SlideShare a Scribd company logo
1 of 48
@BGASecurity
Windows Sistemler için Sysmon ve Wazuh Kullanarak
Mitre ATT&CK Kurallarının Yazılması
- NetSec 2019 -
@BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
BGA | Hakkında
@BGASecurity
Musab YARDIM
Kıdemli Güvenlik Danışmanı
musabyardim.com
@musabyardim
@BGASecurity
Ajanda BGA | NETSEC
Sysmon
Wazuh
Mitre ATT&CK
➢ Yapısı ve yetenekleri
➢ Örnek kural yazılması ve Sysmon kurulumu
➢ Sysmon loglarının takip edilmesi
➢ Neden Sysmon?
➢ Wazuh ile Sysmon loglarının toplanması
➢ Log analizi ve alarm oluşturulması
➢ Alarmların görüntülenmesi ve görselleştirilmesi
➢ Wazuh nedir?
➢ Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
➢ Örnek Mitre ATT&CK senaryosu
➢ Nedir?
Uygulama
Ekstra
Kaynaklar
➢ PLATINUM grubuna ait aktivitelerin
Sysmon ile tespit edilmesi
➢ Logların Wazuh ile toplanması ve alarm üretilmesi
➢ Alarmları görselleştirme ve olay analizi
➢ Windows 10 Sysmon kurulumu
➢ Sysmon loglarını alternatif toplama yöntemleri
(nxlog)
➢ Wazuh-SIEM entegrasyon senaryoları
➢ https://documentation.wazuh.com
➢ https://attack.mitre.org/
➢ https://docs.microsoft.com/en-us/sysinternals/
@BGASecurity
SysmonSysmon nedir, yetenekleri ve kurulumu
@BGASecurity
Sysmon
Sysmon nedir?
BGA | NETSEC
System Monitor (Sysmon) sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak
kayıt edilmeyen olayları kayıt etmeyi sağlayan Windows Sysinternals ailesi içerisinde
yer alan ücretsiz bir araçtır.
Sysmon güncel versiyon: Sysmon v10.0 (Haziran 11, 2019)
Client: Windows 7 and higher.
Server: Windows Server 2008 R2 and higher.
Geliştiriciler: Mark Russinovich and Thomas Garnier
https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysmon
@BGASecurity
Sysmon
Neden Sysmon?
BGA | NETSEC
@BGASecurity
Sysmon
Yapısı ve yetenekleri
BGA | NETSEC
➢ Komut satırı loglama (current ve parent proccess)
➢ İşlemlere ait dosya özet değeri alma (SHA1 (the default), MD5, SHA256 or IMPHASH)
➢ Birden fazla hash değerini aynı anda kaydedebilme
➢ İşlemlere ait (current ve parent proccess) GUID değerlerini kaydedebilme (korelasyon için)
➢ Driver, DLL yükleme olaylarını imza ve hash değeri ile birlikte kaydedebilme
➢ DNS loglama
➢ Ağ bağlantılarını takip edebilme
➢ Dosya oluşturma zamanındaki değişiklikleri algılama
@BGASecurity
Sysmon
Yapısı ve yetenekleri
BGA | NETSEC
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
@BGASecurity
Sysmon
Örnek Sysmon kuralı
BGA | NETSEC
<Sysmon schemaversion="4.2">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<ProcessCreate onmatch="include">
<Image condition="contains">bitsadmin.exe</Image>
<Image condition="contains">control.exe</Image>
<Image condition="contains">net.exe</Image>
<Image condition="end with">cmd.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="exclude">
<CommandLine condition="contains">user</CommandLine>
</ProcessCreate>
</EventFiltering>
</Sysmon>
@BGASecurity
Sysmon
Örnek Sysmon kuralı
BGA | NETSEC
<Sysmon schemaversion="4.2">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<DriverLoad onmatch="include" />
<DriverLoad onmatch="exclude">
<Signature condition="begin with">Intel</Signature>
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
</EventFiltering>
</Sysmon>
@BGASecurity
Sysmon
Örnek Sysmon kuralı
BGA | NETSEC
<Sysmon schemaversion="4.2">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<NetworkConnect onmatch="include">
<Image condition="image">opera.exe</Image>
<Image condition="contains">powershell.exe</Image>
<Image condition="contains">cmd.exe</Image>
<Image condition="contains">putty.exe</Image>
<DestinationPort>22</DestinationPort>
<DestinationPort>3389</DestinationPort>
</NetworkConnect>
</EventFiltering>
</Sysmon>
@BGASecurity
Sysmon
Sysmon kurulumu
BGA | NETSEC
Download linki: https://download.sysinternals.com/files/Sysmon.zip
@BGASecurity
Sysmon
Sysmon kurulumu
BGA | NETSEC
Sysmon, takip ettiği olaylarla ilgili analiz yapmaz ve kendisini saldırganlardan korumaya ya da saklamaya çalışmaz.
@BGASecurity
Sysmon
Sysmon config görüntüleme
BGA | NETSEC
@BGASecurity
Sysmon
Sysmon loglarının takip edilmesi
BGA | NETSEC
@BGASecurity
WazuhWazuh ile Sysmon loglarının alınması ve analiz edilmesi
@BGASecurity
Wazuh
Wazuh nedir?
BGA | NETSEC
Açık kaynak kodlu, lisans ücreti olmayan host tabanlı saldırı tespit sistemidir.
Wazuh, tehdit algılama, bütünlük izleme, olaya müdahale, uyumluluk takibi
gibi birçok özelliği içerisinde barındıran güvenlik izleme çözümüdür.
@BGASecurity
Wazuh
Wazuh ile Sysmon loglarının alınması
BGA | NETSEC
❖ System
❖ Security
❖ Application
❖ Sysmon
@BGASecurity
Wazuh
Wazuh ile Sysmon loglarının alınması
BGA | NETSEC
@BGASecurity
Wazuh
Wazuh - Sysmon kuralı
BGA | NETSEC
@BGASecurity
Wazuh
Log analizi ve alarm oluşturulması
BGA | NETSEC
@BGASecurity
Wazuh
Log analizi ve alarm oluşturulması
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Mitre ATT&CKMitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
MITRE ATT&CK ™ Framework, saldırıları daha iyi sınıflandırmak, ve bir kurumun riskini
değerlendirmek için tehdit avcıları, kırmızı ve mavi takımların kullandığı kapsamlı taktik
ve tekniklerin yer aldığı matristir.
ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) Framework,
yaklaşık olarak beş yıldır MITRE Corp. tarafından geliştirilmektedir.
https://attack.mitre.org/
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
BGA | NETSEC
Sysmon Rules
<!-- Event ID 1 == Process Creation. -->
<ProcessCreate onmatch="include">
<Image name="technique_id=T1197,technique_name=BITS Jobs" condition="contains">bitsadmin.exe</Image>
<Image name="technique_id=T1087,technique_name=Account Discovery" condition="contains">net.exe</Image>
</ProcessCreate>
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
BGA | NETSEC
Wazuh Rules
<rule id="100003" level="5">
<if_group>sysmon_event1</if_group>
<match>technique_id=T1197</match>
<description>T1197 - BITS Jobs</description>
<group>Defense Evasion,Persistence,</group>
</rule>
<rule id="100004" level="9">
<if_sid>100003</if_sid>
<field name="sysmon.commandline">/transfer</field>
<description>T1197 - BITS Jobs Transfer</description>
<group>Defense Evasion,Persistence,</group>
</rule>
@BGASecurity
Mitre ATT&CK
Örnek Mitre ATT&CK senaryosu
BGA | NETSEC
@BGASecurity
UygulamaWindows 10 Sysmon kurulumu ve logların analizi
@BGASecurity
Uygulama
Windows 10 Sysmon kurulumu
BGA | NETSEC
Download linki: https://download.sysinternals.com/files/Sysmon.zip
@BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi
BGA | NETSEC
PLATINUM is an activity group that has targeted victims since at
least 2009. The group has focused on targets associated with
governments and related organizations in South and Southeast Asia.
https://www.microsoft.com/security/blog/2016/04/26/digging-deep-for-
platinum/
@BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi
BGA | NETSEC
Sysmon Rules
@BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespiti ve Wazuh ile anlamlandırılması
BGA | NETSEC
@BGASecurity
Uygulama
Logların Wazuh ile toplanması ve alarm üretilmesi
BGA | NETSEC
@BGASecurity
Uygulama
Logların Wazuh ile toplanması ve alarm üretilmesi
BGA | NETSEC
@BGASecurity
Uygulama
Alarmları görselleştirme ve olay analizi
BGA | NETSEC
@BGASecurity
EkstraSysmon ve Wazuh ile yapılanlara ek olarak yapılabilecekler
@BGASecurity
Ekstra
Wazuh-SIEM entegrasyon senaryoları
BGA | NETSEC
SIEM’sAlert-level: >8 forward SIEM
(alert level:1-15)
@BGASecurity
Ekstra
Sysmon loglarını alternatif toplama yöntemleri (nxlog)
BGA | NETSEC
@BGASecurity
Kaynaklar
@BGASecurity
Kaynaklar BGA | NETSEC
➢https://attack.mitre.org/
➢https://docs.microsoft.com/en-us/sysinternals/
➢https://documentation.wazuh.com
@BGASecurity
-Teşekkürler-
bgasecurity.com | @bgasecurity

More Related Content

What's hot

Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiBGA Cyber Security
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 

What's hot (20)

Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
 

Similar to Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması

LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Yapısal Veriler Hakkında Her Şey! - ZEO Meetup
Yapısal Veriler Hakkında Her Şey! - ZEO MeetupYapısal Veriler Hakkında Her Şey! - ZEO Meetup
Yapısal Veriler Hakkında Her Şey! - ZEO MeetupSamet Özsüleyman
 
Windows Server 2008 Server Core
Windows Server 2008 Server CoreWindows Server 2008 Server Core
Windows Server 2008 Server CoreÇözümPARK
 
Windows Server 2012 Developer Preview Server Core
Windows Server 2012 Developer Preview Server CoreWindows Server 2012 Developer Preview Server Core
Windows Server 2012 Developer Preview Server CoreSerhad MAKBULOĞLU, MBA
 
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web ApplicationBGA Cyber Security
 
System Center Urun Ailesi
System Center Urun AilesiSystem Center Urun Ailesi
System Center Urun AilesiMustafa
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıBGA Cyber Security
 
Bga Bank Ultimate Representation
Bga Bank Ultimate RepresentationBga Bank Ultimate Representation
Bga Bank Ultimate RepresentationHarun Tamokur
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Azure Sanal Makineler
Azure Sanal MakinelerAzure Sanal Makineler
Azure Sanal MakinelerMustafa
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaBGA Cyber Security
 
Bulutistan uzun-kurumsal-sunum-2020-v2
Bulutistan uzun-kurumsal-sunum-2020-v2Bulutistan uzun-kurumsal-sunum-2020-v2
Bulutistan uzun-kurumsal-sunum-2020-v2Bulutistan
 
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web	Uygulama Saldırıları ve Klasik Çözümlerin YetersizliğiWeb	Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin YetersizliğiBGA Cyber Security
 
Module 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşıma
Module 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşımaModule 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşıma
Module 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşımaMustafa
 
Güvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya YüklemeGüvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya YüklemeBGA Cyber Security
 

Similar to Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması (20)

LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
Asp.net ajax
Asp.net ajaxAsp.net ajax
Asp.net ajax
 
Yapısal Veriler Hakkında Her Şey! - ZEO Meetup
Yapısal Veriler Hakkında Her Şey! - ZEO MeetupYapısal Veriler Hakkında Her Şey! - ZEO Meetup
Yapısal Veriler Hakkında Her Şey! - ZEO Meetup
 
Windows Server 2008 Server Core
Windows Server 2008 Server CoreWindows Server 2008 Server Core
Windows Server 2008 Server Core
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Windows Server 2012 Developer Preview Server Core
Windows Server 2012 Developer Preview Server CoreWindows Server 2012 Developer Preview Server Core
Windows Server 2012 Developer Preview Server Core
 
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
 
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
 
System Center Urun Ailesi
System Center Urun AilesiSystem Center Urun Ailesi
System Center Urun Ailesi
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
 
Bga Bank Ultimate Representation
Bga Bank Ultimate RepresentationBga Bank Ultimate Representation
Bga Bank Ultimate Representation
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Azure Sanal Makineler
Azure Sanal MakinelerAzure Sanal Makineler
Azure Sanal Makineler
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi Toplama
 
Bulutistan uzun-kurumsal-sunum-2020-v2
Bulutistan uzun-kurumsal-sunum-2020-v2Bulutistan uzun-kurumsal-sunum-2020-v2
Bulutistan uzun-kurumsal-sunum-2020-v2
 
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web	Uygulama Saldırıları ve Klasik Çözümlerin YetersizliğiWeb	Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
 
Module 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşıma
Module 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşımaModule 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşıma
Module 1 - Amazon AWS üzerindeki sanal makineleri Microsoft Azure taşıma
 
Güvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya YüklemeGüvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya Yükleme
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 

Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması

  • 1. @BGASecurity Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması - NetSec 2019 -
  • 2. @BGASecurity BGA Bilgi Güvenliği A.Ş BGA Security Hakkında Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir. Gerçekleştirdiği vizyoner danışmanlık projeleri ve nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır. ARGE EĞİTİM MSSP PENTEST SOME / SOC SECOPS BGA | Hakkında
  • 3. @BGASecurity Musab YARDIM Kıdemli Güvenlik Danışmanı musabyardim.com @musabyardim
  • 4. @BGASecurity Ajanda BGA | NETSEC Sysmon Wazuh Mitre ATT&CK ➢ Yapısı ve yetenekleri ➢ Örnek kural yazılması ve Sysmon kurulumu ➢ Sysmon loglarının takip edilmesi ➢ Neden Sysmon? ➢ Wazuh ile Sysmon loglarının toplanması ➢ Log analizi ve alarm oluşturulması ➢ Alarmların görüntülenmesi ve görselleştirilmesi ➢ Wazuh nedir? ➢ Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması ➢ Örnek Mitre ATT&CK senaryosu ➢ Nedir? Uygulama Ekstra Kaynaklar ➢ PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi ➢ Logların Wazuh ile toplanması ve alarm üretilmesi ➢ Alarmları görselleştirme ve olay analizi ➢ Windows 10 Sysmon kurulumu ➢ Sysmon loglarını alternatif toplama yöntemleri (nxlog) ➢ Wazuh-SIEM entegrasyon senaryoları ➢ https://documentation.wazuh.com ➢ https://attack.mitre.org/ ➢ https://docs.microsoft.com/en-us/sysinternals/
  • 6. @BGASecurity Sysmon Sysmon nedir? BGA | NETSEC System Monitor (Sysmon) sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak kayıt edilmeyen olayları kayıt etmeyi sağlayan Windows Sysinternals ailesi içerisinde yer alan ücretsiz bir araçtır. Sysmon güncel versiyon: Sysmon v10.0 (Haziran 11, 2019) Client: Windows 7 and higher. Server: Windows Server 2008 R2 and higher. Geliştiriciler: Mark Russinovich and Thomas Garnier https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysmon
  • 8. @BGASecurity Sysmon Yapısı ve yetenekleri BGA | NETSEC ➢ Komut satırı loglama (current ve parent proccess) ➢ İşlemlere ait dosya özet değeri alma (SHA1 (the default), MD5, SHA256 or IMPHASH) ➢ Birden fazla hash değerini aynı anda kaydedebilme ➢ İşlemlere ait (current ve parent proccess) GUID değerlerini kaydedebilme (korelasyon için) ➢ Driver, DLL yükleme olaylarını imza ve hash değeri ile birlikte kaydedebilme ➢ DNS loglama ➢ Ağ bağlantılarını takip edebilme ➢ Dosya oluşturma zamanındaki değişiklikleri algılama
  • 9. @BGASecurity Sysmon Yapısı ve yetenekleri BGA | NETSEC Event ID 1: Process creation Event ID 2: A process changed a file creation time Event ID 3: Network connection Event ID 4: Sysmon service state changed Event ID 5: Process terminated Event ID 6: Driver loaded Event ID 7: Image loaded Event ID 8: CreateRemoteThread Event ID 9: RawAccessRead Event ID 10: ProcessAccess Event ID 11: FileCreate Event ID 12: RegistryEvent (Object create and delete) Event ID 14: RegistryEvent (Key and Value Rename) Event ID 15: FileCreateStreamHash Event ID 17: PipeEvent (Pipe Created) Event ID 18: PipeEvent (Pipe Connected) Event ID 19: WmiEvent (WmiEventFilter activity detected) Event ID 20: WmiEvent (WmiEventConsumer activity detected) Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected) Event ID 22: DNSEvent (DNS query)
  • 10. @BGASecurity Sysmon Örnek Sysmon kuralı BGA | NETSEC <Sysmon schemaversion="4.2"> <HashAlgorithms>md5</HashAlgorithms> <EventFiltering> <ProcessCreate onmatch="include"> <Image condition="contains">bitsadmin.exe</Image> <Image condition="contains">control.exe</Image> <Image condition="contains">net.exe</Image> <Image condition="end with">cmd.exe</Image> </ProcessCreate> <ProcessCreate onmatch="exclude"> <CommandLine condition="contains">user</CommandLine> </ProcessCreate> </EventFiltering> </Sysmon>
  • 11. @BGASecurity Sysmon Örnek Sysmon kuralı BGA | NETSEC <Sysmon schemaversion="4.2"> <HashAlgorithms>md5</HashAlgorithms> <EventFiltering> <DriverLoad onmatch="include" /> <DriverLoad onmatch="exclude"> <Signature condition="begin with">Intel</Signature> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> </EventFiltering> </Sysmon>
  • 12. @BGASecurity Sysmon Örnek Sysmon kuralı BGA | NETSEC <Sysmon schemaversion="4.2"> <HashAlgorithms>md5</HashAlgorithms> <EventFiltering> <NetworkConnect onmatch="include"> <Image condition="image">opera.exe</Image> <Image condition="contains">powershell.exe</Image> <Image condition="contains">cmd.exe</Image> <Image condition="contains">putty.exe</Image> <DestinationPort>22</DestinationPort> <DestinationPort>3389</DestinationPort> </NetworkConnect> </EventFiltering> </Sysmon>
  • 13. @BGASecurity Sysmon Sysmon kurulumu BGA | NETSEC Download linki: https://download.sysinternals.com/files/Sysmon.zip
  • 14. @BGASecurity Sysmon Sysmon kurulumu BGA | NETSEC Sysmon, takip ettiği olaylarla ilgili analiz yapmaz ve kendisini saldırganlardan korumaya ya da saklamaya çalışmaz.
  • 17. @BGASecurity WazuhWazuh ile Sysmon loglarının alınması ve analiz edilmesi
  • 18. @BGASecurity Wazuh Wazuh nedir? BGA | NETSEC Açık kaynak kodlu, lisans ücreti olmayan host tabanlı saldırı tespit sistemidir. Wazuh, tehdit algılama, bütünlük izleme, olaya müdahale, uyumluluk takibi gibi birçok özelliği içerisinde barındıran güvenlik izleme çözümüdür.
  • 19. @BGASecurity Wazuh Wazuh ile Sysmon loglarının alınması BGA | NETSEC ❖ System ❖ Security ❖ Application ❖ Sysmon
  • 20. @BGASecurity Wazuh Wazuh ile Sysmon loglarının alınması BGA | NETSEC
  • 21. @BGASecurity Wazuh Wazuh - Sysmon kuralı BGA | NETSEC
  • 22. @BGASecurity Wazuh Log analizi ve alarm oluşturulması BGA | NETSEC
  • 23. @BGASecurity Wazuh Log analizi ve alarm oluşturulması BGA | NETSEC
  • 24. @BGASecurity Wazuh Alarmların görüntülenmesi ve görselleştirilmesi BGA | NETSEC
  • 25. @BGASecurity Wazuh Alarmların görüntülenmesi ve görselleştirilmesi BGA | NETSEC
  • 26. @BGASecurity Wazuh Alarmların görüntülenmesi ve görselleştirilmesi BGA | NETSEC
  • 27. @BGASecurity Wazuh Alarmların görüntülenmesi ve görselleştirilmesi BGA | NETSEC
  • 28. @BGASecurity Mitre ATT&CKMitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
  • 29. @BGASecurity Mitre ATT&CK Mitre ATT&CK nedir? BGA | NETSEC MITRE ATT&CK ™ Framework, saldırıları daha iyi sınıflandırmak, ve bir kurumun riskini değerlendirmek için tehdit avcıları, kırmızı ve mavi takımların kullandığı kapsamlı taktik ve tekniklerin yer aldığı matristir. ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) Framework, yaklaşık olarak beş yıldır MITRE Corp. tarafından geliştirilmektedir. https://attack.mitre.org/
  • 32. @BGASecurity Mitre ATT&CK Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması BGA | NETSEC Sysmon Rules <!-- Event ID 1 == Process Creation. --> <ProcessCreate onmatch="include"> <Image name="technique_id=T1197,technique_name=BITS Jobs" condition="contains">bitsadmin.exe</Image> <Image name="technique_id=T1087,technique_name=Account Discovery" condition="contains">net.exe</Image> </ProcessCreate>
  • 33. @BGASecurity Mitre ATT&CK Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması BGA | NETSEC Wazuh Rules <rule id="100003" level="5"> <if_group>sysmon_event1</if_group> <match>technique_id=T1197</match> <description>T1197 - BITS Jobs</description> <group>Defense Evasion,Persistence,</group> </rule> <rule id="100004" level="9"> <if_sid>100003</if_sid> <field name="sysmon.commandline">/transfer</field> <description>T1197 - BITS Jobs Transfer</description> <group>Defense Evasion,Persistence,</group> </rule>
  • 34. @BGASecurity Mitre ATT&CK Örnek Mitre ATT&CK senaryosu BGA | NETSEC
  • 35. @BGASecurity UygulamaWindows 10 Sysmon kurulumu ve logların analizi
  • 36. @BGASecurity Uygulama Windows 10 Sysmon kurulumu BGA | NETSEC Download linki: https://download.sysinternals.com/files/Sysmon.zip
  • 37. @BGASecurity Uygulama PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi BGA | NETSEC PLATINUM is an activity group that has targeted victims since at least 2009. The group has focused on targets associated with governments and related organizations in South and Southeast Asia. https://www.microsoft.com/security/blog/2016/04/26/digging-deep-for- platinum/
  • 38. @BGASecurity Uygulama PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi BGA | NETSEC Sysmon Rules
  • 39. @BGASecurity Uygulama PLATINUM grubuna ait aktivitelerin Sysmon ile tespiti ve Wazuh ile anlamlandırılması BGA | NETSEC
  • 40. @BGASecurity Uygulama Logların Wazuh ile toplanması ve alarm üretilmesi BGA | NETSEC
  • 41. @BGASecurity Uygulama Logların Wazuh ile toplanması ve alarm üretilmesi BGA | NETSEC
  • 43. @BGASecurity EkstraSysmon ve Wazuh ile yapılanlara ek olarak yapılabilecekler
  • 44. @BGASecurity Ekstra Wazuh-SIEM entegrasyon senaryoları BGA | NETSEC SIEM’sAlert-level: >8 forward SIEM (alert level:1-15)
  • 45. @BGASecurity Ekstra Sysmon loglarını alternatif toplama yöntemleri (nxlog) BGA | NETSEC
  • 47. @BGASecurity Kaynaklar BGA | NETSEC ➢https://attack.mitre.org/ ➢https://docs.microsoft.com/en-us/sysinternals/ ➢https://documentation.wazuh.com