Kurum veya şirketlerin sistemlerine ait log'lar Logsign ile tutulabilmekte, bu loglarla ilgili uyarı (alert) ve raporlama yapılabilmektedir.
Sistemlerden toplanabilecek çok sayıda log vardır ve bu logların önemli olanlarının derhal sistem adminlerine bildirilip (sms veya maille) aksiyon alınması gerekir. Örneğin bir Active Directory güvenlik grubuna kullanıcı ekleme işlemi, söz konusu adminler tarafından yapılmamış ise derhal bu olay (log) kaynağının tespit edilip müdahale edilmesi gerekir.
Sistemlerden toplanılması gereken bazı önemli loglar ve oluşan bu loglara göre oluşturulması gereken uyarılar (alert) aşağıda özetlenmiştir:
Alert oluşturulması ve sistem adminlerinin alert ile bilgilendirilmesi gereken bazı loglar aşağıda listelenmiştir:
Network switch logları: Switch login işlemleri, konfigürasyon değişiklikleri, sistem arıza logları, power supply arıza logları.
Firewall logları : Konfigürasyon değişiklikleri, firewall login işlemleri, ip ve port scan işlemleri, rdp, vpn erişim logları, proxy kullanan kullanıcılar, kurumda ilk kez bağlantı yaptığı tespit edilen bilgisayarlar, belirli bir süre içerisinde birden fazla tekil IP'den kaynaklanan DDOS aktiviteleri, aynı ip kaynaklı belirli bir sınır değeri aşan http,dns,smtp, sql bağlantısı talepleri, tek bir ip adresinden çok sayıda zararlı site bağlantısı/komuta kontrol bağlantısı/zararlı dosya indirme işlemleri, sunucular arası, iç networkten sunuculara doğru ve sunucudan internete doğru erişim engelleme olayları, DLP sistemi tarafından tespit edilen ve kurum tarafından önemli bazı verilerin ve KVKK (Kişisel verilerin korunması kanunu kapsamında) verilerinin dışarı çıkarılması vs.
Active Directory logları: kullanıcı oluşturma/silme, grup üyeliklerinde değişiklikler, admin hesapları fail login işlemleri, admin hesapları şifre değişiklikleri, administrator ve yetkili diğer servis amaçlı hesaplarla yapılan başarılı rdp,ssh login işlemleri, aynı ip adresinden kaynaklanan farklı AD kullanıcılara ait fail login kayıtları, aynı AD hesabina son 2 dakika icerisinde birden fazla ip'den bağlanılması, sunucu kapanma logları vs.
Mail sistemi logları: Dış domainden gelen (veya iç domainden dışarıya doğru gönderilen) birim zaman içerisinde (örneğin son 2 dakika) belirli bir sayının üzerinde mail gelmesi/gönderilmesi, kuyrukta bekleyen maillerin belirli bir adedi aşması vs.
Anti-spam sistemleri: Resmi kurumlara ait sistemlerin (gov.tr, edu.tr, mil.tr, k12.tr vs.) kara listeye girmesi, Resmi kurum alan adlarından gönderilen maillerin karantinaya girmesi, karantinada bekleyen maillerin belirli bir adedi aşması vb.
Son kullanıcı güvenlik ürünleri (Kasperksy, Symantec, DLP vb.): Son 2 dakika içerisinde belirli bir adedi aşan sayıda (örneğin 10) zararlı tespit edilen bilgisayarlar, listelenmiş olan uygulamalar dışında herhangi bir uygulamanın kurulması, güvenlik ürününü devre dışı bırakmak üzere yapılan şifre giriş denemeleri, sunucular üzerinde tespit edilen güvenlik olayları, DLP sistemi tarafından tespit edilen ve kurum tarafından önemli bazı verilerin dışarı çıkarılması vs.
Switch : Switch konfigürasyon değişiklikleri, switch kapanma/açılma logları, trunk port kapanma durumları.
Tüm sistemlerden gelen önemli sistemsel (critical, emergency vb.) loglar.
Switch : Switch konfigürasyon değişiklikleri, switch kapanma/açılma logları, trunk port kapanma durumları.
Tüm sistemlerden gelen önemli sistemsel (critical, emergency vb.) loglar.
ÖRNEK RAPORLAR:
Sistemde toplanan logların bazılarıyla ilgili haftalık olarak rapor gönderilmesi de uygun olacaktır. Örneğin, son 1 hafta içerisindeki;
-En fazla zararlı url bağlantısı tespit edilen bilgisayarlar raporu (Firewall)
-En fazla zararlı dosya tespit edilen bilgisayarlar raporu (Son kullanıcı güvenlik ürünü)
-İç sunuculara doğru bağlantısı en fazla engellenen bilgisayarlar (Firewall)
-En fazla command & control sunucularına bağlantı talebi yapan fakat engellenmiş olan bilgisayarlar (Firewall)
-İnternete doğru zararlı networklere erişen ve bilinmeyen uygulama kapsamındaki bağlantılar.
-İnternete doğru zararlı networklere erişen ve bilinmeyen uygulama kapsamındaki bağlantılar.
-En fazla hatalı şifre (login failed) işlemi yapan bilgisayarlar (Active Directory)
-En fazla, risk düzeyi yüksek uygulamalara erişim sağlamak isteyen fakat engellenmiş olan bilgisayarlar (Firewall)
- vb.
Bu portalde, bu alertlerin ve raporların bazılarını nasıl oluşturabileceğinizi göreceksiniz. Portal arama bölümüne "logsign" yazarak veya etiket bölümünde "logsign" seçerek bu konuyla ilgili diğer makalelere erişebilirsiniz.
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder