Kritik Sunucular Üzerindeki Aktivitelerin Loglanması

Yayınlayan
Editör
Yayınlanma tarihi
25-02-2022
Okuma süresi
10 DK

Kritik Sunucular Üzerindeki Aktivitelerin Loglanması

Log yönetimi kapsamında, iş sürekliliğini ve kesintisiz hizmeti sağlayan uygulama sunucularında, Logların merkezi olarak konsolidasyonu çok önemlidir. Sunuculardan Logların toplanması, anlamlı hale getirilmesi ve raporlanması planlı bir süreci gerektirir. Sunucu Loglarının alınması konusundaki en ufak bir ihmarkarlık çok ciddi sıkıntılara sebep olabilir. Yetkisiz erişimin olduğu kritik bir sunucuda gerçekleşecek bir veri kaybı veya önemli bir verinin çalınmasının önüne geçebilmemiz ve tespit edebilmemiz için ilgili Log kayıtlarını merkezi olarak topluyor olmalıyız.

Kritik sunucular üzerindeki Logların alınması ve raporlanması aşamasında, Logların nasıl toplanacağı, toplanan Logların nasıl anlamlandırılacağı ve nelere dikkat etmemiz gerektiği ile ilgili proje planını çıkarıyor olmalıyız. Aksi taktirde toplanan Logların kurumumuza hiçbir katkısı olmayacağı gibi iş sürekliliğini kesintiye uğratacak problemlerle karşılaşmamız ihtimal dahilindedir.

Faz-2 olarak nitelendirdiğimiz Kritik sunucu Loglarının alınması ve raporlanması süreci şu şekildedir;

1. Kritik Sunucuların Belirlenmesi 

Sunucu Loglarının alınması sürecinde ilk yapılması gereken, kritik sunucuların belirlenmesidir. Bu süreç 5-10 sunucunun olduğu işletmelerde çok geçerli olmayabilir. Fakat sunucu sayısı, 500-1000 hatta daha fazla olan işletmelerde kapsamın kritik sunucular olarak çizilmesi çok önemlidir. Çünkü Log toplanan sunucu sayısının artması hem bu Logların takibi ve monitor edilmesini zorlaştırır, hem de Log yönetimi kapsamında kullanmış olduğumuz çözümler için ciddi yük oluşturur. Bu noktada almış olduğumuz Log yönetimi çözümlerinin Event Per Second (Saniyede alabileceği event) sayısı çok önemlidir. Eğer saniyede alacağımız Log sayısı bu değeri aşarsa hem performans kaybı hem de topladığımız Loglarda kayıplar yaşanabilir. Bu yüzden IT altyapımızda yer alan sunucularımızın hangilerinden Log kayıtlarını toplayacağımızı belirlemeliyiz. Kısacası “Kritik Sunucu” listemizi oluşturmalıyız. Kritik sunucuları belirlerken kriterlerimiz şunlardır;

  • Üzerinde çalışan uygulamaların önemi; Örneğin firma çalışanlarının özlük veya maaş bilgilerinin bulunduğu insan kaynakları uygulamalarının çalıştığı sunucular.
  • Üzerinde kritik dosyaların bulunması; Örneğin tüm çalışanların ortak erişim sağladığı dosya sunucuları.
  • Üzerinde kritik hizmetlerin olması; Örneğin IIS, FTP v.b hizmet sağlayıcı konumundaki sunucular.
  • İş sürekliliğindeki önemi; Sunucu üzerinde kritik bir dosya yoktur, kullanıcıların veri girdiği bir uygulama çalışmıyordur. Ama üzerinde çalışan bir servis vardır ki onun durması veya farklı bir hesap ile çalıştırılmaması gerekiyordur. Bu da bizim kritik sunucu kriterimiz içerisine girer.
2. Alınacak Log Türlerinin Belirlenmesi

Bu aşamada sunucu üzerinde işletim sistemine ait hangi Log kayıtlarının alınacağı belirlenir. Burada sunucu üzerinde çalışan işletim sistemi ve size verebileceği Log yapısı çok önemlidir. Windows server 2003 için örnek verecek olursak, bu Log çeşitleri şunlardır;

  • System Log: İşletim sistemi bileşenleri tarafından sebep olunan hatalar, bu Log’a kaydedilir. Örneğin, bir HBA kartının sürücüsünün tanınmaması, bir servisin çalışmaması gibi temel hatalar bu Log’a kaydedilir.
  • Application Log: Uygulamaların neden olduğu hatalar bu log’a düşer. Örneğin çalışan bir uygulamanın regedit kaydına bir şey yazamaması.
  • Security Log: Logon/Logoff, yetkili/yetkisiz erişim denemeleri bu log’a düşer. Örneğin kritik bir dosyaya kimin eriştiğini, hangi yetki ile eriştiğini, sildiğini veya açtığını security log kaydından görebiliriz. Sistemlerin başlatılması, account yönetimi ile ilgili işlemler, şifre süresinin aşılması, izin düzenlemeleri ve grup üyelikleri vb. Log kayıtları security logunda bulunur.

Her bilgisayarda standart olarak gelen bu izleme politikalarının dışında da çeşitli Log mekanizmaları olabilir. Örneğin Active Directory olan bir ortamda DC (Domain Controller) üzerinde Directory Service veya DNS sunucu üzerinde DNS Loglarının tutulduğu kayıt defterleri olabilir. Windows tabanlı bilgisayarlarda 9 değişik izleme politikası vardır. Burada sunucular üzerindeki hangi Log kayıtlarını alacağımızı doğru blirlemeli, alacağımız bu logların, Log yönetimi için kuracağımız sistemlere gereksiz yük getirmesinden kaçınmalıyız.

Şekil-1’de yer alan sistem ve uygulama event tipleri de şu şekildedir;

  1. Information: Herhangi bir uygulamanın veya servisin başarılı olarak yüklendiğinin bilgisini verir.
  2. Warning: İleride sorun oluşturabilecek olaylar hakkında bilgi verir ve bu durum hakkında sizin önlem almanız noktasında uyarır.
  3. Error: Herhangi bir uygulama veya servisin çalışması sırasında oluşan hatayı size bildirir.

Şekil-1

Security event tipleri şu şekildedir;

  1. Success: Başarılı gerçekleşen olay kaydında düşer.
  2. Failure: Yapılan işlemin başarısız olduğunu gösterir.

Belirlemiş olduğumuz security Loglarının alınabilmesi için işletim sistemi tarafında bu izleme politikaların oluşturulması gerekir. Aksi taktirde ilgili Log kaydında istediğimiz verilere ulaşamayız. Şekil-2 de yer alan izleme politikaları ve özellikleri şu şekildedir;

  • Account Logon: Kullanıcının Domain’ e logon olduğu bilgisi.
  • Account Management: Kullanıcı veya Grup oluşturma, silme, değiştirme bilgilileribulunur.
  • Directory Service Access: AD (Active Directory) objelerini açan kullanıcı bilgilerini izlenmesini sağlar.
  • Logon Events: Local veya networkden logon/logoff olan kullanıcı bilgilerinin izlenmesini sağlar.
  • Object Access: Dosya ve klasor üzerinde kullanıcıların yaptıkları işlmlerin izlenmesini sağlar.
  • Policy Change: Politikalarda yapılan değişiklikleri izler.
  • Privlege Use: Kullanıcıların sistemler üzerinde yaptığı değişikliği tutar. Sistem saatinin değiştirilmesi gibi.
  • Process Tracking: Çalıştırılan program bilgilerinin izlenmesini sağlar.
  • System Events: Kullanıcıların restart ve shutdown etme bilgilerinin izlenmesini sağlar.

Şekil-2

Bütün bu politikaları konfigüre edebilmek için Administrators grubunun üyesi olmamız ve gerekir. Her bir politikayı çift tıklayarak Sucess/Failure işaretlememiz yeterlidir. Yani başarılı ve başarısız gerçekleşen işlemlerin izlenmesi sağlanır.

3. Log Toplama Zaman Aralığı 

Logların toplanmasına başlamadan önce, bu Logların hangi zaman aralığında alınması gerektiği belirlenmelidir. Sunucular üzerindeki Log boyutunun önerilen değerlerin üzerine çıkması işletim sistemi performansı ve iş sürekliliği açısından sıkıntılara sebep olabilir. Bu yüzden kritik boyuta gelmeden Logların merkezi olarak Loglanması gerekir. Windows event Log mimarisini inceleyecek olursak, log boyutunun 300 mb geçmemesi gerekir. win 2008 ile birlikte bu değerin 4-16 gb olması problem değildir. Varsayılan değerler ise kısaca şöyledir;

Log boyutunun belirlenen sınıra ulaştıktan sonra ne yapılacağı şekil-3 de “When maximum log size is reached” bölümünde belirlenir.

Şekil-3
  • Overwrite events as needed: Log boyutunun kritik değere ulaşması halinde mevcut Logların üzerine yazılır. Logların zamanında alınamaması durumunda Log kaybı yaşarız. Belirlediğimiz Log boyutunun aşılması bir DC sunucusu için 1 saat gibi kısa bir sürede gerçekleşirken, bir başka sunucuda 1 haftada bu limite ulaşılabilir. Bu sebepten Log kaybı yaşamadan en uygun sürenin belirlenmesi gerekir. Yani kritik sunucu üzerindeki loglar dakika, saat veya günlük zaman aralıkları ile alınabilir.
  • Overwrite events older than: Log boyutunun belirlenen değere ulaşması durumunda yeni gelen event Log kayıtlarının 7 günden eski Logların üzerine yazılmasını sağlarız. Eğer 1 hafta boyunca mevcut Logları alamamış isek log kaybı yaşarız.
  • Do not overwrite events: Kesinlikle hiçbir Log kaydının silinmemesi ve bir başkasının üzerine yazılmaması demektir. Mevcut Loglar manuel silinebilir. Fakat Log boyutu 200-300 mb olduğunda işletim sisteminde problemler yaşanabilir.

Öneri; Kritik sunucularınız üzerindeki “When maximum Log size is reached” seçeneğinin “Overwrite events as needed” olması ve belirlenen limite  ulaşılmadan mevcut Logların merkezi Log korelasyon dahilinde alınmasıdır.

4. Kritik Logların Belirlenmesi

Sunuculardan belirlenen Log kayıtlarının toplanması süreci başladıktan sonra alarm kurallarının oluşturulması ve uyarı mekanizmalarının kurulabilmesi için kritik Log kayıtlarının sunucu bazında belirlenmesi gerekir. Örnek vermek gerekirse;

  • Logon/logoff takibi için Event Id 528,
  • Başarısız oturum açma girişimi için Event Id 529,
  • Logların silinmesi durumunda Event Id 517,
  • Kullanıcı hesabındaki değişikliklerin takibi için Event Id 642,
  • Kimlerin ağ üzerinden oturum açtığının belirlenmesi için Event Id 540,
  • Web sunucu üzerinde bulunan index.html dosyasında gerçekleşecek değişiklik,
  • Dhcp sunucu servisinin durması
5. Realtime Alarm ve İzleme Mekanizmalarının Kurulması

Kritik sunucu Loglarının alınma sürecinde 5. aşama alarm ve izleme mekanizmasının kurulmasıdır. Belirlenen sunuculardan Logların toplanması ve bizim için kritik Log kayıtlarının Log yönetimi sistemine düşmesi durumunda ilgili kişi veya kişilere mail, sms veya popup olarak bildirimin yapılması ve zaman kaybetmeden gereken aksiyonun alınması gerekir.

6. Raporlama Ekranlarının Oluşturulması

RealTime izlemenin dışında bir diğer süreç ise mevcut politikalara ve kriterlere uygun Logların haftalık, aylık veya yıllık olarak raporlanması ilgili kişi veya kişilere pdf, xlsx veya docx formatında gönderilmesi sağlanmalıdır. Aslında şu ana kadar yapılan bütün çalışmaların meyvesi bu rapor ekranlarıdır. Örneğin kritik olarak belirlenen bir sunucuya 1 hafta içerisinde logon olan Top 20 user name veya yetkisiz erişim denemesi yapılan Top 20 Servername v.b Şekil-4 benzeri raporlar hazırlanabilir.

 

Şekil-4

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi