SANS DFIR Summit 2021 kapsamında Wietze Beukema tarafından tarafından anlatılan “Exploring Windows Command-Line Obfuscation” konusu, SIGMA kurallarının yazımında dikkat edilmesi gereken hususlar konusunda oldukça önemli detaylar içeriyor. Saldırganların, savunma tarafında yazılan alarm kurallarını atlatmak için kullanabileceği tekniklerden biri olan “Windows Command Line obfuscation” ile SIEM tarafında yazılan SIGMA kuralların atlatılmasının önüne geçilebilmesi için aşağıdaki videonun”Command“Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları” yazısının devamını oku
Etiket arşivleri: sysmon
Powershell Kullanarak Spesifik Event Log Toplama
Applied Incident Response kitabına ait web sitesinde yer alan Event Log Analyst Reference bölümünü okuduktan sonra Powershell ile basit bir script yazarak bahse konu logları SIEM türü ürünlerin indeksleyebileceği şekilde toplamaya karar verdim. Aşağıdaki maddelerde scripti nasıl kullanabileceğinize dair detayları bulabilirsiniz. Toplanması gereken event log sayısı arttıkça, toplama süresinin oldukça uzayacağını belirtmek isterim. Şu adresten”Powershell“Powershell Kullanarak Spesifik Event Log Toplama” yazısının devamını oku
AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi
İki yazı olarak planladığım yazı serisinin ilk bölümünde Active Directory (AD) ortamında yer alan istemci veya sunucularda oluşan processlerin takibi için üç konu başlığı altında Group Policy (GP) ayarlarının nasıl yapılacağına değindikten sonra, bir sonraki bölümde Empire, Powersploit türü araçlarla yapılan saldıların oluşturdukları gürültülerin bahse konu ayarlarla nasıl tespit edileceğine değineceğim. Özellikle Powershell saldırı vektörleri”AD“AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi” yazısının devamını oku
Sysmon ile Process, DNS, TCP Conns ve Port Özet Bilgileri
Bir sunucunun günlük, haftalık veya aylık oluşturduğu logların benzer şekilde üretiliyor olması ihtimal dahilindeyken, kurumsal ortamda bulunan istemcilerin farklı gereksinimlerine göre kullanılması nedeniyle belli bir kullanıcı analiz verisi elde etmek oldukça güç (User and Entity Behaviour Analytics’in kapsamına giren bu konu ilginizi çektiyse, şu bağlantıdan daha detaylı bilgilere erişebilirsiniz). Bir istemcide hızlıca Sysmon loglarına bakarak,”Sysmon“Sysmon ile Process, DNS, TCP Conns ve Port Özet Bilgileri” yazısının devamını oku
Sigma Kurallarının İncelenmesiyle Atak-Savunma Bağlantısının Kurulması
Kurumlarda kullanılan SIEM’lerin sadece log toplama çözümü olarak değil, aynı zamanda oluşturulan korelasyon kurallarıyla aktif tehdit izleme merkezi haline getirilmesi oldukça önemli. Bu noktada, Sigma kurallarının SIEM’lere entegre edilmesi, SIEM’i daha verimli hale getirirken, diğer taraftan savunma tarafını da aynı şekilde güçlendirmekte. Bahse konu Sigma kurallarına bu bağlantıdan erişebilir veya bu videoyu izleyerek daha ayrıntılı”Sigma“Sigma Kurallarının İncelenmesiyle Atak-Savunma Bağlantısının Kurulması” yazısının devamını oku
CSEC ZONE 