Senaryo:
Son 2 dakika içerisinde, aynı ip adresinden 5'den fazla kullanıcı hesabı için giriş hatası (login failure) oluşması durumunda adminlere uyarı maili gönderilmesi.
Alerts --> Assets and Behaviours altına girerek önce listemizi oluşturuyoruz:
Query: @@LogonFailure
Group Column : Source.IP
Value Column: Source.Username
Trigger Level : > 5
Check Events in the Last: 120 seconds (2 dakika)
2) ALERT OLUŞTURMA
Alerts --> Alert rules bölümüne girerek aşağıdaki şekilde yeni bir uyarı (alert) oluşturuyoruz:
Daha sonra bilgisayardan birkaç tane hatalı login işlemi yapıyoruz ve Logsign "search" bölümüne gelerek filtre bölümünde aşağıdaki seçimleri yapıyoruz:
DataType: list
EventMap.SubType: Entry
List.Name:02_TAPDK_Brute_Force_Source_IPs
Hatalı login işlemlerimizi burada görebiliyorsak listemiz düzgün oluşturulmuş demektir. Bu durumda mail gönderimi de gerçekleşecektir.
Hiç yorum yok:
Yorum Gönder