Tag Archives: DeepBlueCLI

Hepinize selamlar. 🙂 Bu makalemde sizlere Eric Conrad‘ın geliştirmiş olduğu DeepBlueCLI modülünü kullanarak Tehdit Avcılığı uygulaması yapacağım. DeepBlueCLI , Windows’ta (PowerShell modülü) veya  ELK’da (Elasticsearch) Windows olay günlüklerini otomatik olarak ayrıştırmak ve Windows Olay Günlükleri aracılığıyla Tehdit Avcılığı yapabilmek için kullanılan bir PowerShell modülüdür. İlk olarak sistemimizde terminal açarak başlıyoruz. Ardından DeepBlueCLI modülümüzün olduğu konuma gidiyoruz. C:\tools>cd \tools\DeepBlueCLI-master DeepBlueCLI bir Powershell modülüdür, bu nedenle ilk olarak bu modülü başlatmamız gerekiyor. Bunun için de aşağıdaki komutu kullanıyoruz. C:\tools\DeepBlueCLI-master>powershell Bu aracı, herhangi bir güvenlik duvarı ya da antivirüs engeli olmadan çalıştırmak için şu komutu çalıştırmamız gerekmektedir. Daha fazla bilgi için  Set-Execution Policy Readme  inceleyebilirsiniz. PS C:\tools\DeepBlueCLI-master> Set-ExecutionPolicy unrestricted Saldırganların ele geçirdikleri sistemlerde yaygın olarak kullandıkları yöntemlerden bir tanesi de sistemlere kullanıcı eklemektir.  Bu sayede sistemlere zararlı yazılımlarla sağlamayacakları bir kalıcılık sağlamaktadır. Şimdi yeni bir kullanıcı eklemek için .evtx dosyalarını bir kontrol edelim. C:\tools\DeepBlueCLI-master>.\DeepBlue.ps1 .\evtx\new-user-security.evtx   Çok az SIEM tarafından tespit edilen diğer…

Read more

1/1