Pratik Bilişim Notları: Logsign Alarm Oluşturma

Bu makalede, Logsign SIEM sistemini kullanılarak Active Directory veya lokal kullanıcı oluşturma/silme loglarıyla ilgili alert üretilmesini ve mail ile bu alertin gönderilmesini gerçekleştireceğiz.

Logsign yapısında lokal veya AD üzerindeki tüm kullanıcı oluşturma işlemleri:

EventMap.Type: User

EventMap.SubType: Add

şeklinde indexlenir.

Bu örneğimizde, herhangi bir listedeki kullanıcı oluşturma işlemleriyle ilgilenmediğimiz için ve tüm kullanıcı oluşturma işlemleriyle ilgili alertleri mail ile almak istediğimiz için liste oluşturmuyoruz.

Doğrudan "Alert Rule" oluşturacağız:

İlgili bölümleri aşağıdaki şekilde dolduracağız:

Description: 00_INFO_user_added (Burada Alert ismini belirliyoruz. Bu bölüm, mailin konu bölümünde yer alacak. Konu bölümünde "INFO...." olması, bizim bu alert mailini bilgilendirme amaçlı aldığımızı ve herhangi bir acil durum (alert) olmadığını söyleyecek.)

Alert rules:

EventMap.Type is User
EventMap.SubType is Add

Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertleri "Alert Rules" bölümünde bu kategorinin altında biriktiriyoruz.)

Severity: Alert (Bu alert "Alert" kategorisinde indekslenecek.)

Action Column: Source.Username

Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar, bu alerti logsign üzerinde görebilecekler)

Silence Time: 0 saniye (Logsign, ilk alert sonrasında ikincisini göndermeden önce beklemeyecek, alert'leri arka arkaya gönderecek. Bu konuyla ilgili arka arkaya log gelmeyeceği için ve hiçbir logu kaçırmak istemediğimizden, silence değerini 0 olarak belirledik.)

Mute: 0 hours ( Alert kuralı sessize alınmamış durumda. Yani normal şekilde çalışacak.)

When to Perform: Always (Bu alert her zaman çalışacak.)

Index events : Kutu işaretlenecek (Eğer logsign üzerinde indekslensin istiyorsak)

Email : Kutu işaretlenecek.

Email users: Logsign, burada listelenen kullanıcılara mail gönderecek (Bu kullanıcılar; Settings--> Delegation --> User Management altında tanımlanmış olmalı.)

NOT: Kullanıcının silinmesi ile ilgili alert almak isteseydik:

Alert rules:

EventMap.Type is User
EventMap.SubType is Delete

şeklinde olacaktı.

Umarım faydalı olmuştur.

Murat TAŞ

Kısaca..

Merhaba

Bu sayfada yer alan bilgiler, yaptığım çalışmaların bir kısmıyla ilgili tuttuğum notlarım kullanılarak hazırlanmıştır.

Bilgilerin hepsi sistemler üzerinde denenmiş ve çalıştırılmıştır. Bununla birlikte, sistemler üzerinde meydana getirebilecek olumsuz durumlarla ilgili sorumluluk size aittir.

Sayfamda ağırlıklı olarak aşağıdaki ürünlerle ilgili paylaşımlar mevcuttur:

Fortimail Mail Security

Fortigate Firewall

Fortianalyser

Kasperksy Total Security for Business

Microsoft Active Directory

Microsoft Exchange

Windows Sunucu ailesi

Huawei switch ailesi

Veritas Backupexec

Logsign SIEM sistemi

Konularla ilgili sorularınız olursa bana mail üzerinden ulaşabilirsiniz.

Faydalı olması dileğiyle...

Murat TAŞ

Pratik Bilişim Notları

Bu Blogda Ara

Logsign Alarm Oluşturma - Kullanıcı oluşturma/Silme

Hiç yorum yok:

Yorum Gönder