Qradar içerisinde Tor erişimlerini görmek, alarmlar oluşturmak için Tor çıkış iplerini izlemek gerekir. Tor çıkış ipleri tor projesine ait web sitesinde güncel olarak yayınlanmaktadır. Bu ip’leri Qradar entegre etmek için referans kümesi kullanmak en kolay yöntem olacaktır.
Bu yazımızda küçük QRadar’da kullanılmak üzere Tor çıkış ip’lerini nasıl entegre edebileceğimizi göreceğiz.
Microsoft, Windows Event Log API ‘si ile geliştiricilere Windows içerisinde tutulmuş loglara erişebilmeyi sağlıyor. Erişebilmekten daha fazlasını da yapabilen bu API’nin önemli özelliklerinden biri de istemcinin xml ile sorgu (XPath) yapabilmesi. Kısacası bu API’yi kullanarak sizde kendi istemcinizi yapabilirsiniz.
Bu yazı da, iki amacım var. Birincisi Windows’da bu API’yi kullanan Event Viewer üzerinden bir anlatımla diğer istemciler için logları nasıl filtreleyebileceğimizi anlatmak. Bir diğeri ise QRadar gibi SIEM ürünlerinde XPath’in destekleniyor olması.
XPath sayesinde sadece istediğiniz (filtrelediğiniz) logların SIEM ajanları tarafından SIEM’e xml ile kolayca aktarılmasını sağlayabiliyorsunuz. Şimdi gelin lafı daha fazla uzatmadan nasıl gerçekleyeceğimizi görelim.
QRadar’ da SIM Audit loglarını incelerseniz çok fazla Invalid Session Authentication Failed görebilirsiniz.
Bunun sebebi tarayıcınızın süresi dolmuş oturum anahtarıyla QRadar’a erişim talebi yapmasıdır.
Bu sorunun kaynağının tespiti için bu kategorideki loglara gidip Source-ip veya Username’e göre kategorize edip sorunun kaynağını görebiliriz.