SlideShare uma empresa Scribd logo

Ajansız log toplama

Ertugrul Akbas
Ertugrul Akbas

Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM,SYSLOG,SNMP,Ajanlı ve Ajansız Log Toplama

Relação com investidores
1 de 7
Baixar para ler offline
LOG YÖNETİMİNİNDE AJANLI VE AJANSIZ YÖNTEMLER Dr. Ertuğrul AKBAŞ Kelimeler: Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM,SYSLOG,SNMP,Ajanlı ve Ajansız Log Toplama Log yönetimi sistemlerinin nihai hedefi güvenlik analizini otomatik olarak yapabilecek sistemi kurmaktır. Dünyada ajanlı yapıda log toplama çözümü kabul görmüş ürünler arasında yoktur
Yukarıda Gartner 2011 raporunda yansıtılan ürünler görülmektedir.Leader segmentindeki Archsight,Q1labs,RSA,Symantec,Loglogic,NitroSecurity ve Novell ya %100 ya da büyük oranda java ile geliştirilmiş ve ajan kullanmayan çözümlerdir. Bununla birlikte özellikle tasarım kısıtlarından dolayı ajan kullanan çömzümlerin bu eksikliği gidermek üzere öne sürdüğü bazı görüşler vardır.Bu görüşler ayrıca gartner raporunu liderler segmentine rağmen ajansız log toplamanın risk olduğunu da öne sürmektedirler.Bu riskler: 1. Herhangi bir çalışanın bilgisayarında takılı USB diske kopyaladığı dosyaları bulabilirmiyiz ? 2. Herhangi bir çalışan network kablosunu çekip bilgisayarda bazı işlemler yaptı, sonra event logları temizledi ve kabloyu geri taktı. Ne yaptığını bulabilirmiyiz ? 3. Sunucunun Log dosyalarının boyutu 1GB. Bu logun 980 MB’lık bölümü işime yaramayacak kayıtlar. Toplama esnasında networkten ne kadar trafik geçecek ? 4. Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ? 5. Solitare.exe uygulamasının çalışmasını istemiyorum. Bu uygulama ajansız olarak engellenebilir mi ? 6. Rootkit.exe dosyasının adı notepad.exe olarak değiştirildi ve çalıştırıldı. Bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? 7. Kullanıcı bilgisayarlarından birinde network sniffer uygulaması çalıştığında, bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? 8. Kaç makinanın web kamerası veya tarayıcısı (scanner) var ? 9. PrintScreen tuşu veya Snip Tool / Snag-it v.b. uygulamalarla ekran görüntüsü yakalama girişimleri tespit edilebilir mi ? 10. Kullanıcı bilgisayarında bazı dosyalar silinmiş veya değiştirilmiş olduğunda C$ bağlantılarını kimin yaptığının tespit edilmesi ? 11. Network bağlantısı kesildiğinde yaşanan log kaybının riski göze alınabilir mi ? 12. Logların uzaktan alınması durumunda tüm istemci veya sunucularda yetkili bir domain hesabı ile logların alındığı düşünüldüğünde ilgili servis hesabında yaşanacak bir problem (Lock, Delete, Password Change v.b. ) logların alınmasını engelleyecek mi ? Yukarıda risk diye sayılan 12 maddenin 12 tanesi de Log Yönetimi konsepti içerisinde uluslar arası ticarileşmiş ürünlerde mesela HP-Arcsight, Novell, Symantec gibi ve MIT ve CALTECH gibi saygın üniversitelerde yapılan Doktora ve AR-GE çalışmalarında mesela ArielRabkinandRandyKatz.,Chukwa: A SystemforReliableLarge-ScaleLog Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010.sayılmazlar.Bir de bu işin öncülerinden kabul edilen AntonChuvakin [http://chuvakin.blogspot.com/] bir log ve güvenlik yönetimi çözümünde olmazsa olmazları listelediği çalışmasında; http://chuvakin.blogspot.com/2011/07/top-10-criteria-for-siem.html
Bu yazımız konusu olan önemli ya da olmazsa riskli olarak bahsi geçen maddeler bulunmamaktadır. Ayrıca; denebilir ki, HP-Arcsight, Novell, Symantec bu özellikleri geliştiremiyor onun için bu özellikleri log yönetim sistemlerine eklemiyorlar. Bu listelenen özelliklerin bir kısmını uzmanlar DLP ürünlerinde ararlar. En azından Symantec’in bir DLP ürünü olduğunu biliyoruz. Bu üreticiler isterse kolaylıkla log yönetimi içerisine bunu katabilir ama ikisinin birbirine hiç katkısı olmadığından, sistemiçin ek donanım yatırımı ve belki veritabanı yatırımı gerektireceği için kaçınmaktadırlar. Ayrıca listelenen maddelerin DLP ye bakan yüzünün onlarca kat daha fazlasını yapan Websense, Mcaffe ve Symantec DLP ürünleri mevcuttur. Ayrıca başka ticari DLP çözümleri de mevcut. Ayrıca, bu profesyonel DLP ürünlerinin maliyetleri ile bu ürünlerin log yönetimi içerisine serpiştirilmiş alt kümesinin maliyet noktalarına da ileride değinebiliriz. Ayrıca, bu 12 maddenin 5 tanesi için ajan kullanmak da gerekmez. Mesela madde 2, 4, 5,11,12 gibi. Bu özellikler basit GPO ve AD entegrasyonu ile halledilebilecek özelliklerdir. Maddeleri inceledikçe Log Yönetimi ve Güvenlik Yönetimi konseptinin ne kadar dağıldığı da görülmekte. Mesela madde 4 ve 8 de envanter toplanmasından bahsedilmiş. Yukarıda bahsettiğim ticari ve akademik çalışmaların hiçbirinde envanter toplama ve yönetimi gibi konseptler görülmez. Ayrıca, denebilir ki HP-Arcsight, Novell, SymantecEnvanter özellikleri geliştiremiyor onun için bu özellikleri log yönetim sistemlerine eklemiyor. Madde 4 ve 8 deki özelliği uzmanlar Envanter Yönetimi ürünlerinde ararlar. En azından HP nin ve Symantec in bir Envanter ürünü olduğunu biliyoruz. Symantec’in ürünü Altiris, HP nin ki de Node Manager ailesinin içerisinde olsa gerek. İsterlerse kolaylıkla log yönetimi içerisine bunu katabilirler ama ikisinin birbirine hiç katkısı olmadığı gibi gereksiz performans düşmesinden dolayı donanım yatırımı ve belki veritabanı yatırımı gerektireceği için kaçınmaktadırlar. Ayrıca, yine madde 4 te Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ?diye sorularak bir çelişki de ortaya konulmuştur. Şöyle ki, eğer uzaktan log veya envanter toplanamıyorsa uzaktan otomatik ajan da yüklenemez. Özellikle binlerce makineye uzaktan ajanları yükleyemeyince teker teker dolaşarak yüklenmesi gerekir ki bu sistem yöneticileri için bir azap olur. Dolayısı ile uzaktan ajan yüklenebiliyorsa log da toplanabilir envanter de. Eğer maddelerin üzerinden de teker teker geçmek gerekirse;
1. Herhangi bir çalışanın bilgisayarında takılı USB diske kopyaladığı dosyaları bulabilirmiyiz ? Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. USB operasyonları ile kısıtlı da olsa (kim kullanmış,hangi makinede kullanmış,ne zaman kullanmış gibi) bazı bilgiler ajansız ve GPO/AD yardımıyla alınabilir. 2. Herhangi bir çalışan network kablosunu çekip bilgisayarda bazı işlemler yaptı, sonra eventlogları temizledi ve kabloyu geri taktı. Ne yaptığını bulabilirmiyiz ? Windows Auditpolicy ile log temizleme,silme vs. yapanları en azından tespit etmek mümkün. Ayrıca bu tür işlemlere GPO/AD üzerinden kısıt getirmek de mümkün. 3. Sunucunun Log dosyalarının boyutu 1GB. Bu logun 980 MB’lık bölümü işime yaramayacak kayıtlardır. Toplama esnasında networkten ne kadar trafik geçecek ? Bu kadar logu oluşturan bir sistemin loglarının tamamının daha sonra işe yarayacağı ile ilgili LosAlamosNationalLaboratory de bu konuda uzun süre çalışan Dr. Ben Uphoff’un[http://people.msoe.edu/~uphoff/] çalışması incelenebilir. [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis] Ayrıca, tabiki bu kadar log içerisinden analiz yapabilme kapasitesine sahip bir sisteme sahip olmak lazım. Bu analizi yapamazsanız anca logufilitrelemeye gidersiniz. 1 GB gibi devasa bir logdan sadece 20 MB anlamlı log çıkar çıkarımı bu işi uzun süre tecrübe etmişlerin tecrübeleri ile uyuşmamaktadır. Ayrıca nasıl bir mülahaza ile böyle bir örnek verildi o da sarih değil. Çünkü uzaktan da log toplarsınız her türlü filtrelemeyle sadece ilgilendiğiniz logları çekebilirsiniz. İlla hepsini merkeze alıp orada filtrelemek zorunda değilsiniz. 4. Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ? GPO ve AD ile istenen RPC portları (makinelerin çoğunda zaten eklidir) firewall a eklenerek kolayca yapılabilir. Ajan gerekmeden kolayca yapılabilir. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. 5. Solitare.exe uygulamasının çalışmasını istemiyorum. Bu uygulama ajansız olarak engellenebilir mi ?
Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Ayrıca girişte açıkladım konunun log yönetimi içindeki yerini. Bununla birlikte GPO/AD ile bu tür kısıtlar getirmeyi sanıyorum herkes biliyordur. 6. Rootkit.exe dosyasının adı notepad.exe olarak değiştirildi ve çalıştırıldı. Bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Konunun log yönetimi içindeki yerini de girişte açıkladım. Ayrıca Windows AuditPolicy yardımıyla isim değiştirme ve çalıştırmayı takip edebilirsiniz. 7. Kullanıcı bilgisayarlarından birinde network sniffer uygulaması çalıştığında, bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? Windows Auditpolicy ile bunları en azından tespit etmek mümkün.Yine GPO ile de engellemek mümkün. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. 8. Kaç makinanın web kamerası veya tarayıcısı (scanner) var ? Bu bir envater yönetimi sistemi ile kolayca takip edilebilecek bir özelliktir. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. 9. PrintScreen tuşu veya SnipTool / Snag-it v.b. uygulamalarla ekran görüntüsü yakalama girişimleri tespit edilebilir mi ? Bu bir DLP özelliği olur profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Konunun log yönetimi içindeki yerini girişte açıkladım. Ayrıca bu tür bir ihtiyacı olan şirketin aynı şeyin cep telefonu, fotograf makinesi ve video kamera ve benzeri cihazlarla da yapılabileceğini bilmesi ve fiziksel güvenlik önlemlerini de alması gerekir.Hatta elektrik hatları üzerinden ve uzak mesafeden ekran görüntüsü tespiti yapılabildiğini ve bunu engellemek için de özel filtreler kullanıldığını unutmayalım. TUBİTAK bu tür filtreler geliştiriyordu diye hatırlıyorum. 10. Kullanıcı bilgisayarında bazı dosyalar silinmiş veya değiştirilmiş olduğunda C$ bağlantılarını kimin yaptığının tespit edilmesi ? Windows Auditpolicy ile bunları raporlamak mümkün. Yine GPO ile de engellemek mümkün. 11. Network bağlantısı kesildiğinde yaşanan log kaybının riski göze alınabilir mi ?
Böyle bir durumda log kaybının oluşması için konfigurasyon hatası yapmak lazım. Aksi halde loglarlokal sistemler tarafında biriktirilir. Mesela windowseventlogları günlük veya belli bir boyuta ulaşana kadar lokal de saklanırlar. 12. Logların uzaktan alınması durumunda tüm istemci veya sunucularda yetkili bir domain hesabı ile logların alındığı düşünüldüğünde ilgili servis hesabında yaşanacak bir problem (Lock, Delete, PasswordChangev.b. ) logların alınmasını engelleyecek mi ? Bu tür bir problemle karşılaşmamak için lokal hesaplar ile de WMI,DCOM,RPC üzerinden loglar alınabilir şeklinde bir yedek log toplamı yöntemi de diğerine parelel olarak uygulanabilir. Tabi burada bahsedilmeyen ajanların herhangi bir yöntemle kapatılması durumu ve ajanların lokal makinede açabileceği sorunlardan dolayı helpdesk ekibindeki iş yükü artışı ve kuruldukları her makinede oluşması ihtimali olan yavaşlatma senaryolarına hiç değinilmemiş. Değinilmeyen diğer bir husus da ajanların merkezi yönetiminin ağa yapacağı ekstra trafik yükünün ne olduğudur. Değinilmeyen 3. Konu da ajanlı bir sistemde toplam işlem gücünün iyimser bir yaklaşıma %10 nunu bu ajanlı sisteme teslim etme keyfiyetidir. Örnek bir hesaplama yapılırsa 1000 cihazlık bir ağda eğer ajanlar %10 CPU kullanırsa 100 makineyi de bu ajanlı sisteme tahsis etmiş gibi olursunuz. Eğer networke geniş açıdan overview yaparsanız ajanın size maliyetlerine bunların katılması da isabetli olur. Eğer ajan kayda değer RAM kullanıyorsa benzer hesaplama onun için de yapılabilir. Var olduğu varsayılan avantajlar yukarıda teker teker analiz edildi. Buna rağmen bu sistemi operate etmek isteyenlerin yukarıda bahsi geçen yapıyı operate ederken ajanların merkezi yönetiminden ve biraz DLP, biraz envanter yönetimi gibi özelliklerin sisteme serpiştirilmesinden kaynaklanan; -Olası yönetim zorluklarını -Ne kadar donanım yatırımı yapıldığı? -Ne kadar Veritabanı lisansı yatırımı yapıldığı? -Ne kadar extra destek yükü gerektiğinin hesabını da yapmalıdır. Ayrıca, büyük ağlarda ajanlı sistem beni ne kadar üreticiye yada yetkili çözüm ortağına muhtaç ediyor? Üreticiye yada yetkili çözüm ortağı olmadan da ben bu sistemi yaşatabiliyor muyum? diye fizibilite analizi ve hesabı yapılmalıdır.
Fizibilite analizinin temel olduğu özel sektörün bu parametreleri göz ardı etmeleri beklenemez. Benzer yapının diğer sektörlerde de var olması gerektiği de aşikardır. Son olarak da belirtmek lazım ki özellikle enterprise sistemlerde log yönetimi çözümü seçiminde önemli pek çok parametre vardır. En azından bir tanesinden bahsederek konuyu kapatmak istiyorum.Bu da ürünün korelasyon yeteneği. Aşağıda özelliklerini saydığım korelasyon özellikleri iyi bir ürünün olmazsa olmazlarındandır.  Hafızada Korelasyon Yapabilme  Tek Kaynak Korelasyon Kuralları  Çoklu Kaynak Korelasyon Kuralları  Negatif Condition Kuralları  Context Base Korelasyon  Hiyerarşik Korelasyon  Esnek kural oluşturma yapısı-Kural dili  Rule Base  ComplexEventProcessing  ForwardChaning  BackwardChaining

Recomendados

Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalBGA Cyber Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 

Recomendados

Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalBGA Cyber Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimiErtugrul Akbas
 
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriPentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıBGA Cyber Security
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?Ertugrul Akbas
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim SunumBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİErtugrul Akbas
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 7
Siber Güvenlik ve Etik Hacking Sunu - 7Siber Güvenlik ve Etik Hacking Sunu - 7
Siber Güvenlik ve Etik Hacking Sunu - 7Murat KARA
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?Ertugrul Akbas
 

Mais conteúdo relacionado

Mais procurados

Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriPentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıBGA Cyber Security
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?Ertugrul Akbas
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİErtugrul Akbas
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 7
Siber Güvenlik ve Etik Hacking Sunu - 7Siber Güvenlik ve Etik Hacking Sunu - 7
Siber Güvenlik ve Etik Hacking Sunu - 7Murat KARA
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 

Mais procurados (20)

Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriPentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin Anlamı
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim Sunum
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Siber Güvenlik ve Etik Hacking Sunu - 7
Siber Güvenlik ve Etik Hacking Sunu - 7Siber Güvenlik ve Etik Hacking Sunu - 7
Siber Güvenlik ve Etik Hacking Sunu - 7
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 

Destaque

Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Ertugrul Akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaErtugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaErtugrul Akbas
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkıErtugrul Akbas
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...Ertugrul Akbas
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningErtugrul Akbas
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizErtugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...Ertugrul Akbas
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Ertugrul Akbas
 

Destaque (20)

Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
 
Juniper Srx Log
Juniper Srx LogJuniper Srx Log
Juniper Srx Log
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through Baselining
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
 

Semelhante a Ajansız log toplama

Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Ertugrul Akbas
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıErtugrul Akbas
 
JİRA'ya Giriş / Atlassian
JİRA'ya Giriş / AtlassianJİRA'ya Giriş / Atlassian
JİRA'ya Giriş / AtlassianCansu Kaya
 
Android mimari-cekirdek-binding-scheduler
Android mimari-cekirdek-binding-schedulerAndroid mimari-cekirdek-binding-scheduler
Android mimari-cekirdek-binding-schedulerErcan Pinar
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008mtcakmak
 
Database Vault / Verinin Güvenliği
Database Vault / Verinin GüvenliğiDatabase Vault / Verinin Güvenliği
Database Vault / Verinin GüvenliğiAnar Godjaev
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Mehmet Ince
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysisAttaporn Ninsuwan
 
SELinux: Yüksek Güvenlikli Linux
SELinux: Yüksek Güvenlikli LinuxSELinux: Yüksek Güvenlikli Linux
SELinux: Yüksek Güvenlikli LinuxEmre Can Kucukoglu
 

Semelhante a Ajansız log toplama (20)

Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
JİRA'ya Giriş / Atlassian
JİRA'ya Giriş / AtlassianJİRA'ya Giriş / Atlassian
JİRA'ya Giriş / Atlassian
 
Android mimari-cekirdek-binding-scheduler
Android mimari-cekirdek-binding-schedulerAndroid mimari-cekirdek-binding-scheduler
Android mimari-cekirdek-binding-scheduler
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
 
Database Vault / Verinin Güvenliği
Database Vault / Verinin GüvenliğiDatabase Vault / Verinin Güvenliği
Database Vault / Verinin Güvenliği
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysis
 
Visual Studio Developer Tools
Visual Studio Developer ToolsVisual Studio Developer Tools
Visual Studio Developer Tools
 
SELinux: Yüksek Güvenlikli Linux
SELinux: Yüksek Güvenlikli LinuxSELinux: Yüksek Güvenlikli Linux
SELinux: Yüksek Güvenlikli Linux
 

Mais de Ertugrul Akbas

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonErtugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakErtugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıErtugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast EditionErtugrul Akbas
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent responseErtugrul Akbas
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).Ertugrul Akbas
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMErtugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
 

Mais de Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 

Ajansız log toplama

  • 1. LOG YÖNETİMİNİNDE AJANLI VE AJANSIZ YÖNTEMLER Dr. Ertuğrul AKBAŞ Kelimeler: Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM,SYSLOG,SNMP,Ajanlı ve Ajansız Log Toplama Log yönetimi sistemlerinin nihai hedefi güvenlik analizini otomatik olarak yapabilecek sistemi kurmaktır. Dünyada ajanlı yapıda log toplama çözümü kabul görmüş ürünler arasında yoktur
  • 2. Yukarıda Gartner 2011 raporunda yansıtılan ürünler görülmektedir.Leader segmentindeki Archsight,Q1labs,RSA,Symantec,Loglogic,NitroSecurity ve Novell ya %100 ya da büyük oranda java ile geliştirilmiş ve ajan kullanmayan çözümlerdir. Bununla birlikte özellikle tasarım kısıtlarından dolayı ajan kullanan çömzümlerin bu eksikliği gidermek üzere öne sürdüğü bazı görüşler vardır.Bu görüşler ayrıca gartner raporunu liderler segmentine rağmen ajansız log toplamanın risk olduğunu da öne sürmektedirler.Bu riskler: 1. Herhangi bir çalışanın bilgisayarında takılı USB diske kopyaladığı dosyaları bulabilirmiyiz ? 2. Herhangi bir çalışan network kablosunu çekip bilgisayarda bazı işlemler yaptı, sonra event logları temizledi ve kabloyu geri taktı. Ne yaptığını bulabilirmiyiz ? 3. Sunucunun Log dosyalarının boyutu 1GB. Bu logun 980 MB’lık bölümü işime yaramayacak kayıtlar. Toplama esnasında networkten ne kadar trafik geçecek ? 4. Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ? 5. Solitare.exe uygulamasının çalışmasını istemiyorum. Bu uygulama ajansız olarak engellenebilir mi ? 6. Rootkit.exe dosyasının adı notepad.exe olarak değiştirildi ve çalıştırıldı. Bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? 7. Kullanıcı bilgisayarlarından birinde network sniffer uygulaması çalıştığında, bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? 8. Kaç makinanın web kamerası veya tarayıcısı (scanner) var ? 9. PrintScreen tuşu veya Snip Tool / Snag-it v.b. uygulamalarla ekran görüntüsü yakalama girişimleri tespit edilebilir mi ? 10. Kullanıcı bilgisayarında bazı dosyalar silinmiş veya değiştirilmiş olduğunda C$ bağlantılarını kimin yaptığının tespit edilmesi ? 11. Network bağlantısı kesildiğinde yaşanan log kaybının riski göze alınabilir mi ? 12. Logların uzaktan alınması durumunda tüm istemci veya sunucularda yetkili bir domain hesabı ile logların alındığı düşünüldüğünde ilgili servis hesabında yaşanacak bir problem (Lock, Delete, Password Change v.b. ) logların alınmasını engelleyecek mi ? Yukarıda risk diye sayılan 12 maddenin 12 tanesi de Log Yönetimi konsepti içerisinde uluslar arası ticarileşmiş ürünlerde mesela HP-Arcsight, Novell, Symantec gibi ve MIT ve CALTECH gibi saygın üniversitelerde yapılan Doktora ve AR-GE çalışmalarında mesela ArielRabkinandRandyKatz.,Chukwa: A SystemforReliableLarge-ScaleLog Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010.sayılmazlar.Bir de bu işin öncülerinden kabul edilen AntonChuvakin [http://chuvakin.blogspot.com/] bir log ve güvenlik yönetimi çözümünde olmazsa olmazları listelediği çalışmasında; http://chuvakin.blogspot.com/2011/07/top-10-criteria-for-siem.html
  • 3. Bu yazımız konusu olan önemli ya da olmazsa riskli olarak bahsi geçen maddeler bulunmamaktadır. Ayrıca; denebilir ki, HP-Arcsight, Novell, Symantec bu özellikleri geliştiremiyor onun için bu özellikleri log yönetim sistemlerine eklemiyorlar. Bu listelenen özelliklerin bir kısmını uzmanlar DLP ürünlerinde ararlar. En azından Symantec’in bir DLP ürünü olduğunu biliyoruz. Bu üreticiler isterse kolaylıkla log yönetimi içerisine bunu katabilir ama ikisinin birbirine hiç katkısı olmadığından, sistemiçin ek donanım yatırımı ve belki veritabanı yatırımı gerektireceği için kaçınmaktadırlar. Ayrıca listelenen maddelerin DLP ye bakan yüzünün onlarca kat daha fazlasını yapan Websense, Mcaffe ve Symantec DLP ürünleri mevcuttur. Ayrıca başka ticari DLP çözümleri de mevcut. Ayrıca, bu profesyonel DLP ürünlerinin maliyetleri ile bu ürünlerin log yönetimi içerisine serpiştirilmiş alt kümesinin maliyet noktalarına da ileride değinebiliriz. Ayrıca, bu 12 maddenin 5 tanesi için ajan kullanmak da gerekmez. Mesela madde 2, 4, 5,11,12 gibi. Bu özellikler basit GPO ve AD entegrasyonu ile halledilebilecek özelliklerdir. Maddeleri inceledikçe Log Yönetimi ve Güvenlik Yönetimi konseptinin ne kadar dağıldığı da görülmekte. Mesela madde 4 ve 8 de envanter toplanmasından bahsedilmiş. Yukarıda bahsettiğim ticari ve akademik çalışmaların hiçbirinde envanter toplama ve yönetimi gibi konseptler görülmez. Ayrıca, denebilir ki HP-Arcsight, Novell, SymantecEnvanter özellikleri geliştiremiyor onun için bu özellikleri log yönetim sistemlerine eklemiyor. Madde 4 ve 8 deki özelliği uzmanlar Envanter Yönetimi ürünlerinde ararlar. En azından HP nin ve Symantec in bir Envanter ürünü olduğunu biliyoruz. Symantec’in ürünü Altiris, HP nin ki de Node Manager ailesinin içerisinde olsa gerek. İsterlerse kolaylıkla log yönetimi içerisine bunu katabilirler ama ikisinin birbirine hiç katkısı olmadığı gibi gereksiz performans düşmesinden dolayı donanım yatırımı ve belki veritabanı yatırımı gerektireceği için kaçınmaktadırlar. Ayrıca, yine madde 4 te Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ?diye sorularak bir çelişki de ortaya konulmuştur. Şöyle ki, eğer uzaktan log veya envanter toplanamıyorsa uzaktan otomatik ajan da yüklenemez. Özellikle binlerce makineye uzaktan ajanları yükleyemeyince teker teker dolaşarak yüklenmesi gerekir ki bu sistem yöneticileri için bir azap olur. Dolayısı ile uzaktan ajan yüklenebiliyorsa log da toplanabilir envanter de. Eğer maddelerin üzerinden de teker teker geçmek gerekirse;
  • 4. 1. Herhangi bir çalışanın bilgisayarında takılı USB diske kopyaladığı dosyaları bulabilirmiyiz ? Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. USB operasyonları ile kısıtlı da olsa (kim kullanmış,hangi makinede kullanmış,ne zaman kullanmış gibi) bazı bilgiler ajansız ve GPO/AD yardımıyla alınabilir. 2. Herhangi bir çalışan network kablosunu çekip bilgisayarda bazı işlemler yaptı, sonra eventlogları temizledi ve kabloyu geri taktı. Ne yaptığını bulabilirmiyiz ? Windows Auditpolicy ile log temizleme,silme vs. yapanları en azından tespit etmek mümkün. Ayrıca bu tür işlemlere GPO/AD üzerinden kısıt getirmek de mümkün. 3. Sunucunun Log dosyalarının boyutu 1GB. Bu logun 980 MB’lık bölümü işime yaramayacak kayıtlardır. Toplama esnasında networkten ne kadar trafik geçecek ? Bu kadar logu oluşturan bir sistemin loglarının tamamının daha sonra işe yarayacağı ile ilgili LosAlamosNationalLaboratory de bu konuda uzun süre çalışan Dr. Ben Uphoff’un[http://people.msoe.edu/~uphoff/] çalışması incelenebilir. [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis] Ayrıca, tabiki bu kadar log içerisinden analiz yapabilme kapasitesine sahip bir sisteme sahip olmak lazım. Bu analizi yapamazsanız anca logufilitrelemeye gidersiniz. 1 GB gibi devasa bir logdan sadece 20 MB anlamlı log çıkar çıkarımı bu işi uzun süre tecrübe etmişlerin tecrübeleri ile uyuşmamaktadır. Ayrıca nasıl bir mülahaza ile böyle bir örnek verildi o da sarih değil. Çünkü uzaktan da log toplarsınız her türlü filtrelemeyle sadece ilgilendiğiniz logları çekebilirsiniz. İlla hepsini merkeze alıp orada filtrelemek zorunda değilsiniz. 4. Kullanıcı bilgisayarlarımda firewall var. Uzaktan log veya envanter toplanabilir mi ? GPO ve AD ile istenen RPC portları (makinelerin çoğunda zaten eklidir) firewall a eklenerek kolayca yapılabilir. Ajan gerekmeden kolayca yapılabilir. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. 5. Solitare.exe uygulamasının çalışmasını istemiyorum. Bu uygulama ajansız olarak engellenebilir mi ?
  • 5. Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Ayrıca girişte açıkladım konunun log yönetimi içindeki yerini. Bununla birlikte GPO/AD ile bu tür kısıtlar getirmeyi sanıyorum herkes biliyordur. 6. Rootkit.exe dosyasının adı notepad.exe olarak değiştirildi ve çalıştırıldı. Bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? Bu bir DLP özelliği olup profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Konunun log yönetimi içindeki yerini de girişte açıkladım. Ayrıca Windows AuditPolicy yardımıyla isim değiştirme ve çalıştırmayı takip edebilirsiniz. 7. Kullanıcı bilgisayarlarından birinde network sniffer uygulaması çalıştığında, bunun tespit edilmesi veya engellenmesi sağlanabilir mi ? Windows Auditpolicy ile bunları en azından tespit etmek mümkün.Yine GPO ile de engellemek mümkün. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. 8. Kaç makinanın web kamerası veya tarayıcısı (scanner) var ? Bu bir envater yönetimi sistemi ile kolayca takip edilebilecek bir özelliktir. Ayrıca konunun log yönetimi içindeki yerini girişte açıkladım. 9. PrintScreen tuşu veya SnipTool / Snag-it v.b. uygulamalarla ekran görüntüsü yakalama girişimleri tespit edilebilir mi ? Bu bir DLP özelliği olur profesyonel bir DLP de bu özellikle birlikte onlarca başka özelliği bulabilirsiniz. Konunun log yönetimi içindeki yerini girişte açıkladım. Ayrıca bu tür bir ihtiyacı olan şirketin aynı şeyin cep telefonu, fotograf makinesi ve video kamera ve benzeri cihazlarla da yapılabileceğini bilmesi ve fiziksel güvenlik önlemlerini de alması gerekir.Hatta elektrik hatları üzerinden ve uzak mesafeden ekran görüntüsü tespiti yapılabildiğini ve bunu engellemek için de özel filtreler kullanıldığını unutmayalım. TUBİTAK bu tür filtreler geliştiriyordu diye hatırlıyorum. 10. Kullanıcı bilgisayarında bazı dosyalar silinmiş veya değiştirilmiş olduğunda C$ bağlantılarını kimin yaptığının tespit edilmesi ? Windows Auditpolicy ile bunları raporlamak mümkün. Yine GPO ile de engellemek mümkün. 11. Network bağlantısı kesildiğinde yaşanan log kaybının riski göze alınabilir mi ?
  • 6. Böyle bir durumda log kaybının oluşması için konfigurasyon hatası yapmak lazım. Aksi halde loglarlokal sistemler tarafında biriktirilir. Mesela windowseventlogları günlük veya belli bir boyuta ulaşana kadar lokal de saklanırlar. 12. Logların uzaktan alınması durumunda tüm istemci veya sunucularda yetkili bir domain hesabı ile logların alındığı düşünüldüğünde ilgili servis hesabında yaşanacak bir problem (Lock, Delete, PasswordChangev.b. ) logların alınmasını engelleyecek mi ? Bu tür bir problemle karşılaşmamak için lokal hesaplar ile de WMI,DCOM,RPC üzerinden loglar alınabilir şeklinde bir yedek log toplamı yöntemi de diğerine parelel olarak uygulanabilir. Tabi burada bahsedilmeyen ajanların herhangi bir yöntemle kapatılması durumu ve ajanların lokal makinede açabileceği sorunlardan dolayı helpdesk ekibindeki iş yükü artışı ve kuruldukları her makinede oluşması ihtimali olan yavaşlatma senaryolarına hiç değinilmemiş. Değinilmeyen diğer bir husus da ajanların merkezi yönetiminin ağa yapacağı ekstra trafik yükünün ne olduğudur. Değinilmeyen 3. Konu da ajanlı bir sistemde toplam işlem gücünün iyimser bir yaklaşıma %10 nunu bu ajanlı sisteme teslim etme keyfiyetidir. Örnek bir hesaplama yapılırsa 1000 cihazlık bir ağda eğer ajanlar %10 CPU kullanırsa 100 makineyi de bu ajanlı sisteme tahsis etmiş gibi olursunuz. Eğer networke geniş açıdan overview yaparsanız ajanın size maliyetlerine bunların katılması da isabetli olur. Eğer ajan kayda değer RAM kullanıyorsa benzer hesaplama onun için de yapılabilir. Var olduğu varsayılan avantajlar yukarıda teker teker analiz edildi. Buna rağmen bu sistemi operate etmek isteyenlerin yukarıda bahsi geçen yapıyı operate ederken ajanların merkezi yönetiminden ve biraz DLP, biraz envanter yönetimi gibi özelliklerin sisteme serpiştirilmesinden kaynaklanan; -Olası yönetim zorluklarını -Ne kadar donanım yatırımı yapıldığı? -Ne kadar Veritabanı lisansı yatırımı yapıldığı? -Ne kadar extra destek yükü gerektiğinin hesabını da yapmalıdır. Ayrıca, büyük ağlarda ajanlı sistem beni ne kadar üreticiye yada yetkili çözüm ortağına muhtaç ediyor? Üreticiye yada yetkili çözüm ortağı olmadan da ben bu sistemi yaşatabiliyor muyum? diye fizibilite analizi ve hesabı yapılmalıdır.
  • 7. Fizibilite analizinin temel olduğu özel sektörün bu parametreleri göz ardı etmeleri beklenemez. Benzer yapının diğer sektörlerde de var olması gerektiği de aşikardır. Son olarak da belirtmek lazım ki özellikle enterprise sistemlerde log yönetimi çözümü seçiminde önemli pek çok parametre vardır. En azından bir tanesinden bahsederek konuyu kapatmak istiyorum.Bu da ürünün korelasyon yeteneği. Aşağıda özelliklerini saydığım korelasyon özellikleri iyi bir ürünün olmazsa olmazlarındandır.  Hafızada Korelasyon Yapabilme  Tek Kaynak Korelasyon Kuralları  Çoklu Kaynak Korelasyon Kuralları  Negatif Condition Kuralları  Context Base Korelasyon  Hiyerarşik Korelasyon  Esnek kural oluşturma yapısı-Kural dili  Rule Base  ComplexEventProcessing  ForwardChaning  BackwardChaining