O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

SecurityOnion ile Ağ güvenliğini İzlemek

1.048 visualizações

Publicada em

SecurityOnion ile Ağ güvenliğini İzlemek

Publicada em: Engenharia
  • Seja o primeiro a comentar

SecurityOnion ile Ağ güvenliğini İzlemek

  1. 1. SecurityOnion ile Ağ Güvenliğini İzlemek Furkan Çalışkan, GCFA, CISA, CISM’
  2. 2.  Güvenlik İzleme & Olay Müdahale Yetkilisi @  www.furkancaliskan.com  GCFA, CISA, CISM, 27001 LA  NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat meraklısı  Öncesi;  TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri  Ziraat Bankası – BT Müfettişi  Netaş – Linux Sistem Programcısı Hakkımda
  3. 3.  Giriş  Neden güvende hissedemiyoruz?  NSM nedir? Neden kaçınılmazdır?  Security Onion  Giriş  Araçlar  Demo  Teşekkürler İçerik
  4. 4.  Gelişen siber tehditler  Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.  False sense of security! (Cahillik, mutluluktur)  SIEM vs. Visibility  Durumsal farkındalık «SA» eksikliği. Büyük yapıların getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.  Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni korur)  «Prevention is ideal but detection is must» Eric Cole Neden güvende hissed(em)iyoruz?
  5. 5.  Assume breach (Aksini kim iddia edebilir?  )  Sistemlerine ait «normal»’i bil.  Sistemlerden toplayabildiğin (ve analiz edebileceğin!) kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)  Bunları kaydet, zenginleştir, korele et.  Otomatikleştir!  Anormallikleri sapta NSM Nedir? CM Nedir?
  6. 6. Vaka: Kullanıcılarınızdan birisi Yandex’e ‘vergi hesaplama’ yazdı ve bir uygulama indirdi Herşey yolunda? % kaç ‘zararlı’? Bir alarm gördüm sanki....
  7. 7.  232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)  İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)  Bu IP’yi Bro datası ile zenginleştirsen;  www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe  Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python  Virustotal )  EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)  EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)  domain_stats ile zenginleştirsen;  domain.com 3 gün önce kaydedilmiş  geo_ip ile zenginleştirsen;  Rusya’da shared hosting sağlayan bir firma  İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10 Veri zenginleştirme?
  8. 8.  Eski Mandiant (Fireeye) çalışanlarından Doug Burks  Şirket içi kullanım amaçlı (Mandiant)  Temelde bir entagrasyon projesi  IDS + Bro + PCAP kayıt + endpoint + loglama + analiz ortamı vb.  Ücretsiz, açık kaynak kodlu  Kurulumu ve kullanımı kolay
  9. 9.  IDS (Saldırı Tespit Sistemi)  Snort yada Suricata: Talos ruleset, ET ruleset  PCAP kayıt  netsniff_ng  Bro  Trafik analiz aracı ~ IDS  Endpoint  Sysmon + Autoruns + OSSEC  Sguil/Squert  Analiz konsolu  Elsa  Loglama modülü   ELK Temel Bileşenler
  10. 10.  3 mod  Standalone  Sensor  Server  Salt ile merkezi yönetim  Donanım planlaması  En az 2 network interface  Disk  Ram  Daha çok ram ve disk!   ‘Production’ ve ‘evaluation’ kurulumlar  Adım adım kurulum rehberi: http://tiny.cc/gazisecon Kurulum https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
  11. 11. IDS (Snort / Suricata) İmza formatı Çıktı alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Pandora Usage"; flow:established,to_server; content:"POST"; http_method; content:"/radio/xmlrpc/"; http_uri; content:"pandora.com|0d 0a|"; http_header; threshold: type threshold, track by_src, count 1, seconds 3600; reference:url,www.pandora.com; classtype:policy-violation; sid:2014997; rev:1;)
  12. 12. Bro conn.log, dns.log, ftp.log, http.log, ssl.log, notice.log, intel.log vb.
  13. 13. Rob Joyce @ NSA//TAO Chief ‘en büyük kabusumuz, tüm ağ akışını loglayan ve o veri içerisinde anormallik arayan birilerinin olması’ https://www.youtube.com/watch?v=bDJb8WOJYdA
  14. 14. PCAP kayıt
  15. 15. Loglama altyapısı (ELSA) Diğer bileşenlerin loglamalarının merkezi olarak toplandığı yer
  16. 16.  OSSEC  Sysmon  Autoruns Endpoint loglama
  17. 17. OSSEC (+Sysmon) - Açık kaynak kodlu LIDS ürünü - Uçnoktalarda görünürlük sağlıyor - Geniş parser desteği - WAZUH fork - Agent kurulumu sıkıntılı (auto-ossec, Puppet vs.) - Sysmon entegrasyonu
  18. 18. Sguil
  19. 19. Büyük resim :)
  20. 20. Örnek zararlı trafik analizi
  21. 21. Analiz Kaynak: malware-traffic-analysis.net
  22. 22.  Docker  ELSA -> ElasticSearch + Logstash + Kibana  domain_stats, freq_server, ElastAlert, Curator  Kullanıma hazır! (Beta) ELK?
  23. 23. ELK?
  24. 24. Kitap tavsiyesi
  25. 25. Teşekkürler https://www.furkancaliskan.com caliskanfurkan@gmail.com https://twitter.com/caliskanfurkan_

×