Event Viewer etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Event Viewer etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

30 Mart 2013 Cumartesi

Notlar: Kayıt Tutma (Audit)

Notlar: Kayıt Tutma

Güvenliği sağlamanın bir adımı da denetleme ve izlemedir. Bu amaçlar denetim kayıtları kullanılmaktadır. Bu kayıtlarla muhtemel saldırılara karşı tedbir alınabilir, gerçekleşmiş bir saldırı hakkında bilgi sahibi olunabilir. Denetim kayıtları konusunda bazı dikkat edilmesi gereken noktalar şunlardır:
  • Denetim kayıtların merkezi bir yerde saklanmalıdır. Bu kayıtlara erişimler kısıtlanmalıdır. Böylece, bir sisteme girilmiş fakat bu sistem ile alakalı kayıt dosyaları uzak bir sunucuda tutulmuş ise saldırganın yaptığı işlemleri gizlemesi çok zor olacaktır.
  • Bütün kayıt dosyalarının tek bir yerde tutulması sisteminiz için ek bir güvenlik önlemi getirmenin yanı sıra merkezi bir sistemden kayıt dosyalarının incelenmesi ve yönetilmesi çok daha kolay olacaktır. Bu merkezi yerin güvenliğinin sağlanması ayrı bir önem arz etmektedir.
  • Özellikle kritik veriler için denetim kayıtlarının son 2 yedeklemeden sonrası için üzerine yazılması tavsiye edilmektedir. Örneğin haftada bir denetim kayıtlarının yedeklemenin yapıldığı bir sistemdeki denetim kayıtları 15 günde bir üzerine yazılacak şekilde ayarlanmalıdır. Aksi halde veri kaybı yaşanabilmektedir.
  • Kayıtlarda en önemli bilgi zaman bilgisidir. Kayıtların anlamlı olabilmesi için bu kayıtların zaman bilgilerinin doğru olmasına dikkat edilmelidir. Ortamdaki sistemlerin zaman bilgilerinin doğru ya da senkron olmaması durumda, sistemlerden toplanan bilgiler büyük oranda işe yaramayacaktır. Örneğin, zaman senkronizasyonunun olmaması durumunda Kerberos ile kimlik doğrulama gerçekleşemeyecektir.
  • Mevcut kayıtların belli periyotlarla gözden geçirilmesi ve değerlendirilmesi, gerekli önlemlerin alınması büyük önem arz etmektedir. Böylece olası tehditlerin riski azaltılabilecektir.

Kayıtlarda olması tavsiye edilen temel bilgiler şu şekildedir: Olayın gerçekleştiği zaman bilgisi, olayı gerçekleştiren kullanıcı bilgisi, hedef ve kaynak sistem bilgileri, vs.

Kayıtların tutulması bazı yükümlülükler için de gereklidir. Bu yükümlülükler bilinerek kayıtların tutulması organizasyonun imajını koruyacaktır.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,

26 Aralık 2012 Çarşamba

İpucu: Log Düştüğünde Script Çalıştırılması

İpucu: Log Düştüğünde Script Çalıştırılması


Adımlar
Windows Server 2008 üzerinde Domain Admins gibi Global Security  grubuna bir kullanıcı eklendiğinde, bir script çalıştırılması için aşağıdaki adımlar izlenir:
  • İlgili işlem yapılarak istenen log kaydı Event Viewer'dan bulunur. Veya direk olarak internetten aratılır. İstediğimiz log ID değeri 4728'tir.
  • İlgili log Event Viewer arayüzünden bulunur:
  • Bu kayda bir görev eklenmesi başlanabilir:
  • Görev adı girilir:
  • Düşülecek kayıt seçilir:
  • Kayıt oluştuğunda yapılması istenen işlem belirlenir:
  • Çalıştırılması istenen betik seçilir:

  • İşlem sonlandırılır:

  • Bu işlem başarılı sonlanırsa, Task Scheduler tarafında bir görev oluşmuş olur:
  • Çalışması istenen betik masaüstündeki bir dosyaya "Son" yazmaktadır.

Kontrolü
  • Domain Admins grubuna bir kullanıcı eklendiğinde Event Viewer'a bu kayıt düşmektedir:
  • Kayıt düştüğünde de betik çalışmıştır:

Not: Gerçekleştirilen bu adımlar Görev Zamanlayıcısı tarafında da gerçekleştirilebilirdi.

Kaynak site:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4728
http://www.windowsecurity.com/articles/Attaching-Tasks-Event-Viewer-Logs-Events.html
http://aymanstechblog.blogspot.com/2012/05/passing-event-details-as-arguments.html
http://blogs.technet.com/b/wincat/archive/2011/08/25/trigger-a-powershell-script-from-a-windows-event.aspxY
Gönderen zaman: Hiç yorum yok:
Etiketler: , , ,
Kaydol: Yorumlar (Atom)