Security Onion-Kibana Üzerinden Brute Force ve Nmap Logları Görüntüleme

Security Onion-Kibana Üzerinden Brute Force ve Nmap Logları Görüntüleme

Hepinize merhabalar. 🙂

Bu makalemde sizlere sanal makine üzerine kurmuş olduğum Security Onion ve Security Union üzerinde bulunan Kibana’yı kullanarak log izleme yapacağım. Burada sırası ile şunları yapacağım;

  • nmap ile port taraması,
  • hydra ile ssh servisine BruteForce saldırısı,
  • security onion ve kibana üzerinde bu aktivitelerin tespiti ve logların izlenmesi.

Yukarıdaki başlıklar dahilinde sırası ile işlemlerimi gerçekleştireceğim.

Security Onion Nedir?

Security Onion, saldırı tespiti, ağ güvenliğini izlemek ve log kayıt yönetimini sağlayan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır.

Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, Wazuh, Sguil, Squert, CyberChef, NetworkMiner ve diğer birçok güvenlik araçlarını içermektedir. Daha fazla detay ve bilgiye buradan ulaşabilirisiniz.

  • İlk olarak aşağıdaki gibi sanal makinam üzerine kurulmuş Security Onion’u görüyorsunuz.

1,

 

Nmap ile Port Taraması

  • Burada nmap aracını kullanarak aşağıdaki komutu yazıyoruz. Burada hedef IP adresi kısmına tarama yapacağınız IP adresini yazabilirsiniz.

 

  • Servisleri taramamız sonucunda SSH servisinin açık olduğunu gördük. Ben burada SSH servisine BruteForce atağı yapmak istedim ve makaleme ekledim. Bunun oluşturacağı log’ları da izleyerek farklarını öğrenmek istedim.

 

Hydra ile SSH Servisine BruteForce

  • SSH servisine BruteForce atağı yapmak için gereken komutumu yazıyorum. Burada amacım log izlemek için ayrıca bir parola listesi oluşturmadım ve hazır olarak kali de gelen rockyou.txt parola listesini kullandım.

 

  • BruteForce atağı başarılı bir şekilde başlarsa ve devam ederse aşağıdaki gibi çıktı ile karşılaşırsınız.

 

Security Onion ve Kibana Üzerinden Logların İzlenmesi

Burada tarayıcımı kullanarak localhost üzerinden giriş yapıyorum ve karşıma aşağıdaki gibi bir ekran geliyor.

  • Bu ekranda görmüş olduğunuz gibi izlememiz ve analiz etmemiz için tüm loglar görüntüleniyor.
  • Benim yapmış olduğum nmap taramasının loglarını ve BruteForce saldırısının loglarını aşağıdaki kutucuklar içerisinde görebilirsiniz. Ve detaylı şekilde buradan incelemeler yapabilirsiniz.

 

Kibana nedir?

Kibana, Elasticsearch’te depolanan verileri çizelgeler ve grafikler kullanarak görselleştirmek için gelişmiş bir görselleştirme aracıdır.

  • Kibana arayüzü üzerinden loglara erişmek için öncelikle aşağıdaki gibi Kibana seçeneğine tıklıyoruz. Karşınıza gelen giriş panelinden bilgilerinizi girerek Kibana arayüzüne erişebilirsiniz.

 

Strelka nedir?

Strelka, tehdit avcılığı, tehdit tespiti ve olay müdahalesi için kullanılan gerçek zamanlı bir dosya tarama sistemidir. Lockheed Martin’in Laika BOSS ve benzer projeler tarafından oluşturulan tasarımdır. Strelka’nın, büyük ölçekte dosya ayıklama ve meta veri toplama gerçekleştirmektir.

Strelka, dosyaları YARA kurallarını kullanarak tarar. Bir eşleşme tespit ederse, Alerts , Hunt veya Kibana’da bulunabilecek bir uyarı üretir.

  • Karşımıza Kibana üzerine düşen tüm loglar gelmektedir. Bizim loglarımız Strelka içerisinde olduğu için o sekmeye tıklıyoruz.

  • Alert kısmını seçerek devam ediyoruz.

 

  • Kendi kali makinamın IP adresini görüyorum. Bu IP adresi üzerine tıklıyorum.

 

  • Burada kali makınamın IP adresi üzerinden gelen tüm logları görüntüleyebiliyoruz. Herhangi birinin içeriğine tıklıyorum.

 

  • Bu logların herhangi bir tanesini incelediğimiz zaman aşağıdaki gibi bir çıktı ile karşılaşıyoruz. Aşağıya doğru inerek detaylı inceleyebilirsiniz.

  • Burada logların nasıl düştüğünü ve içeriklerinin nasıl göründüğünü görseldeki gibi görebilirsiniz. Görseldeki düşem log içerisinde timestamp değerini, hangi kuralın logu olduğunu, Mitre’ye göre taktik, teknik. prosedürleri ve diğer bir çok bilgiyi görüntüleyebilirsiniz.
  • Aşağıdaki iki kutucuk içerisinde sırası ile “insecure connection attempt” yani “güvenli olmayan bağlantı girişi” olduğunu görmekteyiz.
  • Mitre’ye göre ise ID= “T1043”, Tactic = “Command and Control”, Tecnique = “Commonly used port” kısımlarını görebilirsiniz. Bunların açıklamasını ise detaylı araştırdığınız zaman bir port taraması logu olduğunu anlayabilirsiniz.

  • Bu log içerisinde ise yaptığımız Brute Force atağının logunu görmekteyiz. Burada yine kutucuk içerisindeki uyarılar göz önüne alınarak araştırma yapabilir ve detayını öğrenebilirsiniz.
  • Zaten Mitre’nin teknik açıklamasına göre Brute Force atağı olduğunu anlayabilirsiniz.

 

Buraya kadar okuduğunuz için Teşekkürler. Makalemde yer alan hatalar için benimle iletişime geçerseniz çok sevinirim. 🙂

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir