Bu makalede, Logsign SIEM sistemini kullanılarak yapımızda bulunan
yetkili hesaplarla gerçekleşebilecek VPN bağlantısı işlemleriyle ilgili alert üretilmesini, bu alertlerin mail ile gönderilmesini nasıl gerçekleştirebileceğimize bakacağız.
Eğer
belirli sayıda kullanıcılar ile
gerçekleştirilen VPN bağlantılarıyla ilgili alert üretecek isek "Liste"
oluşturmamız gerekir. Bu örneğimizde tek bir kullanıcıya ait olan VPN erişim bağlantı log kayıtlarını alert olarak almak istediğimizden
liste oluşturmayacağız.
Yapımızdaki Fortigate loglarını incelediğimizde, örneğimizdeki "murat" kullanıcısının VPN bağlantı loglarının aşağıdaki değerlere sahip olduğunu görüyoruz.
EventMap.Context : "VPN"
EventMap.SubType:"Login"
Source.UserName:"murat"
"Alerts" altındaki "Alert Rules" bölümüne girelim ve "New Alert Rule" tıklayarak alert oluşturmaya başlayalım:
Alanları aşağıdaki şekilde dolduruyoruz:
Description: vpn_baglantisi_yapildi_murattas (Alert ismi belirliyoruz)
Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertler "TAPDK" grubu altında görüntülenecek)
Severity: Alert (Bu alert, "Alert" kategorisinde indekslenecek.)
Action Column: Source.Username
Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar bu alerti logsign üzerinde görebilecekler)
Silence Time:
0 saniye ( Logsign tüm alertleri durmaksızın gönderecek)
Silence Columns: Source.Username
Mute: 0 hours ( Alert kuralı sessize alınmamış yani normal şekilde çalışacak.)
When to Perform: Always (Bu alert her zaman çalışacak.)
Index events : Kutu işaretlenmeli (sadece mail atılsın, sistemde tutulmasın istiyorsak işaretlemiyoruz)
Email : Kutu işaretlenmeli
Email users: murat (Logsign, burada listelenen kullanıcıya mail gönderecek )
(Bu kullanıcılar; Settings-->
Delegation --> User Management altında tanımlanmış olmalı.)
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder