SlideShare une entreprise Scribd logo

Windows Ağlarda Saldırı Tespiti

Sparta Bilişim
Sparta Bilişim

Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur. Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı. Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir. Webinarda aşağıdaki konuları ele aldık: 1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı 2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları 3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler 4- Yaşanılan senaryolardan örnekler 5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar 6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar 7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç 8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı 9- Yatay hareket tespiti için öneriler ================ Sorularınız için sparta@sparta.com.tr

Internet
1  sur  42
Windows Log Analizi ile Saldırı Tespiti www.sparta.com.tr Sparta Bilişim - 2020 - 2020 sparta@sparta.com.tr
Sparta Bilişim • 2013 Yılında kuruldu • Sadece siber güvenlik alanında hizmetler veriyor • Türkiye genelinde 300’den fazla kuruluşa hizmet veriyor www.sparta.com.tr
Hizmetlerimiz •Sızma testi • Ağ sızma testleri • Web uygulama sızma testleri • Mobil uygulama sızma testleri • Kablosuz ağ sızma testleri • Hizmet dışı bırakma (DoS/DDoS) testleri • Sosyal mühendislik testleri • Fiziksel sızma testleri www.sparta.com.tr • Danışmanlık • ISO 27001 • KVKK • Periyodik ziyaretler • SOME danışmanlığı • İş sürekliliği • Eğitimler • Sızma testi • SOME • Siber güvenlik • Siber istihbarat • CISSP
Bugün Neler Konuşacağız? • Siber saldırganların yerel ağda yaptıkları • Bıraktıkları izler • Kullanılabilecek araçlar www.sparta.com.tr
Neler biliyoruz? www.sparta.com.tr
https://forms.gle/ffBcHj51QcAT12Vp6 Konuştuklarımızla İlgili... Zararlı Yazılım Var ve Aktif Zararlı Yazılım Var ve Aktif Değil Sistem Ele Geçirilmiş AMA Zararlı Yazılım Yok www.sparta.com.tr
https://forms.gle/ffBcHj51QcAT12Vp6 Antivirüs Zararlı Yazılım Var ve Aktif Zararlı Yazılım Var ve Aktif Değil Sistem Ele Geçirilmiş AMA Zararlı Yazılım Yok www.sparta.com.tr
https://forms.gle/ffBcHj51QcAT12Vp6 Antivirüs Zararlı Yazılım Var ve Aktif Zararlı Yazılım Var ve Aktif Değil Sistem Ele Geçirilmiş AMA Zararlı Yazılım Yok www.sparta.com.tr ?
Konuştuklarımızla İlgili... • Eğitimlerimiz • Proaktif siber güvenlik izleme hizmeti • Siber Zoka sosyal mühendislik test ve eğitimi • AD güvenliği www.sparta.com.tr
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Ben Kimim ? Sparta Bilişim - 2020 Penetration Tester @Sparta Bilisim berkan@sparta.com.tr linkedin.com/in/berkaner twitter.com/erberkan erberkan.github.io
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Siber Ölüm Zinciri Sparta Bilişim - 2020 • Siber saldırı faaliyetlerinin belirlenmesi ve önlenmesi içi geliştirilmiştir. • Intelligence Driven Defence(1) modelinin bir parçasıdır. • Düşmanların hedeflerine ulaşmak için neleri tamamlamaları gerektiğini tanımlar. • Lockheed Martin tarafından geliştirilmiştir. • 7 adımdan oluşur; (1) https://www.lockheedmartin.com/en-us/capabilities/cyber/intelligence-driven-defense.html
Siber Ölüm Zinciri Sparta Bilişim - 2020 https://en.wikipedia.org/wiki/Kill_chain
Siber Ölüm Zincir(leri) Sparta Bilişim - 2020 https://www.pandasecurity.com/rfiles/enterprise/solutions/ad360/1704-WHITEPAPER-CKC-EN.pdf
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Lateral Movement (Yatay Hareket) Sparta Bilişim - 2020
Lateral Movement (Yatay Hareket) Sparta Bilişim - 2020 • Saldırganın ilk erişimi aldıktan sonra, hassas verileri ve diğer yüksek değerli varlıkları aramak amacıyla ağda daha derine inmek için kullanılan tekniktir. • Günümüz APT’ lerini geçmişteki basit siber saldırılardan ayıran önemli bir taktiktir.
MITRE Att&ck Sparta Bilişim - 2020
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Yatay Hareketin Fidye Yazılımlardaki Rolü Sparta Bilişim - 2020
Yatay Hareketin Fidye Yazılımlardaki Rolü Sparta Bilişim - 2020 WannaCrypt aka. WannaCry (1) Petya(2) (1) https://www.microsoft.com/security/blog/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date- systems/?source=mmpc (2) https://www.microsoft.com/security/blog/2017/06/27/new-ransomware-old-techniques-petya-adds-worm- capabilities/?source=mmpc
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Yaşanmış Olaylar Sparta Bilişim - 2020
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Saldırı Araçları Sparta Bilişim - 2020 • responder & ntlmrelay • Mimikatz • Crackmapexec • smb_login (Metasploit) • Psexec • Wmiexec • Smbexec • …
Saldırı Araçları – Demo Sparta Bilişim - 2020
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Windows Event Logs Sparta Bilişim - 2020 Uygulama: Sürücüler ve yerleşik ara birim öğeleri gibi Windows sistem bileşenleri ile ilgili olayları kaydeder. Sistem: Sistemde yüklü programlarla ilgili olayları kaydeder. Güvenlik: Oturum açma girişimleri ve kaynak erişimi gibi güvenlikle ilgili olayları kaydeder.
Windows Event Logs - Security Sparta Bilişim - 2020
Windows Event Logs - Security Sparta Bilişim - 2020
Windows Event Logs - Security Sparta Bilişim - 2020 Event ID Description 4624 An account was successfully logged on 4625 An account failed to log on 4634 An account was logged off 4648 A logon was attempted using explicit credentials 4672 Special privileges assigned to new logon 4776 The domain controller attempted to validate the credentials for an account 4778 A session was reconnected to a Window Station 4770 A Kerberos service ticket was renewed 4793 The Password Policy Checking API was called Event ID Description 4704 A user right was assigned 4720 A user account was created 4722 A user account was enabled 4725 A user account was disabled 4726 A user account was deleted 4728 A member was added to a security-enabled global group 4731 A security-enabled local group was created 4732 A member was added to a security-enabled local group 4733 A member was removed from a security-enabled local group 4765 SID History was added to an account 4734 A security-enabled local group was deleted 4735 A security-enabled local group was changed 4740 A user account was locked out 4748 A security-disabled local group was deleted 4756 Member Added to Universal Group 4767 A user account was unlocked 4781 The name of an account was changedhttps://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
Windows Event Logs - Security Sparta Bilişim - 2020
Windows Event Logs - Security Sparta Bilişim - 2020 Logon type Logon title Description 2 Interactive A user logged on to this computer. 3 Network A user or computer logged on to this computer from the network. 4 Batch Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention. 5 Service A service was started by the Service Control Manager. 7 Unlock This workstation was unlocked. 8 NetworkCleartext A user logged on to this computer from the network. The user's password was passed to the authentication package in its unhashed form. The built- in authentication packages all hash credentials before sending them across the network. The credentials do not traverse the network in plaintext (also called cleartext). 9 NewCredentials A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections. 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or Remote Desktop. 11 CachedInteractive A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials.
Windows Event Logs - Security Sparta Bilişim - 2020 Ben bir vaka ile karşı karşıya geldiğimde kendime hemen şu 13 soruyu sorarım: ‘Kaçta, hangi, ne ile, niçin, nolmuş, kimi, nerede, nasıl, ne zaman, kimden, neyi, ne belli, neye, kim?’
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Tespit Araçları Sparta Bilişim - 2020 Logon Tracer • https://github.com/JPCERTCC/LogonTracer
Tespit Araçları Sparta Bilişim - 2020 • Microsoft Advanced Threat Analytics (ATA) – 12 Ocak 2021 Azure Advanced Threat Protection (Azure ATP) • https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/
• Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
Öneriler Sparta Bilişim - 2020 SMB imzası Etkin ve Gerekli Lokal Admin kullanıcılarını kısıtlayın Domain Admin kullanıcılarını limitleyin Parola kuralı uygulayın Az 14 karakter Karmaşık parola Maksimum yanlış giriş ile hesap kitle Servis hesapların yetkilerini limitleyin
Sparta Bilişim - 2020
Sorular ? Sparta Bilişim - 2020 sparta@sparta.com.tr

Recommandé

Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
BGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

Recommandé

Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
BGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
BGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
Sparta Bilişim
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
BGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
PRISMA CSI
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
PRISMA CSI
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10
Murat KARA
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
Murat KARA
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
Kurtuluş Karasu
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
BGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
 

Contenu connexe

Tendances

SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
Sparta Bilişim
 

Tendances (20)

Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
 
Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 

Similaire à Windows Ağlarda Saldırı Tespiti

Cyber Kill Chain
Cyber Kill ChainCyber Kill Chain
Cyber Kill Chain
Süleyman Özarslan
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
 

Similaire à Windows Ağlarda Saldırı Tespiti (20)

Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
 
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarSiber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemek
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Cyber Kill Chain
Cyber Kill ChainCyber Kill Chain
Cyber Kill Chain
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 

Plus de Sparta Bilişim

2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları 2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
Sparta Bilişim
 
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Sparta Bilişim
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Sparta Bilişim
 
Kablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği DosyasıKablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği Dosyası
Sparta Bilişim
 
2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri
Sparta Bilişim
 

Plus de Sparta Bilişim (15)

2020 yılında nasıl hacklendik?
2020 yılında nasıl hacklendik?2020 yılında nasıl hacklendik?
2020 yılında nasıl hacklendik?
 
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları 2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
 
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
 
Ornek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporuOrnek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporu
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)
 
2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
 
Seyahatte Veri Güvenliği Dosyası
Seyahatte Veri Güvenliği DosyasıSeyahatte Veri Güvenliği Dosyası
Seyahatte Veri Güvenliği Dosyası
 
Kablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği DosyasıKablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği Dosyası
 
Çocuklar için Siber Güvenlik
Çocuklar için Siber GüvenlikÇocuklar için Siber Güvenlik
Çocuklar için Siber Güvenlik
 
2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 

Windows Ağlarda Saldırı Tespiti

  • 1. Windows Log Analizi ile Saldırı Tespiti www.sparta.com.tr Sparta Bilişim - 2020 - 2020 sparta@sparta.com.tr
  • 2. Sparta Bilişim • 2013 Yılında kuruldu • Sadece siber güvenlik alanında hizmetler veriyor • Türkiye genelinde 300’den fazla kuruluşa hizmet veriyor www.sparta.com.tr
  • 3. Hizmetlerimiz •Sızma testi • Ağ sızma testleri • Web uygulama sızma testleri • Mobil uygulama sızma testleri • Kablosuz ağ sızma testleri • Hizmet dışı bırakma (DoS/DDoS) testleri • Sosyal mühendislik testleri • Fiziksel sızma testleri www.sparta.com.tr • Danışmanlık • ISO 27001 • KVKK • Periyodik ziyaretler • SOME danışmanlığı • İş sürekliliği • Eğitimler • Sızma testi • SOME • Siber güvenlik • Siber istihbarat • CISSP
  • 4. Bugün Neler Konuşacağız? • Siber saldırganların yerel ağda yaptıkları • Bıraktıkları izler • Kullanılabilecek araçlar www.sparta.com.tr
  • 6. https://forms.gle/ffBcHj51QcAT12Vp6 Konuştuklarımızla İlgili... Zararlı Yazılım Var ve Aktif Zararlı Yazılım Var ve Aktif Değil Sistem Ele Geçirilmiş AMA Zararlı Yazılım Yok www.sparta.com.tr
  • 7. https://forms.gle/ffBcHj51QcAT12Vp6 Antivirüs Zararlı Yazılım Var ve Aktif Zararlı Yazılım Var ve Aktif Değil Sistem Ele Geçirilmiş AMA Zararlı Yazılım Yok www.sparta.com.tr
  • 8. https://forms.gle/ffBcHj51QcAT12Vp6 Antivirüs Zararlı Yazılım Var ve Aktif Zararlı Yazılım Var ve Aktif Değil Sistem Ele Geçirilmiş AMA Zararlı Yazılım Yok www.sparta.com.tr ?
  • 9. Konuştuklarımızla İlgili... • Eğitimlerimiz • Proaktif siber güvenlik izleme hizmeti • Siber Zoka sosyal mühendislik test ve eğitimi • AD güvenliği www.sparta.com.tr
  • 10. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 11. Ben Kimim ? Sparta Bilişim - 2020 Penetration Tester @Sparta Bilisim berkan@sparta.com.tr linkedin.com/in/berkaner twitter.com/erberkan erberkan.github.io
  • 12. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 13. Siber Ölüm Zinciri Sparta Bilişim - 2020 • Siber saldırı faaliyetlerinin belirlenmesi ve önlenmesi içi geliştirilmiştir. • Intelligence Driven Defence(1) modelinin bir parçasıdır. • Düşmanların hedeflerine ulaşmak için neleri tamamlamaları gerektiğini tanımlar. • Lockheed Martin tarafından geliştirilmiştir. • 7 adımdan oluşur; (1) https://www.lockheedmartin.com/en-us/capabilities/cyber/intelligence-driven-defense.html
  • 14. Siber Ölüm Zinciri Sparta Bilişim - 2020 https://en.wikipedia.org/wiki/Kill_chain
  • 15. Siber Ölüm Zincir(leri) Sparta Bilişim - 2020 https://www.pandasecurity.com/rfiles/enterprise/solutions/ad360/1704-WHITEPAPER-CKC-EN.pdf
  • 16. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 17. Lateral Movement (Yatay Hareket) Sparta Bilişim - 2020
  • 18. Lateral Movement (Yatay Hareket) Sparta Bilişim - 2020 • Saldırganın ilk erişimi aldıktan sonra, hassas verileri ve diğer yüksek değerli varlıkları aramak amacıyla ağda daha derine inmek için kullanılan tekniktir. • Günümüz APT’ lerini geçmişteki basit siber saldırılardan ayıran önemli bir taktiktir.
  • 20. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 21. Yatay Hareketin Fidye Yazılımlardaki Rolü Sparta Bilişim - 2020
  • 22. Yatay Hareketin Fidye Yazılımlardaki Rolü Sparta Bilişim - 2020 WannaCrypt aka. WannaCry (1) Petya(2) (1) https://www.microsoft.com/security/blog/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date- systems/?source=mmpc (2) https://www.microsoft.com/security/blog/2017/06/27/new-ransomware-old-techniques-petya-adds-worm- capabilities/?source=mmpc
  • 23. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 25. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 26. Saldırı Araçları Sparta Bilişim - 2020 • responder & ntlmrelay • Mimikatz • Crackmapexec • smb_login (Metasploit) • Psexec • Wmiexec • Smbexec • …
  • 27. Saldırı Araçları – Demo Sparta Bilişim - 2020
  • 28. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 29. Windows Event Logs Sparta Bilişim - 2020 Uygulama: Sürücüler ve yerleşik ara birim öğeleri gibi Windows sistem bileşenleri ile ilgili olayları kaydeder. Sistem: Sistemde yüklü programlarla ilgili olayları kaydeder. Güvenlik: Oturum açma girişimleri ve kaynak erişimi gibi güvenlikle ilgili olayları kaydeder.
  • 30. Windows Event Logs - Security Sparta Bilişim - 2020
  • 31. Windows Event Logs - Security Sparta Bilişim - 2020
  • 32. Windows Event Logs - Security Sparta Bilişim - 2020 Event ID Description 4624 An account was successfully logged on 4625 An account failed to log on 4634 An account was logged off 4648 A logon was attempted using explicit credentials 4672 Special privileges assigned to new logon 4776 The domain controller attempted to validate the credentials for an account 4778 A session was reconnected to a Window Station 4770 A Kerberos service ticket was renewed 4793 The Password Policy Checking API was called Event ID Description 4704 A user right was assigned 4720 A user account was created 4722 A user account was enabled 4725 A user account was disabled 4726 A user account was deleted 4728 A member was added to a security-enabled global group 4731 A security-enabled local group was created 4732 A member was added to a security-enabled local group 4733 A member was removed from a security-enabled local group 4765 SID History was added to an account 4734 A security-enabled local group was deleted 4735 A security-enabled local group was changed 4740 A user account was locked out 4748 A security-disabled local group was deleted 4756 Member Added to Universal Group 4767 A user account was unlocked 4781 The name of an account was changedhttps://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
  • 33. Windows Event Logs - Security Sparta Bilişim - 2020
  • 34. Windows Event Logs - Security Sparta Bilişim - 2020 Logon type Logon title Description 2 Interactive A user logged on to this computer. 3 Network A user or computer logged on to this computer from the network. 4 Batch Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention. 5 Service A service was started by the Service Control Manager. 7 Unlock This workstation was unlocked. 8 NetworkCleartext A user logged on to this computer from the network. The user's password was passed to the authentication package in its unhashed form. The built- in authentication packages all hash credentials before sending them across the network. The credentials do not traverse the network in plaintext (also called cleartext). 9 NewCredentials A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections. 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or Remote Desktop. 11 CachedInteractive A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials.
  • 35. Windows Event Logs - Security Sparta Bilişim - 2020 Ben bir vaka ile karşı karşıya geldiğimde kendime hemen şu 13 soruyu sorarım: ‘Kaçta, hangi, ne ile, niçin, nolmuş, kimi, nerede, nasıl, ne zaman, kimden, neyi, ne belli, neye, kim?’
  • 36. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 37. Tespit Araçları Sparta Bilişim - 2020 Logon Tracer • https://github.com/JPCERTCC/LogonTracer
  • 38. Tespit Araçları Sparta Bilişim - 2020 • Microsoft Advanced Threat Analytics (ATA) – 12 Ocak 2021 Azure Advanced Threat Protection (Azure ATP) • https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/
  • 39. • Ben Kimim ? • Siber Ölüm Zincir(leri) Ajanda • Lateral Movement (Yatay Hareket) • Yatay Hareketin Fidye Yazılımlardaki Rolü • Yaşanmış Olaylar • Windows Event Logs – Security • Saldırı Araçları • Tespit Araçları • Öneriler Sparta Bilişim - 2020
  • 40. Öneriler Sparta Bilişim - 2020 SMB imzası Etkin ve Gerekli Lokal Admin kullanıcılarını kısıtlayın Domain Admin kullanıcılarını limitleyin Parola kuralı uygulayın Az 14 karakter Karmaşık parola Maksimum yanlış giriş ile hesap kitle Servis hesapların yetkilerini limitleyin
  • 42. Sorular ? Sparta Bilişim - 2020 sparta@sparta.com.tr