Logsign Alarm oluşturma - Admin Şifre Değişiklikleri

Bu makalede Logsign SIEM sistemini kullanılarak yapımızda bulunan Admin yetkili hesaplarında gerçekleşebilecek şifre değişikliği işlemleriyle ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini nasıl gerçekleştirebileceğimize bakacağız.

Logsign yapısında lokal veya AD üzerindeki tüm admin şifre değişiklikleri "EventMap.Type: Password, EventMap.SubType: Change" şeklinde indexlendiği için tüm admin şifre değişikliklerini monitor edebiliyor olacağız.


1)  LİSTE OLUŞTURMA:

İlk olarak "Alerts" altındaki "Assets and Behaviours" bölümüne gireceğiz ve yapımızdaki admin yetkili kullanıcılardan oluşan bir "liste" oluşturacağız.

"New List" e tıklayalım:

 

Bu örnekte "destek3" admin kullanıcımıza bir örnek. Bu listeye hepsini teker teker ekleyeceğiz.

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: Admin_users_list (Listenin adını giriyoruz)
Type: Static
Severity : Information
Tag: Definition
Key fields for query: Destination.Username ( Çünkü; şifre değiştirme loglarında "şifresi değişen" kullanıcı, destination.user bölümünde yer alıyor.)
Match Type: Static Key

 

2)  ALERT OLUŞTURMA:

"Alerts" altındaki "Alert Rules" bölümüne gireceğiz ve 1. adımda oluşturduğumuz "liste" mizi alert içerisinde kullanacağız.

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: Admin_password_changed (Alertin adını giriyoruz)

Alert rules:

EventMap.Type EQUAL Password

EventMap.SubType EQUAL Change

Destination.Username BEHAVIOUR Admin_users_list 

Category: TAPDK (Alert'in, "alert rules" bölümünde hangi kategori altında listeleneceğini belirliyoruz.)

Severity: Alert (Bu Alert'in, "Alert" yani acil bir uyarı kategorisinde olduğunu belirtiyoruz.)

Action Column: Source.Username

Share: Security Admin ("Security admin" grubuna üye olan logsign kullanıcıları bunu logsign arayüzünde görebilirler)

Silence Time: 0 ( Logsign, kaç tane alert olursa olsun hepsini listeler veya mail gönderir)

Mute: 0 hours ( Alert sürekli çalışacak)

When to Perform: Always (Her zaman bu alert çalışacak.İstersek belirli saatlerde çalıştırabiliriz.)

Index events : Kutuyu işaretliyoruz.

Email : Kutuyu işaretliyoruz.

Email users: Alert'in mail olarak gönderileceği kullanıcı(lar) (Bu kullanıcının, Settings--> Delegation --> User Management altında da oluşturulması gerekiyor.)

3) "Alerts" başlığı altında indekslenen alertlerimizi görebiliriz. Bize gelen bir uyarı maili formatı aşağıdaki şekilde olacaktır:

Umarım faydalı olmuştur.

Murat TAŞ