Introduction
Örnek SIEM Kuralları - 8

Örnek SIEM Kuralları - 8

  • L2R - Herhangi bir IP adresi uzantı bağımsız 10 karakterden fazla olan bir alan adına erişmeye çalışıyorsa alarm üret.
  • L2R - Herhangi bir IP adresi son 48 saat içerisinde yeni kayıt edilmiş bir alan adına gitmeye çalışıyorsa alarm üret.
  • R2L - Web Server tarafına istekte bulunan useragent tarafında ZmEu, w00tw00t içeren IP adresleri için alarm üret.
  • R2L - Herhangi bir IP adresi Web Server tarafında 150 karakterden uzun bir istek oluşturursa IP adresi için alarm üret.
  • L2L - Linux kaynaklar tarafında UID=0 oturumları için alarm üret.
  • L2L - Firewall tarafında operating system family bilgisi tanımlanamayan IP adresleri için alarm üret.
  • L2L - Hostname bilgileri bir bucket içerisine eklenir. Eklenen hostname bilgileri haricinde bir hostname görülürse alarm üret.
  • L2L - Active Directory tarafında Don't Expire Password seçilerek oluşturulan kullanıcılar için alarm üret.
  • L2L - Event ID 4649 - A replay attack was detected için alarm üret.
  • L2L - Event ID 4964 - Special groups have been assigned to a new logon için alarm üret.
Author

EAE

View Comments
Next Post

Örnek SIEM Kuralları - 9

Previous Post

LVM Disk Genişletmek (Varolan)