Forum
Azure sentinel kullanarak, şirket ortamında dns ortamını takip edip, malicious domainlere istek yapan makinaları yakalamak istiyorum.
Sentinel tarafında çalışma kitabı eklerken de zaten bu özellik öne çıkarak tanıtılıyor fakat şu anda sadece dynamic registration ve configuration changes bilgisi geliyor, domain istekleri gelmiyor.
OMS agent üzerinde ise herhangi bir ayar yapılabilecek bölüm yok gibi, atladığım bir nokta var mı? Direk kurulumda bu bilgiler gelmiyor sanırım.
Farklı ürünler illa dns debug açmanız gerekiyor şeklinde belirtiyor. Bu agentta debug açsam dahi bunu tanıtacağım bir yer olmadığı için nasıl dns sorgularına bakacağımı bulamadım.
Kullanan varsa, nerede ayarı atladığımı söyleyebilir mi?
Merhaba,
Böyle bir şeye mi bakıyorsun?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Yok aslında, kullanıcılarda ms dnsler kayıtlı. Buradan ise bizim içeride bulunan cache dnslere gidip sorgular yapılıyor.
Buradaki amacım, Ms dns üzerinde malicious domain sorgularını yapan kullanıcıları yakalayabilmek.
Bunu yapabilmek için şu anda qradar'dan gelen istihbarat datası ile, ip yi yakalayıp, cache dns database'nde hangi domain olduğunu buluyorum. Ondan sonra DNS üzerinde debug log açıp, 30-60 dakika bekledikten sonra, aynı domaine doğru istek yapan kullanıcıları yakalayıp öyle araştırıyorum.
Bunu yapmak yerine böyle sentinel ile yakalayabilir miyim diye ona uğraşıyorum. Ama MS tarafından şu anda dns analytics ürünü preview de olduğu için herhangi bir konuda destek veremeyiz dediler. Öyle kaldı havada.
Kerem bildiğin kafa yakıyorsun, çözünce lütfen bizim ile de paylaş 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
UI yüzünden kaç gündür uğraşıyormuşum 🙂
Debug Log'ı 50 mblık paketler halinde aldıktan sonra logları basmaya başladı. ( 50 mb benim dns isteklerime göre ideal bir boyut gibi. )
Süper hareket, makalesi ne zaman?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Sonunda geldi, eline sağlık.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************