Etiket arşivleri: blueteam

Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları

SANS DFIR Summit 2021 kapsamında Wietze Beukema tarafından tarafından anlatılan “Exploring Windows Command-Line Obfuscation” konusu, SIGMA kurallarının yazımında dikkat edilmesi gereken hususlar konusunda oldukça önemli detaylar içeriyor. Saldırganların, savunma tarafında yazılan alarm kurallarını atlatmak için kullanabileceği tekniklerden biri olan “Windows Command Line obfuscation” ile SIEM tarafında yazılan SIGMA kuralların atlatılmasının önüne geçilebilmesi için aşağıdaki videonun”Command“Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları” yazısının devamını oku

AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi

İki yazı olarak planladığım yazı serisinin ilk bölümünde Active Directory (AD) ortamında yer alan istemci veya sunucularda oluşan processlerin takibi için üç konu başlığı altında Group Policy (GP) ayarlarının nasıl yapılacağına değindikten sonra, bir sonraki bölümde Empire, Powersploit türü araçlarla yapılan saldıların oluşturdukları gürültülerin bahse konu ayarlarla nasıl tespit edileceğine değineceğim. Özellikle Powershell saldırı vektörleri”AD“AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi” yazısının devamını oku

Windows Defender Group Policy Ayarları, Event Logları ve İncelenmesi

İstemci ve sunucularda sadece antivirüs yazılımı kullanarak güvenlik sağlanabilir düşüncesinin üzerinden yıllar geçse de, antivirus yazılımları hala uç nokta güvenliğinde yüksek derecede öneme sahipler. Bu nedenle antivirus uygulamalarından alınacak ve sonrasında izlenecek loglar da büyük önem arz ediyor. Örneğin AV-TEST’in test sonuçlarına göre aşağıdaki ekran alıntısından da göreceğiniz üzere Windows Defender’in performans sonuçları ortalamanın oldukça”Windows“Windows Defender Group Policy Ayarları, Event Logları ve İncelenmesi” yazısının devamını oku

Windows Defender Attack Surface Reduction Rules Uygulamaları

Saldırı tehdit yüzeyinin azaltılması noktasında, uç noktadaki istemcilerde tüm sıkılaştırmaların yapılması, işletim sistemi ve uygulamaların düzenli olarak güncellenmesi, kurulu antivirus veya EDR gibi uygulamalara ait politikaların olabildiğince yüksek güvenlik seviyelerinde ayarlanması vd. gibi birçok önlem almak mümkün. Saldırganların yüksek motivasyonları ve istemci tarafında insan faktörü olduğu sürece günün sonunda saldırganların kullandıkları atak vektörlerinin savunmayı aşması”Windows“Windows Defender Attack Surface Reduction Rules Uygulamaları” yazısının devamını oku