Bu Blogda Ara

Logsign Alarm Oluşturma - Kullanıcı Gruba Üye Yapma/Üyelikten Çıkarma

Bu makalede, Logsign SIEM sistemini kullanılarak Active Directory Domain ortamımızda bulunan herhangi bir kullanıcının bir gruba üye yapılması loglarıyla ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini gerçekleştireceğiz.

Logsign yapısında lokal veya AD üzerindeki grup üyeliğine eklenme işlemleriyle ilgili loglar aşağıdaki şekilde indexlenmektedir:

EventMap.Type is Group   
EventMap.SubType is Add













Bu örneğimizde, herhangi bir listedeki gruba üyelik  işlemleriyle ilgilenmediğimiz için ve tüm gruba ekleme işlemleriyle ilgili alertleri mail ile almak istediğimiz için liste oluşturmuyoruz. Doğrudan "Alert Rule" oluşturacağız:




















İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: 00_ALERT_user_added_to_group (Burada Alert ismini belirliyoruz. Bu bölüm, mailin konu bölümünde yer alacak. Konu bölümünde "ALERT...." olması bizim bu alert mailine daha fazla dikkat göstermemizi sağlayacak.)

Alert rules:
EventMap.Type is Group   
EventMap.SubType is Add 

Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertleri "Alert Rules" bölümünde bu kategorinin altında biriktiriyoruz.)
Severity: Alert  (Bu alert "Alert" kategorisinde indekslenecek.)
Action Column: Source.Username
Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar, bu alerti logsign üzerinde görebilecekler)
Silence Time: 0 saniye (Logsign, ilk alert sonrasında ikincisini göndermeden önce beklemeyecek, alert'leri arka arkaya gönderecek. Bu konuyla ilgili arka arkaya log gelmeyeceği için ve hiçbir logu kaçırmak istemediğimizden, silence değerini 0 olarak belirledik.)
Mute: 0 hours ( Alert kuralı sessize alınmamış durumda. Yani normal şekilde çalışacak.)
When to Perform: Always (Bu alert her zaman çalışacak.)
Index events : Kutu işaretlenecek (Eğer logsign üzerinde indekslensin istiyorsak)
Email : Kutu işaretlenecek.
Email users: Logsign, burada listelenen kullanıcılara mail gönderecek (Bu kullanıcılar; Settings--> Delegation --> User Management altında tanımlanmış olmalı.)

NOT: Kullanıcının grup üyeliğinin sonladırılması ile ilgili alert almak isteseydik:
Alert rules:
EventMap.Type is Group    
EventMap.SubType is Remove

şeklinde olacaktı.

Umarım faydalı olmuştur.

Murat TAŞ
Yazan: Murat TAŞ zaman:
Etiketler:

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)