Bu makalede, Logsign SIEM sistemini kullanılarak Active Directory veya lokal kullanıcı oluşturma/silme loglarıyla ilgili alert üretilmesini ve mail ile bu alertin
gönderilmesini gerçekleştireceğiz.
Logsign
yapısında lokal veya AD üzerindeki tüm kullanıcı oluşturma işlemleri:
EventMap.Type: User
EventMap.SubType: Add
şeklinde indexlenir.
EventMap.SubType is Add
EventMap.Type: User
EventMap.SubType: Add
şeklinde indexlenir.
Bu
örneğimizde, herhangi bir listedeki kullanıcı oluşturma işlemleriyle
ilgilenmediğimiz için ve tüm kullanıcı oluşturma işlemleriyle ilgili alertleri
mail ile almak istediğimiz için liste oluşturmuyoruz.
Doğrudan "Alert Rule" oluşturacağız:
Doğrudan "Alert Rule" oluşturacağız:
İlgili bölümleri aşağıdaki şekilde dolduracağız:
Description:
00_INFO_user_added (Burada Alert ismini belirliyoruz. Bu
bölüm, mailin konu bölümünde yer alacak. Konu bölümünde "INFO...."
olması, bizim bu alert mailini bilgilendirme amaçlı aldığımızı ve herhangi bir acil durum (alert) olmadığını söyleyecek.)
Alert rules:
EventMap.Type is User EventMap.SubType is Add
Category:
TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertleri
"Alert Rules" bölümünde bu kategorinin altında biriktiriyoruz.)
Severity: Alert (Bu alert "Alert" kategorisinde indekslenecek.)
Action Column: Source.Username
Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar, bu alerti logsign üzerinde görebilecekler)
Silence Time:
0 saniye (Logsign, ilk alert sonrasında ikincisini göndermeden önce
beklemeyecek, alert'leri arka arkaya gönderecek. Bu konuyla ilgili arka
arkaya log gelmeyeceği için ve hiçbir logu kaçırmak istemediğimizden,
silence değerini 0 olarak belirledik.)
Mute: 0 hours ( Alert kuralı sessize alınmamış durumda. Yani normal şekilde çalışacak.)
When to Perform: Always (Bu alert her zaman çalışacak.)
Index events : Kutu işaretlenecek (Eğer logsign üzerinde indekslensin istiyorsak)
Email : Kutu işaretlenecek.
Email users: Logsign, burada listelenen kullanıcılara mail gönderecek (Bu kullanıcılar; Settings-->
Delegation --> User Management altında tanımlanmış olmalı.)
NOT: Kullanıcının silinmesi ile ilgili alert almak isteseydik:
Alert rules:
EventMap.Type is User
EventMap.SubType is Delete
EventMap.SubType is Delete
şeklinde olacaktı.
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder