SlideShare a Scribd company logo
1 of 20
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
WAZUH NEDİR?
HANGİ AMAÇLA KULLANILIR?
Yazar:SametSazak
Baskı:2018
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İÇİNDEKİLER
Wazuh Nedir? ................................................................................................ 3
Ossec ve Wazuh ............................................................................................................ 3
OpenSCAP....................................................................................................................................... 3
Elastic Stack .................................................................................................................................... 3
Wazuh Ne Amaçla Kullanılmaktadır?.............................................................. 4
İmza Tabanlı Log Analizi ................................................................................................ 4
File integrity monitoring (Dosya bütünlüğü izleme)....................................................................... 6
Rootkit Tespiti................................................................................................................................. 9
Security policy monitoring (Güvenlik politikası izleme)................................................................ 10
Sistem Çağrılarını Takip Etme ....................................................................................................... 10
Linux/Windows Komut Satırı Takip Etme ..................................................................................... 11
Active Response............................................................................................................................ 12
Virustotal Entegrasyonu ............................................................................................................... 13
Osquery......................................................................................................................................... 14
Wazuh’un Kişisel Verilerin Korunumu Kanunu (GDPR) için Kullanılması ....... 16
Wazuh GDPR için Nasıl Kullanılır?................................................................................ 16
Wazuh Kurulumu ......................................................................................... 18
Wazuh sunucusunun kurulumu (Merkez)..................................................................... 18
Elastic Stack Kurulumu.................................................................................................................. 19
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Wazuh Nedir?
Ossec ve Wazuh
Wazuh, ölçeklenebilir, multi platformu, açık kaynaklı bir host-tabanlı intrusion detection
(HIDS) sistemidir. Güçlü bir korelasyon ve analiz motoru olan OSSEC'in bir forku olarak
doğmuştur. Elastic Stack ve OpenSCAP ile entegre edilerek daha kapsamlı bir çözüm haline
gelmiştir. Wazuh, Log analizi, dosya bütünlüğü denetimi (file integrity checking), Windows
kayıt defteri izleme (Windows registry monitoring), rootkit tespiti, gerçek zamanlı uyarı ve
aktif response yapısına sahip olmakla birlikte Linux, OpenBSD, FreeBSD, dahil olmak üzere
MacOS, Solaris ve Windows gibi çoğu işletim sistemlerinde çalışmaktadır.
Genel yapısı aşağıdaki resimle görünmektedir.
OpenSCAP
OpenSCAP, sistem yapılandırmalarını kontrol etmek ve güvenlik açığı olan uygulamaları tespit
etmek için kullanılan bir OVAL (Open Vulnerability Assessment Language) ve XCCDF
(Extensible Configuration Checklist Description Format) yorumlayıcısıdır.
Elastic Stack
Elastic Stack, log verilerini toplamak, parse etmek, dizinlemek, depolamak, aramak ve sunmak
için kullanılan bir yazılım paketidir. Elastic Stack, Elasticsearch, Logstash ve Kibana olarak
bilinen günlük yönetim için üç popüler açık kaynak projesinin birleşimidir. Birlikte Wazuh
alarmları için gerçek zamanlı ve kullanıcı arayüz oluşturmaktadır. Elastic Stack ile Wazuh
entegrasyonu, PCI DSS uyumluluğu ve CIS kriterleri için kullanıma hazır dashboardlar ile birlikte
gelmektedir.
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Wazuh Ne Amaçla Kullanılmaktadır?
İmza Tabanlı Log Analizi
Otomatik log analizi ve yönetimi sistemlerinizdeki olası tehditleri algılamayı hızlandırır.
Altyapınızdaki sistemlerin, cihazların ve uygulamaların loglarında bir saldırının kanıtının
bulunabileceği birçok durum vardır.
Wazuh, log verilerini otomatik olarak toplamak ve analiz etmek için kullanılabilmektedir.
Örneğin, Wazuh agentı yüklenmiş ve çalışan bir sistemin işletim sistemi logları okunmaktadır
ve bu loglar analiz edilmek üzere Wazuh sunucusuna yönlendirir. Agent kullanmaksızın,
sunucular üzerinden doğrudan JSON, Syslog ve birçok formatta network üzerinden veri
alabilmektedir.
Wazuh, logların hangi uygulamadan geldiğini tanımlamak için decoderlar kullanmaktadır ve
ardından bu uygulamalara göre özel kurallar kullanarak verileri analiz eder.
SSH kimlik doğrulama hatası olaylarını tespit etmek için kullanılan bir kural örneği;
<rule id="5716" level="5">
<if_sid>5700</if_sid>
<match>^Failed|^error: PAM: Authentication</match>
<description>SSHD authentication failed.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
Kurallar, kuralın aranacağı paterni tanımlamak için kullanılan bir eşleşme (match) alanını içerir.
Log içerisinde geçen tanımlamalar bu alanda oluşturulur ve alarmın hangi seviyede olacağını
belirten bir level alanı bulunmaktadır. Wazuh sunucusu, agentlardan birisi veya syslog
tarafından toplanan bir log içerisinde sıfırdan daha yüksek bir level'a sahip bir kuralla her
eşleştiğinde alarm üretecektir.
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Örnek;
{
"agent": {
"id": "1041",
"ip": "10.0.0.125",
"name": "vpc-agent-centos-public"
},
"decoder": {
"name": "sshd",
"parent": "sshd"
},
"dstuser": "root",
"full_log": "Mar 5 18:26:34 vpc-agent-centos-public sshd[9549]: Failed password
for root from 58.218.199.116 port 13982 ssh2",
"location": "/var/log/secure",
"manager": {
"name": "vpc-ossec-manager"
},
"program_name": "sshd",
"rule": {
"description": "Multiple authentication failures.",
"firedtimes": 349,
"frequency": 10,
"groups": [
"syslog",
"attacks",
"authentication_failures"
],
"id": "40111",
"level": 10,
"pci_dss": [
"10.2.4",
"10.2.5"
]
},
"srcip": "58.218.199.116",
"srcport": "13982",
"timestamp": "2017-03-05T10:26:59-0800"
}
Alarm wazuh server tarafından oluşturulduktan sonra, alarmlar coğrafi konum bilgileriyle
zenginleştirilmiş, depolanmış ve indexlenmiş oldukları Elastik Stack bileşenine gönderilir.
Kibana ara yüzünden daha sonra bu verileri analiz etmek ve görselleştirmek için kullanılır.
Örneğin, kibana ara yüzünde bir alarmı görüntülemek istediğimizde:
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Wazuh, farklı uygulamalar için 1.600'den fazla kural ile periyodik olarak güncellenen bir
varsayılan kural seti ile birlikte gelmektedir.
File Integrity Monitoring (Dosya Bütünlüğü İzleme)
Dosya bütünlüğü izleme (FIM) bileşeni, işletim sistemi ve uygulama dosyaları değiştirilirken
algılar ve uyarı oluşturur. Bu özellik genellikle hassas verilere erişim veya bu verilerin
değişikliklerini tespit etmek için kullanılmaktadır.
Sunucularınız PCI DSS kapsamındaysa, denetimleri geçmek için bir dosya bütünlüğü izleme
çözümü kullanmanız gerekmektedir.
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Aşağıda, izlenen bir dosya değiştirildiğinde bir uyarının örneği verilmiştir.
{
"timestamp":"2018-07-10T14:05:28.452-0800",
"rule":{
"level":7,
"description":"Integrity checksum changed.",
"id":"550",
"firedtimes":10,
"mail":false,
"groups":[
"ossec",
"syscheck"
],
"pci_dss":[
"11.5"
],
"gpg13":[
"4.11"
],
"gdpr":[
"II_5.1.f"
]
},
"agent":{
"id":"058",
"ip": "10.0.0.121",
"name":"vpc-agent-debian"
},
"manager":{
"name":"vpc-ossec-manager"
},
"id":"1531224328.283446",
"syscheck":{
"path":"/etc/hosts.allow",
"size_before":"421",
"size_after":"433",
"perm_after":"100644",
"uid_after":"0",
"gid_after":"0",
"md5_before":"4b8ee210c257bc59f2b1d4fa0cbbc3da",
"md5_after":"acb2289fba96e77cee0a2c3889b49643",
"sha1_before":"d3452e66d5cfd3bcb5fc79fbcf583e8dec736cfd",
"sha1_after":"b87a0e558ca67073573861b26e3265fa0ab35d20",
"sha256_before":"6504e867b41a6d1b87e225cfafaef3779a3ee9558b2aeae6baa610ec884e2a81",
"sha256_after":"bfa1c0ec3ebfaac71378cb62101135577521eb200c64d6ee8650efe75160978c",
"uname_after":"root",
"gname_after":"root",
"mtime_before":"2018-07-10T14:04:25",
"mtime_after":"2018-07-10T14:05:28",
"inode_after":268234,
"diff":"10a11,12n> 10.0.12.34n",
"event":"modified",
"audit":{
"user":{
"id":"0",
"name":"root"
},
"group":{
"id":"0",
"name":"root"
},
"process":{
"id":"82845",
"name":"/bin/nano",
"ppid":"3195"
},
"login_user":{
"id":"1000",
"name":"smith"
},
"effective_user":{
"id":"0",
"name":"root"
}
}
},
"decoder":{
"name":"syscheck_integrity_changed"
},
"location":"syscheck"
}
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Dosyanın meta verilerinde MD5 ve SHA1 özetleri, dosya boyutları (değişiklikten önce ve
sonra), dosya izinleri, dosya sahibi, içerik değişiklikleri ve bu değişiklikleri yapan kullanıcı
bilgileri bulunmaktadır.
Kibana ara yüzünde FIM dashboardı bulunmaktadır. Burada değişen dosyaları ve fim
modülünün sağladığı tüm özellikleri detaylı bir şekilde analiz edebilirsiniz.
(FIM Dashboard)
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Rootkit Tespiti
Wazuh agentları, hem kernel hem de kullanıcı düzeyinde rootkitleri tespit etmek için yüklü
olduğu sistemi periyodik olarak taramaktadır. Bu tür zararlı yazılımlar genellikle sistemin
davranışlarını değiştirmek için mevcut işletim sistemi bileşenlerinin yerine geçmektedir.
Wazuh, sistem anormalliklerini veya iyi bilinen saldırıları aramak için farklı tespit
mekanizmaları kullanır. Bu, Rootcheck modülü tarafından periyodik olarak
gerçekleştirilmektedir.
Aşağıda gizli bir "process" bulunduğunda oluşturulan bir alarm bulunmaktadır. Etkilenen
sistem Linux kernel düzeyinde bir rootkit (Diamorphine) çalıştırılmıştır.
{
"agent": {
"id": "1030",
"ip": "10.0.0.59",
"name": "diamorphine-POC"
},
"decoder": {
"name": "rootcheck"
},
"full_log": "Process '562' hidden from /proc. Possible kernel level
rootkit.",
"location": "rootcheck",
"manager": {
"name": "vpc-ossec-manager"
},
"rule": {
"description": "Host-based anomaly detection event (rootcheck).",
"firedtimes": 4,
"groups": [
"ossec",
"rootcheck"
],
"id": "510",
"level": 7
},
"timestamp": "2017-03-05T15:13:04-0800",
"title": "Process '562' hidden from /proc."
}
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Security Policy Monitoring (Güvenlik Politikası İzleme)
SCAP, kurumsal düzeyde altyapılar için standart bir uyumluluk kontrol çözümüdür. Kurumsal
sistem güvenliğini korumak amacıyla Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
tarafından sağlanan bir özellikler bütünüdür. OpenSCAP, Extensible Configuration Checklist
Description Format (XCCDF) kullanan bir denetim aracıdır. XCCDF, güvenlik kontrol listelerini
tanımlar. Wazuh agent, sistemlerin “CIS sıkılaştırma” standartlarına uygun olduğunu
doğrulamak için OpenSCAP'ı kullanır.
Sistem Çağrılarını Takip Etme
Linux Audit sistemi, sunucularınızdaki güvenlik ile ilgili bilgileri takip etmenin bir yoludur.
Önceden yapılandırılmış kurallara dayanarak, Audit, sisteminizde gerçekleşen olaylar
hakkında ayrıntılı gerçek zamanlı loglama yapmaktadır. Bu loglar kritik öneme sahip
ortamlarda, güvenlik politikasının ihlal edildiğini ve gerçekleştirdikleri eylemleri belirlemede
önemlidir.
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Linux/Windows Komut Satırı Takip Etme
Loglarda olmayan şeyleri izlemek isteyebileceğiniz zamanlar vardır. Wazuh, belirli komutların
çıktısını izleme ve çıktıyı log dosyası içeriğiymiş gibi ele alma becerisine sahiptir.
Örnek bir kullanım:
<localfile>
<log_format>command</log_format>
<command>df -P</command>
</localfile>
<rule id="531" level="7" ignore="7200">
<if_sid>530</if_sid>
<match>ossec: output: 'df -P': /dev/</match>
<regex>100%</regex>
<description>Partition usage reached 100% (disk space
monitor).</description>
<group>low_diskspace,pci_dss_10.6.1,</group>
</rule>
Aşağıdaki özellikler bu modül ile birlikte kullanılabilmektedir:
● Windows processlerini izleme
● Disk alanı kullanımı
● Output Değişikliği
● Load average
● USB Cihazları Algılama
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Active Response
Active response, belirli kriterler karşılandığında, aktif tehditleri karşı önlemler uygular. Active
response, alarm düzeyine veya kural grubuna bağlı olarak belirli uyarıların tetiklenmesine
yanıt olarak bir komut dosyası çalıştırır.
Basit bir örnek:
<command>
<name>restart-ossec</name>
<executable>restart-ossec.sh</executable>
<expect></expect>
</command>
<active-response>
<command>restart-ossec</command>
<location>local</location>
<rules_id>10005</rules_id>
</active-response>
Bu bazı kurallar devreye girdiğinde Wazuh’un yeniden başlatılmasını sağlayacaktır.
PF ile Bir IP adresinin Engellenmesi
<command>
<name>pf-block</name>
<executable>pf.sh</executable>
<expect>srcip</expect>
</command>
<active-response>
<command>pf-block</command>
<location>defined-agent</location>
<agent_id>001</agent_id>
<rules_group>authentication_failed,authentication_failures</rules_group>
</active-response>
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Virustotal Entegrasyonu
Wazuh, 3.0.0 sürümünden itibaren agentların izlediği dosyalar üzerinde zararlı yazılım
taraması yapan yeni bir entegrasyona sahip olmuştur. Çevrimiçi bir tarama motoruyla birlikte
birden çok virüsten koruma ürünlerini bir araya getiren güçlü bir platform olan VirusTotal ile
entegre edilmiştir. Bu aracı FIM(file integrity monitoring) altyapısıyla birleştirerek, zararlı içerik
için denetlemek üzere syscheck modülü tarafından izlenen dosyaları taramanın basit bir
yolunu sunmaktadır.
Örnek bir alarm:
** Alert 1510684984.55826: mail - virustotal,
2017 Nov 14 18:43:04 PC->virustotal
Rule: 87105 (level 12) -> 'VirusTotal: Alert -
/media/user/software/suspicious-file.exe - 7 engines detected this file'
{"virustotal": {"permalink":
"https://www.virustotal.com/file/8604adffc091a760deb4f4d599ab07540c300a0ccb5
581de437162e940663a1e/analysis/1510680277/", "sha1":
"68b92d885317929e5b283395400ec3322bc9db5e", "malicious": 1, "source":
{"alert_id": "1510684983.55139", "sha1":
"68b92d885317929e5b283395400ec3322bc9db5e", "file":
"/media/user/software/suspicious-file.exe", "agent": {"id": "006", "name":
"agent_centos"}, "md5": "9519135089d69ad7ae6b00a78480bb2b"}, "positives": 7,
"found": 1, "total": 67, "scan_date": "2017-11-14 17:24:37"}, "integration":
"virustotal"}
virustotal.permalink:
https://www.virustotal.com/file/8604adffc091a760deb4f4d599ab07540c300a0ccb55
81de437162e940663a1e/analysis/1510680277/
virustotal.sha1: 68b92d885317929e5b283395400ec3322bc9db5e
virustotal.malicious: 1
virustotal.source.alert_id: 1510684983.55139
virustotal.source.sha1: 68b92d885317929e5b283395400ec3322bc9db5e
virustotal.source.file: /media/user/software/suspicious-file.exe
virustotal.source.agent.id: 006
virustotal.source.agent.name: agent_centos
virustotal.source.md5: 9519135089d69ad7ae6b00a78480bb2b
virustotal.positives: 7
virustotal.found: 1
virustotal.total: 67
virustotal.scan_date: 2017-11-14 17:24:37
integration: virustotal
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Osquery
Osquery aracını Wazuh agentlar ile yönetebilirsiniz. Osquery tarafından üretilen bilgiyi
toplayıp, gerektiğinde ilgili uyarıları üreten yöneticiye göndermek için oluşturulmuş bir
modüldür.
Osquery tarafından oluşturulmuş bir alarm (json);
{
"timestamp": "2018-07-30T13:54:46.476+0000",
"rule": {
"level": 3,
"description": "osquery data grouped",
"id": "24010",
"firedtimes": 207,
"mail": false,
"groups": [
"osquery"
]v
},
"agent": {
"id": "000",
"name": "manager"
},
"manager": {
"name": "manager"
},
"id": "1532958886.437707",
"full_log":
"{"name":"system_info","hostIdentifier":"manager","calendarTime":
"Mon Jul 30 13:54:45 2018
UTC","unixTime":1532958885,"epoch":0,"counter":461,"columns":{"cgr
oup_namespace":"4026531835","cmdline":"","cwd":"/","disk_bytes_r
ead":"0","disk_bytes_written":"0","egid":"0","euid":"0","gid
":"0","ipc_namespace":"4026531839","mnt_namespace":"4026531840",
"name":"migration/0","net_namespace":"4026531957","nice":"0","on
_disk":"-
1","parent":"2","path":"","pgroup":"0","pid":"9","pid_name
space":"4026531836","resident_size":"","root":"/","sgid":"0",
"start_time":"0","state":"S","suid":"0","system_time":"2","
threads":"1","total_size":"","uid":"0","user_namespace":"40265
31837","user_time":"0","uts_namespace":"4026531838","wired_size":
"0"},"action":"added"}",
"decoder": {
"name": "json"
},
"data": {
"action": "added",
"name": "system_info",
"hostIdentifier": "manager",
"calendarTime": "Mon Jul 30 13:54:45 2018 UTC",
"unixTime": "1532958885",
"epoch": "0",
"counter": "461",
"columns": {
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
"cgroup_namespace": "4026531835",
"cmdline": "",
"cwd": "/",
"disk_bytes_read": "0",
"disk_bytes_written": "0",
"egid": "0",
"euid": "0",
"gid": "0",
"ipc_namespace": "4026531839",
"mnt_namespace": "4026531840",
"name": "migration/0",
"net_namespace": "4026531957",
"nice": "0",
"on_disk": "-1",
"parent": "2",
"path": "",
"pgroup": "0",
"pid": "9",
"pid_namespace": "4026531836",
"resident_size": "",
"root": "/",
"sgid": "0",
"start_time": "0",
"state": "S",
"suid": "0",
"system_time": "2",
"threads": "1",
"total_size": "",
"uid": "0",
"user_namespace": "4026531837",
"user_time": "0",
"uts_namespace": "4026531838",
"wired_size": "0"
}
},
"predecoder": {
"hostname": "manager"
},
"location": "osquery"
}
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Wazuh’un Kişisel Verilerin Korunumu Kanunu
(GDPR) için Kullanılması
Avrupa Birliği'nin tüm vatandaşları için verileri koruma altına almanın ana amacı olan Avrupa
Birliği'nin veri gizliliği mevzuatını kabul etmek için Avrupa Birliği Genel Veri Koruma
Yönetmeliği (GDPR) hazırlanmıştır. Bu amaçla, bu verilerin gizliliğini arttırmayı ve AB
kurumlarının veri gizliliğine yaklaşma biçimini düzeltmeyi amaçlamaktadır.
Kişisel verilerden bahsederken, tanımlanabilir bir kişiyle ilgili herhangi bir bilgiyi kastederiz.
Son yıllarda kişisel verilerin dağıtılması önemli ölçüde artmıştır, örneğin tarayıcı çerezleri, IP
adresleri, ekonomik bilgileri ve benzeri bilgiler hassas veriler olarak kabul edilen kişisel
verilerdir. Ayrıca dini, siyasi, ırksal, etnik, vb. "kişisel tanımlama verileri" olarak
tanımlanmaktadır. Bu veriler sadece sahtekârlık veya kimlik hırsızlığı için kullanılabilecek
verilerden ibaret değildir. KVVK üzerinde kişisel veriler olarak refere edilen herhangi bir veri
de kişisel veriler olarak kabul edilmektedir. Saklanan veya işlenen kişisel verilerin
değiştirilmesine, çeşitlendirilmesine, kaybına, yok edilmesine, yetkisiz erişilmesine veya ifşa
edilmesine yol açan her şeyin bir güvenlik ihlali olduğu söylenebilmektedir.
Wazuh GDPR için Nasıl Kullanılır?
Wazuh, (File Integrity monitoring) dosya bütünlüğü izleme ve Wazuh kurallarında yeni bir
etiketleme yöntemi ile birlikte "erişim kontrol özelliklerinden" faydalanmaktadır. Yani Belirli
bir GDPR teknik gereksinimine uygun kurallar, bunu açıklayan bir etikete sahiptir.
Kural etiketleme için kullanılan etiket "gdpr_", ardından bölüm, makale gereksinimin ait
olduğu bölüm ve paragraftan oluşmaktadır. (ör. gdpr_II_5.1.f).
Wazuh’un Dosya bütünlüğü denetimi (FIM), belirli dosyaları izleyerek ve bunlar
değiştirildiklerinde uyarıları tetikleyerek bu görevde yardımcı olur. Bu göreve sorumlu olan
bileşen Syscheck olarak adlandırılır. Dosya özeti ve diğer dosya özellikleri veya Windows kayıt
defteri anahtarlarından depolanır ve düzenli olarak dosyanın geçerli özetiyle karşılaştırılır.
Örnek bir kullanım:
/root/kisisel_veriler şeklinde bir dizinimiz olsun. Aşağıdaki gibi bir konfigürasyon
oluşturuyoruz:
<syscheck>
<directories check_all="yes"
report_changes="yes">/root/kisisel_veriler</directories>
</syscheck>
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Kisisel_veriler dizininde bir tane dosya oluşturun ve içerisine bir şeyler yazın. Daha sonra
wazuh’un bu duruma alarm oluşturduğunu göreceksiniz.
** Alert 1526470666.11377: -
ossec,syscheck,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f,
2018 May 16 13:37:46 (agent01) 192.168.1.50->syscheck
Rule: 550 (level 7) -> 'Integrity checksum changed.'
Integrity checksum changed for: '/root/kisisel_veriler/ornek_veri.txt'
Old md5sum was: 'c86fc18b025cb03c698548a5a7e04bc1'
New md5sum is : '425e63943d8ae5491f1769033da66456'
Old sha1sum was: '3bef1dc414e7fe247cdca4d4900c23047e003a06'
New sha1sum is : '048af26252c3b9eb6fd4335d5e218891f90c9037'
What changed:
1c1
< User01= user03_ID
---
> User01= user02_ID
File: /root/kisisel_veriler/ornek_veri.txt
New size: 18
New permissions: 100644
New user: root (0)
New group: root (0)
Old MD5: c86fc18b025cb03c698548a5a7e04bc1
New MD5: 425e63943d8ae5491f1769033da66456
Old SHA1: 3bef1dc414e7fe247cdca4d4900c23047e003a06
New SHA1: 048af26252c3b9eb6fd4335d5e218891f90c9037
Old date: Wed May 16 12:18:15 2018
New date: Wed May 16 13:32:54 2018
New inode: 19690
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Wazuh Kurulumu
Wazuh sunucusunun kurulumu (Merkez)
Wazuh sunucusu ve Elastic Stack kurulumundan ibarettir. Elastic Stack ve Wazuh sunucusunu
ayrı sunuculara ya da aynı sunucu üzerinde çalıştırabilirsiniz. Wazuh sunucusu kurulumunu
tamamladıktan sonra wazuh agentları izlenecek olan client sunucu/pc dağıtılır.
Wazuh Merkez sunucusu:
Wazuh server, Wazuh-API ve Filebeati (Eğer dağıtık olarak kullanıyorsanız) çalıştırmaktadır.
Dağıtılan agentlardan verileri toplar ve analiz eder. Elastic Stack: Elasticsearch, Logstash ve
Kibana'yı (Kibana üzerindeki Wazuh eklentisi dahil) çalıştırmaktadır. Wazuh merkez sunucusu
tarafından oluşturulan alarm verilerini okur, ayrıştırır, dizinler ve depolar.
Wazuh Agent: İzlenmek istenilen ana bilgisayarda çalışır, sistem logları ve yapılandırma
verilerini toplar ve izinsiz girişleri ve anormallikleri tespit eder. Daha fazla analiz için topladığı
verileri Wazuh merkez sunucusuna gönderir.
Single-Host Mimarisi
Dağıtık Mimari
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Bu dokümantasyon Wazuh’un Centos 7 üzerinde nasıl kurulacağını takip edecektir. Dilerseniz,
https://documentation.wazuh.com/current/installation-guide/index.html adresinden diğer
kurulum yönergelerini takip debilirsiniz.
Wazuh reposunun eklenmesi:
cat > /etc/yum.repos.d/wazuh.repo <<EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF
Wazuh Server ve API Kurulumu
yum install wazuh-manager wazuh-api
Elastic Stack Kurulumu
Oracle JRE8 yüklü olması gerekmektedir.
Elastic Stack reposunun eklenmesi:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
# cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
Elasticsearch & Logstash & Kibana Kurulumu
yum install elasticsearch-6.5.1
yum install logstash-6.5.1
yum install kibana-6.5.1
[WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.

More Related Content

More from BGA Cyber Security

DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziBGA Cyber Security
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerBGA Cyber Security
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıBGA Cyber Security
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri BGA Cyber Security
 

More from BGA Cyber Security (20)

DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
 
Microsoft Azure Sentinel
Microsoft Azure SentinelMicrosoft Azure Sentinel
Microsoft Azure Sentinel
 

Wazuh Nedir? Hangi Amaçla Kullanılır?

  • 1. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR? Yazar:SametSazak Baskı:2018
  • 2. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity İÇİNDEKİLER Wazuh Nedir? ................................................................................................ 3 Ossec ve Wazuh ............................................................................................................ 3 OpenSCAP....................................................................................................................................... 3 Elastic Stack .................................................................................................................................... 3 Wazuh Ne Amaçla Kullanılmaktadır?.............................................................. 4 İmza Tabanlı Log Analizi ................................................................................................ 4 File integrity monitoring (Dosya bütünlüğü izleme)....................................................................... 6 Rootkit Tespiti................................................................................................................................. 9 Security policy monitoring (Güvenlik politikası izleme)................................................................ 10 Sistem Çağrılarını Takip Etme ....................................................................................................... 10 Linux/Windows Komut Satırı Takip Etme ..................................................................................... 11 Active Response............................................................................................................................ 12 Virustotal Entegrasyonu ............................................................................................................... 13 Osquery......................................................................................................................................... 14 Wazuh’un Kişisel Verilerin Korunumu Kanunu (GDPR) için Kullanılması ....... 16 Wazuh GDPR için Nasıl Kullanılır?................................................................................ 16 Wazuh Kurulumu ......................................................................................... 18 Wazuh sunucusunun kurulumu (Merkez)..................................................................... 18 Elastic Stack Kurulumu.................................................................................................................. 19
  • 3. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Wazuh Nedir? Ossec ve Wazuh Wazuh, ölçeklenebilir, multi platformu, açık kaynaklı bir host-tabanlı intrusion detection (HIDS) sistemidir. Güçlü bir korelasyon ve analiz motoru olan OSSEC'in bir forku olarak doğmuştur. Elastic Stack ve OpenSCAP ile entegre edilerek daha kapsamlı bir çözüm haline gelmiştir. Wazuh, Log analizi, dosya bütünlüğü denetimi (file integrity checking), Windows kayıt defteri izleme (Windows registry monitoring), rootkit tespiti, gerçek zamanlı uyarı ve aktif response yapısına sahip olmakla birlikte Linux, OpenBSD, FreeBSD, dahil olmak üzere MacOS, Solaris ve Windows gibi çoğu işletim sistemlerinde çalışmaktadır. Genel yapısı aşağıdaki resimle görünmektedir. OpenSCAP OpenSCAP, sistem yapılandırmalarını kontrol etmek ve güvenlik açığı olan uygulamaları tespit etmek için kullanılan bir OVAL (Open Vulnerability Assessment Language) ve XCCDF (Extensible Configuration Checklist Description Format) yorumlayıcısıdır. Elastic Stack Elastic Stack, log verilerini toplamak, parse etmek, dizinlemek, depolamak, aramak ve sunmak için kullanılan bir yazılım paketidir. Elastic Stack, Elasticsearch, Logstash ve Kibana olarak bilinen günlük yönetim için üç popüler açık kaynak projesinin birleşimidir. Birlikte Wazuh alarmları için gerçek zamanlı ve kullanıcı arayüz oluşturmaktadır. Elastic Stack ile Wazuh entegrasyonu, PCI DSS uyumluluğu ve CIS kriterleri için kullanıma hazır dashboardlar ile birlikte gelmektedir.
  • 4. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Wazuh Ne Amaçla Kullanılmaktadır? İmza Tabanlı Log Analizi Otomatik log analizi ve yönetimi sistemlerinizdeki olası tehditleri algılamayı hızlandırır. Altyapınızdaki sistemlerin, cihazların ve uygulamaların loglarında bir saldırının kanıtının bulunabileceği birçok durum vardır. Wazuh, log verilerini otomatik olarak toplamak ve analiz etmek için kullanılabilmektedir. Örneğin, Wazuh agentı yüklenmiş ve çalışan bir sistemin işletim sistemi logları okunmaktadır ve bu loglar analiz edilmek üzere Wazuh sunucusuna yönlendirir. Agent kullanmaksızın, sunucular üzerinden doğrudan JSON, Syslog ve birçok formatta network üzerinden veri alabilmektedir. Wazuh, logların hangi uygulamadan geldiğini tanımlamak için decoderlar kullanmaktadır ve ardından bu uygulamalara göre özel kurallar kullanarak verileri analiz eder. SSH kimlik doğrulama hatası olaylarını tespit etmek için kullanılan bir kural örneği; <rule id="5716" level="5"> <if_sid>5700</if_sid> <match>^Failed|^error: PAM: Authentication</match> <description>SSHD authentication failed.</description> <group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group> </rule> Kurallar, kuralın aranacağı paterni tanımlamak için kullanılan bir eşleşme (match) alanını içerir. Log içerisinde geçen tanımlamalar bu alanda oluşturulur ve alarmın hangi seviyede olacağını belirten bir level alanı bulunmaktadır. Wazuh sunucusu, agentlardan birisi veya syslog tarafından toplanan bir log içerisinde sıfırdan daha yüksek bir level'a sahip bir kuralla her eşleştiğinde alarm üretecektir.
  • 5. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Örnek; { "agent": { "id": "1041", "ip": "10.0.0.125", "name": "vpc-agent-centos-public" }, "decoder": { "name": "sshd", "parent": "sshd" }, "dstuser": "root", "full_log": "Mar 5 18:26:34 vpc-agent-centos-public sshd[9549]: Failed password for root from 58.218.199.116 port 13982 ssh2", "location": "/var/log/secure", "manager": { "name": "vpc-ossec-manager" }, "program_name": "sshd", "rule": { "description": "Multiple authentication failures.", "firedtimes": 349, "frequency": 10, "groups": [ "syslog", "attacks", "authentication_failures" ], "id": "40111", "level": 10, "pci_dss": [ "10.2.4", "10.2.5" ] }, "srcip": "58.218.199.116", "srcport": "13982", "timestamp": "2017-03-05T10:26:59-0800" } Alarm wazuh server tarafından oluşturulduktan sonra, alarmlar coğrafi konum bilgileriyle zenginleştirilmiş, depolanmış ve indexlenmiş oldukları Elastik Stack bileşenine gönderilir. Kibana ara yüzünden daha sonra bu verileri analiz etmek ve görselleştirmek için kullanılır. Örneğin, kibana ara yüzünde bir alarmı görüntülemek istediğimizde:
  • 6. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Wazuh, farklı uygulamalar için 1.600'den fazla kural ile periyodik olarak güncellenen bir varsayılan kural seti ile birlikte gelmektedir. File Integrity Monitoring (Dosya Bütünlüğü İzleme) Dosya bütünlüğü izleme (FIM) bileşeni, işletim sistemi ve uygulama dosyaları değiştirilirken algılar ve uyarı oluşturur. Bu özellik genellikle hassas verilere erişim veya bu verilerin değişikliklerini tespit etmek için kullanılmaktadır. Sunucularınız PCI DSS kapsamındaysa, denetimleri geçmek için bir dosya bütünlüğü izleme çözümü kullanmanız gerekmektedir.
  • 7. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Aşağıda, izlenen bir dosya değiştirildiğinde bir uyarının örneği verilmiştir. { "timestamp":"2018-07-10T14:05:28.452-0800", "rule":{ "level":7, "description":"Integrity checksum changed.", "id":"550", "firedtimes":10, "mail":false, "groups":[ "ossec", "syscheck" ], "pci_dss":[ "11.5" ], "gpg13":[ "4.11" ], "gdpr":[ "II_5.1.f" ] }, "agent":{ "id":"058", "ip": "10.0.0.121", "name":"vpc-agent-debian" }, "manager":{ "name":"vpc-ossec-manager" }, "id":"1531224328.283446", "syscheck":{ "path":"/etc/hosts.allow", "size_before":"421", "size_after":"433", "perm_after":"100644", "uid_after":"0", "gid_after":"0", "md5_before":"4b8ee210c257bc59f2b1d4fa0cbbc3da", "md5_after":"acb2289fba96e77cee0a2c3889b49643", "sha1_before":"d3452e66d5cfd3bcb5fc79fbcf583e8dec736cfd", "sha1_after":"b87a0e558ca67073573861b26e3265fa0ab35d20", "sha256_before":"6504e867b41a6d1b87e225cfafaef3779a3ee9558b2aeae6baa610ec884e2a81", "sha256_after":"bfa1c0ec3ebfaac71378cb62101135577521eb200c64d6ee8650efe75160978c", "uname_after":"root", "gname_after":"root", "mtime_before":"2018-07-10T14:04:25", "mtime_after":"2018-07-10T14:05:28", "inode_after":268234, "diff":"10a11,12n> 10.0.12.34n", "event":"modified", "audit":{ "user":{ "id":"0", "name":"root" }, "group":{ "id":"0", "name":"root" }, "process":{ "id":"82845", "name":"/bin/nano", "ppid":"3195" }, "login_user":{ "id":"1000", "name":"smith" }, "effective_user":{ "id":"0", "name":"root" } } }, "decoder":{ "name":"syscheck_integrity_changed" }, "location":"syscheck" }
  • 8. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Dosyanın meta verilerinde MD5 ve SHA1 özetleri, dosya boyutları (değişiklikten önce ve sonra), dosya izinleri, dosya sahibi, içerik değişiklikleri ve bu değişiklikleri yapan kullanıcı bilgileri bulunmaktadır. Kibana ara yüzünde FIM dashboardı bulunmaktadır. Burada değişen dosyaları ve fim modülünün sağladığı tüm özellikleri detaylı bir şekilde analiz edebilirsiniz. (FIM Dashboard)
  • 9. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Rootkit Tespiti Wazuh agentları, hem kernel hem de kullanıcı düzeyinde rootkitleri tespit etmek için yüklü olduğu sistemi periyodik olarak taramaktadır. Bu tür zararlı yazılımlar genellikle sistemin davranışlarını değiştirmek için mevcut işletim sistemi bileşenlerinin yerine geçmektedir. Wazuh, sistem anormalliklerini veya iyi bilinen saldırıları aramak için farklı tespit mekanizmaları kullanır. Bu, Rootcheck modülü tarafından periyodik olarak gerçekleştirilmektedir. Aşağıda gizli bir "process" bulunduğunda oluşturulan bir alarm bulunmaktadır. Etkilenen sistem Linux kernel düzeyinde bir rootkit (Diamorphine) çalıştırılmıştır. { "agent": { "id": "1030", "ip": "10.0.0.59", "name": "diamorphine-POC" }, "decoder": { "name": "rootcheck" }, "full_log": "Process '562' hidden from /proc. Possible kernel level rootkit.", "location": "rootcheck", "manager": { "name": "vpc-ossec-manager" }, "rule": { "description": "Host-based anomaly detection event (rootcheck).", "firedtimes": 4, "groups": [ "ossec", "rootcheck" ], "id": "510", "level": 7 }, "timestamp": "2017-03-05T15:13:04-0800", "title": "Process '562' hidden from /proc." }
  • 10. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Security Policy Monitoring (Güvenlik Politikası İzleme) SCAP, kurumsal düzeyde altyapılar için standart bir uyumluluk kontrol çözümüdür. Kurumsal sistem güvenliğini korumak amacıyla Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından sağlanan bir özellikler bütünüdür. OpenSCAP, Extensible Configuration Checklist Description Format (XCCDF) kullanan bir denetim aracıdır. XCCDF, güvenlik kontrol listelerini tanımlar. Wazuh agent, sistemlerin “CIS sıkılaştırma” standartlarına uygun olduğunu doğrulamak için OpenSCAP'ı kullanır. Sistem Çağrılarını Takip Etme Linux Audit sistemi, sunucularınızdaki güvenlik ile ilgili bilgileri takip etmenin bir yoludur. Önceden yapılandırılmış kurallara dayanarak, Audit, sisteminizde gerçekleşen olaylar hakkında ayrıntılı gerçek zamanlı loglama yapmaktadır. Bu loglar kritik öneme sahip ortamlarda, güvenlik politikasının ihlal edildiğini ve gerçekleştirdikleri eylemleri belirlemede önemlidir.
  • 11. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Linux/Windows Komut Satırı Takip Etme Loglarda olmayan şeyleri izlemek isteyebileceğiniz zamanlar vardır. Wazuh, belirli komutların çıktısını izleme ve çıktıyı log dosyası içeriğiymiş gibi ele alma becerisine sahiptir. Örnek bir kullanım: <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <rule id="531" level="7" ignore="7200"> <if_sid>530</if_sid> <match>ossec: output: 'df -P': /dev/</match> <regex>100%</regex> <description>Partition usage reached 100% (disk space monitor).</description> <group>low_diskspace,pci_dss_10.6.1,</group> </rule> Aşağıdaki özellikler bu modül ile birlikte kullanılabilmektedir: ● Windows processlerini izleme ● Disk alanı kullanımı ● Output Değişikliği ● Load average ● USB Cihazları Algılama
  • 12. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Active Response Active response, belirli kriterler karşılandığında, aktif tehditleri karşı önlemler uygular. Active response, alarm düzeyine veya kural grubuna bağlı olarak belirli uyarıların tetiklenmesine yanıt olarak bir komut dosyası çalıştırır. Basit bir örnek: <command> <name>restart-ossec</name> <executable>restart-ossec.sh</executable> <expect></expect> </command> <active-response> <command>restart-ossec</command> <location>local</location> <rules_id>10005</rules_id> </active-response> Bu bazı kurallar devreye girdiğinde Wazuh’un yeniden başlatılmasını sağlayacaktır. PF ile Bir IP adresinin Engellenmesi <command> <name>pf-block</name> <executable>pf.sh</executable> <expect>srcip</expect> </command> <active-response> <command>pf-block</command> <location>defined-agent</location> <agent_id>001</agent_id> <rules_group>authentication_failed,authentication_failures</rules_group> </active-response>
  • 13. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Virustotal Entegrasyonu Wazuh, 3.0.0 sürümünden itibaren agentların izlediği dosyalar üzerinde zararlı yazılım taraması yapan yeni bir entegrasyona sahip olmuştur. Çevrimiçi bir tarama motoruyla birlikte birden çok virüsten koruma ürünlerini bir araya getiren güçlü bir platform olan VirusTotal ile entegre edilmiştir. Bu aracı FIM(file integrity monitoring) altyapısıyla birleştirerek, zararlı içerik için denetlemek üzere syscheck modülü tarafından izlenen dosyaları taramanın basit bir yolunu sunmaktadır. Örnek bir alarm: ** Alert 1510684984.55826: mail - virustotal, 2017 Nov 14 18:43:04 PC->virustotal Rule: 87105 (level 12) -> 'VirusTotal: Alert - /media/user/software/suspicious-file.exe - 7 engines detected this file' {"virustotal": {"permalink": "https://www.virustotal.com/file/8604adffc091a760deb4f4d599ab07540c300a0ccb5 581de437162e940663a1e/analysis/1510680277/", "sha1": "68b92d885317929e5b283395400ec3322bc9db5e", "malicious": 1, "source": {"alert_id": "1510684983.55139", "sha1": "68b92d885317929e5b283395400ec3322bc9db5e", "file": "/media/user/software/suspicious-file.exe", "agent": {"id": "006", "name": "agent_centos"}, "md5": "9519135089d69ad7ae6b00a78480bb2b"}, "positives": 7, "found": 1, "total": 67, "scan_date": "2017-11-14 17:24:37"}, "integration": "virustotal"} virustotal.permalink: https://www.virustotal.com/file/8604adffc091a760deb4f4d599ab07540c300a0ccb55 81de437162e940663a1e/analysis/1510680277/ virustotal.sha1: 68b92d885317929e5b283395400ec3322bc9db5e virustotal.malicious: 1 virustotal.source.alert_id: 1510684983.55139 virustotal.source.sha1: 68b92d885317929e5b283395400ec3322bc9db5e virustotal.source.file: /media/user/software/suspicious-file.exe virustotal.source.agent.id: 006 virustotal.source.agent.name: agent_centos virustotal.source.md5: 9519135089d69ad7ae6b00a78480bb2b virustotal.positives: 7 virustotal.found: 1 virustotal.total: 67 virustotal.scan_date: 2017-11-14 17:24:37 integration: virustotal
  • 14. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Osquery Osquery aracını Wazuh agentlar ile yönetebilirsiniz. Osquery tarafından üretilen bilgiyi toplayıp, gerektiğinde ilgili uyarıları üreten yöneticiye göndermek için oluşturulmuş bir modüldür. Osquery tarafından oluşturulmuş bir alarm (json); { "timestamp": "2018-07-30T13:54:46.476+0000", "rule": { "level": 3, "description": "osquery data grouped", "id": "24010", "firedtimes": 207, "mail": false, "groups": [ "osquery" ]v }, "agent": { "id": "000", "name": "manager" }, "manager": { "name": "manager" }, "id": "1532958886.437707", "full_log": "{"name":"system_info","hostIdentifier":"manager","calendarTime": "Mon Jul 30 13:54:45 2018 UTC","unixTime":1532958885,"epoch":0,"counter":461,"columns":{"cgr oup_namespace":"4026531835","cmdline":"","cwd":"/","disk_bytes_r ead":"0","disk_bytes_written":"0","egid":"0","euid":"0","gid ":"0","ipc_namespace":"4026531839","mnt_namespace":"4026531840", "name":"migration/0","net_namespace":"4026531957","nice":"0","on _disk":"- 1","parent":"2","path":"","pgroup":"0","pid":"9","pid_name space":"4026531836","resident_size":"","root":"/","sgid":"0", "start_time":"0","state":"S","suid":"0","system_time":"2"," threads":"1","total_size":"","uid":"0","user_namespace":"40265 31837","user_time":"0","uts_namespace":"4026531838","wired_size": "0"},"action":"added"}", "decoder": { "name": "json" }, "data": { "action": "added", "name": "system_info", "hostIdentifier": "manager", "calendarTime": "Mon Jul 30 13:54:45 2018 UTC", "unixTime": "1532958885", "epoch": "0", "counter": "461", "columns": {
  • 15. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity "cgroup_namespace": "4026531835", "cmdline": "", "cwd": "/", "disk_bytes_read": "0", "disk_bytes_written": "0", "egid": "0", "euid": "0", "gid": "0", "ipc_namespace": "4026531839", "mnt_namespace": "4026531840", "name": "migration/0", "net_namespace": "4026531957", "nice": "0", "on_disk": "-1", "parent": "2", "path": "", "pgroup": "0", "pid": "9", "pid_namespace": "4026531836", "resident_size": "", "root": "/", "sgid": "0", "start_time": "0", "state": "S", "suid": "0", "system_time": "2", "threads": "1", "total_size": "", "uid": "0", "user_namespace": "4026531837", "user_time": "0", "uts_namespace": "4026531838", "wired_size": "0" } }, "predecoder": { "hostname": "manager" }, "location": "osquery" }
  • 16. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Wazuh’un Kişisel Verilerin Korunumu Kanunu (GDPR) için Kullanılması Avrupa Birliği'nin tüm vatandaşları için verileri koruma altına almanın ana amacı olan Avrupa Birliği'nin veri gizliliği mevzuatını kabul etmek için Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) hazırlanmıştır. Bu amaçla, bu verilerin gizliliğini arttırmayı ve AB kurumlarının veri gizliliğine yaklaşma biçimini düzeltmeyi amaçlamaktadır. Kişisel verilerden bahsederken, tanımlanabilir bir kişiyle ilgili herhangi bir bilgiyi kastederiz. Son yıllarda kişisel verilerin dağıtılması önemli ölçüde artmıştır, örneğin tarayıcı çerezleri, IP adresleri, ekonomik bilgileri ve benzeri bilgiler hassas veriler olarak kabul edilen kişisel verilerdir. Ayrıca dini, siyasi, ırksal, etnik, vb. "kişisel tanımlama verileri" olarak tanımlanmaktadır. Bu veriler sadece sahtekârlık veya kimlik hırsızlığı için kullanılabilecek verilerden ibaret değildir. KVVK üzerinde kişisel veriler olarak refere edilen herhangi bir veri de kişisel veriler olarak kabul edilmektedir. Saklanan veya işlenen kişisel verilerin değiştirilmesine, çeşitlendirilmesine, kaybına, yok edilmesine, yetkisiz erişilmesine veya ifşa edilmesine yol açan her şeyin bir güvenlik ihlali olduğu söylenebilmektedir. Wazuh GDPR için Nasıl Kullanılır? Wazuh, (File Integrity monitoring) dosya bütünlüğü izleme ve Wazuh kurallarında yeni bir etiketleme yöntemi ile birlikte "erişim kontrol özelliklerinden" faydalanmaktadır. Yani Belirli bir GDPR teknik gereksinimine uygun kurallar, bunu açıklayan bir etikete sahiptir. Kural etiketleme için kullanılan etiket "gdpr_", ardından bölüm, makale gereksinimin ait olduğu bölüm ve paragraftan oluşmaktadır. (ör. gdpr_II_5.1.f). Wazuh’un Dosya bütünlüğü denetimi (FIM), belirli dosyaları izleyerek ve bunlar değiştirildiklerinde uyarıları tetikleyerek bu görevde yardımcı olur. Bu göreve sorumlu olan bileşen Syscheck olarak adlandırılır. Dosya özeti ve diğer dosya özellikleri veya Windows kayıt defteri anahtarlarından depolanır ve düzenli olarak dosyanın geçerli özetiyle karşılaştırılır. Örnek bir kullanım: /root/kisisel_veriler şeklinde bir dizinimiz olsun. Aşağıdaki gibi bir konfigürasyon oluşturuyoruz: <syscheck> <directories check_all="yes" report_changes="yes">/root/kisisel_veriler</directories> </syscheck>
  • 17. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Kisisel_veriler dizininde bir tane dosya oluşturun ve içerisine bir şeyler yazın. Daha sonra wazuh’un bu duruma alarm oluşturduğunu göreceksiniz. ** Alert 1526470666.11377: - ossec,syscheck,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f, 2018 May 16 13:37:46 (agent01) 192.168.1.50->syscheck Rule: 550 (level 7) -> 'Integrity checksum changed.' Integrity checksum changed for: '/root/kisisel_veriler/ornek_veri.txt' Old md5sum was: 'c86fc18b025cb03c698548a5a7e04bc1' New md5sum is : '425e63943d8ae5491f1769033da66456' Old sha1sum was: '3bef1dc414e7fe247cdca4d4900c23047e003a06' New sha1sum is : '048af26252c3b9eb6fd4335d5e218891f90c9037' What changed: 1c1 < User01= user03_ID --- > User01= user02_ID File: /root/kisisel_veriler/ornek_veri.txt New size: 18 New permissions: 100644 New user: root (0) New group: root (0) Old MD5: c86fc18b025cb03c698548a5a7e04bc1 New MD5: 425e63943d8ae5491f1769033da66456 Old SHA1: 3bef1dc414e7fe247cdca4d4900c23047e003a06 New SHA1: 048af26252c3b9eb6fd4335d5e218891f90c9037 Old date: Wed May 16 12:18:15 2018 New date: Wed May 16 13:32:54 2018 New inode: 19690
  • 18. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Wazuh Kurulumu Wazuh sunucusunun kurulumu (Merkez) Wazuh sunucusu ve Elastic Stack kurulumundan ibarettir. Elastic Stack ve Wazuh sunucusunu ayrı sunuculara ya da aynı sunucu üzerinde çalıştırabilirsiniz. Wazuh sunucusu kurulumunu tamamladıktan sonra wazuh agentları izlenecek olan client sunucu/pc dağıtılır. Wazuh Merkez sunucusu: Wazuh server, Wazuh-API ve Filebeati (Eğer dağıtık olarak kullanıyorsanız) çalıştırmaktadır. Dağıtılan agentlardan verileri toplar ve analiz eder. Elastic Stack: Elasticsearch, Logstash ve Kibana'yı (Kibana üzerindeki Wazuh eklentisi dahil) çalıştırmaktadır. Wazuh merkez sunucusu tarafından oluşturulan alarm verilerini okur, ayrıştırır, dizinler ve depolar. Wazuh Agent: İzlenmek istenilen ana bilgisayarda çalışır, sistem logları ve yapılandırma verilerini toplar ve izinsiz girişleri ve anormallikleri tespit eder. Daha fazla analiz için topladığı verileri Wazuh merkez sunucusuna gönderir. Single-Host Mimarisi Dağıtık Mimari
  • 19. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Bu dokümantasyon Wazuh’un Centos 7 üzerinde nasıl kurulacağını takip edecektir. Dilerseniz, https://documentation.wazuh.com/current/installation-guide/index.html adresinden diğer kurulum yönergelerini takip debilirsiniz. Wazuh reposunun eklenmesi: cat > /etc/yum.repos.d/wazuh.repo <<EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1 EOF Wazuh Server ve API Kurulumu yum install wazuh-manager wazuh-api Elastic Stack Kurulumu Oracle JRE8 yüklü olması gerekmektedir. Elastic Stack reposunun eklenmesi: rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch # cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-6.x] name=Elasticsearch repository for 6.x packages baseurl=https://artifacts.elastic.co/packages/6.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF Elasticsearch & Logstash & Kibana Kurulumu yum install elasticsearch-6.5.1 yum install logstash-6.5.1 yum install kibana-6.5.1
  • 20. [WAZUH NEDİR? HANGİ AMAÇLA KULLANILIR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.