İLERİ SEVİYE WINDOWS DENETİMLERİ

Benzer belgeler
LOGO DESTEK DOKÜMANI

Module 2 Managing User And Computer accounts

ARTESIS ENTERPRISE SERVER OPC TÜNELLEME İSTEMCİSİ

Module 9 Managing The User Environment By Using Group Policy ( Group Policy Kullanıcı Yönetimi )

Windows Đşletim Sistemleri AD Etki Alanı Grupları Đncelenmesi ve Güvenlik Ayarları

FortiGate Active Directory Uygulaması. v4.00-build /08

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

Active Directory ve File Server LOG RAPORLAMA YAZILIMI ESASLARI

Red Hat Server Hardening

Module 3 Managing Group ( Group Yönetimi )

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

MUDDYWATER / PROXYRAT SİSTEM SIKILAŞTIRMA ÖNERİLERİ

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

2 SERVER 2012 R2 FAILOVER CLUSTER 13

Oluşturmak istediğimiz OU ye bir isim veriyoruz. Name kısmına ISTANBUL yazıyoruz,

Microsoft Management Console (MMC) Çarşamba, 19 Aralık :20 - Son Güncelleme Çarşamba, 19 Aralık :38

Cyberoam Single Sing On İle

HACETTEPE ÜNİVERSİTESİ KABLOSUZ AĞ ERİŞİM SİSTEMİ KABLOSUZ AĞ İÇİN 802.1X YÜKLEME VE YAPILANDIRMA TALİMATLARI (WINDOWS XP)

Domain Ortamının Event Viewer ile Takip Edilmesi

"SQL Server Management Studio" yazılımını yüklemek için alttaki resmi sitesinden 180 günlük deneme sürümünü indirebilirsiniz.

Aktif Dizin Logon/Logoff Script Ayarları Versiyon

IIS 7.5 ÜZERİNDE FTP SİTE KURULUMU VE YAPILANDIRILMASI

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

Module 8 Implementing Group Policy ( Group Policy Uygulamaları )

FortiGate Proxy Yazılımlarını Bloklama. v5.00-ga5-build /01

MIRACLE DATA WORKS KURULUM DOKÜMANI

WINDOWS SERVER 2008 R2 REMOTE DESKTOP SERVICES RD Connection Broker

DESTEK DOKÜMANI. GOWeb programının çalıştırılabilmesi için sırasıyla aşağıdaki servis ve programların ilgili makinada kurulu olması gerekmektedir.

GROUP POLICY ÇALIŞMA VE ÇATIŞMA MANTIĞI

Exchange Server Kurulumu

OTURUM AÇMA ADLARI. Tavsiye Edilen Önhazırlık Enterprise Manager'i kullanabilmek.

1 WINDOWS SERVER 2012 GENEL BAKIŞ

KANTAR UYGULAMASI Kurulum Kılavuzu

Automatically Upgrade (new) Client push installation Software update point installation Group Policy installation Logon script installation

İÇİNDEKİLER VII İÇİNDEKİLER

USB 2.0 ETHERNET YAZDIRMA SUNUCUSU

Useroam Cloud Kurulum Rehberi

Microsoft 20687A Configuring Windows 8

Yeni kullanıcı hesabı açmak ya da varolan hesaplar üzerinde düzenlemeler yapmak.

Microsoft Outlook 2003 Kurulumu

Scream! e gelen veri akışlarından bazılarını diğer bir kurum yada bilgisayarla paylaşmak için kullanılabilir.

Ders Tanıtım Sunumu. Database Managegement II. Elbistan Meslek Yüksek Okulu Güz Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

TAPU VERİ SAYISALLAŞTIRMA YAZILIMI KURULUM DÖKÜMANI. Tapu Kadastro Genel Müdürlüğü-Bilgi Teknolojileri Daire Başkanlığı Page 1

Websense Web Servislerini Durdurup Başlatmak

USB 2.0 YAZDIRMA SUNUCUSU

Bu makalede 2003 sunucu, Windows 2003 Server anlamına gelmektedir. Aşağıda yapılan işlemler 2003 R2 sunucu üzerinde denenmiş ve çalıştırılmıştır.

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

Uzaktan Kurulum Kılavuzu

Yandex mail ve disk kullanım rehberi

UBNT. UniFi mfi Ububntu. Ubuntu İşletim Sistemi ve UniFi/mFi Yazılımlarının Kurulumu

Önce domain sunucuyu görebiliyor muyuz, kontrol edelim

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

Servisler Olaylar İşlemler Services Events - Processes

Control-Panel>User Accounts

Bilgisayarım My Computer

WEB E-POSTA AYARLARI. Outlook 2003 Ayarı ( Resimli Anlatım )

Scan Station Pro 550 Adminstration & Scan Station Service Araçları

HACETTEPE ÜNİVERSİTESİ KABLOSUZ AĞ ERİŞİM SİSTEMİ KABLOSUZ AĞ İÇİN 802.1X YÜKLEME VE YAPILANDIRMA TALİMATLARI (WINDOWS VISTA SÜRÜMLERİ İÇİN)

Microsoft SQL Server 2005 Express Edition Hızlı Kurulum Dokümanı. 1. Administrator veya denki bir kullanıcı ile logon olunmalıdır.

Bu bölüm V- Ray License Server lisans sunucusu uygulamasının kurulumundan

Sistem Yöneticiliği Seti

Useroam Sonicwall Kurulum Rehberi

LDAP Administrator ile Active Directory Yonetimi

Tavsiye Edilen Önhazırlık Temel veritabanı kavramlar hakkında bilgi sahibi olmak. Hedefler Temel veritabanı güvenlik işlemlerini gerçekleştirebilmek

Şifre değişikliğinde kullanıcı bazlı olarak son kullanılan 24 şifreyi sistem hatırlayıp kullanılmasına izin vermez.

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

TÜRKİYE CUMHURİYETİ ORMAN GENEL MÜDÜRLÜĞÜ DASDIFFUSION DEPARTMENTAL EDITION 1. FAZ TARAMA PC KURULUM KILAVUZU

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

NicProxy Registrar AWBS Modül Kurulumu Versiyon 1.0

1 BAŞLARKEN SYSTEM CENTER DATA PROTECTION MANAGER

WeldEYE. Kurulum Kılavuzu. İçindekiler

USB 2.0 ETHERNET YAZDIRMA SUNUCUSU

1.Mailbox Server Role:

APRS I-GATE DIGI KURULUMU

VERİ TABANI YÖNETİM SİSTEMLERİ-II

Windows 7 - IIS 7.5 üzerine PHP ve MySQL kurulumu

Module 5 Implementing Printing ( Printer Uygulamaları )

ZWCAD Önemli. Tek Kullanıcı Sürümü Lisans Kodu Kullanarak Yükleme Kılavuzu

SQL Server 2008 Express Edition ı Kurmak

HACETTEPE ÜNİVERSİTESİ SIHHİYE YERLEŞKESİ WiMAX KABLOSUZ AĞ ERİŞİM SİSTEMİ

Windows Server 2008R2 de Lisans Server ın Aktive Edilmesi

Ağ Bağlantılarında Windows Kullanan Müşteriler için

Sunucu İşletim Sistemini Ayarlamak ve Yönetmek

Kurulum Dökümanı. v

System Center Operations Manager 2007 Kurulum,Client Discovery ve Performans İzlemesi

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

Bilgisayarım My Computer. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı

Windows XP: Simple Sharing, Security ve ForceGuest Perşembe, 07 Eylül :02 - Son Güncelleme Cumartesi, 12 Eylül :36

DRAYTEK VIGOR 3300V VPN Dial-in Fonksiyonu

Uzak Masaüstü Lisans Server ı Aktive Etme

GÜVENLİK BİLGİ VE OLAY YÖNETİMİ ÇÖZÜMÜ

FortiGate & FortiAP WiFi Controller

Kurulum Dökümanı * v * Bu döküman FortiLogger versiyonu için hazırlanmıştır.

Windows Server 2012 Active Directory Kurulumu

MAKİNELERE IBM SPSS Statistics 24 nin KURULMASI. IBM SPSS Statistics 24 Yüklemeye Başlamadan Önce Kontrol Edilmesi Gerekenler

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

BIL 335/CEN 335 Sistem El Kitabı Oracle Virtual Box, Wireshark, MS Windows Sıkça Kullanılan İşlemler

Ağ kartımızı taktık, sürücüsünü yükledik ve düzgün yüklenip çalıştığından emin olduk. Şimdi sıra geldi ağ yapılandırmamızı kontrol etmeye.

MSSQL Server 2000 Kurulumu

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Transkript:

TECHNICAL BRIEF İLERİ SEVİYE WINDOWS DENETİMLERİ Giriş Birçok kuruluşun iş istasyonlarında ve sunucularında meydana gelen olay günlüklerinin görünürlüğü yetersizdir. Bir kuruluşun Windows ana bilgisayarlarında olup bitenleri detaylı tespit etmek, etkili bir soruşturma yürütmek için detaylı olay günlük görünümü gereklidir. Kötü amaçlı olayları tespit etmek giderek daha zor hale gelmiştir. Mümkün olduğunca çok kaynaktan günlük verilerini izlemek ve toplamak saldırı tespiti açısından çok önemlidir. Aynı zamanda siber güvenlik ile ilgili olaylara kritik kavrayışlar sağlayarak olaya müdahale süresinin azaltılmasına yardımcı olur ve olaylara yanıt vermenin toplam maliyetini azaltır. Birçok SIEM sistemi, Windows söz konusu olduğunda birçok olay günlüğü verilerini işlemektedir. Logsign, 400 den fazla Windows kaynağında farklı olay günlüklerini toplar ve normalize eder. Böylece en spesifik sistem olaylarını ayrıştırır ve farklı olaylar ile korele ederek diğer kullanıcı eylemleriyle ilişkilendirmenizi sağlar. Logsign ın geniş Windows Denetim kapasitesi, Windows ürünleri geliştikçe ve müşteri ihtiyaçları büyüdükçe aynı oranda artar. Bu doküman bilgi teknolojileri ve bilgi güvenliği profesyonelleri için ve de aynı zamanda mevcut yapıdaki HIDS / NIDS sistemlerini tamamlayıcı rol olması açısından tasarlanmıştır. Olay Günlüğü Boyutu Windows olay günlükleri varsayılan ayarları küçük boyuta göre ayarlanmıştır ve günlük maksimum boyutuna ulaşıldığında olay günlükleri üzerine yazmaya devam eder. Önemli olabilecek olayların devamlı olarak günlüklerin üzerine yazılıyor olmasına bağlı olarak riskler artmaktadır. Bu riskleri azaltmak için olay günlüklerinin varsayılan dosya boyutu olan 20 MB değerin artırılması gerekmektedir. Günlük boyutu gereksinimleri tabloda belirtilmiştir. Grup İlkesi Önerilen Değer Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application Maksimum günlük dosyası boyutunu belirtin (KB) Maximum Günlük Dosya Boyutu (KB):65536 Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security Maksimum günlük dosyası boyutunu belirtin (KB) Maximum Günlük Dosya Boyutu (KB):65536 2097152 Computer Configuration\PoliciesW\Administrative Templates\Windows Components\Event Log Service\System Maksimum günlük dosyası boyutunu belirtin (KB) Maximum Günlük Dosya Boyutu (KB):65536

Windows Günlük Yapılandırma Güvenlik nedeniyle Windows tarafında WMI izlemesi için yönetici hesabı kullanmayın, yönetici olmayan bir hesap oluşturmanız ve WMI izlemesini bu kullanıcı ile yapıyor olmanız güvenlik risklerini azaltmanız açısından önemlidir. 1. Başlat > Çalıştır(Run) lusrmgr.msc yazın ve tamam(ok) tıklayın. 2. Users klasörüne sağ tıklayıp Properties e girin. 3. Member Of tabına gelin ve Add e tıklayın 4. Enter the object names to select kısmına Distributed COM Users ve Performance Monitor Users gruplarını ekleyip OK a basın.

Your teammate in cyber security Ardından, grupların sisteme uzaktan erişmesine izin vermek için DCOM Güvenlik Ayarları nı yapılandırın. 5. Başlat > Çalıştır(Run) a dcomcnfg yazın ve OK a tıklayın. 6. Component Services ağacını açın My Computer a sağ tıklayın ve Properties i tıklayın. 7. COM Security sekmesine gelin Launch and Activation Permissions bölümünde Edit e tıklayın. 8. Add e tıklayarak Distributed COM Users ve Performance Monitor Users gruplarını ekleyin, OK a basın. 9. Her bir grup için Local Launch, Remote Launch, Local Activation, Remote Activation ları işaretleyin ve OK a basın. WMI Control güvenlik ayarları için; 10. Başlat > Çalıştır(Run) a wmimgmt.msc yazın ve OK a basın. 11. WMI Control (Local) sağ tıklayın ve Properties e girin. 12. Security sekmesine gelin. 13. Root ağacını açın, CIMV2 ağacını açın ve Security ye gelin. 14. Security düğmesine basın ve Add e tıklayın. 15. Enter the object names to select kısmına Distributed COM Users ve Performance Monitor Users gruplarını ekleyip OK a basın. 16. Advanced bölümüne girin. 17. Distributed COM Users seçin ve Edit e basın.. 18. Alt açılır listeden This namespace and subnamespaces i seçin.. 19. Allow kolonu altında Execute Methods, Enable Account, ve Remote Enable ı işaretleyin. 20. 16-19 adımlarını Performance Monitor Users group için de tekrar edin. 21. Tüm pencereleri OK ile kapatın.

Denetim Ayarları Önerileri Öneriler, Microsoft un ortalama güvenlik gereksinimleri olan ve yüksek düzeyde işlevsellik gösteren kurumsal bilgisayarlar içindir. Daha yüksek güvenlik gereksinimi duyan kurumlar daha agresif denetim politikalarını düşünmelidir ve uygulamalıdır. Windows Server 2016, Windows Server 2012 R2,Windows Server 2012, Windows Server 2008 R2, ve Windows Server 2008 için denetim ayarı önerileri Audit Policy Kategorisi ve Alt Kategorileri Windows Varsayılan Temel Öneriler Yüksek Öneriler Success / Failure Success /Failure Success /Failure Account Logon Audit Credential Validation Hayır /Hayır Audit Kerberos Authentication Service Audit Kerberos Service Ticket Operations Audit Other Account Logon Events Account Management Audit Application Group Management Audit Computer Account Management Evet / DC Audit Distribution Group Management Audit Other Account Management Events Audit Security Group Management Audit User Account Management Evet / Hayır Detailed Tracking Audit DPAPI Activity Audit Process Creation Evet / Hayır Audit Process Termination Evet / Hayır Audit RPC Events DS Access Audit Detailed Directory Service Replication Audit Directory Service Access DC DC DC DC Audit Directory Service Changes DC DC DC DC Audit Directory Service Replication Logon and Logoff Audit Account Lockout Evet / Hayır Evet / Hayır Audit User/Device Claims Audit IPsec Extended Mode Audit IPsec Main Mode Gerekli İse Audit IPsec Quick Mode Audit Logoff Evet / Hayır Evet / Hayır Evet / Hayır Audit Logon Evet / Hayır Audit Network Policy Server Audit Other Logon/Logoff Events Audit Special Logon Evet / Hayır Evet / Hayır

Object Access Audit Application Generated Audit Certification Services Audit Detailed File Share Audit File Share Audit File System Audit Filtering Platform Connection Audit Filtering Platform Packet Drop Audit Handle Manipulation Audit Kernel Object Audit Other Object Access Events Audit Registry Audit Removable Storage Audit SAM Audit Central Access Policy Staging Policy Change Audit Audit Policy Change Evet / Hayır Audit Authentication Policy Change Evet / Hayır Evet / Hayır Audit Authorization Policy Change Audit Filtering Platform Policy Change Audit MPSSVC Rule-Level Policy Change Evet / - Audit Other Policy Change Events Privilege Use Audit Non Sensitive Privilege Use Audit Other Privilege Use Events Audit Sensitive Privilege Use System Audit IPsec Driver Audit Other System Events Audit Security State Change Evet / Hayır Audit Security System Extension Audit System Integrity Global Object Access Auditing Audit IPsec Driver Audit Other System Events Audit Security State Change Audit Security System Extension Audit System Integrity

Windows PowerShell Denetimleri Windows PowerShell komut dosyalarının ve etkileşimli erişiminin ayrıntılı günlüğünü tutar. Büyük PowerShell komut dosyaları sıklıkla kullanılıyorsa aşırı düzeyde olay günlüklerine olay oluşturma ve gürültüye neden olabilir. Kuruluş genelinde dağıtım yapılmadan önce test ortamında yapılandırılmasını tavsiye ederiz. Grup İlkesi Önerilen Değer Computer Configuration\Policies\Administrative Templates\Windows Components\Windows PowerShell Turn on Module Logging PowerShell V5 sürümünden öncekiler için etkinleştirilir. Turn on PowerShell Script Block Logging Logsign, log yönetimi, güvenlik analizleri ve regülasyonlara uyumluluğu tek bir platformda sunan Güvenlik Bilgi ve Olay Yonetimi (SIEM) çözümüdür. 2010 yılında kurulan Logsign, siber güvenliğin bir ekip çalışması olduğuna ve güvenlik ürünlerinin çok daha zeki olması gerektiğine inanır. Bu inançla çalışmalarını Güvenlik Zekası ve SOC çözümleri üzerine yoğunlaştırmıştır. Aktif olarak 500 den fazla orta ve büyük ölçekli firma ve devlet kurumuna hizmet vermektedir. Siber güvenlik alanında tüm paydaşları için vazgeçilmez bir ekip arkadaşı olmak, müşterilerinin güvenlik farkındalığını en üst seviyeye taşımak ve güvenlik duruşlarını güçlendirmek adına calışmaktadır. 2016 ve 2017 yillarında Deloitte Technology Fast 50 de yer alan Logsign, yerli bir güvenlik yazılımı üreticisi olarak alanındaki yetkinliğini kanıtlamıştır. Daha fazla bilgi için www. Yardım Merkezi support.logsign.net / 0 850 660 0 850 İstanbul HQ Ankara San Francisco Bize ulaşın info@

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim