@BGASecurity
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması
- NetSec 2019 -
@BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST SOME / SOC
SECOPS
BGA | Hakkında
@BGASecurity
Musab YARDIM
Kıdemli Güvenlik Danışmanı
musabyardim.com
@musabyardim
@BGASecurity
Ajanda
BGA | NETSECSysmon
Wazuh
Mitre ATT&CK
➢ Yapısı ve yetenekleri
➢ Örnek kural yazılması ve Sysmon kurulumu
➢ Sysmon loglarının takip edilmesi
➢ Neden Sysmon?
➢ Wazuh ile Sysmon loglarının toplanması
➢ Log analizi ve alarm oluşturulması
➢ Alarmların görüntülenmesi ve görselleştirilmesi
➢ Wazuh nedir?
➢ Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
➢ Örnek Mitre ATT&CK senaryosu
➢ Nedir?
Uygulama
Ekstra
Kaynaklar
➢ PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi
➢ Logların Wazuh ile toplanması ve alarm üretilmesi
➢ Alarmları görselleştirme ve olay analizi
➢ Windows 10 Sysmon kurulumu
➢ Sysmon loglarını alternatif toplama yöntemleri (nxlog)
➢ Wazuh-SIEM entegrasyon senaryoları
➢ https://documentation.wazuh.com
➢ https://attack.mitre.org/
➢ https://docs.microsoft.com/en-us/sysinternals/
@BGASecurity
Sysmon
Sysmon nedir, yetenekleri ve kurulumu
@BGASecurity
Sysmon
Sysmon nedir?
BGA | NETSEC
System Monitor (Sysmon) sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak kayıt edilmeyen olayları kayıt etmeyi sağlayan Windows Sysinternals ailesi içerisinde
yer alan ücretsiz bir araçtır.
Sysmon güncel versiyon: Sysmon v10.0 (Haziran 11, 2019) Client: Windows 7 and higher.
Server: Windows Server 2008 R2 and higher.
Geliştiriciler: Mark Russinovich and Thomas Garnier
https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysmon
@BGASecurity
Sysmon
Neden Sysmon?
BGA | NETSEC
@BGASecurity
Sysmon
Yapısı ve yetenekleri
BGA | NETSEC
➢ Komut satırı loglama (current ve parent proccess)
➢ İşlemlere ait dosya özet değeri alma (SHA1 (the default), MD5, SHA256 or IMPHASH)
➢ Birden fazla hash değerini aynı anda kaydedebilme
➢ İşlemlere ait (current ve parent proccess) GUID değerlerini kaydedebilme (korelasyon için)
➢ Driver, DLL yükleme olaylarını imza ve hash değeri ile birlikte kaydedebilme
➢ DNS loglama
➢ Ağ bağlantılarını takip edebilme
➢ Dosya oluşturma zamanındaki değişiklikleri algılama
@BGASecurity
Sysmon
Yapısı ve yetenekleri
BGA | NETSEC
Event ID 1: Process creation
Event ID 2: A process changed a file creation time Event ID 3: Network connection
Event ID 4: Sysmon service state changed Event ID 5: Process terminated
Event ID 6: Driver loaded Event ID 7: Image loaded
Event ID 8: CreateRemoteThread Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete) Event ID 14: RegistryEvent (Key and Value Rename) Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
@BGASecurity
Sysmon
Örnek Sysmon kuralı
BGA | NETSEC
<Sysmon schemaversion="4.2">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<ProcessCreate onmatch="include">
<Image condition="contains">bitsadmin.exe</Image>
<Image condition="contains">control.exe</Image>
<Image condition="contains">net.exe</Image>
<Image condition="end with">cmd.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="exclude">
<CommandLine condition="contains">user</CommandLine>
</ProcessCreate>
</EventFiltering>
</Sysmon>
@BGASecurity
Sysmon
Örnek Sysmon kuralı
BGA | NETSEC
<Sysmon schemaversion="4.2">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<DriverLoad onmatch="include" />
<DriverLoad onmatch="exclude">
<Signature condition="begin with">Intel</Signature>
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
</EventFiltering>
</Sysmon>
@BGASecurity
Sysmon
Örnek Sysmon kuralı
BGA | NETSEC
<Sysmon schemaversion="4.2">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<NetworkConnect onmatch="include">
<Image condition="image">opera.exe</Image>
<Image condition="contains">powershell.exe</Image>
<Image condition="contains">cmd.exe</Image>
<Image condition="contains">putty.exe</Image>
<DestinationPort>22</DestinationPort>
<DestinationPort>3389</DestinationPort>
</NetworkConnect>
</EventFiltering>
</Sysmon>
@BGASecurity
Sysmon
Sysmon kurulumu
BGA | NETSEC
Download linki: https://download.sysinternals.com/files/Sysmon.zip
@BGASecurity
Sysmon
Sysmon kurulumu
BGA | NETSEC
Sysmon, takip ettiği olaylarla ilgili analiz yapmaz ve kendisini saldırganlardan korumaya ya da saklamaya çalışmaz.
@BGASecurity
Sysmon
Sysmon config görüntüleme
BGA | NETSEC
@BGASecurity
Sysmon
Sysmon loglarının takip edilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Wazuh ile Sysmon loglarının alınması ve analiz edilmesi
@BGASecurity
Wazuh
Wazuh nedir?
BGA | NETSEC
Açık kaynak kodlu, lisans ücreti olmayan host tabanlı saldırı tespit sistemidir.
Wazuh, tehdit algılama, bütünlük izleme, olaya müdahale, uyumluluk takibi
gibi birçok özelliği içerisinde barındıran güvenlik izleme çözümüdür.
@BGASecurity
Wazuh
Wazuh ile Sysmon loglarının alınması
BGA | NETSEC
❖ System
❖ Security
❖ Application
❖ Sysmon
@BGASecurity
Wazuh
Wazuh ile Sysmon loglarının alınması
BGA | NETSEC
@BGASecurity
Wazuh
Wazuh - Sysmon kuralı
BGA | NETSEC
@BGASecurity
Wazuh
Log analizi ve alarm oluşturulması
BGA | NETSEC
@BGASecurity
Wazuh
Log analizi ve alarm oluşturulması
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Wazuh
Alarmların görüntülenmesi ve görselleştirilmesi
BGA | NETSEC
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
MITRE ATT&CK ™ Framework, saldırıları daha iyi sınıflandırmak, ve bir kurumun riskini değerlendirmek için tehdit avcıları, kırmızı ve mavi takımların kullandığı kapsamlı taktik
ve tekniklerin yer aldığı matristir.
ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) Framework, yaklaşık olarak beş yıldır MITRE Corp. tarafından geliştirilmektedir.
https://attack.mitre.org/
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK nedir?
BGA | NETSEC
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
BGA | NETSEC
Sysmon Rules
<!-- Event ID 1 == Process Creation. -->
<ProcessCreate onmatch="include">
<Image name="technique_id=T1197,technique_name=BITS Jobs" condition="contains">bitsadmin.exe</Image>
<Image name="technique_id=T1087,technique_name=Account Discovery" condition="contains">net.exe</Image>
</ProcessCreate>
@BGASecurity
Mitre ATT&CK
Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması
BGA | NETSEC
Wazuh Rules
<rule id="100003" level="5">
<if_group>sysmon_event1</if_group>
<match>technique_id=T1197</match>
<description>T1197 - BITS Jobs</description>
<group>Defense Evasion,Persistence,</group>
</rule>
<rule id="100004" level="9">
<if_sid>100003</if_sid>
<field name="sysmon.commandline">/transfer</field>
<description>T1197 - BITS Jobs Transfer</description>
<group>Defense Evasion,Persistence,</group>
</rule>
@BGASecurity
Mitre ATT&CK
Örnek Mitre ATT&CK senaryosu
BGA | NETSEC
@BGASecurity
Uygulama
Windows 10 Sysmon kurulumu ve logların analizi
@BGASecurity
Uygulama
Windows 10 Sysmon kurulumu
BGA | NETSEC
Download linki: https://download.sysinternals.com/files/Sysmon.zip
@BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi
BGA | NETSEC
PLATINUM is an activity group that has targeted victims since at least 2009. The group has focused on targets associated with
governments and related organizations in South and Southeast Asia.
https://www.microsoft.com/security/blog/2016/04/26/digging-deep-for- platinum/
@BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi
BGA | NETSEC
Sysmon Rules
@BGASecurity
Uygulama
PLATINUM grubuna ait aktivitelerin Sysmon ile tespiti ve Wazuh ile anlamlandırılması
BGA | NETSEC
@BGASecurity
Uygulama
Logların Wazuh ile toplanması ve alarm üretilmesi
BGA | NETSEC
@BGASecurity
Uygulama
Logların Wazuh ile toplanması ve alarm üretilmesi
BGA | NETSEC
@BGASecurity
Uygulama
Alarmları görselleştirme ve olay analizi
BGA | NETSEC
@BGASecurity
Ekstra
Sysmon ve Wazuh ile yapılanlara ek olarak yapılabilecekler
@BGASecurity
Ekstra
Wazuh-SIEM entegrasyon senaryoları
BGA | NETSEC
SIEM’s
Alert-level: >8 forward SIEM (alert level:1-15)
@BGASecurity
Ekstra
Sysmon loglarını alternatif toplama yöntemleri (nxlog)
BGA | NETSEC
@BGASecurity
Kaynaklar
@BGASecurity
Kaynaklar
BGA | NETSEC➢ https://attack.mitre.org/
➢ https://docs.microsoft.com/en-us/sysinternals/
➢ https://documentation.wazuh.com
@BGASecurity