Anasayfa » Forum

Azure Sentinel ile DNS Analizi  

  RSS
Kerem Göktay
(@keremgoktay)
Üye

Azure sentinel kullanarak, şirket ortamında dns ortamını takip edip, malicious domainlere istek yapan makinaları yakalamak istiyorum.

Sentinel tarafında çalışma kitabı eklerken de zaten bu özellik öne çıkarak tanıtılıyor fakat şu anda sadece dynamic registration ve configuration changes bilgisi geliyor, domain istekleri gelmiyor.

OMS agent üzerinde ise herhangi bir ayar yapılabilecek bölüm yok gibi, atladığım bir nokta var mı? Direk kurulumda bu bilgiler gelmiyor sanırım.

Farklı ürünler illa dns debug açmanız gerekiyor şeklinde belirtiyor. Bu agentta debug açsam dahi bunu tanıtacağım bir yer olmadığı için nasıl dns sorgularına bakacağımı bulamadım.

Kullanan varsa, nerede ayarı atladığımı söyleyebilir mi?

Alıntı
Gönderildi : 28/09/2019 19:39
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Böyle bir şeye mi bakıyorsun?

https://medium.com/@maarten.goet/protecting-against-malicious-payloads-over-dns-using-azure-sentinel-b16b41de52fd

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 29/09/2019 21:33
Kerem Göktay
(@keremgoktay)
Üye

Yok aslında, kullanıcılarda ms dnsler kayıtlı. Buradan ise bizim içeride bulunan cache dnslere gidip sorgular yapılıyor.

Buradaki amacım, Ms dns üzerinde malicious domain sorgularını yapan kullanıcıları yakalayabilmek.

Bunu yapabilmek için şu anda qradar'dan gelen istihbarat datası ile, ip yi yakalayıp, cache dns database'nde hangi domain olduğunu buluyorum. Ondan sonra DNS üzerinde debug log açıp, 30-60 dakika bekledikten sonra, aynı domaine doğru istek yapan kullanıcıları yakalayıp öyle araştırıyorum.

Bunu yapmak yerine böyle sentinel ile yakalayabilir miyim diye ona uğraşıyorum. Ama MS tarafından şu anda dns analytics ürünü preview de olduğu için herhangi bir konuda destek veremeyiz dediler. Öyle kaldı havada.

CevapAlıntı
Gönderildi : 11/10/2019 11:47
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Kerem bildiğin kafa yakıyorsun, çözünce lütfen bizim ile de paylaş 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/10/2019 12:58
Kerem Göktay
(@keremgoktay)
Üye

UI yüzünden kaç gündür uğraşıyormuşum 🙂 

Debug Log'ı 50 mblık paketler halinde aldıktan sonra logları basmaya başladı. ( 50 mb benim dns isteklerime göre ideal bir boyut gibi. )

dogus2
dogus1

Bu ileti 10 saat önce Kerem Göktay tarafından düzenlendi
CevapAlıntı
Gönderildi : 21/10/2019 12:50
Paylaş:

Lütfen Giriş yap yada Kayıt ol