Herkese selam! Bu yazımda ele aldığım konu WAZUH’a WİNDOWS DEFENDER GÜNLÜĞÜNÜ İLETME , keyifli okumalar. 🙂

Windows Defender, Windows işletim sistemi kullanan bilgisayarlarda işletim sisteminin kurulmasıyla birlikte yüklenen güvenlik duvarı ve koruma yazılımıdır. Windows işletim sistemiyle önceden yüklenmiş olarak gelen ücretsiz ve oldukça iyi bir anti-virüs çözümü olan Windows Defender birçok ticari anti-virüs çözümlerinin kullandığı imza setlerini içermektedir ve ayrıca Windows olay günlüğüne çıktı vermektedir. Şimdi ise bu Windows Defender’ı Wazuh ajanımıza entegere edip belirli olay günlüğü görüldüğünde Wazuh hangi dosyaların karantinaya alındığını ve hangilerinin alınmadığını hızlıca filtreleyebilir ve biz hangi dosyaların kötü amaçla ulaştığını tam olarak görebiliriz.

Öncelikle Windows Defender çalışır durumda ve güvenliklerin açık olduğunu kontrol etmeliyiz. Bunun için arama çubuğuna Windows Defender yazarak kontrollerinizi sağlayabilirsiniz.

Eğer kapalı olan güvenlik durumunuz varsa düzenleyerek etkin hala getirebilirsiniz. Windows Defender etkin çalışıp çalışmadığını test etmek için örnek bir zararlı dosya indirelim bu dosyayı linkten erişerek indirebilirsiniz.

Altı çizili olan eicar.com  dosyamızı veya diğer dosyaları indirmek istediğimizde Windows defenderın tetiklendiğini dosyayı zararlı olarak nitelendirdiğini görebiliriz.  Ve aslında onu bizim için kaldırıyor bizde bu günlüğün gerçekte nerede olduğunu biliyoruz ama bunu Wazuh varsayılan olarak okuyamaz bizde bunu varsayılan okuması için gerekli adımları yapacağız.

Şimdi Windows olay günlüğümüze gidelim burada Windows Defender ile ilgili tüm günlüklerimizin detayına inebiliriz.

Uygulama ve Hizmet Günlükleri  > Microsoft > Windows >  Windows Defender > Operational diyerek erişim sağlayabiliriz.

Görselde görüldüğü gibi iki tane uyarı oluşturmuş bunların üzerine tıklayıp açtığımızda incelemelerde bulunabiliriz. Windows defenderın kötü amaçlı yazılım veya diğer potansiyel olarak istenmeyen yazılımları ne zaman algıladığını görüyoruz ve işte burası bizim ham günlüğümüzün olduğu o pencere biz ise burada Wazuh ajanımıza yapmasını söylememiz gereken bunları alıp yöneticimize iletmek olacaktır.

Bunun için Wazuh agentımıza girelim

Ve burada altı çizili olan default kısmına gelelim.

Files kısmında altı çizili olan agent.conf’un içine girelim ve burada düzenlemeler de bulunacağız.

Burada düzenleme yapıp kaydettikten sonra bu varsayılan grup içindeki tüm wazuh aracılarına gönderilecektir.

<localfile>

<location>Microsoft-Windows-Windows Defender/Operational</location>           <log_format>eventchannel</log_format>

</localfile>

Bizim burada wazuh aracımıza söylememiz gereken şey bu olay görüntüleyicisinde Windows Defender’ın çalıştığı günlük olan olayları yöneticimize göndermeni istiyorum diyeceğiz.

Düzenleme yapıp kaydettikten sonra tekrar agent.conf ‘un içine girerek kaydedildiğinden emin olmak için bakabilirsiniz.

Şimdi Wazuh ajanımız bu günlükleri toplayacak ve onları wazuh yöneticimize gönderecek bunu test etmemiz için bir zararlı dosya indirmemiz gerekiyor bunu yine aynı site üzerinden indirebiliriz.

Burada yer alan dosyaları indirip aynı uyarıyı tetikleyelim ve böylece Windows kötü amaçlı yazılımın onu algıladığını göreceğiz.

Burada yeni girdilerimi görürüz. Şimdi ise Wazuh’a geri dönersek Security events altında

Bize alertler oluşturduğunu kötü amaçlı yazılım algıladığını görebilir kural seviyesinden de ciddiyetini görebilirsiniz.

Bu alertleri incelersek de

Windows Defender’ın kötü amaçlı olarak kabul ettiği o belirli dosyanın etrafındaki tüm meta verilerini alırız. Görselde görüldüğü gibi eicar ın dosyayı indirme dizinine yazılmaya çalışıldığını ve etrafındaki tüm meta verilerini görüyoruz.

Umarım WAZUH’a WİNDOWS DEFENDER GÜNLÜĞÜNÜ İLETME ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler.  🙂