Bu
makalede, Logsign SIEM sistemini kullanılarak, iç networkteki sunucu veya bilgisayardan gerçekleştirilen ve 0 ile 1000'inci portlar arasındaki tüm portlara doğru gerçekleştirilen port scan olaylarıyla ilgili
alert üretilmesini ve bu alertlerin mail ile gönderilmesini nasıl
gerçekleştirebileceğimize bakacağız.
Senaryo:
Son 120 sn (2 dak) içerisinde, iç networkteki bir kaynak ip adresi (source.ip) tarafından başlatılan,
0 ile 1000 arasındaki portlara ve tekil (unique) olarak 30 farklı porta doğru gerçekleşen tüm port tarama loglarını "alert" olarak admin kullanıcıya mail formatında göndermek istiyoruz. Log kontrolü her 50 sn'de bir gerçekleşecek ve bu oluşan alert'in ömrü 3600 saniye (1 saat) olacak.
1) LİSTE OLUŞTURMA
Port scan işlemleriyle ilgili loglarda kaynak ip adreslerinin (source.ip) belirli davranışlara sahip olmasını inceleyeceğiz. Dolayısıyla "source.ip" ile ilgili liste oluşturmalıyız. İç networkteki ip adresleriyle ilgilendiğimizden "Source.Position:in" filtresi kullanılmalı. Ayrıca 0 ila 1000 arasındaki port scan olaylarını inceleyeceğimizden "Destination.Port:[0 TO 1000]" filtresini kullanmalıyız. Destination port tekil (unique) olarak 30 adetten fazla olanlar için liste oluşturacağımız için ona göre kriter (criteria) belirliyoruz.
Liste statik bir liste değil sürekli güncellenen bir liste olacak. Dolayısıyla Type: "Statistical" olacak. Bu durumda aşağıdaki listeyi oluşturacağız.
Senaryo:
Son 120 sn (2 dak) içerisinde, iç networkteki bir kaynak ip adresi (source.ip) tarafından başlatılan,
0 ile 1000 arasındaki portlara ve tekil (unique) olarak 30 farklı porta doğru gerçekleşen tüm port tarama loglarını "alert" olarak admin kullanıcıya mail formatında göndermek istiyoruz. Log kontrolü her 50 sn'de bir gerçekleşecek ve bu oluşan alert'in ömrü 3600 saniye (1 saat) olacak.
1) LİSTE OLUŞTURMA
Port scan işlemleriyle ilgili loglarda kaynak ip adreslerinin (source.ip) belirli davranışlara sahip olmasını inceleyeceğiz. Dolayısıyla "source.ip" ile ilgili liste oluşturmalıyız. İç networkteki ip adresleriyle ilgilendiğimizden "Source.Position:in" filtresi kullanılmalı. Ayrıca 0 ila 1000 arasındaki port scan olaylarını inceleyeceğimizden "Destination.Port:[0 TO 1000]" filtresini kullanmalıyız. Destination port tekil (unique) olarak 30 adetten fazla olanlar için liste oluşturacağımız için ona göre kriter (criteria) belirliyoruz.
Liste statik bir liste değil sürekli güncellenen bir liste olacak. Dolayısıyla Type: "Statistical" olacak. Bu durumda aşağıdaki listeyi oluşturacağız.
Şimdi bu listeyi kullanarak alert oluşturabiliriz.
"Alerts" altındaki "Alert Rules" bölümüne girelim ve "New Alert Rule" tıklayarak alert oluşturmaya başlayalım:
Silence Time: 360 saniye ( 6 dakika) belirledik. Çünkü böyle bir olayın olması durumunda loglar arka arkaya gelecektir ve çok sayıda mail gelmesini istemiyoruz.
Hiç yorum yok:
Yorum Gönder