ݺߣ

ݺߣShare a Scribd company logo

Ossec - Host Based Saldırı Tespit Sistemi

BilgiO A.S / Linux Akademi
BilgiO A.S / Linux Akademi

Ossec ( HIDS ) Host Based Open Source Saldırı Tespit Sistemi

1 of 50
Downloaded 57 times
1
Açık Kaynak Kodlu Saldırı Tespit Sistemi (Open Source Host-based Intrusion Detection System) Çağrı Ersen cagri.ersen@gmail.com http://www.syslogs.org
2
● Ossec Nedir ? ● Mimari ○ Local ○ Manager/Agent ○ Agentlesss ● Temel Ossec Görevleri ○ Log Monitoring ○ Active Response ○ Dosya Bütünlük Kontrolü ○ Rootkit Tespiti Ajanda
3
OSSEC NEDİR ?
4
● HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı (sızma) tespit sistemidir. ● Daniel Cid tarafından geliştirilmeye başlanmıştır. ● GPLv3 lisanslı açık kaynak kod bir uygulamadır. ● 2009 yılında Trend Micro tarafından alınmıştır. Nedir ?
5
● Log analizi, dosya bütünlük kontrolü, rootkit tespiti yapar. ● Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. ● Active Response özelliği ile otomatik aksiyonlar alabilir. Özellikler
6
Özellikler Öntanımlı olarak bir çok decoder ve rule ile gelir apache_rules Apache HTTP server rules arpwatch_rules Arpwatch rules attack_rules Common attack rules cisco-ios_rules Cisco IOS firmware rules courier_rules Courier mail server rules firewall_rules Common firewall rules ftpd_rules Rules for the ftpd daemon hordeimp_rules Horde Internet Messaging Program rules ids_rules Common IDS rules imapd_rules Rules for the imapd daemon local_rules OSSEC HIDS local, user-defined rules mailscanner_rules Common mail scanner rules netscreenfw_rules Juniper Netscreen firewall rules mysql_rules MySQL database rules named_rules Rules for the named daemon
7
Özellikler ossec_rules Common OSSEC HIDS rules pam_rules Pluggable Authentication Module (PAM) pix_rules.xml Cisco PIX firewall rules policy_rules Policy specific event rules postfix_rules Postfix mail transfer agent rules postgresql_rules PostgerSQL database rules proftpd_rules.xml ProFTPd FTP server rules pure-ftpd_rules.xml Pure-FTPd FTP server rules racoon_rules.xml Racoon VPN device rules rules_config.xml OSSEC HIDS Rules configuration rules sendmail_rules.xml Sendmail mail transfer agent rules squid_rules.xml Squid proxy server rules smbd_rules.xml Rules for the smbd daemon sonicwall_rules.xml SonicWall firewall rules spamd_rules.xml Rules for the spamd spam-deferral daemon
8
Özellikler ● Multi Platform: Linux, Solaris, AIX, HP-UX, BSD, Mac ve Vmware ESX üzerinde çalışabilir. ● Agentless monitoring ile Router ve Firewall gibi agent kurulamayacak cihazlar monitor edilebilir. ● İstemci/Sunucu Mimarisi ile merkezi yönetim sağlar.
9
İѴİ
10
KURULUM MODLARI ● Lokal Mod ○ Aynı sistem üzerinde hem server hem agent. ○ Tek sistemli ortamlar için ideal. ● Manager/Agent Mod ○ Merkezi Yapılandırma ve Yönetim ○ Birden fazla sistemden oluşan yapılarda kullanışlı. Mimari
11
MANAGER AGENT AGENT AGENTAGENT AGENTLESS AGENT MANAGER / AGENT Mimari AGENTLESS Syslog SSH Syslog SSH
12
Mimari ● Agentlar için merkezi yönetim noktasıdır. ● Ana yapılandırma dosyaları, ● Decoder ve kurallar, ● Agentlara ait dosya bütünlük veritabanları, ● Logları, event ve sistem audit girdilerini barındırır." MANAGER
13
AGENT Mimari ● Kurulu olduğu sistemdeki olayları analiz edilmek üzere managera yollar. ● Memory ve CPU footprinti çok küçüktür. ● Sistemde yetkisiz bir kullanıcı üzerinden çalışır. ● Yapılandırma manager tarafından push edilir. ● Yapılandırmada değişiklik olması durumunda alarm üretilir.
14
Agent AGENT / MANAGER Manager Log Collect Syscheck Rootkitcheck UDP 1514 Encrypted (Blowfish) Compressed (Zlib) Analiz Alarm Aksiyon Mimari
15
SÜREÇLER monitordanalysisd maildexecd MANAGER logcollector AGENT agentd syscheckd execd remoted Mimari
16
● analysisd Server side çalışır; tüm analiz işlerinden sorumludur. ● remoted Agentlarla iletişim kuran süreçtir. ● monitord Agentların bağlantı durumlarını monitor eder. ● maild Alarmları göndermekten sorumlu süreçtir. ● execd Active response komutlarını çalıştırır. (Client/Server) ● agentd Agent'da çalışır; server ile iletişimden sorumludur. ● logcollector Monitor edilen log dosyalarını okur. ● syscheckd Dosya bütünlük kontrolünden sorumludur. Mimari
17
Client SYSLOG Manager UDP 514 Log Forward Analiz Alarm Aksiyon Mimari
18
Client AGENTLESS Manager SSH Syscheck Analiz Alarm Aksiyon Mimari
19
Agents GNU/Linux (all) VMWare ESX 3.0,3.5 FreeBSD (all) OpenBSD (all) NetBSD (all) Solaris 2.7, 2.8, 2.9,10 AIX 5.2,5.3 Mac OS X 10.x Windows HP-UX 11 Syslog Cisco PIX, ASA,FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall Cisco IOS IDS/IPS module Sourcefire (Snort) IDS/IPS Dragon NIDS Checkpoint Smart Defense McAfee VirusScan (v8,v8. 5) Bluecoat proxy Cisco VPN concentrators VMWare ESXi 4.x Agentless Cisco PIX,ASA, FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall http://www.ossec.net/doc/manual/supported-systems.html DESTEKLENEN SİSTEMLER Mimari
20
TEMEL OSSEC GÖREVLERİ (1) LOG MONITORING
21
LOG MONITORING Log Pre-Decode Decode Analiz ALARM AKSİYON ossec-analysisd ossec-logcollector ossec-maild ossec-execd Görevler
22
Pre-decoding Log'un statik öğelerinin parse edildiği aşama (Hostname, tarih/saat, program ismi vs.) Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 hostname: Lab03-Debian program_name: sshd time/date: Mar 29 18:32:09 log: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
23
Decoding Log içerisinden spesifik bilgilerin parse edildiği aşama. (IP adres, kullanıcı adı, url vs.) srcip: 192.168.12.12 user: cagri Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
24
Analiz (1) <decoder name="sshd"> <program_name>^sshd</program_name> </decoder> /var/ossec/etc/decoder.xml Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
25
Analiz (2) <rule id="111" level="0" noalert="1"> <decoded_as>sshd</decoded_as> <description>SSHD messages grouped.</description> </rule> <rule id="122" level="5"> <if_sid>111</if_sid> <match>^Failed|^error: PAM: Authentication</match> <description>SSHD authentication failed.</description> <group>authentication_failed,</group> </rule> Log Monitoring KURAL 111 Log sshd olarak decode edilen (predecoding) herşeyi ID 111 olarak grupla. KURAL 122 Eğer 111 ID'li kural match etti ise ve logda "Failed" ibaresi geçiyorsa bu kuralın level'ını 5'e yükselt ve kuralı authentication_failed grubuna dahil et.
26
Analiz (3) <rule id=”133” level=”13”> <if_sid>122</if_sid> <hostname>^abraxas</hostname> <srcip>!192.168.12.0/24</srcip> <description>Higher severity! Failure on the main server</description> </rule> Log Monitoring KURAL 133 122 ID'li [SSH authentication fail kuralı] match ettiyse ve hostname "abraxas" olarak decode edildiyse, ayrıca kaynak ip 192.168.12.0/24 networkunden değilse bu kural'ın önem derecesini 13 olarak set et.
27
Analiz (4) <rule id="100005" level="10"> <if_group>authentication_success</if_group> <time>6 pm - 7:30 am</time> <description>Login during non-business hours.</description> </rule> Log Monitoring KURAL 100005 authentication_success grubuna dahil olan kurallar mesai saatleri dışında match ederse bu kuralı level 10 olarak set ederek alarm üret.
28
Analiz (5) <rule id=”144” level=”11” frequency=”5” timeframe=”120”> <if_matched_sid>122</if_matched_sid> <same_source_ip /> <description>Multiple failed attempts from same IP!</description> </rule> Log Monitoring KURAL 144 122 ID'li [SSH authentication fail kuralı] 120 saniye içerisinde 5 kez match ederse ve kaynak ip aynıysa bu kuralın önem derecesini 11 olarak set et.
29
Kural Hiyerarşisi 111LOG 9xx5xx 8xx 122 133 sshd olarak decode edilmemiş kurallar için sadece kural 111 yürütülür; alt kurallara bakılmaz. Böylece analiz sırasında "tüm" kuralların kontrol edilmesine gerek kalmaz. Log Monitoring
30
Desteklenen Log Formatları ve Uygulamalar Log Monitoring Pam sshd (OpenSSH) Solaris telnetd Samba su/sudo Xinetd Adduser/deluser Cron/Crontab Dpkg logs Yum logs Proftpd Pure-ftpd vsftpd wu-ftpd Solaris ftpd Imapd and pop3d Postfix Sendmail vpopmail Microsoft Exchange Courier imapd/pop3d/pop3-ssl vm-pop3d Procmail Mailscanner Apache IIS 5/6 Zeus web server Horde imp Modsecurity Iptables Shorewall IPFilter AIX ipsec/firewall Netscreen Windows firewall Cisco PIX SonicWall firewall Checkpoint MySQL PostgreSQ Cisco IOS IDS/IPS Snort Dragon NIDS McAfee VS Enterprise Symantec Web Nmap Arpwatch http://www.ossec.net/main/supported-systems
31
Kural Seviyeleri ● Kurallar önem derecesine göre 0-15 arasında sınıflandırılmıştır. ● En önemsiz kurallar level 0, en önemliler ise level 15 olarak set edilir ● İlk yürütülen kurallar level 0 olanlardır. Ignore edilmesi istenen durumlar için oluşturulan kurallara atanır. (False positive) ● Default olarak "level 7 >= " kurallar için email notification devreye alınır. ● Default olarak "level 6 >=" kurallar için active response komutları yürütülür. Log Monitoring
32
Kural ID'leri ● Her kuralın unique bir ID'si olması gerekir. ● 00000 - 109999 arası kural tiplerine göre tasnif edilmiştir. 00000 - 00999 Internally reserved for ossec 01000 - 01999 General syslog 02100 - 02299 NFS 02300 - 02499 Xinetd 02500 - 02699 Access control 02700 - 02729 Mail/procmail 02830 - 02859 Crond ...... ● Custom olarak eklenen kurallar için 100000 - 109999 kullanılmalıdır. Log Monitoring
33
TEMEL OSSEC GÖREVLERİ (2) DOSYA BÜTÜNLÜK ո鰿Ü
34
● Önemli sistem dosyalarının monitor edilerek değişikliklerin saptanmasını amaçlar. ● Sistem belirli periyodlarla taranır ve monitor edilen dosyaların MD5/SHA1 checksumları Ossec Server'a gönderilir. ● Ossec Server checksumları depolar ve değişikliklere karşı kontrol eder. Herhangi bir fark tespit edilirse alarm üretir. ● Periyodik check yerine realtime monitoring de yapılabilir. Dosya Bütünlük Kontrolü (Syscheck) Görevler
35
● checksum dışında size, owner, group ve permission değişiklikleri de monitor edilebilir. ● Öntanımlı olarak "/etc,/usr/bin,/usr/sbin /bin,/sbin" dizinleri altdizinlerle birlikte monitor edilir. ● Çok sık değişiklik gören dosyalar ignore edilebilir. ● Checksum bilgileri serverda tutulduğu için değişen dosyalarla ilgili geçmişe dönük analizler yapılabilir. Syscheck
36
Yapılandırma Syscheck /var/ossec/etc/ossec.conf <syscheck> <frequency>79200</frequency> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <ignore>/etc/mtab</ignore> <ignore>/etc/mnttab</ignore> <ignore>/etc/hosts.deny</ignore> <ignore>/etc/mail/statistics</ignore> <ignore>/etc/random-seed</ignore> <ignore>/etc/adjtime</ignore> <ignore>/etc/httpd/logs</ignore> .... </syscheck>
37
TEMEL OSSEC GÖREVLERİ (3) ROOTKIT ո鰿Ü
38
● /var/ossec/etc/shared dizininde bulunan rootkit imza veritabanları kullanılır. ● rootkit_files.txt isimli db'de belirtilen tüm dosyalar için stats, fopen, opendir ve chdir sistem çağrıları kullanılarak kontrol yapılır. Bu kontrol, dosyaları bazı sistem çağrılarından sakladığı bilinen rootkitlerin tespiti için yapılır. ● rootkit_trojans.txt db'si rootkitlerin değiştirdiği bilinen binary dosyalarının tespitinde kullanılır. (string search) Rootkit Kontrolü (Rootcheck) Görevler
39
● /dev dizini herhangi bir anormalliğe monitor edilir. device ve makedev scripti olmayan şüpheli dosyalar aranır. ● Tüm dosya sistemi alışılmadık dosyalara ve izinlere karşı taranır. Sahibi root olup diğer kullanıcılar tarafından yazılabilen ya da suid biti etkinleştirilmiş dosyalar ve gizli dizin/dosyalar incelenir. ● Sistemde süreçler getsid ve kill (kill -0) sistem çağrıları kullanılarak kontrol edilir. Eğer kullanımda olan bir süreç numarası (PID) “ps” ile görüntülenemiyorsa bu, sistemde ps’in trojaned versiyonu kullanıldığı anlamına gelir. Rootcheck
40
● Sistemde gizli portlar olup olmadığı araştırılır. bind sistem çağrısı kullanılarak, sistemdeki tüm TCP ve UDP portlar kontrol edilir. Eğer kullanımda olduğundan dolayı bind edilemeyen bir port, “netstat” çıktısında görülemiyorsa, sistemde netstat’ın trojanlı versiyonu kullanılıyor demektir. ● "Promisc" modda çalışan interface olup olmadğı kontrol edilir; eğer böyle bir interface var ancak ifconfig çıktısında görüntülenmiyorsa sistemde trojan bulunuyor olabilir. Rootcheck
41
Yapılandırma Rootcheck /var/ossec/etc/ossec.conf <rootcheck> <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files> <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans. txt</rootkit_trojans> <system_audit>/var/ossec/etc/shared/system_audit_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_debian_linux_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_rhel_linux_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_rhel5_linux_rcl. txt</system_audit> </rootcheck>
42
● Belirli kuralların tetiklenmesi durumunda sistemde otomatik olarak bir komut/script çalıştırılarak, kuralın tetiklenmesine neden olan olayın sonlandırılması amaçlanır. ● Atak durumlarında hızlı tepki verilmesini sağladığı için kullanışlıdır. ● Port/Web vs. Scan, brute force gibi bilgi toplamaya yönelik saldırıları engellemek için idealdir. ● Ossec öntanımlı olarak bazı AR scriptleri (tools) ile gelir ve kurulum sırasında active response devreye alınabilir. ACTIVE RESPONSE Görevler
43
● disable-account.sh: Kullanıcıyı devre dışı bırakmak için. ● host-deny.sh: Atakta bulunan source IP'yi hosts.deny dosyasına ekler. (sshd gibi tcpwrapper kullanan servisler) ● firewall-drop.sh: iptables ya da ipfilter kullanan sistemlerde için kaynak IP için drop kuralı ekler. ● ipfw.sh: ipfw kullanan sistemlerde srcip drop kuralı ekler. ● pf.sh: PF kullanan sistemlerde srcip drop kuralı ekler. ● route-null.sh: Srcip için blackhole rule ekler. Tools (Scripts) Active Response
44
Yapılandırma Active Response /var/ossec/etc/ossec.conf <command> <name>host-deny</name> <executable>host-deny.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <command> <name>firewall-drop</name> <executable>firewall-drop.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command>
45
Yapılandırma Active Response /var/ossec/etc/ossec.conf <active-response> <command>host-deny</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response> <active-response> <command>firewall-drop</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response>
46
● False positive durumlarda engellenmemesi gereken IP'ler blocklanabilir. ● Active Response kullandığınızı anlayan bir saldırgan durumu istismar edip DoS yapabilir. (Ip spoof) Riskler Active Response
47
● False positive durumların önüne geçmek blocklanmaması gereken hostlar için whitelist oluşturulabilir. ● Block işlemlerinin timeout değeri vardır. (default 10 dakika). ● Active response scriptleri sadece belirli agentlar ya da sadece belirli kurallar için çalıştırılabilir. Risk Mitigation Active Response
48
WebApp Scan Pattern Active Response <rule id="31101" level="5"> <if_sid>31100</if_sid> <id>^4</id> <description>Web server 400 error code.</description> </rule> <rule id="31151" level="10" frequency="10" timeframe="120"> <if_matched_sid>31101</if_matched_sid> <same_source_ip /> <description>Mutiple web server 400 error codes </description> <description>from same source ip.</description> <group>web_scan,recon,</group> </rule> 207.44.184.96 - - [19:57:37 -0300] "GET /b2/xmlsrv/xmlrpc.php HTTP/1.0" 404 297 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogtest/xmlsrv/xmlrpc.php HTTP/1.0" 404 303 "-" "- " 207.44.184.96 - - [:19:57:37 -0300] "GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 299 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 300 "-" "-"
49
Kaynaklar http://www.ossec.net/doc/ http://www.ossec.net/main/ossec-book
50
շÜ鳢
Açık Kaynak Kodlu Saldırı Tespit Sistemi (Open Source Host-based Intrusion Detection System) Çağrı Ersen cagri.ersen@gmail.com http://www.syslogs.org
● Ossec Nedir ? ● Mimari ○ Local ○ Manager/Agent ○ Agentlesss ● Temel Ossec Görevleri ○ Log Monitoring ○ Active Response ○ Dosya Bütünlük Kontrolü ○ Rootkit Tespiti Ajanda
OSSEC NEDİR ?
● HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı (sızma) tespit sistemidir. ● Daniel Cid tarafından geliştirilmeye başlanmıştır. ● GPLv3 lisanslı açık kaynak kod bir uygulamadır. ● 2009 yılında Trend Micro tarafından alınmıştır. Nedir ?
● Log analizi, dosya bütünlük kontrolü, rootkit tespiti yapar. ● Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. ● Active Response özelliği ile otomatik aksiyonlar alabilir. Özellikler
Özellikler Öntanımlı olarak bir çok decoder ve rule ile gelir apache_rules Apache HTTP server rules arpwatch_rules Arpwatch rules attack_rules Common attack rules cisco-ios_rules Cisco IOS firmware rules courier_rules Courier mail server rules firewall_rules Common firewall rules ftpd_rules Rules for the ftpd daemon hordeimp_rules Horde Internet Messaging Program rules ids_rules Common IDS rules imapd_rules Rules for the imapd daemon local_rules OSSEC HIDS local, user-defined rules mailscanner_rules Common mail scanner rules netscreenfw_rules Juniper Netscreen firewall rules mysql_rules MySQL database rules named_rules Rules for the named daemon
Özellikler ossec_rules Common OSSEC HIDS rules pam_rules Pluggable Authentication Module (PAM) pix_rules.xml Cisco PIX firewall rules policy_rules Policy specific event rules postfix_rules Postfix mail transfer agent rules postgresql_rules PostgerSQL database rules proftpd_rules.xml ProFTPd FTP server rules pure-ftpd_rules.xml Pure-FTPd FTP server rules racoon_rules.xml Racoon VPN device rules rules_config.xml OSSEC HIDS Rules configuration rules sendmail_rules.xml Sendmail mail transfer agent rules squid_rules.xml Squid proxy server rules smbd_rules.xml Rules for the smbd daemon sonicwall_rules.xml SonicWall firewall rules spamd_rules.xml Rules for the spamd spam-deferral daemon
Özellikler ● Multi Platform: Linux, Solaris, AIX, HP-UX, BSD, Mac ve Vmware ESX üzerinde çalışabilir. ● Agentless monitoring ile Router ve Firewall gibi agent kurulamayacak cihazlar monitor edilebilir. ● İstemci/Sunucu Mimarisi ile merkezi yönetim sağlar.
İѴİ
KURULUM MODLARI ● Lokal Mod ○ Aynı sistem üzerinde hem server hem agent. ○ Tek sistemli ortamlar için ideal. ● Manager/Agent Mod ○ Merkezi Yapılandırma ve Yönetim ○ Birden fazla sistemden oluşan yapılarda kullanışlı. Mimari
MANAGER AGENT AGENT AGENTAGENT AGENTLESS AGENT MANAGER / AGENT Mimari AGENTLESS Syslog SSH Syslog SSH
Mimari ● Agentlar için merkezi yönetim noktasıdır. ● Ana yapılandırma dosyaları, ● Decoder ve kurallar, ● Agentlara ait dosya bütünlük veritabanları, ● Logları, event ve sistem audit girdilerini barındırır." MANAGER
AGENT Mimari ● Kurulu olduğu sistemdeki olayları analiz edilmek üzere managera yollar. ● Memory ve CPU footprinti çok küçüktür. ● Sistemde yetkisiz bir kullanıcı üzerinden çalışır. ● Yapılandırma manager tarafından push edilir. ● Yapılandırmada değişiklik olması durumunda alarm üretilir.
Agent AGENT / MANAGER Manager Log Collect Syscheck Rootkitcheck UDP 1514 Encrypted (Blowfish) Compressed (Zlib) Analiz Alarm Aksiyon Mimari
SÜREÇLER monitordanalysisd maildexecd MANAGER logcollector AGENT agentd syscheckd execd remoted Mimari
● analysisd Server side çalışır; tüm analiz işlerinden sorumludur. ● remoted Agentlarla iletişim kuran süreçtir. ● monitord Agentların bağlantı durumlarını monitor eder. ● maild Alarmları göndermekten sorumlu süreçtir. ● execd Active response komutlarını çalıştırır. (Client/Server) ● agentd Agent'da çalışır; server ile iletişimden sorumludur. ● logcollector Monitor edilen log dosyalarını okur. ● syscheckd Dosya bütünlük kontrolünden sorumludur. Mimari
Client SYSLOG Manager UDP 514 Log Forward Analiz Alarm Aksiyon Mimari
Client AGENTLESS Manager SSH Syscheck Analiz Alarm Aksiyon Mimari
Agents GNU/Linux (all) VMWare ESX 3.0,3.5 FreeBSD (all) OpenBSD (all) NetBSD (all) Solaris 2.7, 2.8, 2.9,10 AIX 5.2,5.3 Mac OS X 10.x Windows HP-UX 11 Syslog Cisco PIX, ASA,FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall Cisco IOS IDS/IPS module Sourcefire (Snort) IDS/IPS Dragon NIDS Checkpoint Smart Defense McAfee VirusScan (v8,v8. 5) Bluecoat proxy Cisco VPN concentrators VMWare ESXi 4.x Agentless Cisco PIX,ASA, FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall http://www.ossec.net/doc/manual/supported-systems.html DESTEKLENEN SİSTEMLER Mimari
TEMEL OSSEC GÖREVLERİ (1) LOG MONITORING
LOG MONITORING Log Pre-Decode Decode Analiz ALARM AKSİYON ossec-analysisd ossec-logcollector ossec-maild ossec-execd Görevler
Pre-decoding Log'un statik öğelerinin parse edildiği aşama (Hostname, tarih/saat, program ismi vs.) Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 hostname: Lab03-Debian program_name: sshd time/date: Mar 29 18:32:09 log: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
Decoding Log içerisinden spesifik bilgilerin parse edildiği aşama. (IP adres, kullanıcı adı, url vs.) srcip: 192.168.12.12 user: cagri Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
Analiz (1) <decoder name="sshd"> <program_name>^sshd</program_name> </decoder> /var/ossec/etc/decoder.xml Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
Analiz (2) <rule id="111" level="0" noalert="1"> <decoded_as>sshd</decoded_as> <description>SSHD messages grouped.</description> </rule> <rule id="122" level="5"> <if_sid>111</if_sid> <match>^Failed|^error: PAM: Authentication</match> <description>SSHD authentication failed.</description> <group>authentication_failed,</group> </rule> Log Monitoring KURAL 111 Log sshd olarak decode edilen (predecoding) herşeyi ID 111 olarak grupla. KURAL 122 Eğer 111 ID'li kural match etti ise ve logda "Failed" ibaresi geçiyorsa bu kuralın level'ını 5'e yükselt ve kuralı authentication_failed grubuna dahil et.
Analiz (3) <rule id=”133” level=”13”> <if_sid>122</if_sid> <hostname>^abraxas</hostname> <srcip>!192.168.12.0/24</srcip> <description>Higher severity! Failure on the main server</description> </rule> Log Monitoring KURAL 133 122 ID'li [SSH authentication fail kuralı] match ettiyse ve hostname "abraxas" olarak decode edildiyse, ayrıca kaynak ip 192.168.12.0/24 networkunden değilse bu kural'ın önem derecesini 13 olarak set et.
Analiz (4) <rule id="100005" level="10"> <if_group>authentication_success</if_group> <time>6 pm - 7:30 am</time> <description>Login during non-business hours.</description> </rule> Log Monitoring KURAL 100005 authentication_success grubuna dahil olan kurallar mesai saatleri dışında match ederse bu kuralı level 10 olarak set ederek alarm üret.
Analiz (5) <rule id=”144” level=”11” frequency=”5” timeframe=”120”> <if_matched_sid>122</if_matched_sid> <same_source_ip /> <description>Multiple failed attempts from same IP!</description> </rule> Log Monitoring KURAL 144 122 ID'li [SSH authentication fail kuralı] 120 saniye içerisinde 5 kez match ederse ve kaynak ip aynıysa bu kuralın önem derecesini 11 olarak set et.
Kural Hiyerarşisi 111LOG 9xx5xx 8xx 122 133 sshd olarak decode edilmemiş kurallar için sadece kural 111 yürütülür; alt kurallara bakılmaz. Böylece analiz sırasında "tüm" kuralların kontrol edilmesine gerek kalmaz. Log Monitoring
Desteklenen Log Formatları ve Uygulamalar Log Monitoring Pam sshd (OpenSSH) Solaris telnetd Samba su/sudo Xinetd Adduser/deluser Cron/Crontab Dpkg logs Yum logs Proftpd Pure-ftpd vsftpd wu-ftpd Solaris ftpd Imapd and pop3d Postfix Sendmail vpopmail Microsoft Exchange Courier imapd/pop3d/pop3-ssl vm-pop3d Procmail Mailscanner Apache IIS 5/6 Zeus web server Horde imp Modsecurity Iptables Shorewall IPFilter AIX ipsec/firewall Netscreen Windows firewall Cisco PIX SonicWall firewall Checkpoint MySQL PostgreSQ Cisco IOS IDS/IPS Snort Dragon NIDS McAfee VS Enterprise Symantec Web Nmap Arpwatch http://www.ossec.net/main/supported-systems
Kural Seviyeleri ● Kurallar önem derecesine göre 0-15 arasında sınıflandırılmıştır. ● En önemsiz kurallar level 0, en önemliler ise level 15 olarak set edilir ● İlk yürütülen kurallar level 0 olanlardır. Ignore edilmesi istenen durumlar için oluşturulan kurallara atanır. (False positive) ● Default olarak "level 7 >= " kurallar için email notification devreye alınır. ● Default olarak "level 6 >=" kurallar için active response komutları yürütülür. Log Monitoring
Kural ID'leri ● Her kuralın unique bir ID'si olması gerekir. ● 00000 - 109999 arası kural tiplerine göre tasnif edilmiştir. 00000 - 00999 Internally reserved for ossec 01000 - 01999 General syslog 02100 - 02299 NFS 02300 - 02499 Xinetd 02500 - 02699 Access control 02700 - 02729 Mail/procmail 02830 - 02859 Crond ...... ● Custom olarak eklenen kurallar için 100000 - 109999 kullanılmalıdır. Log Monitoring
TEMEL OSSEC GÖREVLERİ (2) DOSYA BÜTÜNLÜK ո鰿Ü
● Önemli sistem dosyalarının monitor edilerek değişikliklerin saptanmasını amaçlar. ● Sistem belirli periyodlarla taranır ve monitor edilen dosyaların MD5/SHA1 checksumları Ossec Server'a gönderilir. ● Ossec Server checksumları depolar ve değişikliklere karşı kontrol eder. Herhangi bir fark tespit edilirse alarm üretir. ● Periyodik check yerine realtime monitoring de yapılabilir. Dosya Bütünlük Kontrolü (Syscheck) Görevler
● checksum dışında size, owner, group ve permission değişiklikleri de monitor edilebilir. ● Öntanımlı olarak "/etc,/usr/bin,/usr/sbin /bin,/sbin" dizinleri altdizinlerle birlikte monitor edilir. ● Çok sık değişiklik gören dosyalar ignore edilebilir. ● Checksum bilgileri serverda tutulduğu için değişen dosyalarla ilgili geçmişe dönük analizler yapılabilir. Syscheck
Yapılandırma Syscheck /var/ossec/etc/ossec.conf <syscheck> <frequency>79200</frequency> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <ignore>/etc/mtab</ignore> <ignore>/etc/mnttab</ignore> <ignore>/etc/hosts.deny</ignore> <ignore>/etc/mail/statistics</ignore> <ignore>/etc/random-seed</ignore> <ignore>/etc/adjtime</ignore> <ignore>/etc/httpd/logs</ignore> .... </syscheck>
TEMEL OSSEC GÖREVLERİ (3) ROOTKIT ո鰿Ü
● /var/ossec/etc/shared dizininde bulunan rootkit imza veritabanları kullanılır. ● rootkit_files.txt isimli db'de belirtilen tüm dosyalar için stats, fopen, opendir ve chdir sistem çağrıları kullanılarak kontrol yapılır. Bu kontrol, dosyaları bazı sistem çağrılarından sakladığı bilinen rootkitlerin tespiti için yapılır. ● rootkit_trojans.txt db'si rootkitlerin değiştirdiği bilinen binary dosyalarının tespitinde kullanılır. (string search) Rootkit Kontrolü (Rootcheck) Görevler
● /dev dizini herhangi bir anormalliğe monitor edilir. device ve makedev scripti olmayan şüpheli dosyalar aranır. ● Tüm dosya sistemi alışılmadık dosyalara ve izinlere karşı taranır. Sahibi root olup diğer kullanıcılar tarafından yazılabilen ya da suid biti etkinleştirilmiş dosyalar ve gizli dizin/dosyalar incelenir. ● Sistemde süreçler getsid ve kill (kill -0) sistem çağrıları kullanılarak kontrol edilir. Eğer kullanımda olan bir süreç numarası (PID) “ps” ile görüntülenemiyorsa bu, sistemde ps’in trojaned versiyonu kullanıldığı anlamına gelir. Rootcheck
● Sistemde gizli portlar olup olmadığı araştırılır. bind sistem çağrısı kullanılarak, sistemdeki tüm TCP ve UDP portlar kontrol edilir. Eğer kullanımda olduğundan dolayı bind edilemeyen bir port, “netstat” çıktısında görülemiyorsa, sistemde netstat’ın trojanlı versiyonu kullanılıyor demektir. ● "Promisc" modda çalışan interface olup olmadğı kontrol edilir; eğer böyle bir interface var ancak ifconfig çıktısında görüntülenmiyorsa sistemde trojan bulunuyor olabilir. Rootcheck
Yapılandırma Rootcheck /var/ossec/etc/ossec.conf <rootcheck> <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files> <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans. txt</rootkit_trojans> <system_audit>/var/ossec/etc/shared/system_audit_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_debian_linux_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_rhel_linux_rcl. txt</system_audit> <system_audit>/var/ossec/etc/shared/cis_rhel5_linux_rcl. txt</system_audit> </rootcheck>
● Belirli kuralların tetiklenmesi durumunda sistemde otomatik olarak bir komut/script çalıştırılarak, kuralın tetiklenmesine neden olan olayın sonlandırılması amaçlanır. ● Atak durumlarında hızlı tepki verilmesini sağladığı için kullanışlıdır. ● Port/Web vs. Scan, brute force gibi bilgi toplamaya yönelik saldırıları engellemek için idealdir. ● Ossec öntanımlı olarak bazı AR scriptleri (tools) ile gelir ve kurulum sırasında active response devreye alınabilir. ACTIVE RESPONSE Görevler
● disable-account.sh: Kullanıcıyı devre dışı bırakmak için. ● host-deny.sh: Atakta bulunan source IP'yi hosts.deny dosyasına ekler. (sshd gibi tcpwrapper kullanan servisler) ● firewall-drop.sh: iptables ya da ipfilter kullanan sistemlerde için kaynak IP için drop kuralı ekler. ● ipfw.sh: ipfw kullanan sistemlerde srcip drop kuralı ekler. ● pf.sh: PF kullanan sistemlerde srcip drop kuralı ekler. ● route-null.sh: Srcip için blackhole rule ekler. Tools (Scripts) Active Response
Yapılandırma Active Response /var/ossec/etc/ossec.conf <command> <name>host-deny</name> <executable>host-deny.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <command> <name>firewall-drop</name> <executable>firewall-drop.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command>
Yapılandırma Active Response /var/ossec/etc/ossec.conf <active-response> <command>host-deny</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response> <active-response> <command>firewall-drop</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response>
● False positive durumlarda engellenmemesi gereken IP'ler blocklanabilir. ● Active Response kullandığınızı anlayan bir saldırgan durumu istismar edip DoS yapabilir. (Ip spoof) Riskler Active Response
● False positive durumların önüne geçmek blocklanmaması gereken hostlar için whitelist oluşturulabilir. ● Block işlemlerinin timeout değeri vardır. (default 10 dakika). ● Active response scriptleri sadece belirli agentlar ya da sadece belirli kurallar için çalıştırılabilir. Risk Mitigation Active Response
WebApp Scan Pattern Active Response <rule id="31101" level="5"> <if_sid>31100</if_sid> <id>^4</id> <description>Web server 400 error code.</description> </rule> <rule id="31151" level="10" frequency="10" timeframe="120"> <if_matched_sid>31101</if_matched_sid> <same_source_ip /> <description>Mutiple web server 400 error codes </description> <description>from same source ip.</description> <group>web_scan,recon,</group> </rule> 207.44.184.96 - - [19:57:37 -0300] "GET /b2/xmlsrv/xmlrpc.php HTTP/1.0" 404 297 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogtest/xmlsrv/xmlrpc.php HTTP/1.0" 404 303 "-" "- " 207.44.184.96 - - [:19:57:37 -0300] "GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 299 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 300 "-" "-"
Kaynaklar http://www.ossec.net/doc/ http://www.ossec.net/main/ossec-book
շÜ鳢
Ad

Recommended

Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
Siber Güvenlik ve Etik Hacking Sunu - 5
Siber Güvenlik ve Etik Hacking Sunu - 5Siber Güvenlik ve Etik Hacking Sunu - 5
Siber Güvenlik ve Etik Hacking Sunu - 5
Murat KARA
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemek
Furkan Çalışkan
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
DNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit GörünürlüğüDNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit Görünürlüğü
BGA Cyber Security
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
BGA Cyber Security
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
BGA Cyber Security
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
Kurtuluş Karasu
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Murat KARA
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇
Esra Acar
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
BilgiO A.S / Linux Akademi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi

More Related Content

What's hot (20)

DNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit GörünürlüğüDNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit Görünürlüğü
BGA Cyber Security
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
BGA Cyber Security
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
BGA Cyber Security
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
Kurtuluş Karasu
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Murat KARA
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇
Esra Acar
DNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit GörünürlüğüDNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit Görünürlüğü
BGA Cyber Security
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
BGA Cyber Security
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
BGA Cyber Security
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
Kurtuluş Karasu
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Murat KARA
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇
Esra Acar

Viewers also liked (20)

Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
BilgiO A.S / Linux Akademi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiDevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
BilgiO A.S / Linux Akademi
Puppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi OtomasyonuPuppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi Otomasyonu
BilgiO A.S / Linux Akademi
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim Sunumu
BilgiO A.S / Linux Akademi
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network Monitoring
BilgiO A.S / Linux Akademi
Ossec kurulumu
Ossec kurulumuOssec kurulumu
Ossec kurulumu
Kurtuluş Karasu
Bünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiBünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisi
Kasım Erkan
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kasım Erkan
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
E-Mail Forensics
E-Mail ForensicsE-Mail Forensics
E-Mail Forensics
BGA Cyber Security
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
BGA Cyber Security
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
BGA Cyber Security
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım Analizi
BGA Cyber Security
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının Analizi
BGA Cyber Security
Outlook E-Mail Forensics
Outlook E-Mail ForensicsOutlook E-Mail Forensics
Outlook E-Mail Forensics
BGA Cyber Security
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
BGA Cyber Security
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
Yeni Nesil Küresel Savaş: Siber Saldırılar
Yeni Nesil Küresel Savaş: Siber SaldırılarYeni Nesil Küresel Savaş: Siber Saldırılar
Yeni Nesil Küresel Savaş: Siber Saldırılar
BGA Cyber Security
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
BilgiO A.S / Linux Akademi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan HakimiyetiDevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
DevOps ile Siber Tehditler Karşısında 360 Derece Alan Hakimiyeti
BilgiO A.S / Linux Akademi
Puppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi OtomasyonuPuppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi Otomasyonu
BilgiO A.S / Linux Akademi
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim Sunumu
BilgiO A.S / Linux Akademi
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network Monitoring
BilgiO A.S / Linux Akademi
Ossec kurulumu
Ossec kurulumuOssec kurulumu
Ossec kurulumu
Kurtuluş Karasu
Bünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisiBünyamin Demir - Kelebek etkisi
Bünyamin Demir - Kelebek etkisi
Kasım Erkan
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kasım Erkan
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
E-Mail Forensics
E-Mail ForensicsE-Mail Forensics
E-Mail Forensics
BGA Cyber Security
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
BGA Cyber Security
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
BGA Cyber Security
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım Analizi
BGA Cyber Security
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının Analizi
BGA Cyber Security
Outlook E-Mail Forensics
Outlook E-Mail ForensicsOutlook E-Mail Forensics
Outlook E-Mail Forensics
BGA Cyber Security
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
BGA Cyber Security
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
Yeni Nesil Küresel Savaş: Siber Saldırılar
Yeni Nesil Küresel Savaş: Siber SaldırılarYeni Nesil Küresel Savaş: Siber Saldırılar
Yeni Nesil Küresel Savaş: Siber Saldırılar
BGA Cyber Security
Ad

Similar to Ossec - Host Based Saldırı Tespit Sistemi (20)

Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
logyonetimi
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
BGA Cyber Security
Linux 101 - Ağ Temelleri
Linux 101 - Ağ TemelleriLinux 101 - Ağ Temelleri
Linux 101 - Ağ Temelleri
SDU CYBERLAB
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
Ertugrul Akbas
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
Nmap & Hping
Nmap & HpingNmap & Hping
Nmap & Hping
BGA Cyber Security
Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı
Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim DökümanıLinux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı
Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı
İbrahim UÇAR
Ag konf scriptleri_mseml
Ag konf scriptleri_msemlAg konf scriptleri_mseml
Ag konf scriptleri_mseml
mimarsinantl
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
Kurtuluş Karasu
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim Dokümanı
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Operating Systems
Operating SystemsOperating Systems
Operating Systems
Gökhan Güller
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
logyonetimi
Web Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma YöntemleriWeb Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma Yöntemleri
Talha Kabakus
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
logyonetimi
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
BGA Cyber Security
Linux 101 - Ağ Temelleri
Linux 101 - Ağ TemelleriLinux 101 - Ağ Temelleri
Linux 101 - Ağ Temelleri
SDU CYBERLAB
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
Ertugrul Akbas
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
Nmap & Hping
Nmap & HpingNmap & Hping
Nmap & Hping
BGA Cyber Security
Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı
Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim DökümanıLinux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı
Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı
İbrahim UÇAR
Ag konf scriptleri_mseml
Ag konf scriptleri_msemlAg konf scriptleri_mseml
Ag konf scriptleri_mseml
mimarsinantl
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
Kurtuluş Karasu
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim Dokümanı
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Operating Systems
Operating SystemsOperating Systems
Operating Systems
Gökhan Güller
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
logyonetimi
Web Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma YöntemleriWeb Saldırı Teknikleri & Korunma Yöntemleri
Web Saldırı Teknikleri & Korunma Yöntemleri
Talha Kabakus
Ad

Ossec - Host Based Saldırı Tespit Sistemi

  • 1. Açık Kaynak Kodlu Saldırı Tespit Sistemi (Open Source Host-based Intrusion Detection System) Çağrı Ersen cagri.ersen@gmail.com http://www.syslogs.org
  • 2. ● Ossec Nedir ? ● Mimari ○ Local ○ Manager/Agent ○ Agentlesss ● Temel Ossec Görevleri ○ Log Monitoring ○ Active Response ○ Dosya Bütünlük Kontrolü ○ Rootkit Tespiti Ajanda
  • 4. ● HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı (sızma) tespit sistemidir. ● Daniel Cid tarafından geliştirilmeye başlanmıştır. ● GPLv3 lisanslı açık kaynak kod bir uygulamadır. ● 2009 yılında Trend Micro tarafından alınmıştır. Nedir ?
  • 5. ● Log analizi, dosya bütünlük kontrolü, rootkit tespiti yapar. ● Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. ● Active Response özelliği ile otomatik aksiyonlar alabilir. Özellikler
  • 6. Özellikler Öntanımlı olarak bir çok decoder ve rule ile gelir apache_rules Apache HTTP server rules arpwatch_rules Arpwatch rules attack_rules Common attack rules cisco-ios_rules Cisco IOS firmware rules courier_rules Courier mail server rules firewall_rules Common firewall rules ftpd_rules Rules for the ftpd daemon hordeimp_rules Horde Internet Messaging Program rules ids_rules Common IDS rules imapd_rules Rules for the imapd daemon local_rules OSSEC HIDS local, user-defined rules mailscanner_rules Common mail scanner rules netscreenfw_rules Juniper Netscreen firewall rules mysql_rules MySQL database rules named_rules Rules for the named daemon
  • 7. Özellikler ossec_rules Common OSSEC HIDS rules pam_rules Pluggable Authentication Module (PAM) pix_rules.xml Cisco PIX firewall rules policy_rules Policy specific event rules postfix_rules Postfix mail transfer agent rules postgresql_rules PostgerSQL database rules proftpd_rules.xml ProFTPd FTP server rules pure-ftpd_rules.xml Pure-FTPd FTP server rules racoon_rules.xml Racoon VPN device rules rules_config.xml OSSEC HIDS Rules configuration rules sendmail_rules.xml Sendmail mail transfer agent rules squid_rules.xml Squid proxy server rules smbd_rules.xml Rules for the smbd daemon sonicwall_rules.xml SonicWall firewall rules spamd_rules.xml Rules for the spamd spam-deferral daemon
  • 8. Özellikler ● Multi Platform: Linux, Solaris, AIX, HP-UX, BSD, Mac ve Vmware ESX üzerinde çalışabilir. ● Agentless monitoring ile Router ve Firewall gibi agent kurulamayacak cihazlar monitor edilebilir. ● İstemci/Sunucu Mimarisi ile merkezi yönetim sağlar.
  • 10. KURULUM MODLARI ● Lokal Mod ○ Aynı sistem üzerinde hem server hem agent. ○ Tek sistemli ortamlar için ideal. ● Manager/Agent Mod ○ Merkezi Yapılandırma ve Yönetim ○ Birden fazla sistemden oluşan yapılarda kullanışlı. Mimari
  • 11. MANAGER AGENT AGENT AGENTAGENT AGENTLESS AGENT MANAGER / AGENT Mimari AGENTLESS Syslog SSH Syslog SSH
  • 12. Mimari ● Agentlar için merkezi yönetim noktasıdır. ● Ana yapılandırma dosyaları, ● Decoder ve kurallar, ● Agentlara ait dosya bütünlük veritabanları, ● Logları, event ve sistem audit girdilerini barındırır." MANAGER
  • 13. AGENT Mimari ● Kurulu olduğu sistemdeki olayları analiz edilmek üzere managera yollar. ● Memory ve CPU footprinti çok küçüktür. ● Sistemde yetkisiz bir kullanıcı üzerinden çalışır. ● Yapılandırma manager tarafından push edilir. ● Yapılandırmada değişiklik olması durumunda alarm üretilir.
  • 14. Agent AGENT / MANAGER Manager Log Collect Syscheck Rootkitcheck UDP 1514 Encrypted (Blowfish) Compressed (Zlib) Analiz Alarm Aksiyon Mimari
  • 16. ● analysisd Server side çalışır; tüm analiz işlerinden sorumludur. ● remoted Agentlarla iletişim kuran süreçtir. ● monitord Agentların bağlantı durumlarını monitor eder. ● maild Alarmları göndermekten sorumlu süreçtir. ● execd Active response komutlarını çalıştırır. (Client/Server) ● agentd Agent'da çalışır; server ile iletişimden sorumludur. ● logcollector Monitor edilen log dosyalarını okur. ● syscheckd Dosya bütünlük kontrolünden sorumludur. Mimari
  • 17. Client SYSLOG Manager UDP 514 Log Forward Analiz Alarm Aksiyon Mimari
  • 19. Agents GNU/Linux (all) VMWare ESX 3.0,3.5 FreeBSD (all) OpenBSD (all) NetBSD (all) Solaris 2.7, 2.8, 2.9,10 AIX 5.2,5.3 Mac OS X 10.x Windows HP-UX 11 Syslog Cisco PIX, ASA,FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall Cisco IOS IDS/IPS module Sourcefire (Snort) IDS/IPS Dragon NIDS Checkpoint Smart Defense McAfee VirusScan (v8,v8. 5) Bluecoat proxy Cisco VPN concentrators VMWare ESXi 4.x Agentless Cisco PIX,ASA, FWSM Cisco IOS routers Juniper Netscreen SonicWall firewall Checkpoint firewall http://www.ossec.net/doc/manual/supported-systems.html DESTEKLENEN SİSTEMLER Mimari
  • 22. Pre-decoding Log'un statik öğelerinin parse edildiği aşama (Hostname, tarih/saat, program ismi vs.) Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 hostname: Lab03-Debian program_name: sshd time/date: Mar 29 18:32:09 log: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
  • 23. Decoding Log içerisinden spesifik bilgilerin parse edildiği aşama. (IP adres, kullanıcı adı, url vs.) srcip: 192.168.12.12 user: cagri Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
  • 24. Analiz (1) <decoder name="sshd"> <program_name>^sshd</program_name> </decoder> /var/ossec/etc/decoder.xml Mar 29 18:32:09 Lab03-Debian sshd[13633]: Failed password for cagri from 192.168.12.12 port 36179 ssh2 Log Monitoring
  • 25. Analiz (2) <rule id="111" level="0" noalert="1"> <decoded_as>sshd</decoded_as> <description>SSHD messages grouped.</description> </rule> <rule id="122" level="5"> <if_sid>111</if_sid> <match>^Failed|^error: PAM: Authentication</match> <description>SSHD authentication failed.</description> <group>authentication_failed,</group> </rule> Log Monitoring KURAL 111 Log sshd olarak decode edilen (predecoding) herşeyi ID 111 olarak grupla. KURAL 122 Eğer 111 ID'li kural match etti ise ve logda "Failed" ibaresi geçiyorsa bu kuralın level'ını 5'e yükselt ve kuralı authentication_failed grubuna dahil et.
  • 26. Analiz (3) <rule id=”133” level=”13”> <if_sid>122</if_sid> <hostname>^abraxas</hostname> <srcip>!192.168.12.0/24</srcip> <description>Higher severity! Failure on the main server</description> </rule> Log Monitoring KURAL 133 122 ID'li [SSH authentication fail kuralı] match ettiyse ve hostname "abraxas" olarak decode edildiyse, ayrıca kaynak ip 192.168.12.0/24 networkunden değilse bu kural'ın önem derecesini 13 olarak set et.
  • 27. Analiz (4) <rule id="100005" level="10"> <if_group>authentication_success</if_group> <time>6 pm - 7:30 am</time> <description>Login during non-business hours.</description> </rule> Log Monitoring KURAL 100005 authentication_success grubuna dahil olan kurallar mesai saatleri dışında match ederse bu kuralı level 10 olarak set ederek alarm üret.
  • 28. Analiz (5) <rule id=”144” level=”11” frequency=”5” timeframe=”120”> <if_matched_sid>122</if_matched_sid> <same_source_ip /> <description>Multiple failed attempts from same IP!</description> </rule> Log Monitoring KURAL 144 122 ID'li [SSH authentication fail kuralı] 120 saniye içerisinde 5 kez match ederse ve kaynak ip aynıysa bu kuralın önem derecesini 11 olarak set et.
  • 29. Kural Hiyerarşisi 111LOG 9xx5xx 8xx 122 133 sshd olarak decode edilmemiş kurallar için sadece kural 111 yürütülür; alt kurallara bakılmaz. Böylece analiz sırasında "tüm" kuralların kontrol edilmesine gerek kalmaz. Log Monitoring
  • 30. Desteklenen Log Formatları ve Uygulamalar Log Monitoring Pam sshd (OpenSSH) Solaris telnetd Samba su/sudo Xinetd Adduser/deluser Cron/Crontab Dpkg logs Yum logs Proftpd Pure-ftpd vsftpd wu-ftpd Solaris ftpd Imapd and pop3d Postfix Sendmail vpopmail Microsoft Exchange Courier imapd/pop3d/pop3-ssl vm-pop3d Procmail Mailscanner Apache IIS 5/6 Zeus web server Horde imp Modsecurity Iptables Shorewall IPFilter AIX ipsec/firewall Netscreen Windows firewall Cisco PIX SonicWall firewall Checkpoint MySQL PostgreSQ Cisco IOS IDS/IPS Snort Dragon NIDS McAfee VS Enterprise Symantec Web Nmap Arpwatch http://www.ossec.net/main/supported-systems
  • 31. Kural Seviyeleri ● Kurallar önem derecesine göre 0-15 arasında sınıflandırılmıştır. ● En önemsiz kurallar level 0, en önemliler ise level 15 olarak set edilir ● İlk yürütülen kurallar level 0 olanlardır. Ignore edilmesi istenen durumlar için oluşturulan kurallara atanır. (False positive) ● Default olarak "level 7 >= " kurallar için email notification devreye alınır. ● Default olarak "level 6 >=" kurallar için active response komutları yürütülür. Log Monitoring
  • 32. Kural ID'leri ● Her kuralın unique bir ID'si olması gerekir. ● 00000 - 109999 arası kural tiplerine göre tasnif edilmiştir. 00000 - 00999 Internally reserved for ossec 01000 - 01999 General syslog 02100 - 02299 NFS 02300 - 02499 Xinetd 02500 - 02699 Access control 02700 - 02729 Mail/procmail 02830 - 02859 Crond ...... ● Custom olarak eklenen kurallar için 100000 - 109999 kullanılmalıdır. Log Monitoring
  • 33. TEMEL OSSEC GÖREVLERİ (2) DOSYA BÜTÜNLÜK ո鰿Ü
  • 34. ● Önemli sistem dosyalarının monitor edilerek değişikliklerin saptanmasını amaçlar. ● Sistem belirli periyodlarla taranır ve monitor edilen dosyaların MD5/SHA1 checksumları Ossec Server'a gönderilir. ● Ossec Server checksumları depolar ve değişikliklere karşı kontrol eder. Herhangi bir fark tespit edilirse alarm üretir. ● Periyodik check yerine realtime monitoring de yapılabilir. Dosya Bütünlük Kontrolü (Syscheck) Görevler
  • 35. ● checksum dışında size, owner, group ve permission değişiklikleri de monitor edilebilir. ● Öntanımlı olarak "/etc,/usr/bin,/usr/sbin /bin,/sbin" dizinleri altdizinlerle birlikte monitor edilir. ● Çok sık değişiklik gören dosyalar ignore edilebilir. ● Checksum bilgileri serverda tutulduğu için değişen dosyalarla ilgili geçmişe dönük analizler yapılabilir. Syscheck
  • 38. ● /var/ossec/etc/shared dizininde bulunan rootkit imza veritabanları kullanılır. ● rootkit_files.txt isimli db'de belirtilen tüm dosyalar için stats, fopen, opendir ve chdir sistem çağrıları kullanılarak kontrol yapılır. Bu kontrol, dosyaları bazı sistem çağrılarından sakladığı bilinen rootkitlerin tespiti için yapılır. ● rootkit_trojans.txt db'si rootkitlerin değiştirdiği bilinen binary dosyalarının tespitinde kullanılır. (string search) Rootkit Kontrolü (Rootcheck) Görevler
  • 39. ● /dev dizini herhangi bir anormalliğe monitor edilir. device ve makedev scripti olmayan şüpheli dosyalar aranır. ● Tüm dosya sistemi alışılmadık dosyalara ve izinlere karşı taranır. Sahibi root olup diğer kullanıcılar tarafından yazılabilen ya da suid biti etkinleştirilmiş dosyalar ve gizli dizin/dosyalar incelenir. ● Sistemde süreçler getsid ve kill (kill -0) sistem çağrıları kullanılarak kontrol edilir. Eğer kullanımda olan bir süreç numarası (PID) “ps” ile görüntülenemiyorsa bu, sistemde ps’in trojaned versiyonu kullanıldığı anlamına gelir. Rootcheck
  • 40. ● Sistemde gizli portlar olup olmadığı araştırılır. bind sistem çağrısı kullanılarak, sistemdeki tüm TCP ve UDP portlar kontrol edilir. Eğer kullanımda olduğundan dolayı bind edilemeyen bir port, “netstat” çıktısında görülemiyorsa, sistemde netstat’ın trojanlı versiyonu kullanılıyor demektir. ● "Promisc" modda çalışan interface olup olmadğı kontrol edilir; eğer böyle bir interface var ancak ifconfig çıktısında görüntülenmiyorsa sistemde trojan bulunuyor olabilir. Rootcheck
  • 42. ● Belirli kuralların tetiklenmesi durumunda sistemde otomatik olarak bir komut/script çalıştırılarak, kuralın tetiklenmesine neden olan olayın sonlandırılması amaçlanır. ● Atak durumlarında hızlı tepki verilmesini sağladığı için kullanışlıdır. ● Port/Web vs. Scan, brute force gibi bilgi toplamaya yönelik saldırıları engellemek için idealdir. ● Ossec öntanımlı olarak bazı AR scriptleri (tools) ile gelir ve kurulum sırasında active response devreye alınabilir. ACTIVE RESPONSE Görevler
  • 43. ● disable-account.sh: Kullanıcıyı devre dışı bırakmak için. ● host-deny.sh: Atakta bulunan source IP'yi hosts.deny dosyasına ekler. (sshd gibi tcpwrapper kullanan servisler) ● firewall-drop.sh: iptables ya da ipfilter kullanan sistemlerde için kaynak IP için drop kuralı ekler. ● ipfw.sh: ipfw kullanan sistemlerde srcip drop kuralı ekler. ● pf.sh: PF kullanan sistemlerde srcip drop kuralı ekler. ● route-null.sh: Srcip için blackhole rule ekler. Tools (Scripts) Active Response
  • 46. ● False positive durumlarda engellenmemesi gereken IP'ler blocklanabilir. ● Active Response kullandığınızı anlayan bir saldırgan durumu istismar edip DoS yapabilir. (Ip spoof) Riskler Active Response
  • 47. ● False positive durumların önüne geçmek blocklanmaması gereken hostlar için whitelist oluşturulabilir. ● Block işlemlerinin timeout değeri vardır. (default 10 dakika). ● Active response scriptleri sadece belirli agentlar ya da sadece belirli kurallar için çalıştırılabilir. Risk Mitigation Active Response
  • 48. WebApp Scan Pattern Active Response <rule id="31101" level="5"> <if_sid>31100</if_sid> <id>^4</id> <description>Web server 400 error code.</description> </rule> <rule id="31151" level="10" frequency="10" timeframe="120"> <if_matched_sid>31101</if_matched_sid> <same_source_ip /> <description>Mutiple web server 400 error codes </description> <description>from same source ip.</description> <group>web_scan,recon,</group> </rule> 207.44.184.96 - - [19:57:37 -0300] "GET /b2/xmlsrv/xmlrpc.php HTTP/1.0" 404 297 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogtest/xmlsrv/xmlrpc.php HTTP/1.0" 404 303 "-" "- " 207.44.184.96 - - [:19:57:37 -0300] "GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 299 "-" "-" 207.44.184.96 - - [:19:57:37 -0300] "GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 300 "-" "-"
About
© 2025 ݺߣ