SPLUNK CASES
Merhaba, bu yazımda sizlere Splunk üzerinde yapabileceğiniz arama seçeneklerinden, belirli konu başlıklarına göre nasıl bir arama yapmanız gerektiğinden bahsedeceğim. Arama yapacağınız bilgileri bölüm bölüm paylaşacağım. Öncelikle Splunk çözümünün ne olduğundan ne amaçla kullanıldığından kısaca bahsedeyim.
Splunk, siber güvenlik ve IT operasyonlarında çözüm sunan bir yazılım platformudur. Temelde güvenlik, IT operasyonları ve Devops çözümleri sunulur. Bu çözüm web arayüzü sağlayarak veri desenlerini tespit edip, metrik sağlayıp, sorunları teşhis ederek kurumların makine verilerinden faydalanmasına, izleme ve analiz aşamalarını kolaylaştıran bir yazılımdır.
1) Finding Windows Audit Log Tampering
Sisteminizde bulunan bir kullanıcının Windows günlük loglarını temizlediğinden şüphelendiğinizde aşağıda bulunan komut satırını splunk search arayüzünde çalıştırarak işlemin gerçekleşip gerçekleşmediği hakkında bilgi edinebilirsiniz. Olası bir durumda kullanıcı hesabı ile iletişime geçebilirsiniz.
index=__your_sysmon_index__ (sourcetype=wineventlog AND (EventCode=1102 OR EventCode=1100)) OR (sourcetype=wineventlog AND EventCode=104) | stats count by _time EventCode Message sourcetype host
2) Identifying New Windows Local Admin Accounts
Sisteminizde bulunan bir saldırıdan şüphelendiğinizde ve sisteminizin içerisinde bir kullanıcının oluşturulması ve bu oluşturulan kullanıcının izinlerinin yönetici düzeyine yükseldiğini tespit etmek istediğinizde splunk search arayüzünde aşağıda verilen komut satırını çalıştırabilirsiniz.
index=win_servers sourcetype=windows:security EventCode=4720 OR (EventCode=4732 Administrators)
| transaction Security_ID maxspan=180m
| search EventCode=4720 EventCode=4732
| table _time, EventCode, Recurity_ID, SamAccountName
3) Windows Audit Log Cleared
Windows Security Event ID tespit etmek için 1102 veya System log event 104'ü kullanır.Biz 1102 eventcode kullanarak filtrelenmiş güvenlik günlüklerini aramak isterseniz aşağıda bulunan komut satırını kullanabilirsiniz.
index=windows source=”WinEventLog:Security” EventCode=1102
| table _time, host, signature, user
4) Detecting Tampering of Windows Defender Command Prompt
Bir saldırgan sistem içerisine girdiğinde yetkili kullanıcılar tarafından algılanmayı önlemek için ilk olarak Windows Defender’ı devre dışı bırakmaya çalışır. Genellikle saldırganların kullandığı bu yöntem sistem içindeki tespiti zorlaştırır. Sistem içerisinde böyle bir durumun kontrolünün sağlanması için aşağıda verilen komut satırı çalıştırılabilir.
index= __your_sysmon__index__ EventCode=1 Image = “C:\\Windows\\System32\\sc.exe” | regex CommandLine=”^sc\s*(config|stop|query)\sWinDefend$”
5) Clearing Windows Logs with Wevtutil
Bir saldırgan sistem içerisinde bulunana bir makineyi ele geçirdiğinde ve üzerinde işlem yaptığında yaptığı izleri temizlemek amacıyla tehdit aktörleri genellikle Windows Olay günlüklerini temizlemeye çalışır. Genel olarak bunun için kullanılan wevtutil aracını kullanarak işlemlerini gerçekleştirirler. Logların silinmesiyle birlikte saldırganın sistem içerisinde neler yaptığına dair kanıt olarak kullanılabilecek kayıtların incelenmesini zorlaştırır.
index=__your_sysmon_index__ sourcetype= __your__windows__sysmon__sourcetype EventCode=1 Image=*wevtutil* CommandLine=*cl* (CommandLine=*System* OR CommandLine=*Security* OR CommandLine=*Setup* OR CommandLine=*Application*)
6) Detecting Shadow Copy Deletion via Vssadmin.exe
Bir sistem ağını riskli ve tehdit durumuna getirdikten sonra saldırganlar yetkili kişilerin veya yöneticilerin sistemi saldırıdan önceki sürümlerine geri yüklemesini önlemek amacıyla “Shadow Copy” silmeye çalışırlar. Bu işlem genellikle meşru bir Windows aracı olan vssadmin aracılığıyla yapılır. Genellikle “Olympic Destroyer” gibi fidye yazılımları tarafından kullanılan bu tekniğin sistem içerisinden tespit edilememesi daha sonradan sistem içerisinde veri kayıplarına ve sistemin kurtarılmasında başarısızlığa neden olabilir.
index=__your_win_event_log_index__ EventType=4688 CommandLine:”delete” OriginalFileName:”VSSADMIN.EXE”
7) Lsass Process Dump via Procdump
Procdump kimlik bilgileri erişim aracıyla işlenmek üzere lsass.exe dosyasının bellek alanını diske boşaltmak için kullanılabilir. Aşağıda belirtilen komut ise procdump.exe dosyasının lsass.exe dosyasının rastgele bir adla bir dosyaya boşaltılmasını sağlayan ve tespit etmek için kullanabileceğimiz bir komut satırıdır.
index=__your_sysmon_index__ EventCode=1 Image=”*\\procdump*.exe” CommandLine=”*lsass*”
8) Credential Dumping via Windows Task Manager
Görev Yöneticisi’ni ayrıcalıklı bir kullanıcı olarak başlatarak, lsass.exe yardımıyla “Döküm dosyası oluştur” öğesini tıklatarak gerçekleştirilir. Döküm dosyasını, dökümü yapılan işlemin adını içeren belirleyici bir adla diske kaydeder.
index=__your_sysmon_index__ EventCode=11 TargetFilename=”*lsass*.dmp” Image=”C:\\Windows\\*\\taskmgr.exe”
9) Active Directory Dumping via NTDSUtil
NTDSUtil aracı, kimlik bilgisi erişim aracıyla işlenmek üzere bir Microsoft Active Directory veri tabanını diske atmak için kullanılabilir. ntdsutil.exe , çevrimdışı Active Directory kurulumu için ortamın oluşturulması gerektiğini belirten ve bir klasör yolu belirterek komut satırı argümanlarıyla ayrıcalıklı bir kullanıcı olarak başlatılarak gerçekleştirilir. ntds.dit, belirtilen klasör yoluna Active Directory veri tabanının bir kopyasını oluşturacaktır.
index=__your_sysmon_index__ EventCode=11 TargetFilename=”*ntds.dit” Image=”*ntdsutil.exe”
10) Access Permission Modification
Saldırganların işletim sistemi düzeyinde nesne erişim hakkını değiştirebilirler. Saldırganların bunu yapmalarındaki amaçlarından biri kalıcılık sağlamak çünkü bazı dosyaların sadece yönetici düzeyinde değiştirilmesini isteyebilirler. Böylelikle kalıcılığı uzun süre sürdürerek sistem içinde daha uzun süre kalabilirler. Aynı şekilde daha düşük izinlerle de erişilebilir olmasını sağlayabilirler.
index=__your_windows_security_log_index__ EventCode=4670 Object_Type=”File” Security_ID!=”NT AUTHORITY\\SYSTEM”
