Herkese selam! Bu yazımda ele aldığım konu WAZUH ile WINDOWS’da DOSYA DEĞİŞİKLİKLERİ NASIL TESPİT EDİLİR? , Keyifli Okumalar. 🙂

Bir önceki yazımda Wazuh’u Windows’a nasıl konfigüre edilir konusuna değinmiştim linkten erişim sağlayabilirsiniz. Şimdiki yazımda ise konfigüre ettiğimiz Windows da dosya değişikliğini nasıl tespit ederiz ona değineceğim.

Öncelikle ossec-agent klasörüne erişmemiz gerekecek bunun için;

C dizini>Program Dosyaları(x86)>Ossec-agent>local_internal_options.conf  dosyasına giriyoruz.

Eğer mevcutta sizde bu dosya yoksa oluşturmanız gerekecektir.  Dosya da mevcutsa düzenleme yapmamız gerekecek.

Altı çizili dosyanın içerisine girdiğimizde veri varsa siliyoruz ve Wazuh syscheck sistemi dosya bütünlüğü izleme (FIM) ve kayıt defteri değişikliği izlemeden sorumludur. Belirli dizinleri izlemek, içlerinde değişiklik yapmak ve oluşturulan uyarıları gözlemlemek için windows aracısında syscheck’i yapılandıracağız .

windows.debug=2

rootcheck.sleep=0

syscheck.sleep=0

Dosya içeriğine yukarıdaki metini yapıştırıp kaydedip çıkıyoruz.

Bu işlemi tamamladığımıza göre şimdi ise izleyeceğimiz dizini oluşturmamız gerekecek bunun için Powershell’i yönetici olarak çalıştırıp dosya oluşturmamız gerecek aşağıdaki komut ile dosyalarımızı oluşturuyoruz.

mkdir C:\furkan

mkdir C:\kilinc

Dosya ismini istediğiniz gibi belirleyebilirsiniz.

Bu işlemi de tamamladığımıza göre son işlemimiz olan Wazuh’u yapılandırmak kaldı.

Wazuh Agent’ı varsayılan olarak “C:” dizinleri altında dinleyecek şekilde yapılandırmıştık biz yine de o dizinlerin nerede olduğunu göreceğiz.

Şimdi ise win32ui.exe ‘i çalıştırmak için aşağıdaki yolu izliyoruz

C dizini>Program Dosyaları(x86)>Ossec-agent> win32ui.exe

Buradan da View>View config diyoruz.  

Ve aşağıdaki komutu eklememiz gerekecek hali hazırda config dosyasında bu kısım eklidir ama farklı bir dizini izlemek istediğimiz için bu yapılandırmayı kendi dosyalarımıza göre değiştiriyoruz.

<syscheck>

    <disabled>no</disabled>

    <scan_on_start>yes</scan_on_start>

    <frequency>300</frequency>

    <directories check_all="yes" realtime="yes" report_changes="yes">C:/furkan</directories>

    <directories check_all="yes">C:/kilinc</directories>

</syscheck>

Bu komut bütünü ile “furkan” ve “kilinc” klasöründe yapılan değişiklikler Wazuh da görüntülenmektedir.  Wazuh aracısının başlatılmasından veya yeniden başlatılmasından kısa bir süre sonra ve daha sonra her 300 saniyede bir, periyodik bir taramanın gerçekleştirileceği şekilde windows aracısında sistem denetimi FIM’i etkinleştirir.

Görseldeki yere yapıştırıp kaydettikten sonra çıkıyoruz. Değişiklikleri sağladıktan sonra restart atmayı unutmuyoruz.

Manage>restart diyoruz.

Oluşturduğumuz furkan dosyasının içine gelip bir yeni metin belgesi oluşturuyoruz ardından da metin belgesinin ismini değiştirip deneme.txt yapıyoruz.

Şimdi ise Wazuh ekranında sol menüyü açıp Opensearch Dashboard> discover kısmına giriyorum. Burada filtreleme kısmına “furkan” yazıp arattığımda çıkan sonuç aşağıdaki gibidir.

İncelediğimizde ise burada klasörün içine önce yeni metin belgesi oluşturulduğunu ve sonrasında ise adının değiştirildiğini görebiliyoruz ve böylelikle Windows’da dosya değişikliğini tespit etmiş olmaktayız.

Ayrıca Wazuh kontrol panelindeki FIM olaylarınıda

Dashboards > Integrity monitoring diyerek

Görseldeki gibi bütünlük izleme ile de görebiliriz.

Umarım WAZUH ile WINDOWS’da DOSYA DEĞİŞİKLİKLERİ NASIL TESPİT EDİLİR? ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler. 🙂

Share this content:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Explore More

WAZUH ile SYSMON LOGLARINI GÖRÜNTÜLEME

Herkese selam! Bu yazımda ele aldığım konu WAZUH ile SYSMON LOGLARINI GÖRÜNTÜLEME , Keyifli Okumalar. 🙂 Wazuh hakkında daha önceki yazımda bilgi verip ubuntu üzerinde kurulumunu gerçekleştirmiştim  bu yazıma linkten

SYSMON NEDİR?

Herkese selam! Bu yazımda ele aldığım konu SYSMON Nedir , Keyifli Okumalar.  🙂 Sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak kayıt edilmeyen olayları ağımızdaki gelişmiş tehditleri tespit etmemize yardımcı

NMAP NEDİR ?

NMAP NEDİR? Herkese Selam! Bugün ele aldığımız konu nmap nedir , iyi okumalar 🙂  Ağdaki cihazların portlarına paketler gönderip, portların üzerinde çalışan servisleri ve versiyonları, portların açık olup olmadığını, cihazların