14 Ekim 2018

Gophish Phishing

İndirme – Yükleme:


İlk olarak Gophish uygulamasını https://getgophish.com/ adresinden indiriyoruz.
İndirdikten sonra aşağıdaki gophish.exe dosyasını çalıştırıyoruz.



Çalıştırdığımızda karşımıza CMD ekranının açıldığı ve aşağıdaki resimde görüldüğü gibi https://127.0.0.1:3333 portundan hizmet verdiğini anlıyoruz.



Browser’ı açtıktan sonra https://localhost:3333 adresine istek yapıyoruz.




Sayfa HTTPS olduğundan dolayı eğer browser engellerse indirmiş olduğumuz gophish dosylarının içerisinde “gophish_admin.crt” dosyasının kullanmış olduğumuz browser’a eklememiz gerekmektedir.




Ekleme işlemini gerçekleştirdikten sonra karşımıza yönetim paneli açılmaktadır.
Açılan yönetim panelinde username/password, admin/gophish yazılarak giriş yapılmaktadır.




Giriş yapmış olduğumuz yönetim paneli aşağıdaki gibidir;




Yönetim panelinde bulunan başlıklar ve kısa açıklamaları şunlardır;


Dashbord: Diğer başlıklardaki girmiş olduğumuz bilgiler doğrultusunda oluşturduğumuz phishing mailerinin sonuçlarının analiz edildiği alandır.

Campaigns: Hazırlamış olduğumuz phishing mailinin gönderilmesi için ayarlamaların yapıldığı bölümdür. (Bu bölümdeki adımlar ilerideki adımlarda detaylı olarak anlatılacaktır)

Users & Groups: Hazırlanan phishing mailinin gönderilmesi için oluşturulan mail adreslerinin girildiği alan ve bu alanın kolaylığı belirlemiş olduğunuz mail adreslerinin CSV dosyası aracılığıyla elle girmek yerine toplu olarak girilmesi sağlanabilmektedir.

*CSV dosyasını hazırlarken aşağıdaki gibi kolonlarda bulunan sıralamaya dikkat edilmelidir,



Email Template: Phishing mailimizin template olarak hazırlanladığı alandır, bu alanda istediğimiz şekilde mailleri hazırlayabilir veya hazırlanmış olan mailleri import ederek kullanabiliriz.

Landing Pages: Alanının en güzel özelliklerinden biri phishing yapılmak istenilen sayfanın URL’ini verip sayfanın bu alana yüklenmesi sağlanmakta veya isterseniz sizde html kodlarınızla yeniden bir sayfa oluşturabilirsiniz.

Sending Profiles: Hazırlanmış olan maillerin göndermek için SMTP bilgilerinin girildiği alandır.

Settings: Kullanmış olduğumuz yönetim paneli için gerekli ayarların yapıldığı alandır. (Uygulama local’inizde çalıştığı için bu alanda pek değişiklik yapmanıza gerek bulunmamaktadır. )

User Guide: Gopshish’in derinlerini inmek isterseniz kullanım kitapçığına göz atmanızı tavsiye ederim.
API Documentation: Gophish API’sinin nasıl kullanıldığını merak edenler bu alandaki dokümanları incelemesini tavsiye ederim.

*Genel olarak Gophish uygulamasında kullanılan başlıklardaki açıklamalar bu kadar şimdi bir senaryo ile uygulamada bu anlattıklarımızı test edelim.


Örnek Uygulama:

Benim tavsiyem ilk olarak “Sending Profiles” başlığından başlamak, nedeni ise bu adımları gerçekleşmesinde problem yaşarsak diğer yapmış olduğumuz adımların hiçbir işe yaramadığını anlarız. 



Sending Profiles:

Şimdi ilk olarak ”Sending Profiles” başlığına gelerek Phishing mail'imizi gönderebilmek için ayarlarımızı yapmaya başlayalım.




“+New Profile” butonuna basıyoruz ve karşımıza aşağıdaki gibi “New Sending Profile” penceresi açılıyor.




Yukarıdaki alanları doldurmaya başlayalım ama ilk olarak hangi smtp server kullanacağımız seçmemiz gerek, biz burda sendgrid smtp server ayarlarını kullanacağınız.

İlk olarak sendgrid smtp server ayarlarını yapabilmemiz için https://sendgrid.com/ adresine üye olmamız gerek, linke tıkladıktan sonra “Try For Free” butonuna tıklayarak ücretsiz deneme hesabı oluşturuyoruz.

Not:  Kayıt olurken kendinize ait mail adresinizi kirletmek istemiyorsanız, https://tempail.com adresindeki fake mail adreslerinden yararlanabilirsiniz ama bazı fake mail siteleri sendgrid tarafından tanınmaktadır bunuda hatırlatmakta fayda var.




Sonra smtp ayarlarını görebilmem için ilgili alana gideceğim. Sol üst köşede bulunan Hesap ayarlarının bulunduğu alana tıkladığımızda “Setup Guide” alanına gittiğimizde aşağıdaki gibi “Integrate using our Web API or SMTP relay” yazılı alandaki “Start” butonuna tıklıyoruz.




 Karşımıza aşağıdaki gibi Web API ve SMTP Relay alanları gelmektedir. Biz SMTP Relay alanına giriyoruz.



SMTP Relay alanına girdikten sonra karşımıza smtp server bilgilerinin geldiğini görüyoruz.




Burda yapmanız gereken önemli adım kendinize bir key oluşturmanız olacaktır. Key oluşturma işleminide aşağıdaki gibi text alanına bir isim vererek create edebilir veya API keys page linkine tılayarak kendiniz oluşturabilirsiniz.




Bu işlemide tamamladıktan sonra artık smtp ayarlarımızı hazırlamış olmaktayız. Sendgrid sayfasında işlemimiz bitmiştir. Şimdi Gophish uygulamamızda kaldığımız yerden devam edebiliriz.

Hatırlarsanız en son “New Sendig Profile” penceresindeki bilgileri girecektik. Şimdi bu pencerede istenilen alanları doldurmaya başlayabiliriz. 



 Yukarıdaki gibi ilgili alanları dolduralım;
  • Name: Oluşturacağımız mail adresini tanımlamak için herhangi bir isim.
  • Interface Type: Gophish SMTP desteklediği için olduğu gibi kalacak zaten değiştirilmiyor.
  • From: Gönderecek olduğunuz mail adresi (istediğiniz mail adresini tanımlayabilirsiniz).
  • Host: Sendgrid adresinden almış olduğumuz smtp host bilgileri (smtp.sendgrid.net:587).
  • Username: Sendgrid adresine kayıt yapmış olduğumuz username.
  • Password: Sendgrid adresinin oluşturduğu veya bizim oluşturduğumuz key.
Bu adımları sorunsuz tamamladıktan sonra ayarlarımızın sorunsuz çalıştığını denemek için yukarıdaki resimin en altında bulunan “Send Test Email” butonuna tıklıyoruz. Karşımıza aşağıdaki gibi bir pencere açılmaktadır.




İlgili alanlar doldurulduktan sonra “Send” butonuna tıklayarak test mailimizi göndermiş oluyoruz. Eğer Sending profile alanında bulunan alanlardaki bilgilerimiz doğru ise aşağıdaki gibi bir olumlu uyarı mesajı almaktayız.




Test maili gönderdiğimiz kişi tarafından alınan mail görüntüsü aşağıdaki gibidir;




Bu mesajıda aldığımıza göre işlemimizi başarı ile tamamlamış oluyoruz. Şimdi sırada diğer adımlar.


Landing Pages:


Landing Pages alanına gelerek phishing yapacağımız web sitesini oluşturacağız. Bu alanın güzel bir özelliği (eğer engellenmediyse) URL’ini vermiş olduğumuz sayfayı çekebilmektedir.

Aşağıda “Landing Pages” alanının görüntüsü bulunmaktadır.




Yukarıda bulunan “+New Pages” butonuna tıkladığımızda aşağıdaki gibi karşımızı “New Landing Page” penceresi gelmektedir. Açılan penceredeki alanları şimdi doldurmaya başlayalım. 



Name: Oluşturacağımız sayfa taslağına vereceğimiz isim.

Yukarıdaki “Import Site” butona tıkladığımızda karışımıza aşağıdaki gibi “Import Site” penceresi açılacaktır.



Açılan bu penceredeki “URL” alanına istediğimz bir sitenin URL adresini verdikten sonra “import” butonuna tıkladığımızda sayfayı gophish’e yüklemiş oluyoruz. Yüklemiş olduğumuz sayfa aşağıdaki gibi görüntülenmektedir.



Sayfa yükleme işlemimiz bittikten sonra aşağıdaki gibi “Capture Submitted Data” ve “Capture Password” seçenekleri seçilmesi gerekmektedir. Bu seçenekler phishing için göndermiş olduğumuz kişilerin girmiş olduğu bilgileri kayıt altına alabilmemiz için seçilmiş olması gerekmektedir.

Not: “Redirect to” başlığının altında bulunan URL alanına phishing sayfasını submit eden kişinin yönlendirilmek istediği sayfayı belirtmektedir.


Phishing için sayfamızıda oluşturduğumuza göre şimdi sıra göndereceğimiz E-mail template’ini oluşturmakta.



E-Mail Templates:


Aşağıda “Email Templates” alanının görüntüsü bulunmaktadır.




“+New Template” butonuna basıyoruz ve karşımıza aşağıdaki gibi “New Template” penceresi açılıyor.




  • Name: Oluşturacağımız e-mail template’inin ismi.
  • Import Mail(Buton): Bu butona tıkladığımızda daha önceden hazırlamış olduğumuz mail taslaklarını direk gophish uygulamasına aktarabiliriz.
  • Subject: Göndermeyi istediğimiz e-mail’imizin başlığında görüntülenmesi gereken yazı.
  • Text (Tab): Text tabına gelerek manuel olarak istediğimiz mail içeriğini oluşturabiliriz.
  • Html (Tab): Html tabına gelerek manuel olarak yada hazır olan form html kodlarını yapıştırabilir veya üzerinde istediğimiz değişikliği yapabiliriz. Import yöntemiyle eklemiş oluşturduğumuz e-mail template’lerimiz html kodlarını otomatik olarak bu alana eklenmektedir.
  • Add Files (Button): Addfile butonu aracılığıyla göndermek istediğimiz e-mail’imize her formattaki dosyaları ekleyebiliyoruz.


Burada dikkat edilmesi gereken bir husus daha bulunmakta, hazırlamış olduğumuz “Landing Page” sayfasını e-mail içerisine eklememiz gerek yoksa gönderdiğimiz e-mail sadece e-mail olarak kalır.

Aşağıdaki gibi HTML alanına gelerek linki vermek istediğimiz text (varsa resim) alanı seçilerek sarı ile boyalı olan butona tıklayınız.




Tıkladığımızda karşımıza aşağıdaki gibi bir pencere açılmaktadır.




Burada en önemli nokta URL alanına {{.URL}} yazılması gerekmektedir. 

İpucu: Mail içeriklerinizi hazırlarken aşağıdaki gibi ufak dokunuşlarla ilgili kişilere özel e-mail oluşturabilirsiniz. E-mail atılacak kişi(ler) grubu oluştururken FirstName, LastName, Email ve Position alanlarını doldurmanız gerekmektedir.

Örnek:

Hazırlanan Mail Taslağının İçeriği:

Merhaba {{.FirstName}} {{.LastName}}
{{.Email}} adresiniz ile yapmış olduğunuz girişinizi kontrol etmek için Tıklayınız.

--------------------------------------------------------------------------------------------------------------------------------------------

Alıcının Görüntülediği Mail İçeriği:

Merhaba Mehmet Can Demir
phishing@btrisk.com adresiniz ile yapmış olduğunuz girişinizi kontrol etmek için Tıklayınız.


E-Mail içeriğimizide kendimize göre ayarladığımıza göre şimdi sıra göndereceğimiz kişi(leri) eklemekte.


Users & Groups:

Aşağıda “User & Groups” alanının görüntüsü bulunmaktadır.




“+New Group” butonuna basıyoruz ve karşımıza aşağıdaki gibi “New Group” penceresi açılıyor.





  • Name: Göndereceğimiz kişi(ler) listesine vereceğimiz isim.
  • +Bulk Import Users (Button): Elimizde hazır e-mail adreslerinin bulunduğu liste mevcut ise (makalenin başında toplu olarak CSV formatında e-mail listesinin nasıl hazırlanacağını anlatmıştım) CSV formatındaki dosyamızı yükleyebiliriz.

Maunel Olarak Ekleme: Aşağıdaki başlıkların bulunduğu Textbox alanlarını doldurduktan sonra “+Add” butonuna tıklayarak ilgili kişiyi eklebilirsiniz.

First Name Last Name Email Position

E-mail grubumuzuda oluşturduğumuza göre şimdi sıra phishing mail'imizi göndermekte.


Campings:

Aşağıda “Campaigns” alanının görüntüsü bulunmaktadır.




“+New Campaign” butonuna basıyoruz, karşımıza aşağıdaki gibi “New Campaign” penceresi açılıyor.




  • Name: Hazırlamış olduğumuz phishing senaryomuzu göndermek ve analiz etmek için oluşturduğumuz template ismi.
  • Email Template: Hazırlamış olduğumuz E-mail template’lerinin seçildiği alan.
  • Landing Page: Hazırlamış olduğumuz Landing Page’lerinin seçildiği alan.
  • URL: Bu alana bulunduğumuz network’ün dış IP adresini yazmamız gerekmektedir. (GoPhish uygulamasının çalışmış olduğu IP adresinede yönlendirme yapmanız gerekecek)
  • Schedule: E-mail’lerin istenilen tarih ve zaman diliminde göndermek için ayarların yapıldığı alan.
  • Sending Profile: Hazırlamış olduğumuz Sending Profile’lerinin seçildiği alan.
  • Group: Hazırlamış olduğumuz User & Group’larının seçildiği alan.



Artık tüm işlemlerimizi gerçekleştirmiş bulunuyoruz. Sıra phishing E-mail’lerimizi göndermiş olduğumuz kişi(ler)in senaryomuz çerçevesinde bize dönüş yapmasını bekliyeceğimiz alana geldik.


Dashboard:

Aşağıda “Dashborad” alanının görüntüsü bulunmaktadır.




Dashboard alanında “Target map” alanı bulunmaktadır. Sendgrid smtp servisi bu alanı desteklemediği için bu alanda herhangi bir haraketlilik görülmemektedir.




Göndermiş olduğumuz phishing e-mail’inin detayları aşağıdaki resimlerde anlatılmaktadır.




















Örnek senaryomuzu sonlandırmak için aşağıda bulunan “Complete” botununa tıkladığımızda göndermiş olduğumuz E-mail içerisindeki link disable durumuna geçmektedir.

Yukarıda incelemiş olduğumuz sonuçları rapor olarak almak istersek “Export CSV” butonuna tıklamamız yeterli olacaktır. (Raporu biraz düzenlemeniz gerekmektedir.)





Örnek senaryomuzu burada sonlandırmış oluyoruz. 

Bu uygulamayı KÖTÜ amaçlar için kullanmayacağınıza sadece FARKINDALIĞIN artmasına katkı sağlayacağınızı umuyorum.

08 Ekim 2018

LOG YÖNETİMİNE GENEL BAKIŞ

Giriş: 


Log, meydana gelen olayların ve hareketlerin kayıt altına alındığı dosyalardır. Yazılımlar, işletim sistemleri ve websunucuları olmak üzere birçok alanda loglar aktif olarak kullanılmaktadır.

Loglar girişlerden oluşur; her bir giriş, gerçekleşen belirli bir olayla ilgili bilgileri içerir. Bir sistem veya ağ içinde başlangıçta, Loglar öncelikle sorun giderme için kullanılırdı. Ancak loglar artık sistem ve ağ optimizasyonu gibi çoğu kuruluşta birçok fonksiyona hizmet etmektedir. Performans, kullanıcı eylemlerini kaydetme ve kötü amaçlı etkinlikleri araştırmak için yararlı veriler sağlamaktadır.

Log yönetimi altyapıları, sistem ve ağ performansını optimize etme, kullanıcıların eylemlerini kaydetme ve kötü amaçlı etkinlikleri tanımlamak ve güvenlik olaylarını araştırmak için yararlı veriler sağlamak gibi log verilerinin üretimini, analizini ve güvenliğini destekleyen işlevleri yerine getirir. 

Log altyapısı, log oluşturma, izleme, analiz, koruma, depolama ve bertaraf için süreçleri içerebilir. Log yönetim politikaları, denetlenebilir olayları ve depolama/saklama gerekliliklerini tanımlamalı ve önceliklendirmelidir.

Loglar, içinde meydana gelen birçok farklı olay türü ile ilgili bilgileri içerecek şekilde geliştirilmektedir.
Yüksek ya da düzenleyici uygunluk için gerekli olduğunda kategorize edilen sistemler veya uygulamalar, asgari olarak aşağıdaki denetlenebilir bilgileri ve olayları kaydetmelidir:

• Kullanıcı adı
• Giriş ve çıkış tarihleri
• Oturum açma yöntemi, konum, terminal kimliği (eğer mümkünse), Ağ adresi
• Başarısız sistem veya veri erişim denemeleri
• Tüm yöneticiler, geliştirici, süper kullanıcı veya diğer ayrıcalıklı erişim kullanan kullanıcılar
• Sistem uyarıları veya hataları
• Önemli olarak nitelendirilen olaylar kayıt türleri

Log verileri, eğitimli personel tarafından rutin olarak incelenmeli ve analiz edilmelidir. Log kayıt dosyalarına ve konfigürasyonlarına erişim denetlenmeli, izlenmeli ve ilgili personelle sınırlandırılmalıdır.

Sistemler olası saldırıları kendi formatına göre kayıt altına alabilmektedir. log yönetim ürünleri son kullanıcının anlayacağı dile çevirerek saldırılar hakkında bilgi toplanmasına fayda sağlayabilir.

FISMA, HIBAA, SOX, COBIT, ISO 27001 ve 5651 sayılı kanun (internet suçlarını önlemeye yönelik) gibi yerel veya uluslararası standartlar log yönetimini zorunlu kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahiplerdir.

Log yapıları kullanılan sistemlere göre karakterleri itibari ile dağıtık yapıya sahip sistemlerdir.

Log kayıt dosyaları Devletin muhafaza şartlarına tabidir ve yeterli detayda ve uygun bir süre için saklanmalıdır. Log kayıt arşivlerinin bütünlüğü ve kullanılabilirliği korunmalıdır.

EPS hakkında bilgi vermek gerekirse ingilizce “Event Per Second” olarak tanımlanmaktadır. Bir saniye içerisinde sisteme ulaşan data miktarını tanımlayan değerdir. Log toplama sistemlerinde eklenen kaynakların tamamından veya bir tanesinden, var olan n saniyelik periyotta, log aldığınız ürüne ulaşan data miktarı olarak özetlenmektedir.

*Şunu unutmamak gerek log yönetim ürünleri kesinlikle bir saldırı önleme sistem olarak algılanmamalıdır.


Kanun ve Mevzuat Gereklilikleri: 


5070 Sayılı Kanun 


5070 sayılı elektronik imza kanununa göre zaman damgası alınarak sistem içerisindeki logların imzalanarak arşivlenmesi gerekmektedir. Nitelikli zaman damgası hizmeti veren kurumun ZD (Zaman Damgası) fiyatlandırması aşağıdaki tabloda belirtilmiştir.

http://www.kamusm.gov.tr/urunler/zaman_damgasi/fiyatlandirma.jsp 

Örnek: Türkiye’deki Nitelikli Zaman Damgası hizmeti veren kuruluşlar her imza için 177 Kuruş ücret talep edilmektedir. Saniyede 1000 EPS kayıt oluşturan bir firma için ödenecek rakam saniyede 177 TL, dakikada 177 x 60 = 10.620 TL , günde 10620 * 3600 = 38.232.000 TL yapar.

Türkiye’de belirli sektörlerde hizmet veren kuruluşların tabi oldukları yasalara göre logları saklama süreleri yayınlanan kanun veya mevzuatlarda belirtilmektedir.

T.C Kanun veya Mevzuatların Gereklilikleri 5651 kanunu (İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN) 

http://www.resmigazete.gov.tr/eskiler/2017/04/20170411-3.htm 

MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sistemini kullanmak.
b) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak.
c) Kamuya açık alanlarda internet erişimi sağlayan toplu kullanım sağlayıcılar, kısa mesaj servisi (sms) ve benzeri yöntemlerle kullanıcıları tanımlayacak sistemleri kurmak.
2) İnternet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin yanı sıra, ilave tedbir olarak güvenli internet hizmeti de alabilirler. 


SPK (Sermaye Piyasası Kurulu) 

http://www.resmigazete.gov.tr/eskiler/2015/08/20150801-6.htm 

MADDE 27 ‒ (1) Yatırım kuruluşlarının yatırım hizmet ve faaliyetleri ile yan hizmetler dolayısıyla aldıkları ve ürettikleri elektronik olanlar da dahil her türlü belgeyi, gerçekleşip gerçekleşmemesine bakılmaksızın müşteri emirlerine ilişkin tüm emir formlarını, elektronik ortamda alınan emirleri ve bu emirlere ilişkin belgeler ile faks kayıtlarını düzenli ve tasnif edilmiş bir biçimde 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununun 82 nci maddesi uyarınca 10 yıl süre ile saklamaları zorunludur.
Ses kayıtları için saklama süresi 3 yıldır.



6518 Sayılı “AİLE VE SOSYAL POLİTİKALAR BAKANLIĞININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME İLE BAZI KANUN VE KANUN HÜKMÜNDE KARARNAMELERDE DEĞİŞİKLİK YAPILMASINA DAİR KANUN” 

http://www.resmigazete.gov.tr/eskiler/2014/02/20140219-1.htm 

MADDE 88 – 5651 sayılı Kanunun 5 inci maddesinin ikinci fıkrası aşağıdaki şekilde değiştirilmiş ve aynı maddeye aşağıdaki fıkralar eklenmiştir.
2) Yer sağlayıcı, yer sağladığı hukuka aykırı içeriği bu Kanunun 8 inci ve 9 uncu maddelerine göre haberdar edilmesi hâlinde yayından çıkarmakla yükümlüdür.
3) Yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.
4) Yer sağlayıcılar, yönetmelikle belirlenecek usul ve esaslar çerçevesinde yaptıkları işin niteliğine göre sınıflandırılabilir ve hak ve yükümlülükleri itibarıyla farklılaştırılabilirler.
5) Yer sağlayıcı, Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle ve Başkanlıkça bildirilen tedbirleri almakla yükümlüdür.
6) Yer sağlayıcılık bildiriminde bulunmayan veya bu Kanundaki yükümlülüklerini yerine getirmeyen yer sağlayıcı hakkında Başkanlık tarafından on bin Türk Lirasından yüz bin Türk Lirasına kadar idari para cezası verilir.



ELEKTRONİK HABERLEŞME SEKTÖRÜNDE ŞEBEKE VE BİLGİ GÜVENLİĞİ YÖNETMELİĞİ 

http://mevzuat.basbakanlik.gov.tr/Metin.Aspx?MevzuatKod=7.5.19880&MevzuatIliski=0&sourceXmlSearch=Elektronik 

MADDE 29 – (1) İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve asgari aşağıdaki hususların uygulanabilir olanlarını içeren kayıt dosyalarını en az 2 yıl süreyle tutar:

*Tabi olunan kanun ve mevzuatların düzenleme/iptal durumlarında değişklik gösterdiği için düzenli olarak takip edilmesi gerekmektedir.

Log Yönetiminin Temel Başlıkları: 

Log Güvenliği 

Güvenlik yöntemleri Log yönetim çözümleri arasında değişiklik göstersede, aşağıdaki genel tavsiyelere bakmakta fayda var:

• Log kaydı üreten süreçlerin bütünlüğünü sağlamak, yetkili/yetkisiz kullanıcıların değiştirmeye veya kesintiye uğratmalarına izin verilmemelidir.
• Yerel kayıt dosyalarına erişimi sınırlandırılmalı, log verilerini ana makinelerde saklanırsa kullanıcı hesaplarına log erişim verilmemelidir. Log dosyalarına mümkünse, okunamaz, yeniden adlandırılamaz veya log dosyalarına ayrıcalık erişim hakları bulunanların silebilmesine karşı engellenmesi gerekir.
• Merkezi kayıt dosyalarında güvenliğin önemi merkezi log kayıtlarına ulaşmak isteyen saldırganlar için cazip bir hedef olarak görülmektedir. Bir çok kaynak dizinden elde edilen log verilerinin değiştirilmemesi için merkezi konum, dijital imzalama veya şifreleme gibi güvenlik önlemlerinin önemi büyüktür. Bu verilerin bütünlüğünü sağlamak, olumsuz durumlarda oluşan olayların gerçek kanıtlarına ulaşmak için gereklidir.
• Log kayıtlarının güvenli veri aktarımı mümkünse, log kaynakları ve merkezi bir log arasında aktarılan veriler yetkisiz modifikasyonları önlemek için güvence altına alınmalıdır. Cihazlardaki logların iletimi için kullanılan ajanlar tarafından şifreli iletişim kanalları desteklenmelidir. Düz metin protokolleri kullanan diğer log kaynakları Internet Protokolü Güvenliği gibi ek şifreleme katmanlarının kullanılması (IPsec) tünelleri gereklidir. Bu da birçok kuruluş için pratik olmayabilir ancak yüksek değerli log kaynaklarının verilerini aktarması gerektiğinde dikkate alınması gerekmektedir.

Log Depolama ve Saklama 

Log kaynağı tanımlama ve seçim işlemi tamamlandıktan sonra, bu bilgilerin saklanması için uygun yöntem belirlenmelidir. Kullanılabilecek farklı depolama stratejisi vardır:
o Yerel Depolama
o Merkezi Depolama
o Vb.

Yerel depolama, kuruluş genelinde depolama gereksinimleri için cihaz kendi veri deposunu tedarik etmekle sorumludur ve veritabanı temini gereklidir.

Merkezi depolama, bir ağa bağlı olan çeşitli aracıların kendi loglarını ya da bir amaca yönelik olarak oluşturulan logları ortak bir yönetim merkezinde toplanmasının temini gereklidir.

Her ne kadar bazı yerel log kayıtları genellikle tavsiye edilse de daha büyük miktarlarda log verilerinin önceden toplanması ve bunlarla ilişkilendirilmesini sağlamak gerekir. Merkezi depoalama izinsiz giriş tespiti ve yanıtlama amaçları için gerçek zamanlı analizleri mümkün kılmakta. İki yaklaşımın ortak kombinasyonuda bir yöntem olarak düşünülebilir. Bu iki depolama durumlarında, en önemli log kaynakları ve verileri alanlar otomatik olarak merkezi bir yere yönlendirilir ve gerçek zamanlı analiz için daha derin verilere daha kısa sürede ulaşmak için saklanır. Bireysel cihazlar muhafaza edilen yerel depolama için bir olay tespit edilmesi gerektiğinde talep cihaz üzerinde sorgulanır.

Örnek: Bir yıllık log depolama alanı için ortalama disk kapasitesi = 365 gün x 24 saat x 3600 saniye x 1000 EPS x 150 byte (ortalama bir değer anlınmıştır) = 475~ gigabyte / yıl diyebiliriz. İyi bir sıkıştırma yöntemiyle bu değer dahada küçültülebilir.

Log Retention 

Log toplama çözümünde aranması gereken özelliklerden biri eski olay kayıtlarının log toplama sistemi dışında saklanmasıdır. Bu özellik “Log Retention”olarak bilinir.

Örnek: 5651 sayılı kanun 2 yıl kayıtların saklanmasını istemektedir. Bundan eski kayıtların veritabanında saklanması maliyet olarak daha fazla yük getireceği için ilgili kayıtların başka bir ortamda saklanması ihtiyacı ortaya çıkmıştır.

Log retention sayesinde ilgili kayıtlar daha ucuz bir ortamda saklanabilir ve gerektiğinde tekrar sisteme yüklenebilir.

Bu durumun olumsuzlara karşı (logların değiştirilmesi, silinme veya bozulması vb.) nedenlerden ötürü, kayıtları veritabanında saklayan ürünler biraz daha avantajlı görünmektedir.  

Log yönetiminde son kullanıcılar için gerekli özellikler:

• Gelişmiş arama ve filtreleme özellikleri
• İstenilen log detaylarına göre görüntüleme ve arama
• Gerçek zamanlı arama ve izleme; bağlamsal görünüm, özel etiketler ve canlı kuyruk arama
• Hatalara ve uyarılara dikkat çekmek için otomatik renk kodlaması
• Gerçek zamanlı log kuyrukları
• Çeşitli uygulama ve sunucu loglarını destekleme
• İhtiyacınız olanı bulmak için sınırsız miktarda veri ile arama yapma
• Herhangi bir veri hatasını izlemek için özel uyarılar ve tetikleyiciler
• Basit ve kullanıcı dostu arayüz
• Kolay kurulum; doğrudan servis tarafından sağlanan bir bağlantıya giriş yapma
• Birden çok kaynaktan veriyi ayırabilen birleştirilmiş log katmanı
• Modern veri kaynaklarının çoğunluğu ile uyumlu olma
• Logların yüksek performanslı ve yüksek hızla işlenmesi.
• Yasalara uygun olarak otomatik raporlama
• Son derece ölçeklenebilir ve herhangi bir performans sorunu olmadan terabaytlarca veriyi yönetebilme
• Linux, GNU, Solaris, BSD, Android ve Windows için çoklu platform desteği
• 500.000 EPS veya daha fazla sayıda logları toplama yeteneği ile ölçeklenebilir ve yüksek performans gösterme
• SSL üzerinden güvenli ağ aktarımı
• Anlık raporlar - arama sorgularınıza göre ayrıntılı raporlar oluşturma
• Mevcut tüketim oranına bağlı olarak daha fazla depolama kullanılabilirliğine ihtiyaç duyacağınızı bilmenizi sağlayan sezgisel depolama ve uyarı analizi
• Yüksek kapasiteli log sınıflandırma
• FISMA, HIBAA, SOX, COBIT, ISO 27001 ve 5651 sayılı kanun (internet suçlarını önlemeye yönelik) gibi yerel veya uluslararası standartlar ve bilgi güvenliği süreçlerini optimize etme
• Dosya bütünlüğünü izleme  

Özet: 


Logların Merkezileştirilmesi

Günlük verilerinin bir log yönetim çözümünde merkezileştirilmesi eski bir standarttır. Ancak herhangi bir log yönetim çözümü hayati bir bileşendir. Bilgisayar korsanları, logları yok edebilir, izleme mekanizmalarını devre dışı bırakır ve log yönetimin algılamasının önüne geçmek için ağınızın denetlenmeyen köşelerine gizlenebilir. Merkezi bir log yönetim sistemi, bilgisayar korsanlarının ellerinden çıkıp ağdaki verileri topladığı için merkezi log yönetim çözümleri iyi bir alanda saklanması bu durumları engelleyecektir. Çözüm önerisi olarak, şifrelenmiş kanallar üzerinden veriyi çoklu araçlarla toplamaktır.

Bir log yönetim sürecinde 5 (beş) parametre vardır. Bunlar aşağıdaki gibidir:

Görünürlük 

Bir log yönetimi çözümü, kurumunuzdaki tüm olayları bir kerede takip etme, BT güvenlik ekiplerinin güvenlik algılama verimliliğinizi iyileştirme ve etkinlik farkındalığını artırma yeteneğinini artırmaktadır. Bu durumların harcinde kötü amaçlı siber güvenlik olaylarına karşı geliştirilmiş bir tepki süresi olmalıdır.

Depolama 

Depolama kapasitesi, log kayıtlarının güvenliğini ve gerektiğinde kolayca geri alınmasını sağlamak için koruma, sıkıştırma, şifreleme ve arşiv işlevlerini içermelidir. Küresel girişimler, logların sadece depolama alanlarının ihtiyaçlarını karşılayıp karşılamadığını değil, aynı zamanda farklı uluslararası veri kanunlarıyla da ilgilenip ilgilenmediklerini de dikkate alarak, logların depolama alanlarını dikkate almalıdır.

Yasalar 

İster hükümet ister endüstriyel olsun, hemen hemen hepsi etkinlik ve olay verisi kaydıyla uyumluluk gerektirir. Log yönetimiyle merkezi bir kayıt sistemine sahip olmak, bu uyum çabalarının verimliliğini artırır. Ancak, kuruluşunuzun tam olarak ne yapması gerekeceğini ve her girişim için ne kadar süre muhafaza edileceğinde farklılıklar olacaktır. Log yönetim çözümleri, esnekliğe ve işletmeye özgü denetim kontrollerine adapte olabilmelidir.

Arama 

Herhangi bir log yönetim çözümü için dizin oluşturma ve sorgulama yetenekleri bir zorunluluktur. İyi bir çözüm, benzersiz aramalar ve sınıflandırma etiketleri ile log aramalarını optimize etmek için birden fazla sorgu seçeneği sunmalıdır.

Raporlama 

Raporlama, özellikle dikkat etmeniz gereken bir alandır. Güvenlik trendleri hakkında size önemli veriler sağlar ve uygunluğu kanıtlar. Raporlama, güvenlik politikalarının güvenliği ihlal edebilecek veya sonuçta ortaya çıkabilecek güvenlik olaylarına dayalı olarak değişiklik yapma ihtiyacını doğrulamanıza yardımcı olabilir.

• İstenilen türdeki raporları uyumlu hale getirmek ve uyum sağlamak için gereken araçların ve verilerin sağlanması gerekli,
• Sistemlere ve kaynaklara kimlerin eriştiğini anlamak çok önemlidir. Güvenliği korumak için gereken ayrıntıları almalı,
• Başarısız oturum açma girişimlerini, oturum açma durumlarını, hesap yönetimini, yeni kullanıcı hesaplarını ve nesne erişimini takip etmeli,
• Kullanıcı erişimini analiz etmek ve denetlemek için dahili ölçütleri destekleyen karmaşık filtreler oluşturmalı,
• Günlük veya haftalık “Güvenlik Etkinliği” raporları başarısız oturum açılması gibi durumların raporu alınmalı,
• Başarısız oturum açma denemelerinin, hesap kilitlemelerinin ve dosya erişiminin gerçek zamanlı bildirimleri alınmalı,

Raporlama işlevlerimiz, birçok yasal uyum standartlarını karşılamalı, İlgili yasalar bazıları:

o PCI Veri Güvenliği Standardı (PCI DSS)
o Sarbanes-Oxley Yasası (SOX)
o Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA)
o Avrupa Birliği Veri Koruma Direktifi (EU DPD)
o 2002 Federal Bilgi Güvenliği Yönetimi Yasası (FISMA)
o Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
o ISO 27001 Bilgi Güvenliği Yönetimi  


 Log Yönetim Altyapıları: 




**Bu mimaride geçen tanımlar Logstash referans alınarak anlatılmıştır. 

Log Kaynakları: 

İşletim Sistemleri 

o Windows XP/Vista/7/8/10
o Windows Server 2000/2003/2008/R2/2012/2016
o Unix/Linux Türevleri
o Nas Cihazları (NetApp)

Uygulamalar 

o IAS (Vpn), DHCP
o IIS 6/7/7.5/8/8.5/10 (W3C)
o Apache (Syslog)
o SharePoint
o Postfix

Network Cihazları 

o Cisco Switch/Router
o Generic Syslog
o Snmp mib walk

Firewall / Proxy 

o ISA/TMG Server/Websense/Juniper
o Cisco Pix/CheckPoint

Email 

o Exchange 2007, 2010, 2013, 2016
o Office 365 Exchange
o SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler

Veri Tabanı 

o Oracle
o MySQL
o MSSQL
o Sybase

IDS/IPS 

o Cisco
o Palo Alto Networks
o WatchGuard
o Fortinet
o Check Point

Redis: 

Bir veri yapısı sunucusudur. Açık kaynak, bellek kullanımlı, anahtar-değer deposudur. Redis "Uzak Sözlük Sunucusu" (İngilizce: "REmote DIctionary Server") anlamına gelmektedir. Çeşitli kaynaklara göre en çok kullanılan anahtar-değer veritabanıdır. Haziran 2015'den beri Redis Labs şirketi tarafından geliştirilmesine destek sağlanmaktadır. Ondan önce Pivol Software ve VMware şirketleri tarafından destekleniyordu.

Programlama Dili Desteği 

Çoğu programlama dili Redis ile çalışabilmektedir. ActionScript, C, C++, C#, Clojure, Common Lisp, Dart, Erlang, Go, Haskell, Haxe, Io, Java, JavaScript (Node.js), Lua, Objective-C, Perl, PHP, Pure Data, Python, R, Racket, Ruby, Scala, Smalltalk vb.

Veri Türleri 

Redis verileri anahtar-değer atamalarına göre depolamaktadır. Diğer anahtar-değer veritabanlarından farklı olarak Redis soyut (abstract) veri türlerini de desteklemektedir. Bunlar:

• Metin listeleri
• Metin kümeleri (tekrar etmeyen dağınık koleksiyon elementleri)
• Dizili metin kümeleri (tekrar etmeyen kayan nokta skoruna göre dizili metin setleri)
• Anahtarlar ve değerlerinin metin olduğu hash tabloları

Redis sunucu tarafında atomik işlemlere imkan tanır.

Logstach: 

Logstash, olayları ve log mesajlarını toplamak, işlemek ve iletmek için kullanılan bir araçtır. Koleksiyon, ham soket/paket iletişimi, dosya kuyruğu ve birkaç mesaj veri yolu istemcisi dahil yapılandırılabilir. Giriş eklentileri aracılığıyla gerçekleştirilir. Bir giriş eklentisi veri topladıktan sonra, olay verilerini değiştiren ve not ekleyen herhangi bir sayıda filtre ile işlenebilir. Son olarak, logstash olayları, eklentileri Elasticsearch, yerel dosyalar ve birkaç mesaj yolu uygulaması dahil olmak üzere çeşitli harici programlara iletebilen çıkış eklentilerine yönlendirir.

ElasticSearch: 

Lucene merkezli bir arama motorudur. HTTP web arayüzü ve şema içermeyen JSON belgelerine sahip, dağıtık, çok kanallı, tam metinli bir arama motoru sağlar. Elasticsearch, Java'da geliştirilmiştir ve Apache Lisansı koşulları altında açık kaynak olarak piyasaya sürülmüştür. Resmi istemciler Java, .NET ( C # ), PHP, Python, Apache Groovy, Ruby ve diğer birçok dilde kullanılabilir. DB-Motorları, Elasticsearch ardından en popüler kurumsal arama motorudur.

Elasticsearch bir veri koleksiyonunda birlikte geliştirilmiştir ve log-ayrıştırma Logstash denilen motoru ve adı verilen bir analitik ve görselleştirme platformu olan Kibana . Üç ürün, "Elastik Yığın" (eskiden "ELK yığını") olarak adlandırılan entegre bir çözüm olarak kullanılmak üzere tasarlanmıştır.

Elasticsearch, her türlü belgeyi aramak için kullanılabilir. Ölçeklenebilir arama sağlar, gerçek zamanlı aramaya yakındır ve çoklu erişimi destekler. "Elasticsearch dağıtılır, bu da endekslerin parçalara bölünebildiği ve her bir parçanın sıfır veya daha fazla kopyaya sahip olabileceği anlamına gelir. Her düğüm bir veya daha fazla parçaya ev sahipliği yapar ve operasyonları doğru parçalara dağıtmak için bir koordinatör görevi görür. Yeniden dengeleme ve yönlendirme otomatik olarak yapılır ". İlgili veriler genellikle bir veya daha fazla birincil parçadan oluşan sıfır ve daha fazla çoğaltma parçası içeren aynı dizinde saklanır. Bir indeks oluşturulduktan sonra, birincil parçaların sayısı değiştirilemez.

Elasticsearch, Lucene'yi kullanır ve tüm özelliklerini JSON ve Java API'sı aracılığıyla kullanıma sunmaya çalışır. Başka bir özellik "ağ geçidi" olarak adlandırılır ve dizinin uzun süreli kalıcılığını ele alır; Örneğin, bir sunucu çökmesi durumunda ağ geçidinden bir dizin kurtarılabilir. Elasticsearch, gerçek zamanlı GET isteklerini destekler, bu da onu bir NoSQL veri deposu olarak uygun hale getirir, ancak dağıtılmış işlemlerden yoksundur.

• Cluster (Küme): 

Cluster'ın ana rollerinden biri, hangi düğümlerin hangi düğümlere tahsis edileceğine karar vermek ve kümeleri yeniden dengelemek için düğümler arasındaki parçaları ne zaman hareket ettirmek gerektiğini sağlamaktır.

o Node (Düğüm): 

Elasticsearch başlattığınızda, bir düğüm başlatmış olursunuz. Bağlı düğümlerin bir koleksiyonuna küme denir. Tek bir Elasticsearch düğümü çalıştırıyorsanız, bir düğümden oluşan bir kümeniz olduğu anlamına gelir.

Kümedeki her düğüm varsayılan olarak HTTP katmanındaki trafiği işleyebilir. Aktarım katmanı sadece düğümler ve JavaTransportClient arasındaki iletişim için kullanılır ; HTTP katmanı yalnızca harici REST istemcileri tarafından kullanılır.

Tüm düğümler kümedeki diğer tüm düğümleri bilir ve istemci isteklerini uygun düğüme iletebilir. Bunun yanı sıra, her düğüm bir veya daha fazla amaca hizmet edebilir.


Kibana: 

Kibana açık kaynak veri görselleştirme eklentisi olarak tanımlanabilir. Bir Elasticsearch kümesinde indekslenen içeriğin üst kısmında görselleştirme özellikleri sağlar. Kullanıcılar, büyük hacimli verilerin üzerine çubuk, çizgi ve dağılım grafikleri veya pasta grafikleri ve haritalar oluşturabilir.

Kombinasyonu Elasticsearch "Elastik Stack", Logstash ve Kibana, bir ürün veya hizmet gibi kullanılabilir. Logstash, depolama ve arama için Elastic'e bir girdi akışı sağlar ve Kibana, panolar gibi görselleştirmeler için verilere erişir ve görselleştirme işlemini gerçeklşetirir.  

Log Yönetim Ürünleri: 


Açık kaynak kodlu ürünler: (Ürünlerin sıralaması herhangi bir öncelik/tercih durumunu ifade etmemektedir) 



1. Splunk, macOS, Linux ve Windows için kapsamlı bir log yönetim sistemidir. Sistem yönetimi topluluğu içinde iyi bilinen bir programdır. Splunk sadece bir log dosyası düzenleyicisi değil, bir ağ yönetim sistemi görevide görmektedir.

Ücretsiz Splunk dosya analizi ile sınırlıdır. Standart kayıtlarınızdan herhangi birini besleyebilir veya bir dosya üzerinden canlı verileri analizöre gönderebilirsiniz. Ücretsiz hizmet programı yalnızca bir kullanıcı hesabına sahip olabilir ve veri çıkışı günde 500 MB ile sınırlıdır. Sistem ağ açıklarıyla ilgilenmez, ancak bir dosyaya yazılan uyarıları alıp Splunk'a geri döndüğünüzde bu işlevi yapılandıralirsiniz.



2. Logstash, Elastic tarafından üretilen bir log yönetim merkezidir. Bu Hollandalı yazılım organizasyonu, “ Elastik Yığın ” içinde birbirine bağlanan bir dizi veri keşif ürünüyle oluşmaktadır. Bu program paketi açık kaynaklıdır ve her ürün ücretsiz olarak kullanılabilir . Elastik Suite'in temel unsuru Elasticsearch‘tür. Bu, birkaç dosyadaki verileri birleştirilmiş sonuçlara işleyebilen bir arama ve sıralama aracıdır. Elasticsearch diğer araçlara entegre edilebilir ve bu listedeki diğer yardımcı programların çoğunda kullanılabilir.

Logstash, Elastic Stack'in veri toplama aracıdır. Elasticsearch gibi diğer araçlarla analiz için kaynak dosyaları oluşturur. Bu aracın gücü, verileri farklı kaynaklardan toplayabilmesidir.

Logstash yetenekleri dosya ayrıştırma içerir, bu nedenle log dosyalarınızı tarihe göre ayırmak için bu işlevi kullanabilirsiniz . Logstash çıkışı, analiz veya görüntüleme için uzun bir yardımcı program listesine uyacak şekilde biçimlendirilebilir.



3. Graylog, yalnızca bir log arşivleme yardımcı programından çok daha fazla işlevsellik kazandıran ücretsiz, açık kaynaklı log yönetim sistemidir. Bu log yönetim sistemi bir grafik kullanıcı arayüzüne sahiptir ve Ubuntu, Debian, CentOS ve SUSE Linux üzerinde çalışabilir. Microsoft Windows üzerinde sanal bir makinede de çalıştırabilirsiniz ve Graylog sistemini Amazon AWS'ye yükleyebilirsiniz.

Bu log yönetim sistemi herhangi bir kayıt ile çalışabilir. Sistem raporlarını bir dosyaya kanalize ederek diğer kaynaklardan gelen veriyle besleyebilirsiniz , böylece kendi log raporlarınızı oluşturabilirsiniz.

Eylem komut dosyaları, log verilerini ekrana, diğer kayıtlara veya diğer uygulamalara iletebilir. Pano, verileri histogramlar, pasta grafikleri, çizgi grafikleri ve renk kodlu listeler biçiminde gösterir. Arama yöntemi, belirli olay türleri veya belirli kaynaklar hakkında bilgi almak için log kayıtlarını filtrelemenizi sağlayan bir arama ve sorgulama işlevi içerir.

Log dosya işleminizi otomatikleştiren ve hata çözümünü otomatik olarak yürüten inanılmaz ve çok kapsamlı bir araçtır.

Bir sonraki SIEM hakkındaki blog yazısında görüşmek üzere.