Kategori arşivleri: Blue Team

Serinin ilk bölümünde Active Directory veritabanın “Windows Server Backup” ve Veeam ile yedeğinin alınmasına değindiğimiz yazının ilk bölümündeki işlemleri tamamladıktan sonra, bu bölümde alınan yedeklerden nasıl dönüleceğini test edeceğiz. Birden fazla Domain Controller rolünü gerçekleştirecek temiz sanal makinaları izole bir ortamda kurduktan sonra ilk Domain Controller sunucunu kurup diğer Domain Controller sunucusuyla replikasyon işlemi gerçekleştirerek”Ransomware“Ransomware Recovery (1) Active Directory Yedek Alma- Yükleme İşlemleri (2)” yazısının devamını oku

3 kopya, 2 farklı depolama ortamında ve 1 şirket dışında (bulut, farklı bina, ofis vd.), şifrelenmiş, doğruluğu düzenli aralıklarla test edilen ve gerekli olduğu anlarla Murphy kanunları kapsamında çalışmayıp insanı sıkıntıdan sıkıntıya sürükleyen yedekler, olay müdahale sürecinde kurtarma aşamasının önemli işlemleri arasında yer almakta olup, bu yazının da kapsamını oluşturmakta. Lab ortamında test etmek için”Ransomware“Ransomware Recovery (1) Active Directory Yedek Alma- Yükleme İşlemleri (1)” yazısının devamını oku

Unit42 tarafından hazırlanan “A Peek into Top-Level Domains and Cybercrime” başlıklı rapor kapsamında yapılan analizle göre, binden fazla Top-Level Domain (TLD) içinde sadece 25 TLD tüm zararlı domain adlarının %90’ını oluşturmakta. Bu duruma ek olarak her 10 zararlı barından TLD’nin 6’sı gelişmekte olan ülkelerin sunduğu TLD’ler. Yukarıda geçen cümleleri okuduktan ve bizde durumlar nasıl sorusunun”Zararlı“Zararlı İçerik Barındıran Top-Level Domainler Kapsamında Sıkılaştırma” yazısının devamını oku

Yüksek derece gizlilik seviyesine sahip verileri barındıran veri tabanlarına karşı yapılan saldırı ve veri sızdırma girişimlerinin önüne geçilmesi noktasında bahse konu veri tabanı sunucularından elde edilen logların optimize edilerek toplanması ve sonrasında SIEM’e gönderilmesi bilindiği üzere oldukça önemli bir husus. Saldırganların (iç ve dış) MSSQL kapsamında yaptıkları keşif, sızma ve veri sızdırma girişimlerinin tespiti kapsamında”MSSQL“MSSQL Veri Tabanlarına Yapılan Saldırılar Kapsamında Toplanması Önerilen Loglar” yazısının devamını oku

Kullanıcı veya servis hesaplarında yapılan bir yetki hatası, kapatılması gereken bir network servisinin açık bırakılması, istemcilere Domain Administrator hesabıyla giriş yapan bir sistem yöneticisi veya zamanında geçilmeyen bir güvenlik yaması gibi hususlar Active Directory sisteminin istismar edilmesi noktasında saldırganların elini güçlendiren konulardan sadece birkaçı olarak sayılabilir. Dolayısıyla, Active Directory ortamında gerçekleştirilen işlemlerin düzenli olarak izlenmesinin”Powershell“Powershell ile Active Directory İçin Temel Güvenlik Raporu Oluşturma” yazısının devamını oku

Saldırganların hedef sistemler üzerinden farklı sunuculara gönderdikleri DNS sorgularının kayıt altına alınmasının önemine bir önceki yazıda değinmiştim. Saldırganlar tarafından DNS protokolü kapsamında kullanılan bir diğer teknikse DoH (DNS over HTTPS) olarak adlandırılan teknik olup, bahse konu teknikle saldırgan kurban sistemden gönderdiği zararlı komuta kontrol (C2) DNS isteklerini HTTPS protokolü üzerinden göndererek savunma tarafının işini zorlaştırmakta.”Doh“Doh (DNS over HTTPS) Kapsamında Ağ Görünürlüğü” yazısının devamını oku

Derinlemesine savunmanın önemli katmanlarından biri olduğunu düşündüğüm Windows tabanlı istemcilerdeki Sysmon loglarının ve event logların SIEM’e gönderilmesi olası tehditlerin incelenmesi, ağdaki görünürlük seviyesinin yükseltilmesi için oldukça önemli. Dolayısıyla, farklı kaynaklardan toplanan logların korele edilmesi, alarmlarının oluşturulması ve sonrasında ilgili logların incelenmesi için tüm logların merkezi olarak toplanması önem arz etmekte. Bu yazı kapsamında, Windows tabanlı”İstemci“İstemci DNS Loglarının Zenginleştirilmesiyle Tehdit Analizi” yazısının devamını oku