Introduction
Örnek SIEM Kuralları - 6

Örnek SIEM Kuralları - 6

  • L2L - Event ID 4771 - Kerberos pre-authentication failed. tetikleniyor ve Status\Sub-Status Code 0x12 - Clients credentials have been revoked ise alarm üret.
  • L2L - MySQL tarafında bir kullanıcı SELECT user FROM mysql.user; veya SELECT host, user, password FROM mysql.user; benzeri sorgular yaparsa alarm üret.
  • R2L - Web Server tarafına /etc/passwd - /etc/shadow - boot.ini - win.ini içeren istekler oluşturan IP adresleri için alarm üret.
  • R2L - Web Server tarafına istekte bulunan useragent tarafında go-http-client, python-urllib, python-requests içeren IP adresleri için alarm üret.
  • L2L - Event ID 4625 - An account failed to log on. tetikleniyor ve Status\Sub-Status Code 0xC0000064 - user name does not exist. ise alarm üret.
  • R2L - Web Server tarafına url=// - file:// - tftp:// - ldap:// - sftp:// - gopher:// içeren istekler oluşturan IP adresleri için alarm üret.
  • L2L - MSSQL tarafında bir kullanıcı SELECT name FROM master..syslogins veya SELECT name FROM master..sysdatabases; benzeri sorgular yaparsa alarm üret.
  • R2L - WAF (Web Application Firewall) tarafından Web Server tarafına istek yapması engellenen bir IP adresinin 80/TCP - 443/TCP harici port adreslerinden birine session oluşturursa alarm üret.
  • L2L - Command-and-control (C&C) server ile ilişkili bir IP adresi aynı zamanda RDP (Remote Desktop Protocol) session oluşturuyor ve logon aktivitesine sahipse alarm üret.
Author

EAE

View Comments
Next Post

Örnek SIEM Kuralları - 7

Previous Post

Samba Yapılandırması - CentOS 7