Introduction
Örnek SIEM Kuralları - 14

Örnek SIEM Kuralları - 14

  • R2L - Web Server tarafına /etc/php.ini - /etc/issue - /etc/motd - /etc/fstab - /etc/inetd.conf - /etc/xinetd.conf - /proc/version içeren istekler yaratan IP adresleri için alarm üret.
  • R2L - Web Server tarafına istekte bulunan useragent tarafında wget, curl, cpython içeren IP adresleri için alarm üret.
  • L2L - Command prompt veya PowerShell tarafında netsh firewall show state veya netsh firewall show config kullanılırsa alarm üret.
  • R2L - Web Server tarafında GET methodu ile /phpinfo.php veya /phpversion.php dizinlerine istek yaratan IP adresleri için alarm üret.
  • L2L/L2R/R2L - Web Server tarafına Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) veya Mozilla/4.0 (compatible; Metasploit RSPEC useragent bilgisi ile gelen IP adresleri için alarm üret.
  • R2L - Web Server tarafına /etc/groups - /etc/mysql.conf - /etc/mysql/my.cnf - /etc/hosts - /etc/hosts.allow - /etc/hosts.deny içeren istekler yaratan IP adresleri için alarm üret.
  • L2L - Command prompt veya PowerShell tarafında reg query HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\ içeren bir komut kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında reg query HKLM /f password veya reg query HKCU /f password içeren bir komut kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" kullanılırsa alarm üret.
  • L2L - Command prompt veya PowerShell tarafında reg query "HKLM\SYSTEM\Current\ControlSet\Services\SNMP" kullanılırsa alarm üret.
Author

EAE

View Comments
Next Post

Örnek SIEM Kuralları - 15

Previous Post

Örnek SIEM Kuralları - 13