ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Cloud Computing

Microsoft Advanced Threat Analytics – Bölüm 4 - Configure Event Collection

Makalemin ilk bölümünde temel olarak ATA için çalışma mantığı, topoloji ve özelliklerinden bahsetmiştim. İkinci bölümünde ise artık kurulum gereksinimlerine yer vermiştim. Üçüncü bölümünde ise ATA Center ve ATA Gateway kurulumu ile kurulum sonrasındaki yapılandırma adımlarını anlatmıştım. Bu bölümde ise Event Collection ayarlarını yapacağız.

Öncelikle bir önceki makalemdeki gibi örnek bir topoloji paylaşmak istiyorum ki bu event toplama noktasında anlatacaklarım daha anlaşılır olsun.

clip_image002

Yukarıda gördüğünüz gibi ATA Center, GW üzerinden gelen bilgileri analiz eder, GW ise DC’ lerden bilgi toplar. Yine eğer ortamda SIEM ürünleri var ise onlardan da gelen olay günlüklerini toplayıp Center’ a incelenmesi ve analiz edilmesi için yollayabilir.

ATA’ nın tespit edebildiği ataklardan biri olan “Pass-the-Hash” ‘ in sağlıklı bir şekilde tespit edilmesi için DC üzerinde oluşan Windows Event log ID 4776 olay günlüğüne sahip olması gereklidir. Bunu ya ortamdaki SIEM ürününden ya da DC’ den alabilir.

Burada temel iki yöntem var, birincisi SIEM server’ dan bilgileri almak, ikincisi ise DC’ lerden direkt olarak almak

·        Configuring the ATA Gateway to listen for SIEM events

·        Configuring Windows Event Forwarding

 

Configuring the ATA Gateway to listen for SIEM events

Eğer elinizde bir SIEM ürünü var ise öncelikle ATA GW için bunlardan gelecek bilgileri kabul edecek şekilde ayarlamamız gereklidir. Bunun için GW ayarlarında Syslog Listener UDP ayarını açıyoruz ve kullandığımız aktif ip adresini seçiyoruz.

clip_image003

Daha sonra sahip olduğunuz SIEM ürünü üzerinde yapılandırma (Windows Event ID 4776 loglarını bu ip dresine yönlendirmesi gerekli) gerekmektedir. Desteklenen ürünler ve formatlar için aşağıdaki linki kullanabilirsiniz

RSA Security Analytics

HP Arcsight

Splunk

https://technet.microsoft.com/en-us/dn707705?f=255&MSPPError=-2147217396

 

Configuring Windows Event Forwarding

Eğer elinizde bir SIEM ürünü yok ise DC üzerinden logları alabilirsiniz, bunun için öncelikle ATA üzerinde yine aynı yerde “Windows Event Forwarding Collection” özelliğini aktif ediyoruz.

clip_image005

 

Daha sonra hem ATA WG üzerinde hem de Domain Controller makinesinde yönetici hakları ile çalıştırdığımız powershell konsolunda aşağıdaki komutları çalıştırıyoruz

winrm quickconfig

Daha sonra ATA GW üzerinde aşağıdaki komutu çalıştırıyoruz

wecutil qc

Daha sonra tüm DC makineleri için Event Log Readers Group üyeliğine ATA GW makine hesabını  eklemek gerekli.

clip_image006

 

Şimdi ATA Gateway makinesinde Olay günlüğünü yönetici hesabımız ile açalım

clip_image007

Daha sonra sol bölümden “Subscriptions” bölümüne gelelim ve yeni bir üyelik oluşturalım.

clip_image008

Bunları tamamladıktan sonra hangi eventleri almak istiyorsak filtre oluşturacağız.

clip_image009

clip_image010

İki kriteri sadece dolduruyorum, By log bölümünde “Security” ve Event ID bölümünde 4667, sonra süreci tamamlıyorum.

clip_image011

Şu anda ATA GW her iki DC’ den de 4667 olay günlüklerini alacak şekilde ayarlanmıştır.

Makalemin sonuna geldim, umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek dileği ile.

 

Kaynaklar

https://technet.microsoft.com/en-us/dn707709

https://technet.microsoft.com/en-us/dn707710

Tarih : 30 Ağustos 2015 Pazar 18:15 Yayınlayan: Hakan UZUNER

Yorumlar

 

Rıza ŞAHAN

Elinize sağlık hocam.

Ağustos 30, 2015 18:48
 

Rıza ŞAHAN

Elinize sağlık hocam.

Ağustos 30, 2015 18:48
 

Ziya Okan OZBEY

Eline sağlık hocam

Ağustos 30, 2015 22:58
 

Ugur DEMIR

Eline sağlık hocam.

Eylül 1, 2015 11:19
 

Dağcan Nural

Hocam;

elinize sağlık.

Eylül 3, 2015 08:16
 

Burak Özer

Emeğine sağlık Hakan Hocam

Eylül 11, 2015 10:24
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Hakan UZUNER

Eğitimlerim

HakanUzuner.com

 

Bu Kategori

Hızlı aktarma

Etiketler