Haberler, Nedir?

SPLUNK 9.4.1 & SYSMON

Güvenlik izleme ve olay yönetimi süreçlerinde Splunk, güçlü veri toplama ve analiz yetenekleriyle öne çıkan bir platformdur. Microsoft Sysmon ise sistemdeki detaylı olayları kaydederek derinlemesine gözlem imkânı sunar. Bu yazımda Splunk Enterprise kurulumundan başlayarak Dashboard incelemesine, Universal Forwarder yapılandırmasına ve Sysmon entegrasyonuna değineceğim. SPLUNK Splunk, büyük ölçekli veri analizi, log yönetimi ve güvenlik izleme gibi alanlarda kullanılan güçlü bir platformdur. Genel olarak iki ana sürümü bulunur: Splunk Enterprise ve Splunk Cloud. Splunk Enterprise, organizasyonların kendi altyapılarında kurup yönettiği, esnek ve özelleştirilebilir bir çözümdür. Verileri yerel sunucularda veya özel veri merkezlerinde işleyerek analiz etmeye olanak tanır. Büyük ölçekli şirketler için uygun olan bu sürüm,

4 Aralık 2025
Nedir?

~suricata~

Herkese merhaba, bu yazımda suricata kurulumu, konfigürasyonu ve örnek kurallarından bahsedeceğim. Suricata Nedir? Suricata açık kaynaklı bir IDS/IPS aracı olarak kullanılır. Ağ trafiğini izler, analiz eder ve tehditleri tespit eder. IDS, ağdaki şüpheli aktiviteleri tespit eder ve uyarır, ancak müdahale etmez. IPS ise bu aktiviteleri tespit edip engeller, yani aktif koruma sağlar. Kısaca IDS izler, IPS durdurur diyebiliriz. İlk olarak sudo apt update && sudo apt upgrade -y komutu ile güncelleyelim. Sonrasında aşağıdaki komut ile Suricata’nın resmi ve güncel sürümleri için repository ekleyelim. sudo add-apt-repository ppa:oisf/suricata-stable Enter ile işlemi gerçekleştirelim. sudo apt install suricata ile indirip kuralım. sudo systemctl enable

17 Kasım 2025
CTF Çözümleri

HackTheBox | Cap WriteUp

Bu yazımda HackTheBox platformunda bulunan Cap makinesinin çözümünü anlatacağım. İlk önce bana verilen IP adresine nmap taraması yapıyorum. 3 adet açık port olduğunu tespit ediyorum.80 portunda çalışan web sitesini browserdan ziyaret ediyorum. İlk bakışta anlamlı bir şey dikkatimi çekmiyor.Aklıma dizin taraması yapmak geliyor. data adlı dizin dikkatimi çekiyor.Sayfayı her yenilediğimde ID kısmı değişiyor.ID’yi manuel olarak değiştirebildiğimi fark ediyorum.Bu bana  bir IDOR açığı olduğunu gösteriyor.ID’yi 0 olarak değiştirdiğimde snapshot sonuçları değişiyor. Pcap dosyasını indiriyorum ve wireshark ile inceliyorum. Pcap dosyasında nathan kullanıcısının username ve password bilgilerine ulaşıyorum.Bu kimlik bilgileri ile FTP ve SSH’ye giriş yapabilirim. FTP’ye başarılı şekilde giriş yapabiliyorum ve

17 Kasım 2025
Haberler, Nedir?

Active Directory ve FortiGate | LDAP Entegrasyonu ile Güvenli Kimlik ve Web Filtreleme Yönetimi

Active Directory ve FortiGate | LDAP Entegrasyonu ile Güvenli Kimlik ve Web Filtreleme Yönetimi Herkese merhaba, günümüzde kurumsal ağların yönetimi ve güvenliği, etkili bir kimlik doğrulama ve yetkilendirme mekanizması gerektirir. Active Directory (AD), bu ihtiyacı karşılayan en yaygın dizin hizmetlerinden biridir ve Windows Server ortamlarında merkezi yönetim sağlar. LDAP (Lightweight Directory Access Protocol) ise, AD ile entegrasyon sağlayarak kullanıcı ve grup yönetimini kolaylaştıran bir protokoldür. Bu yazıda, Windows Server 2019 üzerinde Active Directory ve LDAP yapılandırmasını adım adım ele alacak, kullanıcı/grup atama işlemlerini gerçekleştirecek ve web filtreleme ve url filtreleme oluşturarak ağ güvenliğini artırmanın yollarını inceleyeceğiz. Server kurulumu ile başlayalım. Iso dosyamızı seçelim. GUI arayüzünü kullanabilmek için Standard opsiyonunu

2 Ekim 2025
Haberler, Nedir?

4 Adımda Yetki Matrisini Güncelleme

Pınar Güneş, SearchInform Bilgi Güvenliği Uzmanı Erişim yönetimine dair pek çok yaklaşım var: isteğe bağlı (DAC), zorunlu (MAC), rol tabanlı (RBAC), öznitelik tabanlı (ABAC). Hangisini uygularsanız uygulayın, bilgi güvenliği ekipleri aynı sorunla karşılaşıyor: Kurallar kâğıt üzerinde kusursuz görünürken, sahada riskler beliriyor. Peki, kullanıcıların yanlışlıkla yol açabileceği ihlaller ve yetki suistimallerine karşı nasıl önlem alırız? Yanıt: DLP ve DCAP’i birlikte devreye alarak. Sorunun Özü Yetki matrisinin asıl amacı, altyapı bileşenlerini ve veri depolarını yetkisiz kullanımdan korumaktır. Ancak bunu “bir kere kur, sonsuza dek çalışsın” mantığıyla çözmek mümkün değil. Çünkü erişim haklarının dağıtıldığı şirket ve BT sistemleri baştan aşağı dinamiktir: iş süreçleri,

2 Ekim 2025
Nedir?

Zabbix 7.4 ~ Templates ~ SSL Certificate Monitoring

Zabbix ~ Templates ~ SSL Certificate Monitoring Herkese merhaba, bu yazımda Zabbix ile ssl certificate monitoring için yapılacak işlemlere değineceğim. Zabbix ~open-source~ ağ, sistem ve uygulama izleme yazılımıdır. Zabbix Template ise izleme için gerekli yapılandırmaları item, trigger, graph, discovery rule, application gibi bileşenleri gibi tek bir şablonda toplayan ve birçok hosta uygulanabilen yapı taşlarıdır. Böylece her cihaz ya da sunucu için ayrı ayrı ayar yapmak yerine, ilgili template’i bağlayarak standart ve hızlı şekilde izleme sağlanır. Hazır gelen işletim sistemi, ağ cihazı ve servis template’leri kullanılabilir; ayrıca kurumun özel ihtiyaçlarına uygun özelleştirilmiş template’ler de oluşturulabilir. SSL monitoring için Zabbix’in hazır sunduğu SSL/TLS

27 Eylül 2025
CTF Çözümleri

TryHackMe | Brooklyn Nine Nine WriteUp

Bu yazımda TryHackMe platformunda bulunan Brooklyn Nine Nine odasının çözümünü anlatacağım.Oda benden user ve root flag’i bulmamı istiyor. İlk önce bana verilen IP adresine nmap taraması yapıyorum. 21. ftp portunun açık olması ve kullanıcı adının anonymous olduğu bilgisi dikkatimi çekiyor.Bu bilgiler ile giriş yapmayı deneyeceğim. Password kısmını boş bırakarak başarılı bir şekilde giriş yaptım ve içeride herhangi bir dosya bulunup bulunmadığını kontrol ettim. note_to_jake.txt dosyasını buldum. Makineme indirdim. Dosyayı okuduğumda jake’in şifresinin çok zayıf olduğuna dair bir bilgi gördüm ve jake’in şifresine brute force saldırısı yapmaya karar verdim. Başarılı bir şekilde şifreyi buldum.Bu bilgileri kullanarak ssh üzerinden bağlanmayı denedim. Bağlantı

21 Eylül 2025
Haberler, Nedir?

Zabbix | Agent | Agent2

Zabbix | Agent | Agent2 Herkese merhaba, bu yazımda ubuntu için zabbix agent2 ve windows için zabbix agent kurulum – host ekleme işlemlerinden bahsedeceğim. Zabbix agent, işletim sistemi ve uygulamalardan cpu, ram, disk, ağ trafiği gibi verileri toplayarak Zabbix Server’a iletir. Zabbix agent2 ise klasik agent’in yaptığı tüm işleri yapabilmesinin yanı sıra, eklenti (plugin) desteği sayesinde MySQL, Apache, Docker, Kafka gibi birçok uygulamayı doğrudan izleme imkânı sunar. Ayrıca çoklu iş parçacığı (multi-threading) yapısıyla daha fazla veriyi aynı anda işleyebiliyor. İlk olarak windows agent kurulumu ile başlayalım. İndirme sitesi için tıklayabilirsiniz. Sistem bilgilerimizi seçelim. İndirme işlemini gerçekleştirelim. Kurulum işlemine başlayalım. Kullanıcı

10 Eylül 2025
CTF Çözümleri, Haberler, Nasıl Yapılır, Nedir?

allsafe android app analizi (2025)

Bu yazıda Allsafe Android App analizi (2025) kapsamında tespit edilen kritik güvenlik açıkları, çözüm önerileri ve mobil uygulama güvenliği açısından riskler detaylı incelenmektedir Allsafe Android App analizi (2025) kapsamında yapılan mobil güvenlik testi sonucunda kritik, yüksek ve orta seviyede toplam 12 zafiyet belirlendi. Alan Bilgi Uygulama Adı Allsafe Paket Adı infosecadventures.allsafe Test Ortamı Android Emulator (x86), SDK 28 Test Tarihi 04.09.2025 Test Uzmanı Mehmet Karagülle Rapor Versiyonu 1.0 Gizlilik Seviyesi Dahili Kullanım YÖNETİCİ ÖZETİ Genel Değerlendirme Allsafe uygulaması, OWASP Mobile Top 10 zafiyetlerinin çoğunu barındıran, eğitim amaçlı geliştirilmiş bir mobil güvenlik laboratuvarıdır. Yapılan güvenlik değerlendirmesi sonucunda, uygulamada kritik ve yüksek

8 Eylül 2025
CTF Çözümleri

TryHackMe | Neighbour WriteUp

Bu yazımda TryHackMe platformunda bulunan Neighbour odasının çözümünü anlatacağım.Oda flag’i bulmamı istiyor. İlk olarak bana verilen IP adresine nmap taraması yapıyorum. 80 numaralı HTTP portunun açık olması hedef sistemde bir web çalıştığını gösteriyor.Browser üzerinden siteyi ziyaret ediyorum. Bir login sayfasıyla karşılaşıyorum ve “hesabınız yoksa misafir hesabını kullanın(CTRL +U)” diye bir uyarı mesajı var.CTRL+U ile sayfanın kaynak koduna erişiyorum. Kaynak kodda misafir kullanıcının giriş bilgilerine erişiyorum ve admin adında bir kullanıcı daha var ama “bu kullanıcı hesabına giriş yasak” diye uyarılmış.Odanın giriş kısmında başkalarının profillerine ulaşmak ile ilgili bir açıklama vardı.Bu da admin hesabına erişmeye çalışacağımızı gösteriyor.Misafir kullanıcı bilgilerini kullanarak giriş

28 Ağustos 2025
Home
~suricata~
Nedir?

~suricata~

By  On 17 Kasım 2025 Yorum yapılmamış

Herkese merhaba, bu yazımda suricata kurulumu, konfigürasyonu ve örnek kurallarından bahsedeceğim.

Suricata Nedir?

Suricata açık kaynaklı bir IDS/IPS aracı olarak kullanılır. Ağ trafiğini izler, analiz eder ve tehditleri tespit eder.

IDS, ağdaki şüpheli aktiviteleri tespit eder ve uyarır, ancak müdahale etmez.

IPS ise bu aktiviteleri tespit edip engeller, yani aktif koruma sağlar.

Kısaca IDS izler, IPS durdurur diyebiliriz.

İlk olarak sudo apt update && sudo apt upgrade -y komutu ile güncelleyelim.

Sonrasında aşağıdaki komut ile Suricata’nın resmi ve güncel sürümleri için repository ekleyelim.

sudo add-apt-repository ppa:oisf/suricata-stable

Enter ile işlemi gerçekleştirelim.

sudo apt install suricata ile indirip kuralım.

sudo systemctl enable suricata.service komutu ile Suricata hizmetinin sistem açılışında otomatik olarak başlatılmasını sağlayalım.

Durdurmak için sudo systemctl stop suricata.service komutunu kullanabiliriz.

ip -p -j route show veya ifconfig komutuyla bilgilerimizi öğrenelim. yaml dosyası için gerekli.

Interface enp0s3, konfigürasyonda değiştirmemiz gerekiyor.

Şimdi yaml dosyasını sudo nano /etc/suricata/suricata.yaml komutuyla açıp değişiklikleri gerçekleştirelim.

~ctrl + w ile af -packet kısmını search edebiliriz.~

Interface eth0 olarak görünüyor, bilgilerimize göre değişiklik yapmalıyız.

Aynı değişikliği pcap ve pfring için de yapabiliriz.

Kaydedip çıkabiliriz.

sudo suricata-update komutu ile kuralları indirip sisteme uygulayalım.

sudo suricata-update list-sources komutuyla listeleyebiliriz.

tgreen/hunting kuralını aktifleştirmek için sudo suricata-update enable-source tgreen/hunting komutunu kullanabiliriz.

tgreen/hunting kural seti, sistem yöneticilerinin ağdaki şüpheli aktiviteleri aktif olarak izlemelerine olanak tanır.

~Yeni kuralları indirmek-birleştirmek için sudo suricata-update komutunun tekrar çalıştırmalıyız.~

Güncel kural listesi için tıklayabilirsiniz.

Aşağıdaki komut ile yapılandırma dosyasını test edip, hata olup olmadığını kontrol edebiliriz.

sudo suricata -T -c /etc/suricata/suricata.yaml -v
Çıktıda IDS modunda çalıştığını görüyoruz.
Eğer IPS modunda çalıştırmak istiyorsak güvenlik duvarı kurallarını da eklemek gerekiyor.
sudo apt install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev
iptables kullanan sistemler için;
sudo iptables -I INPUT -j NFQUEUE --queue-num 0
sudo iptables -I OUTPUT -j NFQUEUE --queue-num 0
nftables kullanan sistemler için;
nft add rule inet filter input queue num 0
nft add rule inet filter output queue num 0
yaml dosyasında ips modunu etkinleştirmemiz gerekiyor.
af-packet bölümündeki - interface: enp0s3 satırının başına # ekleyerek yorum satırı yapılmalı ve ondan sonra nfq bölümü etkinleştirilmeli.
nfq:
  - queue: 0
sudo systemctl restart suricata.service komutuyla değişiklikleri uygulayalım.
sudo systemctl status suricata.service komutuyla çalışma durumunu kontrol edelim.
sudo tail -f /var/log/suricata/suricata.log komutu ile servisin sağlıklı çalışıp çalışmadığını kontrol edebiliriz.
curl http://testmynids.org/uid/index.html ile veya curl http://www.eicar.org/download/eicar.com.txt ile IDS’in doğru çalışıp çalışmadığını test edelim.
sudo tail -f /var/log/suricata/fast.log ile Suricata’nın uyarılarını eş zamanlı izleyebiliriz.
ls /var/lib/suricata/rules ile Suricata’nın yüklediği kural dosyalarının bulunduğu dizindeki dosyaları görüntüleyebiliriz.
Kendi özel kurallarımızı, ana kural dosyalarıyla karışmaması için genellikle local.rules adlı ayrı bir dosyada tutabiliriz.
Şimdi bu dosyayı oluşturalım ve düzenlemek için açalım.
sudo nano /etc/suricata/rules/local.rules
Kural dosyamızı oluşturduk ancak Suricata’nın bu dosyayı okumasını sağlamalıyız. Yapılandırma dosyasını açalım.
sudo nano /etc/suricata/suricata.yaml
Dosya içinde Ctrl + W tuşlarına basarak rule-files kelimesini bulmalıyız.
rule-files:
  - suricata.rules
  # - http-events.rules
  # - tls-events.rules
Bu listenin altına kendi kural dosyamızı ekleyelim.
rule-files:
  - suricata.rules
  - local.rules  # <-- BU SATIRI EKLEMELİYİZ
Dosyayı kaydedip çıkalım.
Artık local.rules dosyamız Suricata tarafından tanınıyor. Şimdi bu dosyanın içine test kurallarımızı ekleyebiliriz.
sudo nano /etc/suricata/rules/local.rules
Http isteği yapılınca log oluşturmak için kural oluşturabiliriz. ~port 80’e giden tüm tcp trafiğini uyarı olarak işaretliyor, genel bir kural~
alert tcp any any -> any 80 (msg:"DEMO_HTTP ALERT ACCESS DETECTED"; sid:100001; rev:1;)
Aşağıdaki kural ise sql injection benzeri patternları url veya http payload içinde tespit etmesini sağlar. ~ or, 1=1 ~
alert http any any -> any any (
    msg:"SQLi Attempt Detected in URL or Payload";
    content:"OR"; http_uri; nocase;
    content:"1=1"; http_uri; nocase;
    sid:100010;
    rev:1;
)
sudo systemctl restart suricata.service komutuyla değişiklikleri uygulamayı unutmayalım.
 Okuduğunuz için teşekkür ederim..
https://www.siberguvenlik.web.tr/ad-ve-fortigate-ldap-entegrasyonu

Yayınlanan tüm yazılarım için => https://www.siberguvenlik.web.tr/author/mervecelikkol
  
  
Related Posts
About The Author


mervecelikkol
Reply