Bu makalemizde aşağıdaki senaryoyu işleyeceğiz:
DNS sunucumuza göre yazdığımız DDOS kuralına son 2 dakika içerisinde hit eden tekil ip adresi sayısı 50'yi geçerse güvenlik yöneticilerine mail ile haber vereceğiz:
Fortigate tarafında DNS sunucumuzdaki DNS servisi ile ilgili yazdığımız kuralın ID nosu 7 olsun. Tüm scan (tcp,udp) olaylarını gözardı edeceğiz.
1) LİSTE OLUŞTURMA
Query : EventSource.IP:"Buraya Fortigate ip adresini yazıyoruz" EventMap.Type:"Attack" Source.Position:"out" Event.SubCategory:"anomaly" !Details.Attack:*scan* Policy.ID:"7"
Bunu liste içerisinde tanımlayacağız.Bunun için Logsign üzerinde "Alert" altındaki "Assets and Behaviours" altına gireceğiz. "New List" e tıklayıp "Advanced Mode" butonuna tıkladıktan sonra aşağıdaki şekilde ayarlamaları yapalım:
Type: Statistical
Group Column: Destination IP
Value Column: Source IP
Criteria: Unique Count
Trigger Level: > 50
Check events in last: 120 (saniye)
Update Period : 120 (saniye)
Purge Period: 600 (saniye)
2) ALERT OLUŞTURMA
Logsign tarafında "Alerts" altındaki "Alert Rules" bölümüne girerek aşağıdaki şekilde ayarlama yapıyoruz:
3) Fortigate tarafında test amaçlı olarak kural içerisindeki "scan" ile ilgili olan değerler hariç diğer değerleri biraz düşürelim (örneğin: ip_destination_session) ve Logsign search bölümüne girerek listenin oluşmaya başladığını görelim. Bu örneğimizde hem liste hem de alert ile ilgili satırları görmekteyiz. Logsign üzerinde mail ayarları doğru yapıldığı sürece admin'e de mail sorunsuz gönderilecektir.
EventMap.Type: List
List.Name: 01_TAPDK_internet_to_DNS_DDOS_Fortigate_Attack_Son_2dak_50_denfazlaIP
Umarım faydalı olmuştur
Murat TAŞ
Hiç yorum yok:
Yorum Gönder