Mar
22
2009

Operations Manager 2007 ile güvenlik ihlali ve saldırı takibi

Windows Security log aslında birçok saldırıyı ve güvenlik ihlalini çok kolayca yakalayabileceğiniz bir kaynaktır.Ancak birçoğumuz security log’u yorumlamayı bilmediğimiz için logdaki değerleri çoğu zaman anlayamayız. Operations Manager 2007 ile birlikte Windows Security log’daki event’ler için alert ürettirebiliyorsunuz (Bunun için ACS’e gerek yok).

Bir alert generating rule yaratıp log olarak security log’u belirtip istediğiniz parametrelere uyan event’ler için alert oluşturabilirsiniz. Elbette burada önemli olan hangi event’in ne anlama geldiğini bilmenizdir. Bunun için iyi bir kaynak http://www.microsoft.com/downloads/details.aspx?FamilyId=95A85136-F08F-4B20-942F-DC9CE56BCD1A&displaylang=en adresindeki “The Security Monitoring and Attack Detection Planning Guide” dokümanıdır. Farklı kaynaklar da mevcuttur.

Bu dokümanda Chapter 4′teki Detect Policy Violations ve Identify External Attacks bölümlerinde aşağıdaki durumlarda nasıl event’ler kaydedildiğini belirtir:

- Dosya yetkilerinin değiştirilmesi takibi
- Şifre resetleme takibi
- Kullanıcı hesabı silme, oluşturma takibi
- Kullanıcıları gruplara ekleme / çıkarma takibi
- Yetki dışıdnaki hesapları kullanma girişimi takibi
- Servis hesabı yetkilerini kullanarak interaktif logon takibi
- Yetki dışındaki uygulamaları çalıştırma takibi
- Yetki dışındaki kaynaklara erişim takibi
- Yetki dışındaki dosyalara zarar verme takibi
- Yetki dışındaki sistemlerden ortama login olma takibi
- Kullanıcıların şifrelerini tahmin etme takibi
- Arkada iz bırakmamak için logu doldurma takibi
- Active Directory güven ilişkisi takibi
- Güvenlik politikasına yetki dışında değişiklik takibi
- Rootkit veya trojan kurulum takibi

Aynı zamanda isterseniz Operations Manager 2007 ACS ile güvenlik loglarını merkezi olarak toplarken, Audit Collector seviyesinde filtrelemeler uygulayarak sadece yukarıda belirttiğim event’lerin toplanmasını sağlayabilirsiniz.

Bunun yanında ACS çözümü geliştirirken noise filtering guide’larından faydalanmayı unutmayın, yoksa OpsMgr Audit DB’niz gereksiz (makine$ kimlik doğrulamaları vb) bilgiler ile dolacaktır.

Not: Security log ile daha birçok şeyi izleyebilirsiniz, Active Directory üzerinde gerçekleştirilen tüm operasyonları, File Server üzerindeki dosya operasyonları gibi. Bu post’ta sadece güvenlik ihlali ile ilgili bölümlerden kısaca bahsettim.

posted in Operations Manager 2007 by Alper Önsoy

Follow comments via the RSS Feed | Leave a comment | Trackback URL

Leave Your Comment

 
Powered by Bilge Adam Kurumsal