Herkese selam! Bu yazımda ele aldığım konu WAZUH ile WINDOWS’da USB SÜRÜCÜLERİNİ ALGILAMA , keyifli okumalar.  🙂

Burada gerçekleştirmeye çalıştığımız nihai hedefimiz cihazımıza USB aygıtının ne zaman takıldığını ve çalıştırdıkları USB aygıtından anormal bir uyarı almak istiyoruz bunu ise  Wazuh ve Windows da yapılandırma değişikliği ile gerçekleştireceğiz.

Windows da arama çubuğuna gelerek yerel güvenlik politikasını açıyoruz.

Gelişmiş Denetim ilkesi Yapılandırılması>Sistem Denetim ilkeleri>Ayrıntılı İzleme

Buradan PNP Etkinliği Denetleme seçeneğini seçiyoruz.

Bu PNP Etkinliği ilke ayarı, tak çalıştır bir dış cihaz algıladığında denetlememizi sağlar.

Yani birisi cihazımıza bir aygıt taktığında windows’a oturum açmasını söyleyecektir. Bu bir usb,fare,kulaklık vb. olabilir. Bunu bizim için günlüğe kaydeder şimdi PNP ‘ye çift tıklayarak açalım ardından olayları yapılandır, başarı seçeneklerini seçip uygula diyelim.

Şimdi ise cihazımıza bir usb aygıtı taktığımızda Windows olay görüntüleyicisinde bir olay oluştuğunu görmeliyiz. Bu yüzden powershell’i açıp “get-disk” diyelim.

Burada usb aygıtını takmadan önce sabit diskimi görüntülüyorum. Şimdi Usb aygıtımı takıp yine “get-disk” aynı komutu çalıştırdığımda usb cihazımın listelendiği aşağıdaki görselde görüyorum.

Olay görüntüleyicimizde ise tetiklenen bir olay olmalı bunu görmek için olay görüntüleyicimizi açıyoruz

Windows Günlükleri>Güvenlik kısmına geliyoruz Buradan da sağ tarafda bulunan geçerli günlüğü filtrele kısmını seçiyoruz.

Bu kısımda olay ID’mizi 6416 giriyoruz tamam dedikten sonra filtreleme işlemi tamamlanıyor.

6416: Sistem tarafından yeni bir harici aygıt tanındı.

Görselde görüldüğü üzere cihaz açıklaması vb. meta verilere ulaşabiliyoruz.

Şimdi ise bu olay görüntüleyiciyi varsayılan olarak Windows wazuh ajanı dağıtımı yardımıyla yapılandıralım. Wazuh uç noktada bir usb tespit ettiğinde tetiklemek için olay kimliği 6416 olan ID’yi alert olarak tetiklesin bizlere.

Bunun için yapmamız gereken wazuh sunucumuza gidip bunun için bir kural oluşturmak.

Wazuh>Management>Rules kısmına gelelim.

Buradan arama yerine local_rules.xml yazarak kuralın içine girerek aşağıdaki kuralmızı ekleyelim.

group name=”windows-usb-detect,”>

  <rule id=”111000″ level=”7″>

    <if_sid>60103</if_sid>

    <field name=”win.system.eventID”>^6416$</field>

    <match>USBSTOR\\Disk</match>

    <options>no_full_log</options>

    <description>Windows: A PNP device $(win.eventdata.deviceDescription) was connected to $(win.system.computer)</description>

  </rule>

</group>

Kural kimliği, 111000 Windows  bir olay algılar eventID 6416 bir Windows sistemi harici bir aygıtı tanıdığında meydana gelen ID’dir.

<match>USBSTOR\\Disk içinde anahtar kelime bulunan olayı algılar. Bu anahtar kelimeler satıcı adını, ürün adını, revizyon numarasını ve seri numarasını içerir.

Kuralımızı kaydedip çıktıktan sonra kuralımızın geçerli olması için wazuh agentımızı restart ediyoruz. Bunu da ossec-agent dosyası altında win32ui.exe’i çalıştırarak

Manage kısmından restart diyerek yapabiliriz.

Ardından USB aygıtımızı takıp Wazuh arayüzünden Security Event kısmına gelerek aşağıdaki görselde görüldüğü gibi bize bir alarm üretecektir.

Alarm içerisine girerek de detaylı bir şekilde incelemelerde bulunabiliriz.

Umarım WAZUH ile WINDOWS’da USB SÜRÜCÜLERİNİ ALGILAMA ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler. 🙂