Bu Blogda Ara

Logsign Alarm Oluşturma - Admin şifre giriş hataları


Bu makalede, Logsign SIEM sistemini kullanılarak yapımızda bulunan Admin yetkili hesaplarında gerçekleşebilecek hatalı şifre giriş (login failed) loglarıyla ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini gerçekleştireceğiz.

Logsign yapısında lokal veya AD üzerindeki tüm admin şifre değişiklikleri "EventMap.Type: User, EventMap.SubType: Deny" şeklinde indexlendiği için tüm admin şifre giriş hatalarını monitor edebiliyor olacağız.
 
1)  LİSTE OLUŞTURMA:

İlk olarak "Alerts" altındaki "Assets and Behaviours" bölümüne gireceğiz ve yapımızdaki admin yetkili kullanıcılardan oluşan bir "liste" oluşturacağız.

"New List" e tıklayalım:







İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: Source_admin_users_list (Listemize isim veriyoruz)
Type: Static
Severity : Information
Tag: Definition
Key fields for query: Source.Username ( Çünkü; hatalı şifre girişi loglarında  admin hesapları source.username bölümünde yer almakta)
Match Type: Static Key


 

2)  ALERT OLUŞTURMA:

"Alerts" altındaki "Alert Rules" bölümüne gireceğiz ve 1. adımda oluşturduğumuz "liste" mizi alert içerisinde kullanacağız.

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: 01_ALERT_Admin_user_failed_logon_alert (Alert ismi belirliyoruz)

Alert rules:
EventMap.Type is User   
EventMap.SubType is Deny   
Source.UserName BEHAVIOR Source_admin_users_list

Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertleri bu klasörün altına koyuyoruz)
Severity: Alert  (Bu alert "Alert" kategorisinde indekslenecek.)
Action Column: Source.Username
Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar bu alerti logsign üzerinde görebilecekler)
Silence Time: 300 saniye (Logsign, ilk alert sonrasında ikincisini göndermeden önce 5 dakika bekleyecek. Alert'leri arka arkaya gönderip mail kutumuzu doldurmayacak.)
Mute: 0 hours ( Alert kuralı sessize alınmamış yani normal şekilde çalışacak.)
When to Perform: Always (Bu alert her zaman çalışacak.)
Index events : Kutu işaretlenecek.
Email : Kutu işaretlenecek.
Email users: Logsign, burada listelenen kullanıcılara mail gönderecek (Bu kullanıcılar; Settings--> Delegation --> User Management altında tanımlanmış olmalı.)
















Umarım faydalı olmuştur.

Murat TAŞ
Yazan: Murat TAŞ zaman:
Etiketler:

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)