PowerShell ile Log Analizi
Hepinize Selamlar. 🙂 Yeni makalemde sizlere PowerShell kullanılarak çalıştırılan komutların nerede tutulduğu ve nasıl görüntülenebileceği hakkında bilgi aktaracağım. Devamında ise kullandığınız sistem üzerinde tutulan logların PowerShell kullanılarak görüntülenmesi ve nasıl daha anlaşılır olabileceğinden bahsedeceğim. PowerShell Geçmiş Kayıtları PowerShell kullanılarak çalıştırılan komutlar delil niteliği taşımaktadır. Bu nedenle PowerShell üzerinde çalıştırılan komutların incelenmesi ve araştırılması önemli bir husustur. Bu komutlar kullanılarak bir saldırgan sisteminize sızmış mı? Eğer sızmışsa bu saldırganların içerde neler yaptığını herhangi bir zararlı yazılım çalıştırıp çalıştırmadığını, yeni bir kullanıcı oluşturulmuş mu ya da yetkilendirme yapılmış mı gibi bir çok soruya ve cevaba buradan ulaşabilmektedir. PowerShell istenilen logları elde etme ve inceleme sürecini kolaylaştırabilecek “Get-EventLog” komutu yer almaktadır. PowerShell üzerinde çalıştırılan komutlar “.txt” uzantılı olarak aşağıdaki konumunda bulunmaktadır. İçeriğine göz atabilirsiniz. Konum: C:\Users\User\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt Altında geçmiş PowerShell kayıtları tutulmaktadır. Powershell ile Logların İncelenmesi PowerShell log inceleme süreçlerinde Get-Eventlog komutu kullanılmaktadır. İlk olarak “List” parametresi ile loglar ve kayıt sayıları görüntülenebilmektedir.…
T-POT Honeypot Kurulumu, Konfigürasyonu ve Kibana Üzerinden Görüntülenmesi
Hepinize Merhabalar. 🙂 Bu makalemde sizlere sanallaştırma üzerine nasıl T-POT honeypot kurulumunu yapacağınızdan ve buradaki logları inceleyeceğinizden bahsedeceğim. Bal Küpü (Honeypot) Nedir? Bal küpü bir sistemi ele geçirmeye çalışan ya da sistem hakkında bilgi toplamaya çalışan saldırganları tuzağa düşürmeyi amaçlayan sistemlerdir. Bal küpleri içerisinde bulundukları ağın bir parçasıymış gibi görünen bir bilgisayar veya sunucu olabilmektedir. Honeypotlar saldırganlara hedef bir cihazmış gibi görünen ancak izole edilmiş olarak saldırganların hareketlerini izlemeyi amaçlayan önemli bir kaynaktır. T-POT Honeypot T-POT Debian tabanlı, birden fazla honeypot aracını yapılandırılmış halde içerisinde barındıran Docker altyapısıyla servise sunulduğu honeypot sistemi bütünüdür. T-POT özellikleri şu şekilde sıralanabilir; Saldırganlar tarafından portların taranması sonucunda bu saldırganlara ait araçlar veya IP tespit edilmesi sonucunda istihbarat veritabanı oluşturulabilir. Saldırganların sistemde denediği kullanıcı adı, parola vb. tespit edilebilir ve veritabanı oluşturulabilmektedir. İç networkte saldırganların yapacağı hareketler tespit edilebilir. Kurulum Gereksinimleri 8GB RAM 128GB SSD DHCP üzerinden ağ Çalışan, proxy olmayan bir internet sayfası Kurulum…
Security Onion-Kibana Üzerinden Brute Force ve Nmap Logları Görüntüleme
Hepinize merhabalar. 🙂 Bu makalemde sizlere sanal makine üzerine kurmuş olduğum Security Onion ve Security Union üzerinde bulunan Kibana’yı kullanarak log izleme yapacağım. Burada sırası ile şunları yapacağım; nmap ile port taraması, hydra ile ssh servisine BruteForce saldırısı, security onion ve kibana üzerinde bu aktivitelerin tespiti ve logların izlenmesi. Yukarıdaki başlıklar dahilinde sırası ile işlemlerimi gerçekleştireceğim. Security Onion Nedir? Security Onion, saldırı tespiti, ağ güvenliğini izlemek ve log kayıt yönetimini sağlayan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, Wazuh, Sguil, Squert, CyberChef, NetworkMiner ve diğer birçok güvenlik araçlarını içermektedir. Daha fazla detay ve bilgiye buradan ulaşabilirisiniz. İlk olarak aşağıdaki gibi sanal makinam üzerine kurulmuş Security Onion’u görüyorsunuz. Nmap ile Port Taraması Burada nmap aracını kullanarak aşağıdaki komutu yazıyoruz. Burada hedef IP adresi kısmına tarama yapacağınız IP adresini yazabilirsiniz. Servisleri taramamız sonucunda SSH servisinin açık olduğunu gördük. Ben burada SSH servisine BruteForce atağı…
Windows Log Analizi Önemli Kavramlar
Hepinize Merhabalar. 🙂 Bu makalemde sizlere Windows Log Analizi sırasında bizler için önemli olan olay günlükleri, Event ID’ler, ve bu ID numaralarının bizler için neden ve ne kadar önemli olduğu hakkında bilgiler vermeye çalışacağım. Olay Günlüğü(Event Log) Nedir? Windows İşletim sistemlerinde log kayıtlarının tutulduğu yere Olay günlükleri (Event Log) denmektedir. Herhangi bir işletim sisteminin çalışması sırasında arka planda birden fazla işlem gerçekleşmektedir. Bu sistemler üzerinde gerçekleşen tüm işlem ve olaylar kayıt altına alınmaktadır. Alınan bu kayıtlar kimi zaman bizler için çok kritik bir öneme sahiptir. Bunun nedeni ise sistem üzerinde herhangi bir anormal durumun tespit edilmesi sonucunda ya da saldırı sonucunda kayıtların incelenerek sistem hakkında bilgi edinilmesine olanak sağlamasıdır. Bu olay günlüklerine alınan kayıtların kronolojik olarak sıralanması da sistem yöneticilerinin daha rahat şekilde analiz yapmalarını kolaylaştırmaktadır. Olay Görüntüleyici (Event Viewer) Windows Sistemlerde gerçekleşen olaylar ve işlemler Event Log sisteminde kayıt altına alınmaktadır. Kayıt alınan bu logları Event Viewer (Olay Görüntüleyici)…
Windows 10 Event Viewer(Olay Görüntüleyicisi) Dışa Aktarma
Hepinize Merhabalar :). Bu yazımda tüm Windows 10 kullanıcısının bilmesi gereken bir kavram olan Olay Görüntüleyici(Event Viewer) hakkında bilgi vermeye çalışacağım. Ve daha sonra incelemek için dışa nasıl aktarabileceğimizden bahsedeceğim. Windows yaklaşık olarak 10 yıldır Olay Görüntüleyicisine sahiptir. Olay Görüntüleyicisi, bilgisayarınızdaki olaylarla ilgili ayrıntılı bilgileri görüntülememizi sağlayan bir araçtır. Buradaki olayları açarsam hatalar, bilgi mesajları, uyarılar, beklenmedik şekilde başlatılan programlar, güncelleştirmeler… Olay Görüntüleyicisi Windows ve diğer programlarla ilgili sorunları tespit etmede de bizler için çok önemli rol oynar. Sisteminizdeki anormal hareketler, belli belirsiz çıkan hataları ve detaylı bilgilerini ve uygulama hareketleri ve davranışlarını arka planda Olay Günlüğüne kaydeder ve istediğimiz zaman ulaşmamıza yarar. Olay Günlüğüne Nasıl Erişiriz ? Ben yazımın devamında Olay Görüntüleyicisi Günlüğünü dışa aktarmayı anlatıcam. Bilgisayarımızın sol alt kısmında bulunan Başlat sekmesine sağ tıklıyoruz. Ve buradan Olay Görüntüleyicisi sekmesine tıklayarak devam ediyoruz. Karşımıza gelen kısımdan Windows Günlüğü(Windows Log) seçeneğine tıklayarak devam ediyoruz. Burada Uygulama(Application) seçeneğini…