Introduction
Örnek SIEM Kuralları - 18

Örnek SIEM Kuralları - 18

  • L2L - ModSecurity tarafından gelen kayıtlarda "ModSecurity: Access denied" içeriyorsa alarm üret.
  • L2L - NAXSI tarafından gelen kayıtlarda "RequestDenied" içeriyorsa alarm üret. DeniedUrl tarafının "/RequestDenied"; olduğunu varsayarsak.
  • L2L - Firewall tarafında Operating System Family bilgisi Microsoft Windows olan Extended Support anlaşması sona ermiş Operating System kullanan client bloğundaki IP adresleri için alarm üret.
  • L2L - Firewall tarafında Operating System Family bilgisi Microsoft Windows Server olan Extended Support anlaşması sona ermiş Operating System kullanan sunucu bloğundaki IP adresleri için alarm üret.
  • L2L - Endpoint tarafının PowerSploit, Mimikatz, Metasploit, Meterpreter tespit ettiği IP adresleri için alarm üret.
  • L2L - Domain Controller (DC) tarafında Enterprise Admins ve Domain Admins gruplarına yeni bir kullanıcı eklenirse alarm üret.
  • L2L - Event ID - 4704 - A user right was assigned. tetikleniyor ve Privilege Name SeEnableDelegationPrivilege ise alarm üret.
  • L2L - Event ID - 4719 - System audit policy was changed. tetikleniyor ve Subcategory olarak Success removed veya Failure removed ise alarm üret.
  • L2L - Event ID - 4794 - An attempt was made to set the Directory Services Restore Mode administrator password. tetiklenirse alarm üret.
  • L2L - Event ID - 4625 - An account failed to log on. tetikleniyor ve Status\Sub-Status Code 0xC000006F - User logon outside authorized hours. ise alarm üret.
Author

EAE

View Comments
Next Post

Örnek SIEM Kuralları - 19

Previous Post

Veri Aktarımı için SCP Kullanımı