Forum

Azure Sentinel ile ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Azure Sentinel ile DNS Analizi

8 Yazılar
2 Üyeler
0 Reactions
862 Görüntüleme
(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

Azure sentinel kullanarak, şirket ortamında dns ortamını takip edip, malicious domainlere istek yapan makinaları yakalamak istiyorum.

Sentinel tarafında çalışma kitabı eklerken de zaten bu özellik öne çıkarak tanıtılıyor fakat şu anda sadece dynamic registration ve configuration changes bilgisi geliyor, domain istekleri gelmiyor.

OMS agent üzerinde ise herhangi bir ayar yapılabilecek bölüm yok gibi, atladığım bir nokta var mı? Direk kurulumda bu bilgiler gelmiyor sanırım.

Farklı ürünler illa dns debug açmanız gerekiyor şeklinde belirtiyor. Bu agentta debug açsam dahi bunu tanıtacağım bir yer olmadığı için nasıl dns sorgularına bakacağımı bulamadım.

Kullanan varsa, nerede ayarı atladığımı söyleyebilir mi?

 
Gönderildi : 28/09/2019 19:39

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Merhaba,

Böyle bir şeye mi bakıyorsun?

https://medium.com/@maarten.goet/protecting-against-malicious-payloads-over-dns-using-azure-sentinel-b16b41de52fd

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/09/2019 21:33

(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

Yok aslında, kullanıcılarda ms dnsler kayıtlı. Buradan ise bizim içeride bulunan cache dnslere gidip sorgular yapılıyor.

Buradaki amacım, Ms dns üzerinde malicious domain sorgularını yapan kullanıcıları yakalayabilmek.

Bunu yapabilmek için şu anda qradar'dan gelen istihbarat datası ile, ip yi yakalayıp, cache dns database'nde hangi domain olduğunu buluyorum. Ondan sonra DNS üzerinde debug log açıp, 30-60 dakika bekledikten sonra, aynı domaine doğru istek yapan kullanıcıları yakalayıp öyle araştırıyorum.

Bunu yapmak yerine böyle sentinel ile yakalayabilir miyim diye ona uğraşıyorum. Ama MS tarafından şu anda dns analytics ürünü preview de olduğu için herhangi bir konuda destek veremeyiz dediler. Öyle kaldı havada.

 
Gönderildi : 11/10/2019 11:47

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Kerem bildiğin kafa yakıyorsun, çözünce lütfen bizim ile de paylaş 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/10/2019 12:58

(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

UI yüzünden kaç gündür uğraşıyormuşum 🙂 

Debug Log'ı 50 mblık paketler halinde aldıktan sonra logları basmaya başladı. ( 50 mb benim dns isteklerime göre ideal bir boyut gibi. )

dogus2
dogus1
 
Gönderildi : 21/10/2019 12:50

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Süper hareket, makalesi ne zaman?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/10/2019 20:23

(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

https://www.cozumpark.com/azure-sentinel-ile-dns-analizi/  

Makale 🙂

 
Gönderildi : 28/03/2020 00:21

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Sonunda geldi, eline sağlık.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 28/03/2020 00:22

Paylaş: