Qradar içerisinde Tor erişimlerini görmek, alarmlar oluşturmak için Tor çıkış iplerini izlemek gerekir. Tor çıkış ipleri tor projesine ait web sitesinde güncel olarak yayınlanmaktadır. Bu ip’leri Qradar entegre etmek için referans kümesi kullanmak en kolay yöntem olacaktır.
Bu yazımızda küçük QRadar’da kullanılmak üzere Tor çıkış ip’lerini nasıl entegre edebileceğimizi göreceğiz.
Microsoft, Windows Event Log API ‘si ile geliştiricilere Windows içerisinde tutulmuş loglara erişebilmeyi sağlıyor. Erişebilmekten daha fazlasını da yapabilen bu API’nin önemli özelliklerinden biri de istemcinin xml ile sorgu (XPath) yapabilmesi. Kısacası bu API’yi kullanarak sizde kendi istemcinizi yapabilirsiniz.
Bu yazı da, iki amacım var. Birincisi Windows’da bu API’yi kullanan Event Viewer üzerinden bir anlatımla diğer istemciler için logları nasıl filtreleyebileceğimizi anlatmak. Bir diğeri ise QRadar gibi SIEM ürünlerinde XPath’in destekleniyor olması.
XPath sayesinde sadece istediğiniz (filtrelediğiniz) logların SIEM ajanları tarafından SIEM’e xml ile kolayca aktarılmasını sağlayabiliyorsunuz. Şimdi gelin lafı daha fazla uzatmadan nasıl gerçekleyeceğimizi görelim.
Windows sistemlerde güvenlik açısından en azından Audit logların alınması gerekir. Bu loglara Windows’un kendi görüntüleyicisi Event Viewer ile baktığınızda Security altında görebilirsiniz. Gelin ve burada yer alan Event ID olarak tekilleştirilmiş bir id ‘ye sahip olay kayıtlarını inceleyelim.
Not : Windows Server 2012 baz alınmıştır.
1102 – The audit log was cleared.
Bu log çok önemli bir logdur. Sisteminizde audit log silindiğinde ilk oluşan logdur. Önemli kılan şey ise genellikle audit log istisnai durumlar dışında silinmez. Böyle bir aktivite bu durumda şüphelidir. Biri sisteminize sızmış, daha sonrasında iz bırakmamak adına logları temizlemiş olabilir. Özellikle bu olay kaydı için SIEM’de alarm üretilmelidir.