Pratik Bilişim Notları: Logsign Alarm Oluşturma

Bu makalede, Logsign SIEM sistemini kullanılarak yapımızda bulunan Admin yetkili hesaplarında gerçekleşebilecek hatalı şifre giriş (login failed) loglarıyla ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini gerçekleştireceğiz.

Logsign yapısında lokal veya AD üzerindeki tüm admin şifre değişiklikleri "EventMap.Type: User, EventMap.SubType: Deny" şeklinde indexlendiği için tüm admin şifre giriş hatalarını monitor edebiliyor olacağız.

1) LİSTE OLUŞTURMA:

İlk olarak "Alerts" altındaki "Assets and Behaviours" bölümüne gireceğiz ve yapımızdaki admin yetkili kullanıcılardan oluşan bir "liste" oluşturacağız.

"New List" e tıklayalım:

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: Source_admin_users_list (Listemize isim veriyoruz)
Type: Static
Severity : Information
Tag: Definition
Key fields for query: Source.Username ( Çünkü; hatalı şifre girişi loglarında admin hesapları source.username bölümünde yer almakta)
Match Type: Static Key

2) ALERT OLUŞTURMA:

"Alerts" altındaki "Alert Rules" bölümüne gireceğiz ve 1. adımda oluşturduğumuz "liste" mizi alert içerisinde kullanacağız.

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: 01_ALERT_Admin_user_failed_logon_alert (Alert ismi belirliyoruz)

Alert rules:

EventMap.Type is User
EventMap.SubType is Deny
Source.UserName BEHAVIOR Source_admin_users_list

Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertleri bu klasörün altına koyuyoruz)

Severity: Alert (Bu alert "Alert" kategorisinde indekslenecek.)

Action Column: Source.Username

Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar bu alerti logsign üzerinde görebilecekler)

Silence Time: 300 saniye (Logsign, ilk alert sonrasında ikincisini göndermeden önce 5 dakika bekleyecek. Alert'leri arka arkaya gönderip mail kutumuzu doldurmayacak.)

Mute: 0 hours ( Alert kuralı sessize alınmamış yani normal şekilde çalışacak.)

When to Perform: Always (Bu alert her zaman çalışacak.)

Index events : Kutu işaretlenecek.

Email : Kutu işaretlenecek.

Email users: Logsign, burada listelenen kullanıcılara mail gönderecek (Bu kullanıcılar; Settings--> Delegation --> User Management altında tanımlanmış olmalı.)

Umarım faydalı olmuştur.

Murat TAŞ

Kısaca..

Merhaba

Bu sayfada yer alan bilgiler, yaptığım çalışmaların bir kısmıyla ilgili tuttuğum notlarım kullanılarak hazırlanmıştır.

Bilgilerin hepsi sistemler üzerinde denenmiş ve çalıştırılmıştır. Bununla birlikte, sistemler üzerinde meydana getirebilecek olumsuz durumlarla ilgili sorumluluk size aittir.

Sayfamda ağırlıklı olarak aşağıdaki ürünlerle ilgili paylaşımlar mevcuttur:

Fortimail Mail Security

Fortigate Firewall

Fortianalyser

Kasperksy Total Security for Business

Microsoft Active Directory

Microsoft Exchange

Windows Sunucu ailesi

Huawei switch ailesi

Veritas Backupexec

Logsign SIEM sistemi

Konularla ilgili sorularınız olursa bana mail üzerinden ulaşabilirsiniz.

Faydalı olması dileğiyle...

Murat TAŞ

Pratik Bilişim Notları

Bu Blogda Ara

Logsign Alarm Oluşturma - Admin şifre giriş hataları

Hiç yorum yok:

Yorum Gönder