SlideShare une entreprise Scribd logo

Log yönetimi ve 5651

L
logyonetimi
Technologie
1  sur  21
Log Yönetimi ve 5651 www.logyonetimi.com Osman DOĞAN Log Yönetimi Bilgi Güvenliği Portalı www.eventid.com.tr
Ajanda Log Nedir Kazanımlar Log Kaynakları Uyumluluk ve Yasal Sorumluluklar Log Yönetiminin Amacı ve Önemi Log Yönetimi Süreçleri WikiLeaks Belgeleri
Log Nedir ? • Birçok uygulama veya sunucular yapmış oldukları işlemleri, sistem sorumlularını bilgilendirme maksatlı farklı formatlarda kaydeder, bu kaydedilmiş veriye Log denir.
Log Kaynakları Nelerdir ? • Güvenlik Duvarı • Atak AlgılamaÖnleme Sistemleri • Network Cihazları • Sunucu, PC ve Laptop • İş Uygulamaları (SharePoint, IIS, Exchange) • Veri Tabanı (MsSQL, MySQL ) • Antivirus • Uzak Erişim Uygulamaları (VPN) • Taşınabilir Aygıtlar (Usb, CD) • Proxy uygulamaları
Amaç ve Önemi • Sunucu, istemci, uygulama ve firewall gibi log üreten cihazlardan ilgili logları toplayarak anlamlı ve raporlanabilir bir hale getirmektir. • Hırsızlık olayında – Parmak izi • Uçak düştüğünde – Karakutu • Size ait bir ip adresi üzerinden cumhurbaşkanı hakkında yapılan hakaret içerikli bir yorumu kimin yaptığını bulmak için – Loglar !
Log Yönetimi Süreçleri
Log Yönetimi Süreçleri • Projeden beklentiler nelerdir ?  5651 mi ?  Log korelasyon mu ? • Log alınacak uygulama, sunucu ve cihazların belirlenmesi  Firewall, proxy  Server , Client v.b.  SQL, Oracle v.b. veritabanları  IIS, Exchange v.b. Uygulamalar • Yazılacak collector veya parser sayısının belirlenmesi  Default  Custom
Log Yönetimi Süreçleri • Alınan logların anlamlı hale getirilmesi  “EventId=517”  Log kayıtlarının silindiği  WAF log kaydında “Atak Tipi”=5  ddos atak olduğununun belirlenmesi
Log Yönetimi Süreçleri • Kurum politikaları doğrultusunda anlık/günlük/haftalık uyarı ve rapor mekanizması tasarlanmalıdır. Sms : Kritik seviyede oluşan log kaydının sms ile gönderimi sağlanır. Ör: “Osman” kullanıcısı “web-server” sunucusundaki “web.config” dosyasını sildi.
Log Yönetimi Süreçleri – Mail : Kritik seviyede oluşan log kaydının sistem sorumlusuna mail ile gönderimi sağlanır.
Log Yönetimi Süreçleri • Rapor : Kritik raporların haftalık/aylık rutin gönderimi sağlanmalıdır.
Kazanımlar • Güvenlik ihlallerinin anında tespiti ve delillerin toplanması • Cobit, 5651, PCI v.b standartlar ve yasalara uyumluluk • Başarılı / Başarısız erişimlerin tespiti • Yetkili / Yetkisiz erişimlerin tespiti • File Server üzerine yer alan kritik dosyalara yapılan erişimin ve aktivitenin (silme, oluşturma, sahipliğinin alınması) v.b. takibi • ESX v.b. Sanallaştırma uygulamalarının logları alınarak kimin, hangi sunucuyu oluşturduğu, sildiği veya shutdown ettiğine ait bilgileri
Kazanımlar • Ip , hostname gibi değişikliklerin takibi • İstemci tarafında çalışan trojan v.b. Uygulamaların tespit edilmesi • Günün herhangi bir anında hangi kullanıcı hangi bilgisayarlarda online olduğunun tespiti • Logların kaybolma ve silinme riskinin ortadan kalkması • Sistem yöneticilerinin takibi
Kazanımlar • Hangi bilgisayara , kim, hangi porttan erişmeye çalıştı • Kimler port scan yaptı • Kimler ne zaman, hangi bilgisayar ssl vpn ile erişim sağladı. • Hangi kullanıcılar P2P (Emule, Kazaa v.s) uygulamaları kullanıyor • Mail sunucu logları alınarak kim, kime, hangi konuda mail attı
Kazanımlar • IIS logları alınarak Kurumsal web sitesine yapılan yetkili/yetkisiz erişimler. • KGS (Kartlı Geçiş Sistemi) logları alınarak, işe gelmediği halde oturumu açılanların tespit edilmesi • Call Center logları alınarak kim, ne zaman, hangi şehirden aramış v.b. Raporlar çıkarılabilir. (Banka, GSM firmaları) • Tmg, Websense v.b. Loglar alınarak hangi kullanıcı, hangi web sitesine, hangi kategoride erişim sağladı (facebook, hepsiburada.com) bu raporların birim amirlerine düzenli gönderimi sağlanabilir.
Kazanımlar • Uzak erişim program logları alınarak kim, kimin bilgisayarına erişim yaptı (Radmin, CA Remote v.b.) • Firewall logları alınarak hangi ip adreslerinden, ne tür atakların geldiği bilgisi • Antivirüs logları alınarak sunucu ve istemcilerde hangi virüslerin olduğu, temizlenen veya karantinaya alınanlar virüs bilgileri • Sql, oracle v.b. Veritabanı logları alınarak kimin, hangi tabloda ne değişiklik yaptığı veya yetkisiz erişim denemeleri
Kazanımlar • Sunucu security logları alınarak hangi sunucuya, kim, ne zaman, nasıl (RDP, C$) bağlanmış • Kritik dosya veya ortak dosya sunucu erişimleri takip edilerek kim, hangi dosyada, ne değişiklik yapmış • Mail security logları alınarak spam gönderen domain ve spam gelen kullanıcıların belirlenmesi • Router, switch v.b. Network cihazlarının syslog, snmp v.b. Yöntemlerle logları alınarak yetkili / yetkisiz erişimler tespit edilir.
Kazanımlar • Dc ve local kullanıcı hesapları takip edilerek grup üyeliklerindeki değişkliklerin tespiti (domain admin grubuna kullanıcı eklenmesi) • Dhcp logları alınarak hangi mac adresine hangi ip adresi atandı veya network ortamında sizden habersiz ip dağıtan dhcp sunucu tespiti • E-ticaret, İnternet Sube v.b. Kullanıcı adı şifre doğrulaması yapılan uygulama logları alınarak, yapılan şifre ataklarının tespit edilmesi ( 5 dk içerisinde 100 den fazla şifre denemesi)
Uyumluluk ve Yasal Sorumluluklar • SOX, COBIT, ISO27001 ve diğerleri – Kullanıcı oturum açma işlemleri – Nesne erişim olayları – Kullanıcı ve grup oluşturma işlemleri – Yetkili / Yetkisiz erişimler • 5651 sayılı kanun – DHCP logları – Web aktivite logları
Teşekkürler Daha fazla bilgi için… osman.dogan@logyonetimi.com
Soru & Cevap ?

Recommandé

SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?Ertugrul Akbas
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyonErtugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkıErtugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 

Recommandé

SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?Ertugrul Akbas
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyonErtugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkıErtugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaErtugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDRBGA Cyber Security
 
Microsoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewMicrosoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewBGA Cyber Security
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriBGA Cyber Security
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiBGA Cyber Security
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6NIsmail Helva
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651Osman do?n
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım GüvenliğiUğur Tılıkoğlu
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...BGA Cyber Security
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Kurtuluş Karasu
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaBGA Cyber Security
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBGA Cyber Security
 

Contenu connexe

Tendances

Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaErtugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Microsoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewMicrosoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewBGA Cyber Security
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriBGA Cyber Security
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiBGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651Osman do?n
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...BGA Cyber Security
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Kurtuluş Karasu
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 

Tendances (20)

Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDR
 
Microsoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewMicrosoft Operations Management Suite Overview
Microsoft Operations Management Suite Overview
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik Riskleri
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 

Similaire à Log yönetimi ve 5651

Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaBGA Cyber Security
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBGA Cyber Security
 
Web servisi güvenliği
Web servisi güvenliğiWeb servisi güvenliği
Web servisi güvenliğiEmrah Gürcan
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumAruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumÖzden Aydın
 
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, pronms
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Web Uygulama Güvenliği
Web Uygulama GüvenliğiWeb Uygulama Güvenliği
Web Uygulama GüvenliğiMesut Güngör
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
Viproy ile VoIP Güvenlik Denetimi
Viproy ile VoIP Güvenlik DenetimiViproy ile VoIP Güvenlik Denetimi
Viproy ile VoIP Güvenlik DenetimiFatih Ozavci
 
ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemikkargi
 
Güvenli İstemci Yönetim Sistemi
Güvenli İstemci Yönetim SistemiGüvenli İstemci Yönetim Sistemi
Güvenli İstemci Yönetim Sistemiergün elvan bilsel
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...
Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...
Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...VERİKET BİLİŞİM GÜVENLİĞİ A.Ş
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Endüstri 4.0 Güvenliği
Endüstri 4.0 GüvenliğiEndüstri 4.0 Güvenliği
Endüstri 4.0 GüvenliğiLostar
 

Similaire à Log yönetimi ve 5651 (20)

Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
 
Web servisi güvenliği
Web servisi güvenliğiWeb servisi güvenliği
Web servisi güvenliği
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
 
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumAruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
 
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
Web Uygulama Güvenliği
Web Uygulama GüvenliğiWeb Uygulama Güvenliği
Web Uygulama Güvenliği
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Viproy ile VoIP Güvenlik Denetimi
Viproy ile VoIP Güvenlik DenetimiViproy ile VoIP Güvenlik Denetimi
Viproy ile VoIP Güvenlik Denetimi
 
ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemi
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
Güvenli İstemci Yönetim Sistemi
Güvenli İstemci Yönetim SistemiGüvenli İstemci Yönetim Sistemi
Güvenli İstemci Yönetim Sistemi
 
Web Hacking
Web HackingWeb Hacking
Web Hacking
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...
Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...
Veriket Data Classification,Labeling and Discovery Solution(Veri Sınıflandırm...
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
Endüstri 4.0 Güvenliği
Endüstri 4.0 GüvenliğiEndüstri 4.0 Güvenliği
Endüstri 4.0 Güvenliği
 

Log yönetimi ve 5651

  • 1. Log Yönetimi ve 5651 www.logyonetimi.com Osman DOĞAN Log Yönetimi Bilgi Güvenliği Portalı www.eventid.com.tr
  • 2. Ajanda Log Nedir Kazanımlar Log Kaynakları Uyumluluk ve Yasal Sorumluluklar Log Yönetiminin Amacı ve Önemi Log Yönetimi Süreçleri WikiLeaks Belgeleri
  • 3. Log Nedir ? • Birçok uygulama veya sunucular yapmış oldukları işlemleri, sistem sorumlularını bilgilendirme maksatlı farklı formatlarda kaydeder, bu kaydedilmiş veriye Log denir.
  • 4. Log Kaynakları Nelerdir ? • Güvenlik Duvarı • Atak AlgılamaÖnleme Sistemleri • Network Cihazları • Sunucu, PC ve Laptop • İş Uygulamaları (SharePoint, IIS, Exchange) • Veri Tabanı (MsSQL, MySQL ) • Antivirus • Uzak Erişim Uygulamaları (VPN) • Taşınabilir Aygıtlar (Usb, CD) • Proxy uygulamaları
  • 5. Amaç ve Önemi • Sunucu, istemci, uygulama ve firewall gibi log üreten cihazlardan ilgili logları toplayarak anlamlı ve raporlanabilir bir hale getirmektir. • Hırsızlık olayında – Parmak izi • Uçak düştüğünde – Karakutu • Size ait bir ip adresi üzerinden cumhurbaşkanı hakkında yapılan hakaret içerikli bir yorumu kimin yaptığını bulmak için – Loglar !
  • 7. Log Yönetimi Süreçleri • Projeden beklentiler nelerdir ?  5651 mi ?  Log korelasyon mu ? • Log alınacak uygulama, sunucu ve cihazların belirlenmesi  Firewall, proxy  Server , Client v.b.  SQL, Oracle v.b. veritabanları  IIS, Exchange v.b. Uygulamalar • Yazılacak collector veya parser sayısının belirlenmesi  Default  Custom
  • 8. Log Yönetimi Süreçleri • Alınan logların anlamlı hale getirilmesi  “EventId=517”  Log kayıtlarının silindiği  WAF log kaydında “Atak Tipi”=5  ddos atak olduğununun belirlenmesi
  • 9. Log Yönetimi Süreçleri • Kurum politikaları doğrultusunda anlık/günlük/haftalık uyarı ve rapor mekanizması tasarlanmalıdır. Sms : Kritik seviyede oluşan log kaydının sms ile gönderimi sağlanır. Ör: “Osman” kullanıcısı “web-server” sunucusundaki “web.config” dosyasını sildi.
  • 10. Log Yönetimi Süreçleri – Mail : Kritik seviyede oluşan log kaydının sistem sorumlusuna mail ile gönderimi sağlanır.
  • 11. Log Yönetimi Süreçleri • Rapor : Kritik raporların haftalık/aylık rutin gönderimi sağlanmalıdır.
  • 12. Kazanımlar • Güvenlik ihlallerinin anında tespiti ve delillerin toplanması • Cobit, 5651, PCI v.b standartlar ve yasalara uyumluluk • Başarılı / Başarısız erişimlerin tespiti • Yetkili / Yetkisiz erişimlerin tespiti • File Server üzerine yer alan kritik dosyalara yapılan erişimin ve aktivitenin (silme, oluşturma, sahipliğinin alınması) v.b. takibi • ESX v.b. Sanallaştırma uygulamalarının logları alınarak kimin, hangi sunucuyu oluşturduğu, sildiği veya shutdown ettiğine ait bilgileri
  • 13. Kazanımlar • Ip , hostname gibi değişikliklerin takibi • İstemci tarafında çalışan trojan v.b. Uygulamaların tespit edilmesi • Günün herhangi bir anında hangi kullanıcı hangi bilgisayarlarda online olduğunun tespiti • Logların kaybolma ve silinme riskinin ortadan kalkması • Sistem yöneticilerinin takibi
  • 14. Kazanımlar • Hangi bilgisayara , kim, hangi porttan erişmeye çalıştı • Kimler port scan yaptı • Kimler ne zaman, hangi bilgisayar ssl vpn ile erişim sağladı. • Hangi kullanıcılar P2P (Emule, Kazaa v.s) uygulamaları kullanıyor • Mail sunucu logları alınarak kim, kime, hangi konuda mail attı
  • 15. Kazanımlar • IIS logları alınarak Kurumsal web sitesine yapılan yetkili/yetkisiz erişimler. • KGS (Kartlı Geçiş Sistemi) logları alınarak, işe gelmediği halde oturumu açılanların tespit edilmesi • Call Center logları alınarak kim, ne zaman, hangi şehirden aramış v.b. Raporlar çıkarılabilir. (Banka, GSM firmaları) • Tmg, Websense v.b. Loglar alınarak hangi kullanıcı, hangi web sitesine, hangi kategoride erişim sağladı (facebook, hepsiburada.com) bu raporların birim amirlerine düzenli gönderimi sağlanabilir.
  • 16. Kazanımlar • Uzak erişim program logları alınarak kim, kimin bilgisayarına erişim yaptı (Radmin, CA Remote v.b.) • Firewall logları alınarak hangi ip adreslerinden, ne tür atakların geldiği bilgisi • Antivirüs logları alınarak sunucu ve istemcilerde hangi virüslerin olduğu, temizlenen veya karantinaya alınanlar virüs bilgileri • Sql, oracle v.b. Veritabanı logları alınarak kimin, hangi tabloda ne değişiklik yaptığı veya yetkisiz erişim denemeleri
  • 17. Kazanımlar • Sunucu security logları alınarak hangi sunucuya, kim, ne zaman, nasıl (RDP, C$) bağlanmış • Kritik dosya veya ortak dosya sunucu erişimleri takip edilerek kim, hangi dosyada, ne değişiklik yapmış • Mail security logları alınarak spam gönderen domain ve spam gelen kullanıcıların belirlenmesi • Router, switch v.b. Network cihazlarının syslog, snmp v.b. Yöntemlerle logları alınarak yetkili / yetkisiz erişimler tespit edilir.
  • 18. Kazanımlar • Dc ve local kullanıcı hesapları takip edilerek grup üyeliklerindeki değişkliklerin tespiti (domain admin grubuna kullanıcı eklenmesi) • Dhcp logları alınarak hangi mac adresine hangi ip adresi atandı veya network ortamında sizden habersiz ip dağıtan dhcp sunucu tespiti • E-ticaret, İnternet Sube v.b. Kullanıcı adı şifre doğrulaması yapılan uygulama logları alınarak, yapılan şifre ataklarının tespit edilmesi ( 5 dk içerisinde 100 den fazla şifre denemesi)
  • 19. Uyumluluk ve Yasal Sorumluluklar • SOX, COBIT, ISO27001 ve diğerleri – Kullanıcı oturum açma işlemleri – Nesne erişim olayları – Kullanıcı ve grup oluşturma işlemleri – Yetkili / Yetkisiz erişimler • 5651 sayılı kanun – DHCP logları – Web aktivite logları
  • 20. Teşekkürler Daha fazla bilgi için… osman.dogan@logyonetimi.com