Başlangıç Seviyesinde Log Kayıtlarını İnceleme
Merhabalar herkese, bugün sizlere başlangıç seviyesinde Log Kayıtlarını nasıl inceleneceğini göstermeye çalışacağım. İlk olarak logun ne olduğunu, ne tür bir sistem kullanıldığını gösterdikten sonra incelemeyi anlatmaya çalışacağım.
Log Nedir?
Bilişim sistemlerine oluşan bütün eylemlerin kayıt dosyalarına log denir. Sizlerin bir siteye giriş yaptığınızda log dosyası oluşturulur. Bu log dosyası ile IP adresiniz, siteye ne zaman giriş yaptığınız gibi bilgilere erişilebilir.
Peki bu log dosyaları neden tutuluyor? Log dosyaları herhangi bir saldırıda veya sistemde herhangi bir sorunda örnek olarak sistemin yavaşlaması, ağda bulunan problemlere çözüm üretmek için depolanmaktadır. En önemli sebep ise kanunlardan dolayıdır. Bunun sebebi ise herhangi bir yasadışı olayda incelenmesi içindir.
Bu logları sistemlerde nasıl toplarız? Burada devreye SIEM girmektedir.
SIEM(Security Information and Event Management) Nedir?
Türkçe olarak Bilgi güvenliği Tehdit ve Olay Yönetimidir. SIEM sistemler log kayıtlarını merkezde toplar, saklar ve analiz eder. Logların analiz edilip tutulması oldukça önemlidir. Çünkü loglar analiz edilip sorunun nereden kaynaklı, saldırının nereden ve ne şekilde gerçekleştiğini öğrenmemizi sağlar. SIEM ürünleri ile sizlerin belirlediği kurallara göre uyarı verdirmesini sağlayabilirsiniz.
Bugün sizlere Log kayıtlarını analiz etmekte kullanabileceğiniz araçları vereceğim. Örnekler üstünde bir tanesinin kurulumunu ve nasıl analiz ettiğini göstereceğim.
OSSEC
Ossec, açık kaynak kodlu ana bilgisayar sistemli bir saldırı tespit aracıdır. Bütünlük kontrollü, günlük analizi, Windows kayıt defteri izleme, zamana bağlı uyarı ve anlık dönüt veren bir uygulamadır. Daha fazla bilgi için https://www.ossec.net sitesini ziyaret edebilirsiniz.
SPLUNK
Splunk, sunucudan, ağdan, uygulamalardan log toplayabilen, bu logları depolayabilen, depolanan logları analiz edip kullanıcıya sunan bir SIEM aracıdır. Daha fazla bilgi için https://www.splunk.com sitesini ziyaret edebilirsiniz.
APACHE LOGS VİEWER
Apache Logs Viewer, log dosyalarını hızlı bir şekilde analiz edip, incelemenize yardımcı olur. İçerisinde birçok rapor türü bulunmaktadır ancak bu raporlara erişmek için belirli bir ücret ödemelisiniz. Örnek olarak
IPye göre ziyaretler
HIT bilgileri
Ülkeye göre ziyaret
Trafik Kaynakları
Arama ziyaretleri
Bant genişliği
İşletim sistemi
Gibi birçok rapor bulunmaktadır. Daha fazla bilgi için https://www.apacheviewer.com adresini ziyaret edebilirsiniz.
GOACCESS
Goacces, açık kaynaklı web analitik uygulamadır. Hem konsol görünümüne hem de web uygulama olarak sizlere hizmet vermektedir. Gerçek zamanlı analiz yapabilirsiniz. Daha fazla bilgi için https://goaccess.io adresini ziyaret edebilirsiniz.
EVENT LOG EXPLORER
Windows işletim sistmlerinde kaydedilen olay günlüklerini kaydeden, görüntülememizi sağlayan ve analiz etmemiz için üretilen bir yazılımdır. Olay Günlüğü Gezgini, logların incelenmesini kolaylaştırıp kullanıcıların anlayacağı dilden bilgiler sunar. Daha fazla bilgi için https://eventlogxp.com adresini ziyaret edebilirsiniz.
Bu incelememizde ben Ossec aracını Linux işletim sistemine kurup oradan işlemlerimi gerçekleştireceğim.
Linux'a OSSEC Kurulumu
İlk öncelikle
komutu ile GitHub deposundan OSSEC'in en son sürümünü indirelim.
İndirme işleminden sonra
komutu ile dosyamızı çıkartalım.
Çıkarılan dosyanın içerisine girelim
Ardından kurulum yapmak için
komutunu yazalım. Bizlere hangi dilde kurmak istediğimizi soruyor, tr yazalım.
İlk soruda yerel kısma kurmak istediğimizi belirtelim. Kurulacak yeri sorusunda Enter tuşuna basalım ve devam edelim. E posta sorusuna H diyelim.
3.2'den 3.6'ya kadar olan bütün sorulara "e" yazalım.
Kurulumdaki soruları bitirmek için Enter tuşuna basalım.
Birkaç yükleme yapacaktır kendisi, burada hiçbir tuşa basmayınız.
Kurulumu bitirmek için Enter tuşuna basalım ve kurulumu bitirelim.
OSSEC'in Ayarlarını Yapmak
Ayar kısımları kaldı, bunları da bitirdikten sonra kullanıma hazır hale gelecektir.
E-posta ayarını yapmak için
komutunu yazalım.
Sizlerde de aşağıda bulunan resimdeki gibi olacaktır ayarları.
Üst kısımdaki verileri
bu şekilde değiştirelim.
Ayarları değiştirdikten sonra CTRL + X yaparak dosyamızı kaydedelim ve çıkış yapalım. OSSEC'i yeniden başlatmak için
komutunu kullanalım.
OSSEC Web Kullanıcı Arayüzü Kurulumu
Web kullanıcı arayüzünü GitHub deposundan indirmek için
komutunu kullanalım. İndirme işlemini bitirdikten sonra zip dosyasını çıkartmak için
komutunu kullanalım.
Çıkarttığımız dosyayı apache dizinine taşımak için
komutunu kullanalım. Kurulumu yapmak için apache dizinine gidelim.
Ardından kurulumu başlatmak için
yazalım. Kurulum bittikten sonra apache servisini yeniden başlatmak için
yazalım.
Tarayıcımızı açalım ve
yazdığımızda web kullanıcı arayüzüne girdiğimizi göreceksiniz.
Başlangıç Seviyesinde Log Kayıtlarını İncelemek
Brute Force Saldırısı
Brute Force, Türkçe olarak kaba kuvvet saldırısı olarak bilinmektedir. Herhangi bir sistemdeki kullanıcı adını ve şifreyi bulmak için yapılan saldırı türüdür. Bu saldırı türünde saldırganın kendisi oluşturduğu şifre ve kullanıcı adı listesini hedef sistemdeki giriş ekranında denenmektedir. Eğer giriş başarılıysa saldırganın ekranına uyarı verir, başarılı değilse şifre ve kullanıcı listesindeki verileri sırayla denemeye devam eder. Tek tek bu listeleri denemek uzun bir süreç olacağından dolayı çeşitli araçlar kullanılarak otomatik olarak tarama işlemi yapılır.
Ben burada sistemime bir WordPress kurdum ve giriş ekranında kaba kuvvet saldırısı denemesi yaptım. İlk olarak Ossec'in ekranını göstermek istiyorum. Şu anki loglar bu şekilde
Burp Suite aracı ile veyahut farklı bir araçla da yapılabilir bu saldırı fakat ben Burp Suite aracını tercih ettim. Kullanıcı giriş ekranında kaba kuvvet saldırısı denemesi yaptığımda Ossec'in ekranına düşen loglara dikkatlice bakınız.
Bu saldırının Brute Force olduğunu şuradan anlarsınız. Bir kullanıcı bu kadar sık bir şekilde POST isteği atması çok zor. Bu yüksek ihtimalle bir Brute Force saldırısıdır diye rapor verebilirsiniz.
SQL Enjeksiyonu
Veritabanı kurulu sistemlerde yetkisiz erişim sağlamak için SQL sorgularına saldırganın eklediği SQL ifadeler ile yapılan saldırıdır. Uygulamadaki veya sunucudaki açıklardan yararlanılarak SQL sorgular eklenir ve yetkisiz erişim sağlanır. Bu SQL sorgular ile veri tabanındaki veriler ekrana yazdırılabilir, veri tabanındaki veriler değiştirilebilir veya silinebilir.
Ben Linux işletim sistemime DVWA kurdum. SQL Injection sekmesinden SQL sorguları ekledim ve log kayıtlarına birlikte bakalım.
Log kayıtlarına baktığınızda GET metodu ile bir sorgu gönderildiğini görebilirsiniz. Birçok saldırı türünün log olarak kaydedilmektedir ancak sizlere iki tanesini gösterdim. Eğer istek olursa başka saldırı türlerini konuya ekleyebilirim. Konum bu kadardı arkadaşlar, başka bir konuda görüşmek dileğimle..
Merhabalar herkese, bugün sizlere başlangıç seviyesinde Log Kayıtlarını nasıl inceleneceğini göstermeye çalışacağım. İlk olarak logun ne olduğunu, ne tür bir sistem kullanıldığını gösterdikten sonra incelemeyi anlatmaya çalışacağım.
Log Nedir?
Bilişim sistemlerine oluşan bütün eylemlerin kayıt dosyalarına log denir. Sizlerin bir siteye giriş yaptığınızda log dosyası oluşturulur. Bu log dosyası ile IP adresiniz, siteye ne zaman giriş yaptığınız gibi bilgilere erişilebilir.
Peki bu log dosyaları neden tutuluyor? Log dosyaları herhangi bir saldırıda veya sistemde herhangi bir sorunda örnek olarak sistemin yavaşlaması, ağda bulunan problemlere çözüm üretmek için depolanmaktadır. En önemli sebep ise kanunlardan dolayıdır. Bunun sebebi ise herhangi bir yasadışı olayda incelenmesi içindir.
Bu logları sistemlerde nasıl toplarız? Burada devreye SIEM girmektedir.
SIEM(Security Information and Event Management) Nedir?
Türkçe olarak Bilgi güvenliği Tehdit ve Olay Yönetimidir. SIEM sistemler log kayıtlarını merkezde toplar, saklar ve analiz eder. Logların analiz edilip tutulması oldukça önemlidir. Çünkü loglar analiz edilip sorunun nereden kaynaklı, saldırının nereden ve ne şekilde gerçekleştiğini öğrenmemizi sağlar. SIEM ürünleri ile sizlerin belirlediği kurallara göre uyarı verdirmesini sağlayabilirsiniz.
Bugün sizlere Log kayıtlarını analiz etmekte kullanabileceğiniz araçları vereceğim. Örnekler üstünde bir tanesinin kurulumunu ve nasıl analiz ettiğini göstereceğim.
OSSEC
Ossec, açık kaynak kodlu ana bilgisayar sistemli bir saldırı tespit aracıdır. Bütünlük kontrollü, günlük analizi, Windows kayıt defteri izleme, zamana bağlı uyarı ve anlık dönüt veren bir uygulamadır. Daha fazla bilgi için https://www.ossec.net sitesini ziyaret edebilirsiniz.
SPLUNK
Splunk, sunucudan, ağdan, uygulamalardan log toplayabilen, bu logları depolayabilen, depolanan logları analiz edip kullanıcıya sunan bir SIEM aracıdır. Daha fazla bilgi için https://www.splunk.com sitesini ziyaret edebilirsiniz.
APACHE LOGS VİEWER
Apache Logs Viewer, log dosyalarını hızlı bir şekilde analiz edip, incelemenize yardımcı olur. İçerisinde birçok rapor türü bulunmaktadır ancak bu raporlara erişmek için belirli bir ücret ödemelisiniz. Örnek olarak
IPye göre ziyaretler
HIT bilgileri
Ülkeye göre ziyaret
Trafik Kaynakları
Arama ziyaretleri
Bant genişliği
İşletim sistemi
Gibi birçok rapor bulunmaktadır. Daha fazla bilgi için https://www.apacheviewer.com adresini ziyaret edebilirsiniz.
GOACCESS
Goacces, açık kaynaklı web analitik uygulamadır. Hem konsol görünümüne hem de web uygulama olarak sizlere hizmet vermektedir. Gerçek zamanlı analiz yapabilirsiniz. Daha fazla bilgi için https://goaccess.io adresini ziyaret edebilirsiniz.
EVENT LOG EXPLORER
Windows işletim sistmlerinde kaydedilen olay günlüklerini kaydeden, görüntülememizi sağlayan ve analiz etmemiz için üretilen bir yazılımdır. Olay Günlüğü Gezgini, logların incelenmesini kolaylaştırıp kullanıcıların anlayacağı dilden bilgiler sunar. Daha fazla bilgi için https://eventlogxp.com adresini ziyaret edebilirsiniz.
Bu incelememizde ben Ossec aracını Linux işletim sistemine kurup oradan işlemlerimi gerçekleştireceğim.
Linux'a OSSEC Kurulumu
İlk öncelikle
Kod:
wget https://github.com/ossec/ossec-hids/archive/2.9.0.tar.gz
İndirme işleminden sonra
Kod:
tar -xvzf 2.9.0.tar.gz
Çıkarılan dosyanın içerisine girelim
Kod:
cd ossec-hids-2.9.0
Ardından kurulum yapmak için
Kod:
sudo sh install.sh
İlk soruda yerel kısma kurmak istediğimizi belirtelim. Kurulacak yeri sorusunda Enter tuşuna basalım ve devam edelim. E posta sorusuna H diyelim.
3.2'den 3.6'ya kadar olan bütün sorulara "e" yazalım.
Kurulumdaki soruları bitirmek için Enter tuşuna basalım.
Birkaç yükleme yapacaktır kendisi, burada hiçbir tuşa basmayınız.
Kurulumu bitirmek için Enter tuşuna basalım ve kurulumu bitirelim.
OSSEC'in Ayarlarını Yapmak
Ayar kısımları kaldı, bunları da bitirdikten sonra kullanıma hazır hale gelecektir.
E-posta ayarını yapmak için
Kod:
sudo nano /var/ossec/etc/ossec.conf
Sizlerde de aşağıda bulunan resimdeki gibi olacaktır ayarları.
Üst kısımdaki verileri
Kod:
<global>
<email_notification>yes</email_notification>
<email_to>root@localhost</email_to>
<smtp_server>127.0.0.1</smtp_server>
<email_from>ossecm@localhost</email_from>
</global>
Ayarları değiştirdikten sonra CTRL + X yaparak dosyamızı kaydedelim ve çıkış yapalım. OSSEC'i yeniden başlatmak için
Kod:
/var/ossec/bin/ossec-control restart
OSSEC Web Kullanıcı Arayüzü Kurulumu
Web kullanıcı arayüzünü GitHub deposundan indirmek için
Kod:
wget https://github.com/ossec/ossec-wui/archive/master.zip
Kod:
unzip master.zip
Çıkarttığımız dosyayı apache dizinine taşımak için
Kod:
mv ossec-wui-master /var/www/html/ossec
Kod:
cd /var/www/html/ossec
Kod:
.sudo /setup.sh
Kod:
systemctl restart apache2
Tarayıcımızı açalım ve
Kod:
localhost/ossec
Başlangıç Seviyesinde Log Kayıtlarını İncelemek
Brute Force Saldırısı
Brute Force, Türkçe olarak kaba kuvvet saldırısı olarak bilinmektedir. Herhangi bir sistemdeki kullanıcı adını ve şifreyi bulmak için yapılan saldırı türüdür. Bu saldırı türünde saldırganın kendisi oluşturduğu şifre ve kullanıcı adı listesini hedef sistemdeki giriş ekranında denenmektedir. Eğer giriş başarılıysa saldırganın ekranına uyarı verir, başarılı değilse şifre ve kullanıcı listesindeki verileri sırayla denemeye devam eder. Tek tek bu listeleri denemek uzun bir süreç olacağından dolayı çeşitli araçlar kullanılarak otomatik olarak tarama işlemi yapılır.
Ben burada sistemime bir WordPress kurdum ve giriş ekranında kaba kuvvet saldırısı denemesi yaptım. İlk olarak Ossec'in ekranını göstermek istiyorum. Şu anki loglar bu şekilde
Burp Suite aracı ile veyahut farklı bir araçla da yapılabilir bu saldırı fakat ben Burp Suite aracını tercih ettim. Kullanıcı giriş ekranında kaba kuvvet saldırısı denemesi yaptığımda Ossec'in ekranına düşen loglara dikkatlice bakınız.
Bu saldırının Brute Force olduğunu şuradan anlarsınız. Bir kullanıcı bu kadar sık bir şekilde POST isteği atması çok zor. Bu yüksek ihtimalle bir Brute Force saldırısıdır diye rapor verebilirsiniz.
SQL Enjeksiyonu
Veritabanı kurulu sistemlerde yetkisiz erişim sağlamak için SQL sorgularına saldırganın eklediği SQL ifadeler ile yapılan saldırıdır. Uygulamadaki veya sunucudaki açıklardan yararlanılarak SQL sorgular eklenir ve yetkisiz erişim sağlanır. Bu SQL sorgular ile veri tabanındaki veriler ekrana yazdırılabilir, veri tabanındaki veriler değiştirilebilir veya silinebilir.
Ben Linux işletim sistemime DVWA kurdum. SQL Injection sekmesinden SQL sorguları ekledim ve log kayıtlarına birlikte bakalım.
Log kayıtlarına baktığınızda GET metodu ile bir sorgu gönderildiğini görebilirsiniz. Birçok saldırı türünün log olarak kaydedilmektedir ancak sizlere iki tanesini gösterdim. Eğer istek olursa başka saldırı türlerini konuya ekleyebilirim. Konum bu kadardı arkadaşlar, başka bir konuda görüşmek dileğimle..
Son düzenleme: