Pratik Bilişim Notları: Logsign - Alarm Oluşturma - Aynı kullanıcı hesabıyla birden fazla ip adresinden başarılı giriş (login) yapılması

Bu makalede aşağıdaki senaryoyu gerçekleştireceğiz:

Aynı kullanıcı adı ile son 2 dakika içerisinde 2'den fazla ip adresinden başarılı login işleminin olması durumunda adminlere mail atılmasını sağlayacağız.

1) LİSTE OLUŞTURMA:

Öncelikle birden fazla sunucuda kullandığımız sistem hesaplarını belirleyip bunları sorgu içerisinde devre dışı bırakmalıyız ki bunlar listeye girmesin:

Query: @@LogonSuccess !Source.UserName:("hesap1" OR "hesap2" OR *admin*)
Trigger Level: > 2
Check events in last : 120 seconds (2 dakika)

2) ALERT OLUŞTURMA

Oluşturduğumuz listeyi alert içerisinde kullanacağız:

Umarım faydalı olmuştur.

Murat TAŞ

Kısaca..

Merhaba

Bu sayfada yer alan bilgiler, yaptığım çalışmaların bir kısmıyla ilgili tuttuğum notlarım kullanılarak hazırlanmıştır.

Bilgilerin hepsi sistemler üzerinde denenmiş ve çalıştırılmıştır. Bununla birlikte, sistemler üzerinde meydana getirebilecek olumsuz durumlarla ilgili sorumluluk size aittir.

Sayfamda ağırlıklı olarak aşağıdaki ürünlerle ilgili paylaşımlar mevcuttur:

Fortimail Mail Security

Fortigate Firewall

Fortianalyser

Kasperksy Total Security for Business

Microsoft Active Directory

Microsoft Exchange

Windows Sunucu ailesi

Huawei switch ailesi

Veritas Backupexec

Logsign SIEM sistemi

Konularla ilgili sorularınız olursa bana mail üzerinden ulaşabilirsiniz.

Faydalı olması dileğiyle...

Murat TAŞ

Pratik Bilişim Notları

Bu Blogda Ara

Logsign - Alarm Oluşturma - Aynı kullanıcı hesabıyla birden fazla ip adresinden başarılı giriş (login) yapılması

Hiç yorum yok:

Yorum Gönder