Şüpheli bağlantılar CMD'den nasıl engellenir

  • Netstat, CMD veya terminalden açık portları, ilişkili işlemleri ve şüpheli bağlantıları tespit etmenizi sağlar.
  • Windows Güvenlik Duvarı, UFW, firewalld ve blackhole rotaları, kötü amaçlı olarak tespit edilen IP'leri ve aralıkları engellemenize olanak tanır.
  • Endpoint için Defender veya FortiGate gibi gelişmiş araçlar, tehlikeye atılmış cihazları, VPN'leri ve kullanıcıları izole eder.
  • İyi kullanıcı yönetimi, SSH ve denetim kayıtları, ağ saldırılarını tespit etmek ve durdurmak için anahtardır.
Lorena Figueredo

15 minutos

Şüpheli bağlantılar CMD'den nasıl engellenir

Garip bağlantılar, nereden geldiğini bilmediğiniz açık portlar veya rastgele başarısız oturum açma girişimleri görmeye başladığınızda, bunların nasıl yapıldığını anlamak önemlidir. CMD'den şüpheli bağlantıları engelle ve güvenlik duvarı Artık "uzmanlara özel" bir şey değil, bir zorunluluk. Birkaç sık kullanılan komutla saldırıları durdurabilir, sunucu yükünü azaltabilir ve ağınızda neler olup bittiğine dair önemli bir görünürlük elde edebilirsiniz.

Windows, Linux ve hatta FortiGate gibi güvenlik aygıtlarında, yerel araçlara sahipsiniz trafiği izleyin, kötü amaçlı işlemleri belirleyin ve IP'leri, aralıkları veya protokolleri engelleyinİşin püf noktası bunları iyi bir şekilde birleştirmek: önce netstat, loglar ve izleme ile tespit ediyorsunuz, sonra işler kontrolden çıktıysa CMD, güvenlik duvarı veya doğrudan cihazı izole ederek bloke ederek yanıt veriyorsunuz.

Netstat ve CMD: Şüpheli bağlantıları tespit eden ilk radar

Komut netstat, bağlantıları denetlemek için kullanılan klasik araçlardan biridir Windows, Linux ve macOS veya Unix gibi diğer sistemlerde ve 90'lardan beri bizimle olmasına rağmen, bilgisayarınızda veya sunucunuzda neyin neye bağlandığını bilmek için hala çok faydalıdır.

Adı Ağ ve İstatistiklerden geliyor ve bu onun işlevini oldukça iyi özetliyor: size ağ istatistikleri, yönlendirme tablosu, açık bağlantı noktaları ve etkin bağlantılarBu, hem gelen hem de giden bağlantıları kapsar. Hangi işlemin bir portu dinlediğini, alışılmadık bir servisin nereye bağlandığını veya alışılmadık derecede yüksek bir bağlantı hacmi olup olmadığını belirlemek istiyorsanız bu çok önemlidir.

Araçta grafiksel bir arayüz yoktur; komut isteminden veya terminalden çalışır, bu nedenle sunucu ortamlarında ve adli olay analiziKarşılığında, "güzel" yardımcı programlarda nadiren bulunan bir ayrıntı düzeyi sunar ve şüpheli uzak ana bilgisayarlara belirli bağlantı noktalarına veya bağlantılara bağlı olan kötü amaçlı yazılımları tespit etmenize olanak tanır.

Netstat ile sonuçlara varmadan önce, gereksiz programları kapatmanız veya hatta yeniden başlatmanız ve yalnızca kesinlikle gerekli olanları açmanız önerilir, çünkü bu şekilde Meşru bağlantılardan gelen gürültüyü azaltırsınız (tarayıcı, sohbet istemcileri, vb.) ve ihtiyacınız varsa, Kaç cihazın bağlı olduğunu kontrol edin Gerçekten araştırmakla ilgilendiğiniz şeyin daha temiz bir fotoğrafına sahip olmak için.

Ayrıca netstat, görselleştirmeye yardımcı olan protokol başına bir yönlendirme tablosu ve istatistik tutar. hatalar, düşen paketler ve tıkanıklıkBir darboğazı veya kısmi bir hizmet kesintisini anlamaya çalışıyorsanız, bu bulmacanın önemli bir parçasıdır.

Sıra dışı bağlantıları avlamak için daha kullanışlı netstat seçenekleri

Windows'ta netstat'ı CMD veya modern Terminal'den, Linux'ta ise herhangi bir konsoldan çalıştırabilirsiniz. Windows'taki tipik sözdizimi şu şekildedir: netstat , görmek istediğiniz şeye göre parametreleri birleştirerek.

Eğer sadece yazarsanız netstat Enter'a bastığınızda etkin bağlantıların temel bir listesini göreceksiniz: protokol (TCP/UDP), portlu yerel adres, uzak adres ve durum (DİNLENİYOR, KURULUYOR, SÜRE_BEKLEME, vb.). Bu bilgilerle, daha önce hiç görmediğiniz yabancı IP'lere veya portlara giden bağlantıları bulmaya başlayabilirsiniz.

Sayısal modda çalışmak için (DNS adlarını çözmeye çalışmadan) genellikle şunu kullanırsınız: netstat -nBu, çevrilmemiş IP adreslerini ve bağlantı noktası numaralarını görüntüler. Bu sayede, şüpheli IP'leri kara listeler veya güvenlik duvarı günlükleriyle karşılaştırırken çıktı daha hızlı ve daha net olur.

Eğer bilginin her X saniyede bir yenilenmesini istiyorsanız, örneğin sonuna bir sayı ekleyebilirsiniz. netstat -n 7 Böylece çıktı her 7 saniyede bir tekrarlanır. Harici araçlar kullanmadan CMD üzerinden bir tür "monitör" oluşturmanın basit bir yoludur.

Netstat'ın garip aktiviteleri aramada özellikle yararlı olduğu nokta, gelişmiş parametrelerdir; bunlar size şunları sağlar: Protokole göre filtreleyin, ilişkili PID'leri, istatistikleri veya rotaları görüntüleyin:

  • netstat: tüm bağlantıları ve dinleme portlarını (aktif ve inaktif) gösterir.
  • netstat -e: trafik istatistiklerini (gönderilen/alınan baytlar, hatalar, atılanlar) görüntüler.
  • netstat -f: Uzaktaki ana bilgisayarların tam etki alanı adını (FQDN) çözümler ve görüntüler.
  • netstat -n: IP ve portları sayısal formatta görüntüler.
  • netstat -o: Her bağlantıyı kullanan işlemin PID'sini gösterir, Görev Yöneticisi ile çapraz referanslamanın anahtarıdır.
  • netstat -p X: protokole göre filtreler (TCP, UDP, TCPv4, TCPv6...).
  • netstat -q: Bağlantılı dinleme ve dinlemeyen portların listesi.
  • netstat -sİstatistikler protokol bazında gruplandırılmıştır (TCP, UDP, ICMP, IPv4, IPv6).
  • netstat -r: geçerli yönlendirme tablosunu görüntüler.
  • netstat -t: indirme sürecindeki bağlantılara odaklanıldı.
  • netstat -xNetworkDirect bağlantıları hakkında bilgi.

Temel güvenliği kontrol etmenin çok yaygın bir kullanımı Netstat -anoBu, bu seçeneklerden birkaçını birleştirir: Tüm etkin bağlantıları IP'leri, bağlantı noktaları ve işlem kimlikleriyle birlikte görürsünüz. Buradan şunları yapabilirsiniz: nadir süreçleri tespit etmek Görev Yöneticisi'nde veya TCPView gibi araçlarla bunları güvenlik duvarı aracılığıyla engelleyip engellemeyeceğinize veya kaldırıp kaldırmayacağınıza karar verin.

Örneğin findstr ile durumu filtrelemek de çok pratiktir netstat | findstr KURULDU yalnızca kurulmuş bağlantıları görmek veya ESTABLISHED'ı LISTENING, CLOSE_WAIT, TIME_WAIT vb. olarak değiştirmek için Kaynak sızıntılarını veya zombi bağlantıları mı araştırıyorsunuz?.

Netstat'ın avantajları, sınırlamaları ve performans etkisi

Şüpheli bağlantılar CMD'den nasıl engellenir

Netstat, size bir avantaj sağladığı için parlıyor hangi portların ve bağlantıların canlı olduğunun oldukça doğrudan görünürlüğü Bir bilgisayarda bu, bir yönetici veya analist için bulunmaz bir nimettir. Trafiği izlemenize, oturumları takip etmenize, performans değerlendirmeleri yapmanıza ve yetkisiz bağlantıları veya şüpheli davranışları nispeten hızlı bir şekilde tespit etmenize olanak tanır.

İstatistikleri sayesinde şunları tespit edebilirsiniz: belirli protokollerde anormal artışlar veya hatalarda artışBu durum genellikle tıkanıklığa, port taramalarına, kaba kuvvet girişimlerine veya yanlış yapılandırılmış kötü amaçlı yazılımlara işaret eder. Ayrıca, yerel bir yardımcı program olduğu için Windows veya birçok Linux dağıtımına herhangi bir şey yüklemeniz gerekmez.

Ancak bunun da dezavantajları var. Öncelikle, Çıktı oldukça yoğun ve gizemli olabilir Bağlantıları, durumları ve portları yorumlamaya alışkın değilseniz, teknik olmayan bir kullanıcı için öğrenme eğrisi pek de kolay olmayacaktır ve büyük ihtimalle grafiksel arayüze sahip programlar kullanacaklardır.

Bir diğer nokta ise netstat'ın kendi başına, Hiçbir şeyi şifrelemez, hiçbir şeyi engellemez ve derinlemesine analiz yapmaz.Sadece bilgi görüntüler. Bu verileri gerçek bir savunmaya dönüştürmek için güvenlik duvarları, EDR sistemleri, IDS/IPS ve diğer araçlarla desteklemeniz gerekir.

Çok iyi ölçeklenemiyor. Binlerce eşzamanlı bağlantının bulunduğu devasa ağlarda veya ortamlarda. Modern altyapılarda, gelişmiş PowerShell, SNMP, Linux'taki ss veya daha güçlü grafik görüntüleyiciler gibi çözümlere kıyasla genellikle ikincil bir role indirgenir.

Performans açısından, komutun kendisi sistemi "bozmaz", ancak çalıştırırsanız sürekli olarak, birçok parametreyle ve binlerce bağlantıya sahip ekipmanlardaCPU ve belleği önemli ölçüde tüketebilir. Yalnızca ara sıra, belirli filtrelerle ve çok kısa aralıklarla sürekli yenileme yapmadan kullanmanız önerilir.

Netstat, ayrıntı düzeyi sayesinde size şu konularda bile yardımcı olur: kötü amaçlı yazılım tespit et rootkit gibi davranan veya işlemleri alışılmadık bağlantıların arkasına gizleyen.

Algılamadan engellemeye nasıl geçilir: Windows güvenlik duvarı ve IP engelleme

Netstat veya günlükleri kullanarak şüpheli bağlantıları veya IP'leri bulduğunuzda, bir sonraki mantıksal adım, Şüpheli IP'leri engellemek için Windows güvenlik duvarını kullanınBu, trafiği kaynağında keser ve sunucu veya bilgisayarda kaynak tasarrufu sağlar.

Windows'ta belirli bir IP adresini engellemenin tipik süreci, bir özel gelen kuralı:

  1. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı’nı açın ve “Yeni Kural”a tıklayın.
  2. Engellenecek trafiği doğru şekilde tanımlayabilmek için “Özel” seçeneğini seçin.
  3. Kuralın herhangi bir uygulamayı etkilemesini istiyorsanız “Tüm programlar” seçeneğini belirtin.
  4. “Protokol ve portlar” kısmında çok spesifik bir şey istemiyorsanız “Herhangi biri” olarak bırakın.
  5. “Kapsam” bölümüne engellemek istediğiniz kaynak IP adresini veya IP aralığını ekleyin.
  6. Varsayılan eylem olarak “Bağlantıyı engelle”yi seçin.
  7. Hangi profillere uygulanacağına karar verin (alan adı, özel ve genel, genellikle üçü de).
  8. Örneğin, ona tanınabilir bir isim verin Şüpheli_IP'yi_Engellemeve kaydedin.

Bu sayede, söz konusu IP adresinden gelen tüm bağlantı girişimleri doğrudan reddedilecektir. Bu, özellikle bir saldırganın web sitenize tekrar tekrar erişmeye veya... küçük DDoS saldırıları veya kimlik bilgilerinin test edilmesi yönetim panellerine karşı.

Sisteminizden engellemek yerine, bir sunucuda barındırılan bir web sitesine erişimi doğrudan engellemek istiyorsanız, bir diğer seçenek dosyayı kullanmaktır Plesk gibi kontrol panellerinde .htaccessŞunlara benzer kurallar ekleyebilirsiniz:

Order Allow,Deny
Deny from 192.168.xx.x
Allow from all

ve satırı tekrarlayın Reddet Her ek IP adresi için. Bu, kullanıcıların bu IP adreslerinden web sitenize erişmeye çalıştıklarında yalnızca bir hata görmelerini ve uygulama veya veritabanı kaynaklarını tüketmemelerini sağlar.

Sunucu izin verdiğinde .htaccess aracılığıyla ülkeye özgü coğrafi engellemeyle de oynayabilir, belirli trafiği (örneğin, yalnızca saldırı aldığınız bir ülkeden) RewriteCond kurallarını kullanarak bir hata sayfasına yönlendirebilirsiniz. GEOIP ülke kodu.

CMD ve ağ araçlarından IP adreslerini ve aralıklarını engelleme

Bazı ortamlarda, özellikle Linux sunucularında veya işin neredeyse her zaman konsolda yapıldığı sistemlerde, kullanmak daha doğrudandır terminalden yönlendirme veya güvenlik duvarı komutları sorunlu bir IP adresinden gelen trafiği kesmek için.

Komutu ile degistirebilirsin. Unix benzeri sistemlerde, trafiği belirli bir ana bilgisayara "akıtan" rotalar ekleyebilirsiniz. Örneğin:

route add -host 24.92.120.34 reject

Bu komutla, söz konusu IP adresine ulaşma girişimleri reddedilir. Nelerin engellendiğini veya yönlendirme tablosunun nasıl göründüğünü görmek istiyorsanız, şunu kullanabilirsiniz: rota -n, aktif numara rotalarını gösterecek.

Herhangi bir zamanda ihtiyacınız olursa ters kilitSadece şunu çalıştırın:

route del 24.92.120.34 reject

Biz konuşurken tam aralıklarŞuna benzer bir şey kullanabilirsiniz:

ip route add blackhole 22.118.20.0/24

tüm bir alt ağ için bir "kara delik" rotası oluşturarak, Bu adreslere gönderilen paketler yanıt alınmaksızın atılır.Belirli bir aralıktan dağıtılan kitlesel saldırılara karşı veya IP gruplarından gelen kitlesel spam'i durdurmak için oldukça faydalıdır.

Kör bir şekilde içeri girmekten kaçınmak için, aşağıdakilere güvenmeniz önerilir: IP aralığı hesaplayıcıları özellikle /24'ten biraz daha karmaşık maskelere sahip alt ağlarla uğraşıyorsanız, tam olarak kaç tane ve hangilerini engellediğinizi bilmek.

Şüpheli IP'lerden VPN bağlantılarını ve uzaktan erişimi engelleyin

SSL VPN'ler saldırganlar için çok cazip bir hedeftir çünkü içeri girmeyi başarırlarsa onlara dahili ağınıza neredeyse doğrudan erişimFortiGate gibi cihazlar, VPN'e hangi IP'lerin bağlanabileceğini kısıtlamanıza olanak tanır ve bu da oldukça ilginç bir ek savunma katmanıdır.

Tipik bir yaklaşım, bir "kara liste" türündeki adres grubu (örneğin, blacklistipp) VPN kayıtlarında kaba kuvvet saldırıları veya garip davranışlar sergileyen genel IP'leri eklediğiniz FortiGate'de.

Daha sonra, güvenlik duvarı konsoluSSL VPN yapılandırması şu şekilde ayarlanır:

  • vpn ssl ayarını yapılandır
  • kaynak adresini "blacklistipp" olarak ayarla
  • kaynak-adres-olumsuzlamayı etkinleştir
  • şov uygulanan yapılandırmayı doğrulamak için.

Bu ayar ile, söz konusu grupta yer alan bir IP adresinden gelen herhangi bir bağlantı girişimi engellenecektir. en başından beri reddedildiKullanıcı adı ve şifre girilmesine bile izin verilmediğinden kaynak tüketimi ve saldırı yüzeyi büyük ölçüde azaltılıyor.

Ayrıca şuradan da çalışabilirsiniz: Grafik arayüz "Erişimi kısıtla"yı yapılandırmak ve bunu belirli ana bilgisayarlarla sınırlamak, ancak bu modda kullanıcı kimlik bilgilerini girer ve bağlantı kesilir, bu da erken bir azaltma açısından daha az verimlidir.

Kilidin çalıştığını doğrulamak için aşağıdaki gibi tanılama komutlarını kullanabilirsiniz: koklayıcı paketini teşhis et IP ve VPN portuna göre filtreleme veya kontrol etme vpn ssl izlemeyi edinin hangi bağlantıların kurulduğunu ve hangilerinin dışarıda bırakıldığını kontrol etmek için.

Gelişmiş savunma: Cihazların ve kimliklerin izolasyonu

Durum gerçekten ciddi olduğunda (fidye yazılımı, yan hareket, veri sızdırma), yalnızca bir bağlantı noktasını kapatmak veya belirli bir IP adresini engellemek yeterli değildir: bazen Tehlikeye maruz kalan cihazı veya hatta kimliği tamamen izole edin.

Uç Nokta için Microsoft Defender Hızlı yanıt eylemlerini cihaz düzeyinde entegre eder: cihazları etiketleyebilir, otomatik incelemeler başlatabilir, uzaktan canlı yanıt oturumları açabilir, eksiksiz inceleme paketlerini toplayabilir ve merkezi konsoldan derinlemesine antivirüs taramaları başlatabilirsiniz.

Windows'ta bir araştırma paketinin derlenmesi şu tür bilgileri içerir: Kayıt defteri başlatmaları, yüklü programlar, etkin ağ bağlantıları, ARP önbelleği, DNS, TCP/IP yapılandırması, güvenlik duvarı günlükleri, önceden getirme, işlemler, zamanlanmış görevler, güvenlik günlüğü, hizmetler, SMB oturumları, sistem bilgileri ve geçici dizinlerTüm bunlar bir klasör yapısı ve özet raporunda (CollectionSummaryReport.xls) yoğunlaştırılır.

macOS ve Linux benzer şeyleri toplar: yüklü uygulamalar, disk birimleri, ağ bağlantıları, işlemler, hizmetler, güvenlik bilgileri, kullanıcılar ve gruplar vb., bu da saldırı senaryosunu yeniden yapılandırın oldukça iyi.

Özellikle güçlü bir eylem şudur: cihaz izolasyonuSaldırganın daha fazla hareket etmesini veya veri sızıntısı yapmasını önlemek için etkilenen bilgisayar ağdan ayrılır (bulut güvenlik hizmetiyle gerekli iletişim hariç). Çeşitli Windows, macOS ve Linux sürümlerinde, belirli iptables ve çekirdek gereksinimlerine tabi olarak, tam izolasyon ve seçici izolasyon (örneğin, Outlook ve Teams'in çalışmaya devam etmesine izin verme) mevcuttur.

Paralel olarak, şu seçenek de var: yönetilmeyen cihazlar içerir IP'leri üzerinden: Defender ile korunan cihazlar, bu adrese gelen veya giden tüm trafiği engelleyerek, henüz bir güvenlik aracısının dağıtılmadığı ağdaki "adalardan" yayılmayı yavaşlatır.

Kendini de içerebilir kullanıcı veya kimlik Şüpheli: Ağ oturum açma işlemleri, RDP, SMB ve RPC engellenir; devam eden uzak oturumlar sonlandırılır ve yanal hareket engellenir. Bu engelleme, genellikle saldırı engelleme mantığı ve öngörücü koruma kullanılarak otomatik olarak tetiklenir ve olay çözüldükten sonra Eylem Merkezi'nden geri alınabilir.

Linux'ta Güvenlik Duvarı: Kötü amaçlı trafiği durdurmak için UFW, firewalld ve iptables

Linux sunucularında, olağandışı bağlantıları engellemenin temel bileşeni, genellikle iptables/nftables tabanlı, UFW veya firewalld gibi yönetim katmanlarına sahip sistem güvenlik duvarı daha dost canlısı hale getirmek için.

Ubuntu ve birçok uyumlu dağıtımda UFW (Karmaşık Olmayan Güvenlik Duvarı), işleri büyük ölçüde basitleştirir. UFW'yi şu şekilde yükleyebilirsiniz: sudo apt yüklemek ufw, durumunu kontrol edin sudo ufw durumu ve onu etkinleştirin sudo ufw etkinleştirVarsayılan olarak, genellikle gelen tüm trafiği reddeder ve giden trafiğe izin verir; bu zaten oldukça güvenli bir duruştur.

Temel politikaları tanımlamak için aşağıdaki gibi komutlar kullanılır:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Daha sonra belirli hizmetlere izin verebilirsiniz: örneğin sudo ufw ssh'ye izin ver 22 numaralı portu açmak için veya sudo ufw 2222 / tcp'ye izin veriyor Standart olmayan bir SSH portu kullanıyorsanız, bir hizmeti engellemek için şunu yapın: sudo ufw reddetme 80 HTTP portunu kapatın.

Güvenilir bir IP adresiniz varsa veya tam tersine belirli bir adresi engellemek istiyorsanız, şu kuralları kullanabilirsiniz: sudo ufw allow from o sudo ufw reddetmeve hatta "herhangi bir limana" ince ayar yapın "Bloğu belirli bir portla ilişkilendirmek için."

Kurallar numaralandırılarak listelenebilir sudo ufw durumu numaralı ve ile kaldır sudo ufw deleteBu, günlüklerde ve netstat, ss veya iftop gibi araçlarda gördüklerinize göre politikayı ayarlamayı oldukça kolaylaştırır.

Erişimi güçlendirin: kullanıcılar, SSH ve kimlik doğrulama

Şüpheli bağlantıları engellemek harika, ancak aynı derecede önemli Kimin nasıl girebileceğini sınırlayarak saldırı yüzeyini azaltın.İşte tam bu noktada kullanıcı yönetimi, SSH ve güçlü kimlik doğrulama devreye giriyor.

Linux'ta, sunucuya erişimi olan her kullanıcı hesabı, düzgün yönetilmediği takdirde potansiyel bir saldırı vektörüdür. Hesaplar, kullanıcı eklemeKendilerine bir şifre atanır passwd ve izinler ve gruplar chown ve chmod gibi araçlarla ayarlanarak gereğinden fazlasına dokunmaları engellenir.

SSH'yi güçlendirmek için ideal olanı kullanmaktır şifreler yerine genel/özel anahtarlarÇiftinizi şu şekilde üretin: ssh-keygenDepolama yolunu kabul eder veya tanımlarsınız ve ek bir katman istiyorsanız bir parola eklersiniz. Ardından, genel anahtarı sunucuya gönderirsiniz. ssh-copy-id kullanıcı@ana bilgisayar Ve oradan giriş yapabilirsiniz ssh kullanıcısı@ana bilgisayar anahtarınızı kullanarak.

Anahtar kimlik doğrulaması çalışmaya başladığında, bu iyi bir uygulamadır şifreli girişi devre dışı bırak /etc/ssh/sshd_config dosyasında, PasswordAuthentication yönergesini "hayır" olarak değiştirin ve hizmeti yeniden başlatın systemctl yeniden başlatma sshBu şekilde saldırganın parola denemelerini kaba kuvvetle gerçekleştirmesi mümkün olmayacaktır, çünkü sunucu bu yöntemi kabul etmeyecektir.

Eğer buna eklerseniz iki faktörlü kimlik doğrulama Kritik servislerde, parola rotasyonu ve asgari ayrıcalıklara sahip hesaplar, şüpheli bir bağlantının birkaç başarısız girişimden öteye geçme şansını önemli ölçüde azaltır.

Günlükler ve izleme: Görünürlük olmadan etkili bir engelleme olmaz

Eğer yoksa, hiçbir engelleme stratejisi işe yaramaz yeterli denetim kayıtları ve asgari izlemeZamanında tepki verebilmek ve gerekirse olaydan sonra olanları yeniden canlandırabilmek için neler olduğunu görmeniz gerekir.

Linux'ta sistem günlüklerinin çoğu şurada yoğunlaşmıştır: / Var / logÇekirdek mesajları, kimlik doğrulama, ağ hizmetleri, sistem iblisleri... Davranışı ve biçimi neredeyse her zaman kontrol eder rsyslog (veya varyantları), /etc/rsyslog.conf gibi dosyalarda veya /etc/rsyslog.d/ içindeki dosyalarda yapılandırılır.

Oradan, hangi tür olayların kaydedileceğini, önem düzeylerini ve hangi dosyaya düşeceklerini ayarlayabilirsiniz. Ayrıca, günlükleri merkezi bir sunucuya gönder Bunları daha iyi analiz etmek ve saldırganların bunları tehlikeye atılan bilgisayarda kolayca silmesini önlemek için.

Denge önemlidir: Kesinlikle her şeyi kaydetmek diski doldurur ve yararlı bilgileri filtrelemeyi imkansız hale getirirÇok az kayıt tutmak tehlikeli boşluklar bırakır. Bu nedenle birçok kişi, kritik hizmetler (SSH, güvenlik duvarı, kimlik doğrulama) için ayrıntılı kayıt tutmayı, daha az hassas bileşenler için daha hafif kayıt tutmayla birleştirir.

Analiz için grep, awk veya less gibi komutları kullanabilirsiniz, ancak orta ve büyük ortamlarda SIEM araçlarını veya yığınlarını kullanmak normaldir. ELK, Splunk veya benzeriOlayları ilişkilendirmeyi, saldırı modellerini tespit etmeyi ve gerçek zamanlı uyarılar üretmeyi sağlayan.

Windows'ta, Olay Görüntüleyicisi, Windows Defender günlükleri, güvenlik duvarı ve daha gelişmiş bir düzeyde, aşağıdaki gibi çözümlerle benzer bir şey yapılır: Microsoft Defender XDR Zaten tüm bu akışı entegre eden ve tehdit istihbaratıyla çapraz referanslayan.

Netstat ve diğer ağ yardımcı programlarını şüpheli trafiği tespit etmek için birleştirmek, güvenlik duvarını güçlendirmek (Windows, Linux veya özel cihazlarda), kullanıcıları ve SSH'yi etkili bir şekilde yönetmek ve cihaz izolasyonu veya IP ve hesap sınırlaması gibi gelişmiş özelliklerden yararlanmak sizi çok daha güçlü bir konuma getirir: şüpheli bağlantılar tekrarlayan bir korku olmaktan çıkar ve kontrol edebileceğiniz olaylar haline gelir. Hızlıca tespit edin, CMD veya güvenlik panellerinden engelleyin ve sakin bir şekilde analiz edin. tüm altyapınızın savunmasını kademeli olarak iyileştirmek.

GlassWire Nedir?
İlgili makale:
Nadir olayları tespit etmek ve ağınızı izlemek için GlassWire eğitimi