Hoşgeldin Sivil

.
Forum Yöneticisi: Administrator | Bu Bölümde Yetkili Tüm Yöneticiler? | Bu konuyu okuyanlar?

 Forum Ana Sayfa
   Networking

   
 Kurallar    Aktif Konular    PM    Kayıt Ol     Giriş Yap  
» Log ve İzleme Çözümleri
 Konu Kalitesi %5
Oy Ver   
 
Gönderilme Tarihi: 14 Ekim 2023 21:35:18 - Kayıtlı IP
  Mesajı İhbar Et!     

MWNET

Teğmen

18 Aralık 2022
15 Mesaj




Aktiflik
Seviye
Deneyim



Loglama

Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır.  Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.

Log yönetiminin daha verimli gerçekleştirilebilmesi için:

- Büyük hacimli log kayıtlarının hızlı arama ve çabuk erişim sağlama seçenekleriyle saklanması verimliliği artırır.
- Olayların erken tespiti saldırının etkilerinin azaltılabilmesi adına hızlı bir şekilde karşılık verilmesini ve aksiyon alınmasını sağlar.
- Olayları tespit yeteneğinin gelişmiş olması doğru aksiyonları araştırma ve uygun yanıtı kararlaştırma için kontrol mekanizmaları sunar.
- İhlalleri, sızmaları ve yetkilendirilmemiş erişimleri tespit; analiz için veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok rutinin otomatize bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarının belirlenmesi fayda sağlar.

Log İzleme

Logların kaydedilmesinin ötesinde izlenmesi ve analiz edilmesi bilgi varlıklarının tam anlamıyla korunabilmesi için büyük önem taşır. Saldırıların hızlı bir şekilde saptanması ve yapılacak müdahalenin etkili bir şekilde gerçekleştirilebilmesi için yalnızca loglama yapmak yeterli olmamaktadır, loglama işleminin yanında logların olabildiğince gerçek zamana yakın bir hızda izlenmesi ve analiz edilmesi gerekmektedir.

Log İzleme için Gereksinimleri Belirlemek

- Nelerin izlenmesi gerektiğini saptamak
- İzleme sürecine hangi sistemler ya da sistem bileşenleri eklenmeli
- Sistemler hangi bilgileri güvenlik loglarına kaydetmeli
- Güvenlik loglarının nasıl yakalanacağı ve nasıl analiz edileceği gibi planlamaları yapmak
- Güvenlik log verileri ne kadar sıklıkla gözden geçirilmeli
- Log verileri ne kadar süre saklı tutmalı

Bu gereksinimler belirlenirken kurumun işletmesi zorunlu görülen yasal düzenlemeler ve güvenlik standartları göz önünde bulundurulmalıdır.

Etkili Log İzleme için Hazırlıklar

- Log yönetimi için hangi araçların ve kaynakların kullanılacağını tanımlamak
- Logların toplanması için merkezi bir depolama sistemi kurmak
- Logları merkezi depolama sistemine aktarmak
- Logları işlemek için hazırlamak

Logları İşlemeye Hazırlama Aşaması

Filtreleme mekanizmalarının etkili bir şekilde uygulanabilmesi ve log datasının verimli bir şekilde işlenmesi için farklı formatlara sahip olan ve farklı kaynaklardan toplanan logların ortak bir formata dönüştürülmeleri gerekir. Bu sürece normalizasyon denilir.

Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır. Normalizasyon gerçekleştirildikten sonra sıradaki işlem belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit edilip harekete geçilmesine yardımcı olan korelasyon tekniğinin uygulanmasıdır.

Etkili Log İzleme

- Log kayıtlarını toplamak ve analiz etmek
- Baseline belirlemek

- Normal ve anormal trafik hakkında fikir verecek paternları belirlemek(Kaynak IP/port ve Hedef IP/port bilgilerini sınıflandırmak ve istatistiklerini çıkarmak gibi)
- Ortalama görülme sıklığını aşan aktiviteleri belirlemek, (normal ve sıradışı aktiviteleri birbirinden ayırmak için sıklık(frequency) eşik değerini belirlemek gibi)
- Riskleri ve olası saldırıları mümkün olan en yüksek doğruluk derecesiyle tespit ederek otomatize alarmları tanımlamak
- Şüpheli aktivitelerin saldırıya dönüşmeden müdahale edilmelerini sağlamak için alarmlara hızlı ve etkili şekilde cevap vermek
- Bildirilen olayın doğruluğunu denetlemek(Alarm bildirimi alındıktan sonra olayın gerçekleştiği ortamın analiz edilmesi ve bu şüpheli aktivitenin gerçekten anormal veya zararlı bir işlem barındırıp barındırmayacağının denetlenmesi gibi)
- Riskleri ve oluşabilecek zararları en aza indirecek önlemleri uygulayarak hızlı ve koordineli bir şekilde olaya müdahale etmek
- Olaya ve uygulanan müdahale yöntemlerine dair bilgileri dokümente etmek ve analiz etmek
- Sonuçları raporlamak

       
     
 
 
Gönderilme Tarihi: 14 Ekim 2023 21:42:08 - Kayıtlı IP
  Mesajı İhbar Et!     

İsfihan

Co (Administrator)

C-Warz
19 Kasım 2021
369 Mesaj

Durum: Melodrama


Aktiflik
Seviye
Deneyim


Görev Org./Grup :

Strateji


Eline sağlık abi. 


___________________________________________
Sözünü tutamayan bizler bedelini ödemek zorundayız.
          
  C-WarZ (TIM LiDERi) , Yöneteam , Errorle Mücadele ,    
 
 
Gönderilme Tarihi: 14 Ekim 2023 21:45:20 - Kayıtlı IP
  Mesajı İhbar Et!     

MWNET

Teğmen

18 Aralık 2022
15 Mesaj




Aktiflik
Seviye
Deneyim



mesajına beğeni yapacaktımda ikonu bulamadım var ise .

       
     
 
 
Gönderilme Tarihi: 15 Ekim 2023 00:04:17 - Kayıtlı IP
  Mesajı İhbar Et!     

QARAKURT

Komodor

Azerbaycan, Sumgayit
17 Ocak 2022
90 Mesaj

Durum: QnVnIFJlcw==


Aktiflik
Seviye
Deneyim
Grup Yöneticisi

Görev Org./Grup :

Lojistik


Bug Researchers


@MWNET
Teşekkürler abim. Yazan ellerin dert görmesin 
Abim şu log inceleme, loglama işleminin bir videosu falan yaparmısın abi. O konulara hiç hakim diyilim girdiğim her yerde ayak izimi bırakıyorum. Şu sunucularda log'lar depolanıyor. Onları kaldırma ve sair gibi konuları ele alarsan beni cidden çok mutlu edersin 


___________________________________________
<cw>QARAKURT</ca>

       
  Yöneteam , Bug Hunters TIM (TIM LiDERi) ,    
 
 
Gönderilme Tarihi: 15 Ekim 2023 13:22:18 - Kayıtlı IP
  Mesajı İhbar Et!     

DeXPLaNeR

Co (Administrator)

CyberOttoman/Angara
18 Kasım 2021
419 Mesaj

Durum: OrtayaKarışık


Aktiflik
Seviye
Deneyim
(Co) Administrator

Görev Org./Grup :

Strateji


++


___________________________________________
* CA_ DeXPLaNeR _CW *
       
  C-WarZ , Errorle Mücadele (TIM LiDERi) , Yöneteam (TIM LiDERi) ,    
 
 
Gönderilme Tarihi: 16 Ekim 2023 17:19:30 - Kayıtlı IP
  Mesajı İhbar Et!     

İsfihan

Co (Administrator)

C-Warz
19 Kasım 2021
369 Mesaj

Durum: Melodrama


Aktiflik
Seviye
Deneyim


Görev Org./Grup :

Strateji


Alıntı : Alıntı-1: Orjinal mesajı yazan @MWNET; 14 October 2023
mesajına beğeni yapacaktımda ikonu bulamadım var ise .




CW'de beğeni butonu yüzünden kimse konulara post atıp konuları aktif tutmuyordu. O sebepten ötürü buraya koymadık abi. Modülünü yaptık ama pasif konumda.. Çok ihtiyaç olursa ekleriz ama.. 


___________________________________________
Sözünü tutamayan bizler bedelini ödemek zorundayız.
          
  C-WarZ (TIM LiDERi) , Yöneteam , Errorle Mücadele ,    
 
 
Git:
  Arkadaşına yolla

Sayfa Yüklenme Süresi: 0.0729


 

İçerik Yöneticisi : AKTIF / Veriler Aktarıldı...
IP Adresiniz : 172.71.254.186 Güvenlik Nedeniyle Kayıt Altındadır.



Uzun yoldan geldik, uzun yola devam...

   


Reklam vermek için tıklayın

Forum Kuralları | Üye Olmak İçin | CyberAkademi | Operasyonel TİM'ler
CYBERAKADEMI ~ 2021