SlideShare ist ein Scribd-Unternehmen logo

Ossec - Host Based Saldırı Tespit Sistemi

BilgiO A.S / Linux Akademi
BilgiO A.S / Linux Akademi

Ossec ( HIDS ) Host Based Open Source Saldırı Tespit Sistemi

Internet
1 von 50
Downloaden Sie, um offline zu lesen
Açık Kaynak Kodlu Saldırı Tespit Sistemi (Open Source Host-based Intrusion Detection System) Çağrı Ersen cagri.ersen@gmail.com http://www.syslogs.org
● Ossec Nedir ? ● Mimari ○ Local ○ Manager/Agent ○ Agentlesss ● Temel Ossec Görevleri ○ Log Monitoring ○ Active Response ○ Dosya Bütünlük Kontrolü ○ Rootkit Tespiti Ajanda
OSSEC NEDİR ?
● HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı (sızma) tespit sistemidir. ● Daniel Cid tarafından geliştirilmeye başlanmıştır. ● GPLv3 lisanslı açık kaynak kod bir uygulamadır. ● 2009 yılında Trend Micro tarafından alınmıştır. Nedir ?
● Log analizi, dosya bütünlük kontrolü, rootkit tespiti yapar. ● Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. ● Active Response özelliği ile otomatik aksiyonlar alabilir. Özellikler
Özellikler Öntanımlı olarak bir çok decoder ve rule ile gelir apache_rules Apache HTTP server rules arpwatch_rules Arpwatch rules attack_rules Common attack rules cisco-ios_rules Cisco IOS firmware rules courier_rules Courier mail server rules firewall_rules Common firewall rules ftpd_rules Rules for the ftpd daemon hordeimp_rules Horde Internet Messaging Program rules ids_rules Common IDS rules imapd_rules Rules for the imapd daemon local_rules OSSEC HIDS local, user-defined rules mailscanner_rules Common mail scanner rules netscreenfw_rules Juniper Netscreen firewall rules mysql_rules MySQL database rules named_rules Rules for the named daemon
Özellikler ossec_rules Common OSSEC HIDS rules pam_rules Pluggable Authentication Module (PAM) pix_rules.xml Cisco PIX firewall rules policy_rules Policy specific event rules postfix_rules Postfix mail transfer agent rules postgresql_rules PostgerSQL database rules proftpd_rules.xml ProFTPd FTP server rules pure-ftpd_rules.xml Pure-FTPd FTP server rules racoon_rules.xml Racoon VPN device rules rules_config.xml OSSEC HIDS Rules configuration rules sendmail_rules.xml Sendmail mail transfer agent rules squid_rules.xml Squid proxy server rules smbd_rules.xml Rules for the smbd daemon sonicwall_rules.xml SonicWall firewall rules spamd_rules.xml Rules for the spamd spam-deferral daemon
Özellikler ● Multi Platform: Linux, Solaris, AIX, HP-UX, BSD, Mac ve Vmware ESX üzerinde çalışabilir. ● Agentless monitoring ile Router ve Firewall gibi agent kurulamayacak cihazlar monitor edilebilir. ● İstemci/Sunucu Mimarisi ile merkezi yönetim sağlar.
MİMARİ
KURULUM MODLARI ● Lokal Mod ○ Aynı sistem üzerinde hem server hem agent. ○ Tek sistemli ortamlar için ideal. ● Manager/Agent Mod ○ Merkezi Yapılandırma ve Yönetim ○ Birden fazla sistemden oluşan yapılarda kullanışlı. Mimari
MANAGER AGENT AGENT AGENTAGENT AGENTLESS AGENT MANAGER / AGENT Mimari AGENTLESS Syslog SSH Syslog SSH
Mimari ● Agentlar için merkezi yönetim noktasıdır. ● Ana yapılandırma dosyaları, ● Decoder ve kurallar, ● Agentlara ait dosya bütünlük veritabanları, ● Logları, event ve sistem audit girdilerini barındırır." MANAGER
AGENT Mimari ● Kurulu olduğu sistemdeki olayları analiz edilmek üzere managera yollar. ● Memory ve CPU footprinti çok küçüktür. ● Sistemde yetkisiz bir kullanıcı üzerinden çalışır. ● Yapılandırma manager tarafından push edilir. ● Yapılandırmada değişiklik olması durumunda alarm üretilir.
Agent AGENT / MANAGER Manager Log Collect Syscheck Rootkitcheck UDP 1514 Encrypted (Blowfish) Compressed (Zlib) Analiz Alarm Aksiyon Mimari
SÜREÇLER monitordanalysisd maildexecd MANAGER logcollector AGENT agentd syscheckd execd remoted Mimari
● analysisd Server side çalışır; tüm analiz işlerinden sorumludur. ● remoted Agentlarla iletişim kuran süreçtir. ● monitord Agentların bağlantı durumlarını monitor eder. ● maild Alarmları göndermekten sorumlu süreçtir. ● execd Active response komutlarını çalıştırır. (Client/Server) ● agentd Agent'da çalışır; server ile iletişimden sorumludur. ● logcollector Monitor edilen log dosyalarını okur. ● syscheckd Dosya bütünlük kontrolünden sorumludur. Mimari
Client SYSLOG Manager UDP 514 Log Forward Analiz Alarm Aksiyon Mimari
Client AGENTLESS Manager SSH Syscheck Analiz Alarm Aksiyon Mimari
Agents GNU/Linux (all) VMWare ESX 3.0,3.5 FreeBSD (all) OpenBSD (all) NetBSD (all) Solaris 2.7, 2.8, 2.9,10 AIX 5.2,5.3 Mac OS X 10.x Windows HP-UX 11 Syslog Cisco PIX, ASA,FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall Cisco IOS IDS/IPS module Sourcefire (Snort) IDS/IPS Dragon NIDS Checkpoint Smart Defense McAfee VirusScan (v8,v8. 5) Bluecoat proxy Cisco VPN concentrators VMWare ESXi 4.x Agentless Cisco PIX,ASA, FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall http://www.ossec.net/doc/manual/supported-systems.html DESTEKLENEN SİSTEMLER Mimari
TEMEL OSSEC GÖREVLERİ (1) LOG MONITORING
LOG MONITORING Log Pre-Decode Decode Analiz ALARM AKSİYON ossec-analysisd ossec-logcollector ossec-maild ossec-execd Görevler
Pre-decoding Log'un statik öğelerinin parse edildiği aşama (Hostname, tarih/saat, program ismi vs.) Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 hostname: Lab03-Debian program_name: sshd time/date: Mar 29 18:32:09 log: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
Decoding Log içerisinden spesifik bilgilerin parse edildiği aşama. (IP adres, kullanıcı adı, url vs.) srcip: 192.168.12.12 user: cagri Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
Analiz (1) <decoder name="sshd"> <program_name>^sshd</program_name> </decoder> /var/ossec/etc/decoder.xml Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
Analiz (2) <rule id="111" level="0" noalert="1"> <decoded_as>sshd</decoded_as> <description>SSHD messages grouped.</description> </rule> <rule id="122" level="5"> <if_sid>111</if_sid> <match>^Failed|^error: PAM: Authentication</match> <description>SSHD authentication failed.</description> <group>authentication_failed,</group> </rule> Log Monitoring KURAL 111 Log sshd olarak decode edilen (predecoding) herşeyi ID 111 olarak grupla. KURAL 122 Eğer 111 ID'li kural match etti ise ve logda "Failed" ibaresi geçiyorsa bu kuralın level'ını 5'e yükselt ve kuralı authentication_failed grubuna dahil et.
Analiz (3) <rule id=”133” level=”13”> <if_sid>122</if_sid> <hostname>^abraxas</hostname> <srcip>!192.168.12.0/24</srcip> <description>Higher severity! Failure on the main server</description> </rule> Log Monitoring KURAL 133 122 ID'li [SSH authentication fail kuralı] match ettiyse ve hostname "abraxas" olarak decode edildiyse, ayrıca kaynak ip 192.168.12.0/24 networkunden değilse bu kural'ın önem derecesini 13 olarak set et.
Analiz (4) <rule id="100005" level="10"> <if_group>authentication_success</if_group> <time>6 pm - 7:30 am</time> <description>Login during non-business hours.</description> </rule> Log Monitoring KURAL 100005 authentication_success grubuna dahil olan kurallar mesai saatleri dışında match ederse bu kuralı level 10 olarak set ederek alarm üret.
Analiz (5) <rule id=”144” level=”11” frequency=”5” timeframe=”120”> <if_matched_sid>122</if_matched_sid> <same_source_ip /> <description>Multiple failed attempts from same IP!</description> </rule> Log Monitoring KURAL 144 122 ID'li [SSH authentication fail kuralı] 120 saniye içerisinde 5 kez match ederse ve kaynak ip aynıysa bu kuralın önem derecesini 11 olarak set et.
Kural Hiyerarşisi 111LOG 9xx5xx 8xx 122 133 sshd olarak decode edilmemiş kurallar için sadece kural 111 yürütülür; alt kurallara bakılmaz. Böylece analiz sırasında "tüm" kuralların kontrol edilmesine gerek kalmaz. Log Monitoring
Desteklenen Log Formatları ve Uygulamalar Log Monitoring Pam sshd (OpenSSH) Solaris telnetd Samba su/sudo Xinetd Adduser/deluser Cron/Crontab Dpkg logs Yum logs Proftpd Pure-ftpd vsftpd wu-ftpd Solaris ftpd Imapd and pop3d Postfix Sendmail vpopmail Microsoft Exchange Courier imapd/pop3d/pop3-ssl vm-pop3d Procmail Mailscanner Apache IIS 5/6 Zeus web server Horde imp Modsecurity Iptables Shorewall IPFilter AIX ipsec/firewall Netscreen Windows firewall Cisco PIX SonicWall firewall Checkpoint MySQL PostgreSQ Cisco IOS IDS/IPS Snort Dragon NIDS McAfee VS Enterprise Symantec Web Nmap Arpwatch http://www.ossec.net/main/supported-systems
Kural Seviyeleri ● Kurallar önem derecesine göre 0-15 arasında sınıflandırılmıştır. ● En önemsiz kurallar level 0, en önemliler ise level 15 olarak set edilir ● İlk yürütülen kurallar level 0 olanlardır. Ignore edilmesi istenen durumlar için oluşturulan kurallara atanır. (False positive) ● Default olarak "level 7 >= " kurallar için email notification devreye alınır. ● Default olarak "level 6 >=" kurallar için active response komutları yürütülür. Log Monitoring
Kural ID'leri ● Her kuralın unique bir ID'si olması gerekir. ● 00000 - 109999 arası kural tiplerine göre tasnif edilmiştir. 00000 - 00999 Internally reserved for ossec 01000 - 01999 General syslog 02100 - 02299 NFS 02300 - 02499 Xinetd 02500 - 02699 Access control 02700 - 02729 Mail/procmail 02830 - 02859 Crond ...... ● Custom olarak eklenen kurallar için 100000 - 109999 kullanılmalıdır. Log Monitoring
TEMEL OSSEC GÖREVLERİ (2) DOSYA BÜTÜNLÜK KONTROLÜ
● Önemli sistem dosyalarının monitor edilerek değişikliklerin saptanmasını amaçlar. ● Sistem belirli periyodlarla taranır ve monitor edilen dosyaların MD5/SHA1 checksumları Ossec Server'a gönderilir. ● Ossec Server checksumları depolar ve değişikliklere karşı kontrol eder. Herhangi bir fark tespit edilirse alarm üretir. ● Periyodik check yerine realtime monitoring de yapılabilir. Dosya Bütünlük Kontrolü (Syscheck) Görevler
● checksum dışında size, owner, group ve permission değişiklikleri de monitor edilebilir. ● Öntanımlı olarak "/etc,/usr/bin,/usr/sbin /bin,/sbin" dizinleri altdizinlerle birlikte monitor edilir. ● Çok sık değişiklik gören dosyalar ignore edilebilir. ● Checksum bilgileri serverda tutulduğu için değişen dosyalarla ilgili geçmişe dönük analizler yapılabilir. Syscheck
Yapılandırma Syscheck /var/ossec/etc/ossec.conf <syscheck> <frequency>79200</frequency> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <ignore>/etc/mtab</ignore> <ignore>/etc/mnttab</ignore> <ignore>/etc/hosts.deny</ignore> <ignore>/etc/mail/statistics</ignore> <ignore>/etc/random-seed</ignore> <ignore>/etc/adjtime</ignore> <ignore>/etc/httpd/logs</ignore> .... </syscheck>
TEMEL OSSEC GÖREVLERİ (3) ROOTKIT KONTROLÜ
● /var/ossec/etc/shared dizininde bulunan rootkit imza veritabanları kullanılır. ● rootkit_files.txt isimli db'de belirtilen tüm dosyalar için stats, fopen, opendir ve chdir sistem çağrıları kullanılarak kontrol yapılır. Bu kontrol, dosyaları bazı sistem çağrılarından sakladığı bilinen rootkitlerin tespiti için yapılır. ● rootkit_trojans.txt db'si rootkitlerin değiştirdiği bilinen binary dosyalarının tespitinde kullanılır. (string search) Rootkit Kontrolü (Rootcheck) Görevler
● /dev dizini herhangi bir anormalliğe monitor edilir. device ve makedev scripti olmayan şüpheli dosyalar aranır. ● Tüm dosya sistemi alışılmadık dosyalara ve izinlere karşı taranır. Sahibi root olup diğer kullanıcılar tarafından yazılabilen ya da suid biti etkinleştirilmiş dosyalar ve gizli dizin/dosyalar incelenir. ● Sistemde süreçler getsid ve kill (kill -0) sistem çağrıları kullanılarak kontrol edilir. Eğer kullanımda olan bir süreç numarası (PID) “ps” ile görüntülenemiyorsa bu, sistemde ps’in trojaned versiyonu kullanıldığı anlamına gelir. Rootcheck
● Sistemde gizli portlar olup olmadığı araştırılır. bind sistem çağrısı kullanılarak, sistemdeki tüm TCP ve UDP portlar kontrol edilir. Eğer kullanımda olduğundan dolayı bind edilemeyen bir port, “netstat” çıktısında görülemiyorsa, sistemde netstat’ın trojanlı versiyonu kullanılıyor demektir. ● "Promisc" modda çalışan interface olup olmadğı kontrol edilir; eğer böyle bir interface var ancak ifconfig çıktısında görüntülenmiyorsa sistemde trojan bulunuyor olabilir. Rootcheck
Yapılandırma Rootcheck /var/ossec/etc/ossec.conf <rootcheck> <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files> <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans. txt</rootkit_trojans> <system_audit>/var/ossec/etc/shared/system_audit_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_debian_linux_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_rhel_linux_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_rhel5_linux_rcl. txt</system_audit> </rootcheck>
● Belirli kuralların tetiklenmesi durumunda sistemde otomatik olarak bir komut/script çalıştırılarak, kuralın tetiklenmesine neden olan olayın sonlandırılması amaçlanır. ● Atak durumlarında hızlı tepki verilmesini sağladığı için kullanışlıdır. ● Port/Web vs. Scan, brute force gibi bilgi toplamaya yönelik saldırıları engellemek için idealdir. ● Ossec öntanımlı olarak bazı AR scriptleri (tools) ile gelir ve kurulum sırasında active response devreye alınabilir. ACTIVE RESPONSE Görevler
● disable-account.sh: Kullanıcıyı devre dışı bırakmak için. ● host-deny.sh: Atakta bulunan source IP'yi hosts.deny dosyasına ekler. (sshd gibi tcpwrapper kullanan servisler) ● firewall-drop.sh: iptables ya da ipfilter kullanan sistemlerde için kaynak IP için drop kuralı ekler. ● ipfw.sh: ipfw kullanan sistemlerde srcip drop kuralı ekler. ● pf.sh: PF kullanan sistemlerde srcip drop kuralı ekler. ● route-null.sh: Srcip için blackhole rule ekler. Tools (Scripts) Active Response
Yapılandırma Active Response /var/ossec/etc/ossec.conf <command> <name>host-deny</name> <executable>host-deny.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <command> <name>firewall-drop</name> <executable>firewall-drop.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command>
Yapılandırma Active Response /var/ossec/etc/ossec.conf <active-response> <command>host-deny</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response> <active-response> <command>firewall-drop</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response>
● False positive durumlarda engellenmemesi gereken IP'ler blocklanabilir. ● Active Response kullandığınızı anlayan bir saldırgan durumu istismar edip DoS yapabilir. (Ip spoof) Riskler Active Response
● False positive durumların önüne geçmek blocklanmaması gereken hostlar için whitelist oluşturulabilir. ● Block işlemlerinin timeout değeri vardır. (default 10 dakika). ● Active response scriptleri sadece belirli agentlar ya da sadece belirli kurallar için çalıştırılabilir. Risk Mitigation Active Response
WebApp Scan Pattern Active Response <rule id="31101" level="5"> <if_sid>31100</if_sid> <id>^4</id> <description>Web server 400 error code.</description> </rule> <rule id="31151" level="10" frequency="10" timeframe="120"> <if_matched_sid>31101</if_matched_sid> <same_source_ip /> <description>Mutiple web server 400 error codes </description> <description>from same source ip.</description> <group>web_scan,recon,</group> </rule> 207.44.184.96 - - [19:57:37 -0300] "GET /b2/xmlsrv/xmlrpc.php HTTP/1.0" 404 297 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogtest/xmlsrv/xmlrpc.php HTTP/1.0" 404 303 "-" "- " 207.44.184.96 - - [:19:57:37 -0300] "GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 299 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 300 "-" "-"
Kaynaklar http://www.ossec.net/doc/ http://www.ossec.net/main/ossec-book
TEŞEKKÜRLER

Empfohlen

Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciPRISMA CSI
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 

Empfohlen

Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciPRISMA CSI
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıKurtuluş Karasu
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalBGA Cyber Security
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Holynix v1
Holynix v1Holynix v1
Holynix v1BGA Cyber Security
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma TestleriBGA Cyber Security
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriBGA Cyber Security
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 

Weitere ähnliche Inhalte

Was ist angesagt?

PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıKurtuluş Karasu
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriBGA Cyber Security
 

Was ist angesagt? (20)

BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
 
Holynix v1
Holynix v1Holynix v1
Holynix v1
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
 

Andere mochten auch

Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiDevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiBilgiO A.S / Linux Akademi
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Bünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiBünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiKasım Erkan
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKasım Erkan
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit YöntemleriBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıAhmet Gürel
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziBGA Cyber Security
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziBGA Cyber Security
 

Andere mochten auch (20)

Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiDevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
 
Puppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi OtomasyonuPuppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi Otomasyonu
 
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim Sunumu
 
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network Monitoring
 
Ossec kurulumu
Ossec kurulumuOssec kurulumu
Ossec kurulumu
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Bünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiBünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisi
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 
E-Mail Forensics
E-Mail ForensicsE-Mail Forensics
E-Mail Forensics
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım Analizi
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının Analizi
 

Ähnlich wie Ossec - Host Based Saldırı Tespit Sistemi

Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Kurtuluş Karasu
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriCihat Işık
 
Sunucularımızı Gözleyelim
Sunucularımızı GözleyelimSunucularımızı Gözleyelim
Sunucularımızı GözleyelimOguz Yarimtepe
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerBGA Cyber Security
 
Solarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch ManagerSolarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch ManagerKavi International
 
Oracle Golden Gate
Oracle Golden GateOracle Golden Gate
Oracle Golden GateAnar Godjaev
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
Tersine Mühendislik 101
Tersine Mühendislik 101Tersine Mühendislik 101
Tersine Mühendislik 101Fatih Erdoğan
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaBGA Cyber Security
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 

Ähnlich wie Ossec - Host Based Saldırı Tespit Sistemi (20)

Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit Sistemleri
 
Sunucularımızı Gözleyelim
Sunucularımızı GözleyelimSunucularımızı Gözleyelim
Sunucularımızı Gözleyelim
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
 
Solarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch ManagerSolarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch Manager
 
Oracle Golden Gate
Oracle Golden GateOracle Golden Gate
Oracle Golden Gate
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Tersine Mühendislik 101
Tersine Mühendislik 101Tersine Mühendislik 101
Tersine Mühendislik 101
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 

Ossec - Host Based Saldırı Tespit Sistemi

  • 1. Açık Kaynak Kodlu Saldırı Tespit Sistemi (Open Source Host-based Intrusion Detection System) Çağrı Ersen cagri.ersen@gmail.com http://www.syslogs.org
  • 2. ● Ossec Nedir ? ● Mimari ○ Local ○ Manager/Agent ○ Agentlesss ● Temel Ossec Görevleri ○ Log Monitoring ○ Active Response ○ Dosya Bütünlük Kontrolü ○ Rootkit Tespiti Ajanda
  • 4. ● HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı (sızma) tespit sistemidir. ● Daniel Cid tarafından geliştirilmeye başlanmıştır. ● GPLv3 lisanslı açık kaynak kod bir uygulamadır. ● 2009 yılında Trend Micro tarafından alınmıştır. Nedir ?
  • 5. ● Log analizi, dosya bütünlük kontrolü, rootkit tespiti yapar. ● Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. ● Active Response özelliği ile otomatik aksiyonlar alabilir. Özellikler
  • 6. Özellikler Öntanımlı olarak bir çok decoder ve rule ile gelir apache_rules Apache HTTP server rules arpwatch_rules Arpwatch rules attack_rules Common attack rules cisco-ios_rules Cisco IOS firmware rules courier_rules Courier mail server rules firewall_rules Common firewall rules ftpd_rules Rules for the ftpd daemon hordeimp_rules Horde Internet Messaging Program rules ids_rules Common IDS rules imapd_rules Rules for the imapd daemon local_rules OSSEC HIDS local, user-defined rules mailscanner_rules Common mail scanner rules netscreenfw_rules Juniper Netscreen firewall rules mysql_rules MySQL database rules named_rules Rules for the named daemon
  • 7. Özellikler ossec_rules Common OSSEC HIDS rules pam_rules Pluggable Authentication Module (PAM) pix_rules.xml Cisco PIX firewall rules policy_rules Policy specific event rules postfix_rules Postfix mail transfer agent rules postgresql_rules PostgerSQL database rules proftpd_rules.xml ProFTPd FTP server rules pure-ftpd_rules.xml Pure-FTPd FTP server rules racoon_rules.xml Racoon VPN device rules rules_config.xml OSSEC HIDS Rules configuration rules sendmail_rules.xml Sendmail mail transfer agent rules squid_rules.xml Squid proxy server rules smbd_rules.xml Rules for the smbd daemon sonicwall_rules.xml SonicWall firewall rules spamd_rules.xml Rules for the spamd spam-deferral daemon
  • 8. Özellikler ● Multi Platform: Linux, Solaris, AIX, HP-UX, BSD, Mac ve Vmware ESX üzerinde çalışabilir. ● Agentless monitoring ile Router ve Firewall gibi agent kurulamayacak cihazlar monitor edilebilir. ● İstemci/Sunucu Mimarisi ile merkezi yönetim sağlar.
  • 10. KURULUM MODLARI ● Lokal Mod ○ Aynı sistem üzerinde hem server hem agent. ○ Tek sistemli ortamlar için ideal. ● Manager/Agent Mod ○ Merkezi Yapılandırma ve Yönetim ○ Birden fazla sistemden oluşan yapılarda kullanışlı. Mimari
  • 11. MANAGER AGENT AGENT AGENTAGENT AGENTLESS AGENT MANAGER / AGENT Mimari AGENTLESS Syslog SSH Syslog SSH
  • 12. Mimari ● Agentlar için merkezi yönetim noktasıdır. ● Ana yapılandırma dosyaları, ● Decoder ve kurallar, ● Agentlara ait dosya bütünlük veritabanları, ● Logları, event ve sistem audit girdilerini barındırır." MANAGER
  • 13. AGENT Mimari ● Kurulu olduğu sistemdeki olayları analiz edilmek üzere managera yollar. ● Memory ve CPU footprinti çok küçüktür. ● Sistemde yetkisiz bir kullanıcı üzerinden çalışır. ● Yapılandırma manager tarafından push edilir. ● Yapılandırmada değişiklik olması durumunda alarm üretilir.
  • 14. Agent AGENT / MANAGER Manager Log Collect Syscheck Rootkitcheck UDP 1514 Encrypted (Blowfish) Compressed (Zlib) Analiz Alarm Aksiyon Mimari
  • 16. ● analysisd Server side çalışır; tüm analiz işlerinden sorumludur. ● remoted Agentlarla iletişim kuran süreçtir. ● monitord Agentların bağlantı durumlarını monitor eder. ● maild Alarmları göndermekten sorumlu süreçtir. ● execd Active response komutlarını çalıştırır. (Client/Server) ● agentd Agent'da çalışır; server ile iletişimden sorumludur. ● logcollector Monitor edilen log dosyalarını okur. ● syscheckd Dosya bütünlük kontrolünden sorumludur. Mimari
  • 17. Client SYSLOG Manager UDP 514 Log Forward Analiz Alarm Aksiyon Mimari
  • 19. Agents GNU/Linux (all) VMWare ESX 3.0,3.5 FreeBSD (all) OpenBSD (all) NetBSD (all) Solaris 2.7, 2.8, 2.9,10 AIX 5.2,5.3 Mac OS X 10.x Windows HP-UX 11 Syslog Cisco PIX, ASA,FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall Cisco IOS IDS/IPS module Sourcefire (Snort) IDS/IPS Dragon NIDS Checkpoint Smart Defense McAfee VirusScan (v8,v8. 5) Bluecoat proxy Cisco VPN concentrators VMWare ESXi 4.x Agentless Cisco PIX,ASA, FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall http://www.ossec.net/doc/manual/supported-systems.html DESTEKLENEN SİSTEMLER Mimari
  • 22. Pre-decoding Log'un statik öğelerinin parse edildiği aşama (Hostname, tarih/saat, program ismi vs.) Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 hostname: Lab03-Debian program_name: sshd time/date: Mar 29 18:32:09 log: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
  • 23. Decoding Log içerisinden spesifik bilgilerin parse edildiği aşama. (IP adres, kullanıcı adı, url vs.) srcip: 192.168.12.12 user: cagri Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
  • 24. Analiz (1) <decoder name="sshd"> <program_name>^sshd</program_name> </decoder> /var/ossec/etc/decoder.xml Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
  • 25. Analiz (2) <rule id="111" level="0" noalert="1"> <decoded_as>sshd</decoded_as> <description>SSHD messages grouped.</description> </rule> <rule id="122" level="5"> <if_sid>111</if_sid> <match>^Failed|^error: PAM: Authentication</match> <description>SSHD authentication failed.</description> <group>authentication_failed,</group> </rule> Log Monitoring KURAL 111 Log sshd olarak decode edilen (predecoding) herşeyi ID 111 olarak grupla. KURAL 122 Eğer 111 ID'li kural match etti ise ve logda "Failed" ibaresi geçiyorsa bu kuralın level'ını 5'e yükselt ve kuralı authentication_failed grubuna dahil et.
  • 26. Analiz (3) <rule id=”133” level=”13”> <if_sid>122</if_sid> <hostname>^abraxas</hostname> <srcip>!192.168.12.0/24</srcip> <description>Higher severity! Failure on the main server</description> </rule> Log Monitoring KURAL 133 122 ID'li [SSH authentication fail kuralı] match ettiyse ve hostname "abraxas" olarak decode edildiyse, ayrıca kaynak ip 192.168.12.0/24 networkunden değilse bu kural'ın önem derecesini 13 olarak set et.
  • 27. Analiz (4) <rule id="100005" level="10"> <if_group>authentication_success</if_group> <time>6 pm - 7:30 am</time> <description>Login during non-business hours.</description> </rule> Log Monitoring KURAL 100005 authentication_success grubuna dahil olan kurallar mesai saatleri dışında match ederse bu kuralı level 10 olarak set ederek alarm üret.
  • 28. Analiz (5) <rule id=”144” level=”11” frequency=”5” timeframe=”120”> <if_matched_sid>122</if_matched_sid> <same_source_ip /> <description>Multiple failed attempts from same IP!</description> </rule> Log Monitoring KURAL 144 122 ID'li [SSH authentication fail kuralı] 120 saniye içerisinde 5 kez match ederse ve kaynak ip aynıysa bu kuralın önem derecesini 11 olarak set et.
  • 29. Kural Hiyerarşisi 111LOG 9xx5xx 8xx 122 133 sshd olarak decode edilmemiş kurallar için sadece kural 111 yürütülür; alt kurallara bakılmaz. Böylece analiz sırasında "tüm" kuralların kontrol edilmesine gerek kalmaz. Log Monitoring
  • 30. Desteklenen Log Formatları ve Uygulamalar Log Monitoring Pam sshd (OpenSSH) Solaris telnetd Samba su/sudo Xinetd Adduser/deluser Cron/Crontab Dpkg logs Yum logs Proftpd Pure-ftpd vsftpd wu-ftpd Solaris ftpd Imapd and pop3d Postfix Sendmail vpopmail Microsoft Exchange Courier imapd/pop3d/pop3-ssl vm-pop3d Procmail Mailscanner Apache IIS 5/6 Zeus web server Horde imp Modsecurity Iptables Shorewall IPFilter AIX ipsec/firewall Netscreen Windows firewall Cisco PIX SonicWall firewall Checkpoint MySQL PostgreSQ Cisco IOS IDS/IPS Snort Dragon NIDS McAfee VS Enterprise Symantec Web Nmap Arpwatch http://www.ossec.net/main/supported-systems
  • 31. Kural Seviyeleri ● Kurallar önem derecesine göre 0-15 arasında sınıflandırılmıştır. ● En önemsiz kurallar level 0, en önemliler ise level 15 olarak set edilir ● İlk yürütülen kurallar level 0 olanlardır. Ignore edilmesi istenen durumlar için oluşturulan kurallara atanır. (False positive) ● Default olarak "level 7 >= " kurallar için email notification devreye alınır. ● Default olarak "level 6 >=" kurallar için active response komutları yürütülür. Log Monitoring
  • 32. Kural ID'leri ● Her kuralın unique bir ID'si olması gerekir. ● 00000 - 109999 arası kural tiplerine göre tasnif edilmiştir. 00000 - 00999 Internally reserved for ossec 01000 - 01999 General syslog 02100 - 02299 NFS 02300 - 02499 Xinetd 02500 - 02699 Access control 02700 - 02729 Mail/procmail 02830 - 02859 Crond ...... ● Custom olarak eklenen kurallar için 100000 - 109999 kullanılmalıdır. Log Monitoring
  • 33. TEMEL OSSEC GÖREVLERİ (2) DOSYA BÜTÜNLÜK KONTROLÜ
  • 34. ● Önemli sistem dosyalarının monitor edilerek değişikliklerin saptanmasını amaçlar. ● Sistem belirli periyodlarla taranır ve monitor edilen dosyaların MD5/SHA1 checksumları Ossec Server'a gönderilir. ● Ossec Server checksumları depolar ve değişikliklere karşı kontrol eder. Herhangi bir fark tespit edilirse alarm üretir. ● Periyodik check yerine realtime monitoring de yapılabilir. Dosya Bütünlük Kontrolü (Syscheck) Görevler
  • 35. ● checksum dışında size, owner, group ve permission değişiklikleri de monitor edilebilir. ● Öntanımlı olarak "/etc,/usr/bin,/usr/sbin /bin,/sbin" dizinleri altdizinlerle birlikte monitor edilir. ● Çok sık değişiklik gören dosyalar ignore edilebilir. ● Checksum bilgileri serverda tutulduğu için değişen dosyalarla ilgili geçmişe dönük analizler yapılabilir. Syscheck
  • 38. ● /var/ossec/etc/shared dizininde bulunan rootkit imza veritabanları kullanılır. ● rootkit_files.txt isimli db'de belirtilen tüm dosyalar için stats, fopen, opendir ve chdir sistem çağrıları kullanılarak kontrol yapılır. Bu kontrol, dosyaları bazı sistem çağrılarından sakladığı bilinen rootkitlerin tespiti için yapılır. ● rootkit_trojans.txt db'si rootkitlerin değiştirdiği bilinen binary dosyalarının tespitinde kullanılır. (string search) Rootkit Kontrolü (Rootcheck) Görevler
  • 39. ● /dev dizini herhangi bir anormalliğe monitor edilir. device ve makedev scripti olmayan şüpheli dosyalar aranır. ● Tüm dosya sistemi alışılmadık dosyalara ve izinlere karşı taranır. Sahibi root olup diğer kullanıcılar tarafından yazılabilen ya da suid biti etkinleştirilmiş dosyalar ve gizli dizin/dosyalar incelenir. ● Sistemde süreçler getsid ve kill (kill -0) sistem çağrıları kullanılarak kontrol edilir. Eğer kullanımda olan bir süreç numarası (PID) “ps” ile görüntülenemiyorsa bu, sistemde ps’in trojaned versiyonu kullanıldığı anlamına gelir. Rootcheck
  • 40. ● Sistemde gizli portlar olup olmadığı araştırılır. bind sistem çağrısı kullanılarak, sistemdeki tüm TCP ve UDP portlar kontrol edilir. Eğer kullanımda olduğundan dolayı bind edilemeyen bir port, “netstat” çıktısında görülemiyorsa, sistemde netstat’ın trojanlı versiyonu kullanılıyor demektir. ● "Promisc" modda çalışan interface olup olmadğı kontrol edilir; eğer böyle bir interface var ancak ifconfig çıktısında görüntülenmiyorsa sistemde trojan bulunuyor olabilir. Rootcheck
  • 42. ● Belirli kuralların tetiklenmesi durumunda sistemde otomatik olarak bir komut/script çalıştırılarak, kuralın tetiklenmesine neden olan olayın sonlandırılması amaçlanır. ● Atak durumlarında hızlı tepki verilmesini sağladığı için kullanışlıdır. ● Port/Web vs. Scan, brute force gibi bilgi toplamaya yönelik saldırıları engellemek için idealdir. ● Ossec öntanımlı olarak bazı AR scriptleri (tools) ile gelir ve kurulum sırasında active response devreye alınabilir. ACTIVE RESPONSE Görevler
  • 43. ● disable-account.sh: Kullanıcıyı devre dışı bırakmak için. ● host-deny.sh: Atakta bulunan source IP'yi hosts.deny dosyasına ekler. (sshd gibi tcpwrapper kullanan servisler) ● firewall-drop.sh: iptables ya da ipfilter kullanan sistemlerde için kaynak IP için drop kuralı ekler. ● ipfw.sh: ipfw kullanan sistemlerde srcip drop kuralı ekler. ● pf.sh: PF kullanan sistemlerde srcip drop kuralı ekler. ● route-null.sh: Srcip için blackhole rule ekler. Tools (Scripts) Active Response
  • 46. ● False positive durumlarda engellenmemesi gereken IP'ler blocklanabilir. ● Active Response kullandığınızı anlayan bir saldırgan durumu istismar edip DoS yapabilir. (Ip spoof) Riskler Active Response
  • 47. ● False positive durumların önüne geçmek blocklanmaması gereken hostlar için whitelist oluşturulabilir. ● Block işlemlerinin timeout değeri vardır. (default 10 dakika). ● Active response scriptleri sadece belirli agentlar ya da sadece belirli kurallar için çalıştırılabilir. Risk Mitigation Active Response
  • 48. WebApp Scan Pattern Active Response <rule id="31101" level="5"> <if_sid>31100</if_sid> <id>^4</id> <description>Web server 400 error code.</description> </rule> <rule id="31151" level="10" frequency="10" timeframe="120"> <if_matched_sid>31101</if_matched_sid> <same_source_ip /> <description>Mutiple web server 400 error codes </description> <description>from same source ip.</description> <group>web_scan,recon,</group> </rule> 207.44.184.96 - - [19:57:37 -0300] "GET /b2/xmlsrv/xmlrpc.php HTTP/1.0" 404 297 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogtest/xmlsrv/xmlrpc.php HTTP/1.0" 404 303 "-" "- " 207.44.184.96 - - [:19:57:37 -0300] "GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 299 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 300 "-" "-"