Introduction
Örnek SIEM Kuralları - 12

Örnek SIEM Kuralları - 12

  • L2L - Herhangi bir kullanıcı tarafında An account was successfully logged on Event ID 4624 hareketinden sonra, son 180 saniye içerisinde The system time was changed Event ID 4616 ardından The audit log was cleared Event ID 1102 olayı oluşursa alarm üret.
  • L2L/L2R - Herhangi bir kullanıcı tarafında Endpoint zararlı tespiti gerçekleştirdikten son 180 saniye içerisinde The system time was changed Event ID 4616 olayı oluşursa ve ardından Firewall tarafında 30'dan fazla session'ı deny olursa alarm üret.
  • L2L - Herhangi bir kullanıcı tarafında An attempt was made to access an object Event ID 4663 olayı oluşuyor ve Object Name C:\ hariç ise Endpoint tarafında son 180 saniye içerisinde olay oluşan hostname üzerinde zararlı tespit edilirse alarm üret.
  • L2L - Herhangi bir kullanıcı tarafında An attempt was made to access an object Event ID 4663 olayı oluşuyor ve Object Name C:\ hariç ise aynı zamanda ilgili dizin üzerinde son 360 saniyede .docx .odt .rtf .pdf .txt uzantılı bir dosya Accesses: WriteData (or AddFile) ise alarm üret.
  • L2L - Command prompt tarafında bcdedit /set {default} recoveryenabled no kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında wbadmin delete catalog -quiet kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında net group "domain admins" /domain
    kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında net localgroup administrators kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında nltest /dclist: kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında whoami kullanılırsa alarm üret.
Author

EAE

View Comments
Next Post

Örnek SIEM Kuralları - 13

Previous Post

Örnek SIEM Kuralları - 11