Splunk Rsyslog Herkese merhaba, bu yazımda rsyslog ve Universal Forwarder kullanılarak Splunk’a log aktarımından bahsedeceğim. Splunk, sistemlerden, ağ cihazlarından, uygulamalardan ve güvenlik araçlarından gelen log verilerini toplamak, indekslemek, analiz etmek ve görselleştirmek için kullanılan güçlü bir SIEM ve log yönetim platformu. Splunk hakkında daha detaylı bilgi almak ve kurulumu hakkında yazmış olduğum yazıya ulaşmak için tıklayabilirsiniz. Syslog (System Logging Protocol), sistem olaylarını merkezi bir sunucuya iletmek için kullanılan bir protokol. Ağ cihazları, Linux ve Unix tabanlı sistemler, güvenlik duvarları ve çeşitli yazılımlar, oluşan eventları syslog aracılığıyla bir log sunucusuna gönderir. Üç temel bileşeni vardır: logları üreten sistemler (örneğin, Linux, Unix, macOS, router, switch,

Flare VM Herkese merhaba, bu yazımda Flare VM’in virtualbox windows 10 üzerinde kurulumuna değineceğim. Malware Analizi, zararlı yazılımların nasıl çalıştığını, hangi sistemleri hedeflediğini ve ne tür zararlar verebileceğini anlamak amacıyla yapılan inceleme süreci. Statik Analiz, zararlı yazılım çalıştırılmadan yapılan inceleme. Dosyanın hash değeri, dosya türü, gömülü string’ler, import edilen kütüphaneler ve header bilgileri analiz edilir. Dinamik Analiz ise zararlı yazılımın izole bir ortamda çalıştırılarak davranışlarının gözlemlenmesi. Dosyanın ağ trafiği, dosya sistemi değişiklikleri, registry işlemleri ve çalışan process’leri incelenir. Flare VM Mandiant FireEye tarafından geliştirilen malware analizi, tersine mühendislik ve adli bilişim analizleri için gerekli araçları izole, Windows tabanlı bir sanal

Güvenlik izleme ve olay yönetimi süreçlerinde Splunk, güçlü veri toplama ve analiz yetenekleriyle öne çıkan bir platformdur. Microsoft Sysmon ise sistemdeki detaylı olayları kaydederek derinlemesine gözlem imkânı sunar. Bu yazımda Splunk Enterprise kurulumundan başlayarak Dashboard incelemesine, Universal Forwarder yapılandırmasına ve Sysmon entegrasyonuna değineceğim. SPLUNK Splunk, büyük ölçekli veri analizi, log yönetimi ve güvenlik izleme gibi alanlarda kullanılan güçlü bir platformdur. Genel olarak iki ana sürümü bulunur: Splunk Enterprise ve Splunk Cloud. Splunk Enterprise, organizasyonların kendi altyapılarında kurup yönettiği, esnek ve özelleştirilebilir bir çözümdür. Verileri yerel sunucularda veya özel veri merkezlerinde işleyerek analiz etmeye olanak tanır. Büyük ölçekli şirketler için uygun olan bu sürüm,

Herkese merhaba, bu yazımda suricata kurulumu, konfigürasyonu ve örnek kurallarından bahsedeceğim. Suricata Nedir? Suricata açık kaynaklı bir IDS/IPS aracı olarak kullanılır. Ağ trafiğini izler, analiz eder ve tehditleri tespit eder. IDS, ağdaki şüpheli aktiviteleri tespit eder ve uyarır, ancak müdahale etmez. IPS ise bu aktiviteleri tespit edip engeller, yani aktif koruma sağlar. Kısaca IDS izler, IPS durdurur diyebiliriz. İlk olarak sudo apt update && sudo apt upgrade -y komutu ile güncelleyelim. Sonrasında aşağıdaki komut ile Suricata’nın resmi ve güncel sürümleri için repository ekleyelim. sudo add-apt-repository ppa:oisf/suricata-stable Enter ile işlemi gerçekleştirelim. sudo apt install suricata ile indirip kuralım. sudo systemctl enable

Bu yazımda HackTheBox platformunda bulunan Cap makinesinin çözümünü anlatacağım. İlk önce bana verilen IP adresine nmap taraması yapıyorum. 3 adet açık port olduğunu tespit ediyorum.80 portunda çalışan web sitesini browserdan ziyaret ediyorum. İlk bakışta anlamlı bir şey dikkatimi çekmiyor.Aklıma dizin taraması yapmak geliyor. data adlı dizin dikkatimi çekiyor.Sayfayı her yenilediğimde ID kısmı değişiyor.ID’yi manuel olarak değiştirebildiğimi fark ediyorum.Bu bana  bir IDOR açığı olduğunu gösteriyor.ID’yi 0 olarak değiştirdiğimde snapshot sonuçları değişiyor. Pcap dosyasını indiriyorum ve wireshark ile inceliyorum. Pcap dosyasında nathan kullanıcısının username ve password bilgilerine ulaşıyorum.Bu kimlik bilgileri ile FTP ve SSH’ye giriş yapabilirim. FTP’ye başarılı şekilde giriş yapabiliyorum ve

Active Directory ve FortiGate | LDAP Entegrasyonu ile Güvenli Kimlik ve Web Filtreleme Yönetimi Herkese merhaba, günümüzde kurumsal ağların yönetimi ve güvenliği, etkili bir kimlik doğrulama ve yetkilendirme mekanizması gerektirir. Active Directory (AD), bu ihtiyacı karşılayan en yaygın dizin hizmetlerinden biridir ve Windows Server ortamlarında merkezi yönetim sağlar. LDAP (Lightweight Directory Access Protocol) ise, AD ile entegrasyon sağlayarak kullanıcı ve grup yönetimini kolaylaştıran bir protokoldür. Bu yazıda, Windows Server 2019 üzerinde Active Directory ve LDAP yapılandırmasını adım adım ele alacak, kullanıcı/grup atama işlemlerini gerçekleştirecek ve web filtreleme ve url filtreleme oluşturarak ağ güvenliğini artırmanın yollarını inceleyeceğiz. Server kurulumu ile başlayalım. Iso dosyamızı seçelim. GUI arayüzünü kullanabilmek için Standard opsiyonunu

Pınar Güneş, SearchInform Bilgi Güvenliği Uzmanı Erişim yönetimine dair pek çok yaklaşım var: isteğe bağlı (DAC), zorunlu (MAC), rol tabanlı (RBAC), öznitelik tabanlı (ABAC). Hangisini uygularsanız uygulayın, bilgi güvenliği ekipleri aynı sorunla karşılaşıyor: Kurallar kâğıt üzerinde kusursuz görünürken, sahada riskler beliriyor. Peki, kullanıcıların yanlışlıkla yol açabileceği ihlaller ve yetki suistimallerine karşı nasıl önlem alırız? Yanıt: DLP ve DCAP’i birlikte devreye alarak. Sorunun Özü Yetki matrisinin asıl amacı, altyapı bileşenlerini ve veri depolarını yetkisiz kullanımdan korumaktır. Ancak bunu “bir kere kur, sonsuza dek çalışsın” mantığıyla çözmek mümkün değil. Çünkü erişim haklarının dağıtıldığı şirket ve BT sistemleri baştan aşağı dinamiktir: iş süreçleri,

Zabbix ~ Templates ~ SSL Certificate Monitoring Herkese merhaba, bu yazımda Zabbix ile ssl certificate monitoring için yapılacak işlemlere değineceğim. Zabbix ~open-source~ ağ, sistem ve uygulama izleme yazılımıdır. Zabbix Template ise izleme için gerekli yapılandırmaları item, trigger, graph, discovery rule, application gibi bileşenleri gibi tek bir şablonda toplayan ve birçok hosta uygulanabilen yapı taşlarıdır. Böylece her cihaz ya da sunucu için ayrı ayrı ayar yapmak yerine, ilgili template’i bağlayarak standart ve hızlı şekilde izleme sağlanır. Hazır gelen işletim sistemi, ağ cihazı ve servis template’leri kullanılabilir; ayrıca kurumun özel ihtiyaçlarına uygun özelleştirilmiş template’ler de oluşturulabilir. SSL monitoring için Zabbix’in hazır sunduğu SSL/TLS

Bu yazımda TryHackMe platformunda bulunan Brooklyn Nine Nine odasının çözümünü anlatacağım.Oda benden user ve root flag’i bulmamı istiyor. İlk önce bana verilen IP adresine nmap taraması yapıyorum. 21. ftp portunun açık olması ve kullanıcı adının anonymous olduğu bilgisi dikkatimi çekiyor.Bu bilgiler ile giriş yapmayı deneyeceğim. Password kısmını boş bırakarak başarılı bir şekilde giriş yaptım ve içeride herhangi bir dosya bulunup bulunmadığını kontrol ettim. note_to_jake.txt dosyasını buldum. Makineme indirdim. Dosyayı okuduğumda jake’in şifresinin çok zayıf olduğuna dair bir bilgi gördüm ve jake’in şifresine brute force saldırısı yapmaya karar verdim. Başarılı bir şekilde şifreyi buldum.Bu bilgileri kullanarak ssh üzerinden bağlanmayı denedim. Bağlantı

Zabbix | Agent | Agent2 Herkese merhaba, bu yazımda ubuntu için zabbix agent2 ve windows için zabbix agent kurulum – host ekleme işlemlerinden bahsedeceğim. Zabbix agent, işletim sistemi ve uygulamalardan cpu, ram, disk, ağ trafiği gibi verileri toplayarak Zabbix Server’a iletir. Zabbix agent2 ise klasik agent’in yaptığı tüm işleri yapabilmesinin yanı sıra, eklenti (plugin) desteği sayesinde MySQL, Apache, Docker, Kafka gibi birçok uygulamayı doğrudan izleme imkânı sunar. Ayrıca çoklu iş parçacığı (multi-threading) yapısıyla daha fazla veriyi aynı anda işleyebiliyor. İlk olarak windows agent kurulumu ile başlayalım. İndirme sitesi için tıklayabilirsiniz. Sistem bilgilerimizi seçelim. İndirme işlemini gerçekleştirelim. Kurulum işlemine başlayalım. Kullanıcı