Herkese selam! Bu yazımda ele aldığım konu WAZUH ile SYSMON LOGLARINI GÖRÜNTÜLEME , Keyifli Okumalar. 🙂

Wazuh hakkında daha önceki yazımda bilgi verip ubuntu üzerinde kurulumunu gerçekleştirmiştim  bu yazıma linkten erişebilirsiniz. Bu yazımda ise wazuhu windowsa kurup Windows da default edilmiş logları görüntülememize yarayan sysmon loglarını inceleyeceğiz.

Kurulum için önce linkten erişerek ova dosyasını indiriyoruz.

Ardından indirdiğimiz dosyayı açıyoruz otomatik olarak hangi sanal makineyi kullanıyorsanız ondan kurulumuna devam ediyor.

Burada içe aktar diyoruz

Kısa bir süre bekleyişimizin ardından makinemizi açıyoruz. Bizden kullanıcı adı ve şifre isteyecek Kullanıcıadı/ Şifre  wazuh-user/ wazuh

Şimdi ise terminale “ip addr” yazıyoruz

Ve burada bize verdiği IP adresini “https://<wazuh_server_ip>”  diyip  tarayıcımızda açarak ara yüze erişim sağlıyoruz

Burada gelişmiş diyerek bağlantıya gidiyoruz.

Kullanıcı adı / Şifre  admin/admin

Buradan Add agent kısmına tıklıyoruz

Burada hangi makinede kurmak istiyorsanız onu seçiyorsunuz Windows’da kuracağımız için windows’u seçiyoruz ve localhostumuzu giriyoruz alt kısımdaki kodu ise powershell de çalıştırmam gerekiyor agentı eklemem için

Powershell’i yönetici olarak çalıştırıp komutu çalıştırıyoruz.

Ardından wazuhu başlatmak için ise NET START WazuhSvc diyoruz

Ve bize başarılı bir şekilde başladığını bildiriyor. Wazuh arayüzüne gidip aktif olup olmadığına bakalım.

Görselde gördüğümüz gibi agent eklenmiş

Agent’a girdiğimizde ise

Bize birçok hizmet sağlıyor biz burada Security Events’ı inceleyeceğiz

Security Events kısmına geldiğimizde ise

Son 24 saatte 407 adet kayıt gösteriyor

Burada Add filter kısmından gerekli filtrelemeleri yaparak görmek istediğimiz işlemleri görebiliriz. Aşağı kısıma geldiğimiz zaman ise bize güvenlik uyarıları hakkında bilgiler sunuyor

Burada ise birçok bilgileri bize sunuyor

Wazuh Windows da

Wazuh Agent ve Manager yapısı ile çalışmaktadır.

Wazuhu kurduğumuz agent ile normalde wazuh agent tarafında System, Security ve Application loglarını topluyor.

Görselde gördüğümüz gibi System,Securıty ve Application loglarını topluyor.

Biz ise Sysmon loglarını görüntülemek istiyoruz bunun için ise öncelikle Sysmon’u Windows makinemize kurmamız gerek

Sysmon kurulumu ise oldukça basit linkten sysmon dosyasını indirdikten sonra işletim sistemi mimarisine göre indirmemiz gerekiyor.

Ardından powershell yönetici olarak çalıştırıp sysmonun olduğu dosyanın içerisine giriyoruz

Ve aşağıdaki komutları yazıyoruz

Sysmon –i

Set-ExecutioınPolicy Unrestricted

Kurulum tamam.

Ardından olay günlüklerine gelip sırasıyla

Uygulama ve Hizmet Günlükleri>Microsoft>Windows>Powershell>Operational

Ardından Sysmonu bulup tik işaretine alalım tamam diyelim

Ad kısmına istediğinizi diyebilirsiniz.

(Eğer kurulumu gerçekleştiremediyseniz daha önceki yazımda sysmon kurulumu mevcut linkten erişebilirsiniz. 🙂 )

Şimdi ise wazuhun sysmonu configure etme sayfasına gelelim burada da sysmon kurulumu hakkında bilgi verilmiş buradan da yararlanabilirsiniz.

Link den erişim sağlayabilirsiniz.

Linke girdikten sonra aşağı kısımda sysmon ile ilgili kod var

Buradaki kodu kopyalayalım ve ossec.conf dosyasının içine girip kodu yapıştımamız gerekecek bunun için ise sırasıyla

C dizini>Program Dosyaları(x86)>Ossec-agent  Dosyasına giriyoruz

Win32ui kısmına gelip yönetici olarak çalıştırıyoruz isterseniz wazuhu buradan da kurabilirsiniz ama ben Powershelli tercih ettim tamamen size kalmış

Çalıştırdıktan sonra

View>View config diyoruz

Ve wazuh sitesinden kopyaladığımız komutu görseldeki yere yapıştırıp kayıt edip çıkıyoruz.

Wazuh Agent  Manager kısmından da Manage kısmına gelip Restart diyoruz ve wazuh arayüzüne gidip Stats kısmına gelerek sysmon loglarının entegre olup olmadığına bakıyoruz.

Görselde gördüğümüz üzere entegre olmuş

Security Events kısmına geldiğimizde ise

Bize yüksek seviyeli bir alarm oluşturduğunu görebilir gerekli incelemelerde bulunabiliriz

Umarım WAZUH ile SYSMON LOGLARINI GÖRÜNTÜLEME ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler. 🙂

Share this content:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Explore More

MAİL HEADER ANALİZİ

Herkese selam! Bu yazımda ele aldığım konuMAİL HEADER ANALİZİ , Keyifli Okumalar.  🙂 Siber saldırganların çevrimiçi kimlik avı aracılığıyla kullanıcılara saldırmaya daha fazla odaklanması doğaldır.  Bunun kim tarafından nasıl yapıldığını tespit

ADLİ BİLİŞİM NEDİR?

Herkese Selam! Bugün ele aldığımız konu adli bilişim nedir? İyi okumalar 🙂 Adli bilişim, bilişim sistemlerinde elektro manyetik vb. ortamlarda muhafaza edilen veya iletilen görüntü, ses ve veri gibi herhangi

WAZUH NEDİR , NASIL KURULUR?

Herkese selam! Bu yazımda ele aldığım konu Wazuh Nedir ,Nasıl Kurulur? Keyifli Okumalar.  🙂 Açık kaynak kodlu herhangi bir lisans ücreti olmayan host tabanlı IDS’dir. Wazuh kurduğumuz sistemlerde Tehdit algılama