortimail Mail Security

Fortigate Firewall

Fortianalyser

Kasperksy Total Security for Business

Microsoft Active Directory

Microsoft Exchange

Windows Sunucu ailesi

Huawei switch ailesi

Veritas Backupexec

Logsign SIEM sistemi

Konularla ilgili sorularınız olursa bana mail üzerinden ulaşabilirsiniz.

Faydalı olması dileğiyle...

Murat TAŞ

Pratik Bilişim Notları

Bu Blogda Ara

Logsign Alarm oluşturma - Admin Şifre Değişiklikleri

Hiç yorum yok:

Yorum Gönder