|

Wazuh ile File Integrity Monitoring


alicangonullu tarafından 2022-02-15 20:34:36 tarihinde yazıldı. Tahmini okunma süresi 2 dakika, 3 saniye. 379 kere görüntülendi.



Disclaimer

The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks, or data.

Yasal Uyarı
Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklamlama amacı taşımaz.
Yasal bilgiler için yasal sayfasını inceleyebilirsiniz .

Merhabalar

HIDS Wazuh serimize devam ediyoruz. Bu yazımızda sizlere Wazuh ile FIM (File Integrity Monitoring) yapmayı öğreteceğim. Öncelikle lab ortamımızı kurmamız gerekiyor. Buradan Wazuh OVA dosyamızı indirip WMVare üzerine kuruyoruz.

Bu ortamı kurduktan sonra bir hedef analizi yapmamız gerekiyor. Hedeflerimiz neler ?

Hedef Bilgisayarın,
Sistemi : Windows Server 2016 64-bit
Bağlantı IP adresi : 10.16.0.29

Bağlanılacak Serverin,
Sistemi : CentOS 7 x86_64
IP Adresi : 10.16.0.23

Bu bilgileri topladıktan sonra sanal sunucuyu çalıştırıyoruz ve sistem ayağa kalktığında şöyle bir görüntü karşımıza geliyor.

Burada yazan IP adresi Wazuh panelimize gireceğimiz adrestir. Fakat biz öncelikle Agent kuracağımız için şu komutları yazıyoruz

cd /var/ossec/bin
./manage_agents

Komutlarını girerek Authentaction Token oluşturma işlemlerine başlıyoruz. Ardından şu işlemleri yapıyoruz

10.16.0.29 bizim bilgi toplamak istediğimiz adres oluyor. Bu IP adresine bağlı olan bilgisayardan veriler toplayacağız. Şimdi IP adresinin bağlantısını kurmak için tokeni alıyoruz

Bu işlemler bittikten sonra hedef sistemimiz Windows olduğu için Wazuh Agent'i buradan indiriyoruz. Kurulumu normal bir şekilde bitiriyoruz. Kurulumdan sonra şu konumu takip ediyoruz.

C:\Program Files (x86)\ossec-agent
Bu programı başlatmalıyız (Yönetici olarak) : win32ui.exe

Şuna benzer bir pencere karşımıza çıkacaktır

Burada 10.16.0.23 serverimizin IP adresidir yani logları buradan görüntüleyeceğiz. Auth key ise yine logları görüntülediğimiz server üzerinde oluşturduğumuz o keydir. Gerekli yerlere bu bilgileri yazıyoruz ve Save diyoruz. Ardından ossec.conf dosyasına ulaşıyoruz. Konumu şurada olabilir

C:\Program Files (x86)\ossec-agent

Ardından burada yapmamız gereken directory tagleri arasında geziniyoruz ve dosya konumumuza uygun olarak şunu yazabiliriz

c:\files

Tüm bu işlemlerden sonra C:/Windows klasörü loglanmaya başlamıştır. Bu işlemden sonra ise sol üstten Manage > Start / Restart konumunu takip ediyoruz ve sistemimiz çalışıyor mu diye kontrol etmek için server IP adresini browser'a HTTPS şeklinde yazıyoruz.

Ve şuan log toplamaya hazır duruma geldi. Fakat bir FIM kısmına bakalım.

Başarıyla logların geldiğini görüyoruz.

Okuduğunuz için teşekkürler!