Forum
İyi günler, kolay gelsin.
Bir sistem yöneticisiyim , yapımda toplamda 5 sunucu var bunlar Nas , yedekleme sunucusu , 2 adet ESX sunucu var . Bunların içinde sanal makinelerim ve bir çok gizli bilgiler saklanmaktadır. Yapımda active directory vardır fakat ben sadece kendi OU yapımda yetkiliyim. Biz sistem güvenliği için switch üzerinden vlanlara bôlüyoruz ve sunucu tarafına gidişi sadece sistem yönetim kısmından yapıyoruz. Uzun bir açıklama oldu ama sorun şu , bu aralar sistemde bir açık var gibi hissediyoruz çünkü bir kullanıcı haberimiz olmadan bir uygulama kurmuş bu fark ettik fakat belli etmiyoruz , çünkü sunucu tarafına (dosya sunucusu,dhcp, wds,ADC , websunucu, birde vmware6.7 kurulu sanal makinelere) erisiyormu onu tespit etmek istiyoruz çünkü kurumumuzda kabul edilebilir bir durum değil , bunun için hocam bir loglama yapabilir miyizz kullanıcı sanal makineler olsun sunucu tarafına gidişi varmı yada girip çıkıyor mu , tespit edebilir miyiz yardımlarınızı bekliyoruz ?
Merhaba,
Kabaca Network tarafı için switch tarafından flow takibi yaparak görebilirsiniz.
Sistem tarafı için erişebileceği yerlerde logları açabilirsiniz ( ki genelde default açık oluyor. ) fakat eğer bir paylaşım folderına eriştiğinden şüphe duyuyorsanız oralarda share audit açabilirsiniz.
File Audit Makale 1 : File Audit https://www.cozumpark.com/windows-server-2019-uzerinde-file-audit/
File Audit Makale 2 : Lepide File Audit & SIEM https://www.cozumpark.com/lepide-ile-file-server-audit/
EDR ürünü kullanıyorsanız EDR tarafından loglara bakabilirsiniz.
@keremgoktay teşekkürler hocam bunlara bakıp yapmaya çalışacağım ??