Yanıt: [Exploit-TR] Log Analizi Yardım

[Kayhan KAYIHAN]

Logyonetimi.com olmasi lazim adres buna bir göz at.

HTC cihazımdan gönderildi

----- Reply message -----
Gönderen: "GokBoru Efe" <gokbo...@gmail.com>
Kime: <explo...@googlegroups.com>
Konu: [Exploit-TR] Log Analizi Yardım
Tarih: Sal, Ara 4, 2012 11:50

Selamlar Öncelikle

Arkadaşlar Acaba Sizden Rica Etsem log Analizi Hakkında Video vb.. Detaylı Bir Bilgi Suna Bilirmisiniz Acaba Log Analizi Nasıl Yapılır Nerelerde Kullanılır Vb..

Şimdiden Teşekkürler

[alperen ozkan]

Power Grep programını deneyebilirsin...

4 Aralık 2012 Salı 18:50:26 UTC+2 tarihinde Kayhan KAYIHAN yazdı:

[Ozan UÇAR]

Ben ilk epostayı kaçırmışım.

Aktif ve pasif log toplama yazılımları (snifferlar, agentlar vb.),  log correlation araçları/tekniklerini incelemekle başlayabilirsiniz. Bu konuda ki standartları, çeşitli SIEM yazılımlarını ve çalışma prensiplerini incelemenizin çok faydası olur.

Önerebileceğim bazı kaynaklar;

Splunk http://www.splunk.com/

OSSIM http://www.alienvault.com/open-threat-exchange

Syslog standartı ve syslog araçları (rsyslog, syslog-ng vb.)

Wireshark/tshark

tcpdump

pads http://passive.sourceforge.net/

Rehber olarak kullanabileceğiniz örnek bir eğitim içeriği,

http://blog.bga.com.tr/2012/02/log-yonetimi-ve-analizi-egitimi-v2.html

http://www.syslogs.org/rsyslog-ile-merkezi-log-sunucusu-kurulumu/

2013/12/1 alperen ozkan <alpere...@gmail.com>

--
Bu e-postayı Google Grupları'ndaki "Exploit-TR" adlı gruba abone olduğunuz için aldınız.
Bu grubun aboneliğinden çıkmak ve bu gruptan artık e-posta almamak için exploit-tr+...@googlegroups.com adresine e-posta gönderin.
Daha fazla seçenek için, https://groups.google.com/groups/opt_out adresiniz ziyaret edin.

--
----

www.cehturkiye.com

[Kubilay Onur Gungor]

Merhaba,

Log Analizi case e gore ilerler yani aman aman bir standard metodolojisi yok. Case i canlandirirsaniz daha fazla yardim bulabilirsiniz. Soru cok genel. 

Neyin analizi olacak? Herhangi bir suphelenilen durum var mi? vs bunlar onemli yonlendirme acisindan. 

Ornegin herhangi bir bilgi yoksa cok ozetle sunlar denenebilir. Ve elde edilen bilgiler analizin kalanini yonlendirir. 

Traffic icerden disari hangi hostlara gidiyor. 

hiyerarsi nasil

source destination ip ve portlarin unique listeleri ve istek sayilari

user agent lat extract edilebilir

Sadece SYN flag paketleri bir kenara toplayip onlar incelenebilir.

DNS trafigi extract edilebilir 

giden trafikte mail adresleri incelenebilir

dosya transferi olmus mu bakilabilir

alisilmis olmayan uzak sunuculara erisimler portlar vs incelenebilir

log icerisinde cesitli atak tipleri arastirilabilinir 

Bu atak tiplerine ait exploit surecleri arastirilabilinir. 

Log analizi supheli olabilecek her durum icin kullanilabilir, bunun disinda, uygulamalarda fonksiyonel problemler icin, performans problemlerinin analizinde, yahut developerlar troubleshooting yaparken kullanilabilir. O nedenle casenizi canlandirmakta fayda var. Tabi ne tarz loglara sahip olundugu da onemli. Bazen log diye tutturursunuz ama cenazenize kimse gelmez :) 

Misal SQL Injection payloadlari gormussunuzdur, o zaman belki ilk once SQLi exploitation patternlerine odaklanirsiniz. hani exploitation gercekles mi yoksa yalnizca taranmis mi seklinde. Patternlerin yani sira response code lara bakabilirsiniz 500 filan gibi. 

Tabi analiz yapilacak seye gore o alanda backgroundunuzun olmasi gerekir olup biteni anlamak acisindan. 

Iyi Calismalar.

--