Bilgi Güvenliği ve Olay Yönetimi sürecinde Adli Bilişimi daha detaylı bir şekilde ele alabilmek adına Cmd.exe ve PowerShell.exe üzerinden yapılan işlemlerin kayıt altına alınması bize çok fayda sağlayacaktır. Vaka analizlerinde kapsamlı incelemeler yaparak olay yönetimini daha etkin yönetebiliriz.
Kullanım:
Local Group Policy Editor’e erişim için Control Panel\System and Security\Administrative Tools
Ya da Run gpedit.msc üzerinden erişim sağlayabiliriz.
Local Computer Policy >
Computer Configuration >
Windows Settings >
Security Settings >
Advanced Audit Policy Configuration >
System Audit Policies – Local Group Policy Object >
Detailed Tracking > Audit Process Creation üzerinde Configure the following audit events: Success Failure seçenekleri aktif ederek onaylıyoruz. Ve böylelikle başarılı ve başarısız denetim olaylarını onaylamış oluyoruz.
Local Computer Policy >
Computer Configuration >
Administrative Templates >
System > Audit Process Creation üzerinde Enabled seçeneğini aktif ederek onaylıyoruz. Ve böylelikle işlem oluşturma olaylarına komut satırını da dahil etmiş oluyoruz.
Yapılandırmalarımız tamamlandı. Cmd.exe üzerinde ipconfig çalıştırarak ilk testimizi gerçekleştirelim.
PowerShell.exe üzerinde systeminfo çalıştırarak ikinci testimizi gerçekleştirelim.
Ve şimdide Event Viewer üzerinde olay günlüklerini inceleyelim. Windows Logs > Security üzerinde sağ panelde yer alan Find tıklayıp ipconfig sözcüğünü arayalım.
Cmd.exe üzerinde çalıştırdığımız ipconfig komutunun olay kaydı oluşmuş.
Şimdi de Find tıklayıp systeminfo sözcüğünü arayalım.
PowerShell.exe üzerinde çalıştırdığımız systeminfo komutununda olay kaydı oluşmuş.
Vaka yönetiminde bize çok yardımcı olacak bu yapılandırmaları kullanarak Bilgi Güvenliği ve Olay Yönetim süreçlerinize katkı sağlayabilirsiniz.