Microsoft Advanced Threat Analytics 1.9 Update 2 Kurulum ve Konfigürasyonu

Advanced Threat Analytics (ATA), kurumunuzdaki çeşitli türlerdeki, gelişmiş ve hedefe yönelik siber saldırıların yanı sıra dahili tehditlerden de korumaya yardımcı olan bir platformdur. ATA On-Premise Active Directory ortamında çalışmaktadır. Active Directory üzerinde davranış analizi yaparak ortamınızı öğrenir, daha sonra anormal bir davranış olması halinde bunu tespit ederek, alarmlar oluşturur. ATA bu şüpheli etkinlikleri Kim, Ne,Continue reading “Microsoft Advanced Threat Analytics 1.9 Update 2 Kurulum ve Konfigürasyonu”

GET File Hash

Dosyaların Hash’lerini Görüntüleme Windows’da bulunan dosyaların hash’lerini görüntülemek için aşağıdaki powershell komutu kullanılır. Aşağıdaki örnekte path olarak C:\Windows\System32 klasöründe bulunan dosyaların hash’lerini listeleyeceğim. Bu işlemi yapmanın amaçlarından en önemlisi, kritik/önemli dosyalarda herhangi bir değişiklik olup olmadığının kontrolüdür. Forensic analizi yapılacağı zaman bir dosyanın ilk halinin hash’inin olması çok önemlidir. Çünkü X zamanındaki hash ile ilkContinue reading “GET File Hash”

Group Policy Object Creation and Modification Time

Active Directory group policy’lerin oluşturulma ve değiştirilme zamanları Grup politikalarının oluşturulma ve değiştirilme zamanlarının görüntülenmesi, herhangi bir security incident olduğunda araştırılması gereken öncelikli konulardan birisidir. Bu işlem aşağıdaki powershell komutları ile yapılabilinir. $DN = (Get-ADDomain -Current LocalComputer).DNSRootget-gpo -all -domain $DN | sort-object creationTime | ft Displayname, CreationTime, ModificationTime

User Credentials in Computer/Server

Bilgisayarda bulunan credentialları görüntülemek için aşağıdaki yöntemler uygulanır. rundll32 keymgr.dll,KRShowKeyMgr cmdkey /list komutu kullanılır. Yada Credential Manager’dan Web Credential ve Windows Credential kontrol edilir. Regedit HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon altında Default Password string’I var mı kontrol edillir. Schedule Tasks Kullanıcı adı ile oluşturulmuş Schedule Task var mı kontrol edilir. Services Kullanıcı adı ile çalışan (Disable, Manuel) servis varContinue reading “User Credentials in Computer/Server”

Protected Users Security Group

Bu grubun üyelerinin hesaplarına otomatik olarak uygulananan korumalar bulunmaktadır. Korunan öz nitelikler değiştirilememektedir. Bu gruba servis hesapları ve bilgisayar hesapları eklenmemelidir. Ayrıca bu gruba üye edilmiş kullanıcılar aşağıdaki özelliklere sahiptirler, NTLM authentication kullanılamamaktadır. Kerberos Auth. DES ve RC4 kullanılamamaktadır. Cache mode da oturum desteklenmemektedir. Kerberos TGT LT süresi 4 saattir. Korumalı Kullanıcılar grubu AD özellikleriContinue reading “Protected Users Security Group”

Windows 10 Permission History

SafeSearch Strict – Moderate – Off SafeSearch’ü off etmek için Active Directory’de yeni bir Group Politikası hazırlanır. Computer Configuration\Administrative Templates\Windows Components\Search Off Secilir ve ilgili OU’ya linklenir. This policy setting allows you to control the SafeSearch setting used when performing a query in Search. If you enable this policy setting, you can specify one ofContinue reading “Windows 10 Permission History”

Windows Server/Client Startup Applications

Windows Server ve Client’ların startup’ında çalışan uygulamaları powershell ile görüntülemek için aşağıdaki komutlar kullanılabilir. Bu kontrol ile bilginiz dışında herhangi bir zararlı yazılım bilgisayarınızın açılışında çalışıyor ise bunu tespit edebilirsiniz. Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Admin Forest Kurulumu ve Yapılandırılması 1

ACTIVE DIRECTORY RED FOREST INSTALLATION AND CONFIGURATION PART 1 Admin Forest modelinin amacı, mevcut ortamın kontrolünü domain ve security hardening çalışmaları yapılmış güvenli farklı bir forest üzerinden gerçekleştirmek ve kötü niyetli kişilerin hedef aldığı kritik sistemlere erişimleri esnasında bir tampon bölge kullanarak kimlik sistemlerini korumaktır. Admin Forest, Active Directory altyapısını yönetmek için tasarlanmış güvenli veContinue reading “Admin Forest Kurulumu ve Yapılandırılması 1”

Admin Forest Kurulumu ve Yapılandırılması 2

ACTIVE DIRECTORY RED FOREST INSTALLATION AND CONFIGURATION PART 2 AŞAMA 2 – Admin Forest Yapılandırılması ve Bağlantı Testlerinin Yapılması İlk olarak Admin Forest’a dahil edeceğimiz domainde (volsys.com) DNS’i açıp, “Conditional Forwarders” kısmına management domainimiz olan (volsysmgmt.com) ve 10.0.1.5 IP adresini ekliyoruz. Sonrasında management domainine (volsysmgmt.com) gelerek DNS’i açıp “Conditional Forwarders” kısmına admin foresta ekleyeceğimiz domaininContinue reading “Admin Forest Kurulumu ve Yapılandırılması 2”

Privileged Access Workstations Kurulumu ve Yapılandırılması 1

PAW’lar, internet saldırıları ve tehdit faktörlerinden korunan hassas görevler için özel bir işletim sistemi kullanmamıza olanak sağlar. En basit ifadeyle, bir PAW, hassas hesaplar ve görevler için yüksek güvenliği sağlamak üzere tasarlanmış, sıkılaştırılmış kilitli bir iş istasyonudur. Bu hassas görevlerin ve hesapların günlük kullanılan iş istasyonlarından ve cihazlardan ayrılması hedeflenmektedir. PAW Pass-the-Hash, Pass-The-Ticket başta olmakContinue reading “Privileged Access Workstations Kurulumu ve Yapılandırılması 1”