Saldırganların kullandıkları taktik ve tekniklerle baş edebilme noktasında Windows işletim sistemlerinin ve anılan işletim sistemlerinde çalışan Microsoft Office gibi uygulamaların güvenlik sıkılaştırmalarının yapılmasının iki noktada oldukça önem arz ettiğini düşünüyorum. Bu noktalardan ilki, herkesin kabul edeceği üzere saldırı tarafının işini zorlaştırmak olarak değerlendirilebilirken, ikincisiyse saldırganların yaptıkları ataklar sonrasında oluşturdukları gürültüleri tespit edebilmek olarak değerlendirilebilir. Her”Windows“Windows ve Office Uygulamaları İçin Sıkılaştırma Kontrolleri” yazısının devamını oku
Kategori arşivleri: Blue Team
Powershell Kullanarak Spesifik Event Log Toplama
Applied Incident Response kitabına ait web sitesinde yer alan Event Log Analyst Reference bölümünü okuduktan sonra Powershell ile basit bir script yazarak bahse konu logları SIEM türü ürünlerin indeksleyebileceği şekilde toplamaya karar verdim. Aşağıdaki maddelerde scripti nasıl kullanabileceğinize dair detayları bulabilirsiniz. Toplanması gereken event log sayısı arttıkça, toplama süresinin oldukça uzayacağını belirtmek isterim. Şu adresten”Powershell“Powershell Kullanarak Spesifik Event Log Toplama” yazısının devamını oku
AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi
İki yazı olarak planladığım yazı serisinin ilk bölümünde Active Directory (AD) ortamında yer alan istemci veya sunucularda oluşan processlerin takibi için üç konu başlığı altında Group Policy (GP) ayarlarının nasıl yapılacağına değindikten sonra, bir sonraki bölümde Empire, Powersploit türü araçlarla yapılan saldıların oluşturdukları gürültülerin bahse konu ayarlarla nasıl tespit edileceğine değineceğim. Özellikle Powershell saldırı vektörleri”AD“AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi” yazısının devamını oku
T-Pot Honeypot ile Tehdit İstihbaratı
T-Pot Debian tabanlı, birden fazla honeypot aracının içinde yapılandırılmış halde yüklü geldiği ve tüm honeypot araçlarının Docker altyapısıyla servise sunulduğu “all-in-one” olarak adlandırılabilecek bir honeypot sistemler bütünü olarak tanımlanabilir. Kurulumu ve yönetiminin oldukça basit olması ve dashboard ekranlarının oldukça tatmin edici olması da T-Pot’u öne çıkaran etmenlerden birkaçı olarak sıralanabilir. T-Pot veya T-Pot’la önyüklü gelen”T-Pot“T-Pot Honeypot ile Tehdit İstihbaratı” yazısının devamını oku
Group Policy Object Analizi (Policy Analyzer)
Sıra tabanlı oyunların başyapıtı olduğunu düşündüğüm Age of Empires (Aoe) oynayanların da bileceği üzere oyun, temelde kaynak yönetimi ve yönetilen kaynakların hangi birimlere aktarılacağı konusunda strateji sevenlerin yirmi yılı aşkındır oynadığı bir strateji türü. Açıkçası AoE’nin kaynak yönetimi bölümününün log toplama ve yönetimi konusuyla kesiştiği noktalar olduğu da bana göre aşikar. Zira populasyon limitinin 200″Group“Group Policy Object Analizi (Policy Analyzer)” yazısının devamını oku
Microsoft Office Macro Güvenliği
Macrolar her ne kadar son kullanıcıların işlerini otomatize etmede önemli faydalar sunsa ve iş hayatında kullanım kolaylığı sağlasa da saldırganların hedef sistemlere sızmalarında ve güvenlik sistemlerini aşmada kullandıkları önemli bir saldırı vektörü. Bu noktada, farklı ülkelerin siber güvenlik birimlerinin makro güvenliğiyle ilgili rehberleri konuyla ilgili neler yapılabileceğine dair aydınlatıcı bilgiler içeriyor. Australian Cyber Security Centre’nin”Microsoft“Microsoft Office Macro Güvenliği” yazısının devamını oku
Windows 10 Telemetry Sıkılaştırma
Microsoft her ne kadar telemetry verilerini analiz ve Windows özelliklerinin kalitesini arttırmak için kullandığını belirtse de kurumsal teşebbüslerin dış dünyaya minimum seviyede veri göndermek istedikleri de yadsınamaz bir gerçek. Son kullanıcılara ait bir çok verinin Microsoft sunucularına gitmesini istemiyorsanız, telemetry ayarlarını yapmanız da fayda var. Telemetry kapsamında Microsoft sunucularına gönderilen verileri Microsoft dört ana katmanda”Windows“Windows 10 Telemetry Sıkılaştırma” yazısının devamını oku
Sysmon ile Process, DNS, TCP Conns ve Port Özet Bilgileri
Bir sunucunun günlük, haftalık veya aylık oluşturduğu logların benzer şekilde üretiliyor olması ihtimal dahilindeyken, kurumsal ortamda bulunan istemcilerin farklı gereksinimlerine göre kullanılması nedeniyle belli bir kullanıcı analiz verisi elde etmek oldukça güç (User and Entity Behaviour Analytics’in kapsamına giren bu konu ilginizi çektiyse, şu bağlantıdan daha detaylı bilgilere erişebilirsiniz). Bir istemcide hızlıca Sysmon loglarına bakarak,”Sysmon“Sysmon ile Process, DNS, TCP Conns ve Port Özet Bilgileri” yazısının devamını oku
Windows Defender Group Policy Ayarları, Event Logları ve İncelenmesi
İstemci ve sunucularda sadece antivirüs yazılımı kullanarak güvenlik sağlanabilir düşüncesinin üzerinden yıllar geçse de, antivirus yazılımları hala uç nokta güvenliğinde yüksek derecede öneme sahipler. Bu nedenle antivirus uygulamalarından alınacak ve sonrasında izlenecek loglar da büyük önem arz ediyor. Örneğin AV-TEST’in test sonuçlarına göre aşağıdaki ekran alıntısından da göreceğiniz üzere Windows Defender’in performans sonuçları ortalamanın oldukça”Windows“Windows Defender Group Policy Ayarları, Event Logları ve İncelenmesi” yazısının devamını oku
Sigma Kurallarının İncelenmesiyle Atak-Savunma Bağlantısının Kurulması
Kurumlarda kullanılan SIEM’lerin sadece log toplama çözümü olarak değil, aynı zamanda oluşturulan korelasyon kurallarıyla aktif tehdit izleme merkezi haline getirilmesi oldukça önemli. Bu noktada, Sigma kurallarının SIEM’lere entegre edilmesi, SIEM’i daha verimli hale getirirken, diğer taraftan savunma tarafını da aynı şekilde güçlendirmekte. Bahse konu Sigma kurallarına bu bağlantıdan erişebilir veya bu videoyu izleyerek daha ayrıntılı”Sigma“Sigma Kurallarının İncelenmesiyle Atak-Savunma Bağlantısının Kurulması” yazısının devamını oku
CSEC ZONE 