Pratik Bilişim Notları: Logsign Alarm Oluşturma - Kullanıcı Gruba Üye Yapma/Üyelikten Çıkarma

Bu makalede, Logsign SIEM sistemini kullanılarak Active Directory Domain ortamımızda bulunan herhangi bir kullanıcının bir gruba üye yapılması loglarıyla ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini gerçekleştireceğiz.

Logsign yapısında lokal veya AD üzerindeki grup üyeliğine eklenme işlemleriyle ilgili loglar aşağıdaki şekilde indexlenmektedir:

EventMap.Type is Group
EventMap.SubType is Add

Bu örneğimizde, herhangi bir listedeki gruba üyelik işlemleriyle ilgilenmediğimiz için ve tüm gruba ekleme işlemleriyle ilgili alertleri mail ile almak istediğimiz için liste oluşturmuyoruz. Doğrudan "Alert Rule" oluşturacağız:

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: 00_ALERT_user_added_to_group (Burada Alert ismini belirliyoruz. Bu bölüm, mailin konu bölümünde yer alacak. Konu bölümünde "ALERT...." olması bizim bu alert mailine daha fazla dikkat göstermemizi sağlayacak.)

Alert rules:

EventMap.Type is Group
EventMap.SubType is Add

Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertleri "Alert Rules" bölümünde bu kategorinin altında biriktiriyoruz.)

Severity: Alert (Bu alert "Alert" kategorisinde indekslenecek.)

Action Column: Source.Username

Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar, bu alerti logsign üzerinde görebilecekler)

Silence Time: 0 saniye (Logsign, ilk alert sonrasında ikincisini göndermeden önce beklemeyecek, alert'leri arka arkaya gönderecek. Bu konuyla ilgili arka arkaya log gelmeyeceği için ve hiçbir logu kaçırmak istemediğimizden, silence değerini 0 olarak belirledik.)

Mute: 0 hours ( Alert kuralı sessize alınmamış durumda. Yani normal şekilde çalışacak.)

When to Perform: Always (Bu alert her zaman çalışacak.)

Index events : Kutu işaretlenecek (Eğer logsign üzerinde indekslensin istiyorsak)

Email : Kutu işaretlenecek.

Email users: Logsign, burada listelenen kullanıcılara mail gönderecek (Bu kullanıcılar; Settings--> Delegation --> User Management altında tanımlanmış olmalı.)

NOT: Kullanıcının grup üyeliğinin sonladırılması ile ilgili alert almak isteseydik:

Alert rules:

EventMap.Type is Group
EventMap.SubType is Remove

şeklinde olacaktı.

Umarım faydalı olmuştur.

Murat TAŞ

Kısaca..

Merhaba

Bu sayfada yer alan bilgiler, yaptığım çalışmaların bir kısmıyla ilgili tuttuğum notlarım kullanılarak hazırlanmıştır.

Bilgilerin hepsi sistemler üzerinde denenmiş ve çalıştırılmıştır. Bununla birlikte, sistemler üzerinde meydana getirebilecek olumsuz durumlarla ilgili sorumluluk size aittir.

Sayfamda ağırlıklı olarak aşağıdaki ürünlerle ilgili paylaşımlar mevcuttur:

Fortimail Mail Security

Fortigate Firewall

Fortianalyser

Kasperksy Total Security for Business

Microsoft Active Directory

Microsoft Exchange

Windows Sunucu ailesi

Huawei switch ailesi

Veritas Backupexec

Logsign SIEM sistemi

Konularla ilgili sorularınız olursa bana mail üzerinden ulaşabilirsiniz.

Faydalı olması dileğiyle...

Murat TAŞ

Pratik Bilişim Notları

Bu Blogda Ara

Logsign Alarm Oluşturma - Kullanıcı Gruba Üye Yapma/Üyelikten Çıkarma

Hiç yorum yok:

Yorum Gönder