Aşağıdaki Senaryoları Israrla SIEMcinizden (Veya SOCcunuzdan) İsteyiniz :)
2 min readJun 26, 2023
- Eğer bir kullanıcı tarafından erişilen bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
- En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
- En az 30 gündür veya daha fazla süredir (40 gün-60 gün-90 gün-365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
- Bu kullanıcının daha önce hiç sisteme login olmadığı bir saat diliminde login olmasını tespit et
- Bir kullanıcının saatlik dosya erişim sayısı daha önceki saatleri göre anormal ise tespit et
- Bir ağda son bir saat içindeki başarısız login sayılarının toplamının başarılı login sayılarının toplamına oranı %5 i geçerse uyar
- Entropy to detect randomness of HTTP host value
- Calculate the randomness of PowerShell script contents that were executed.
- Çok nadir kullanılan bir port varsa tespit edin
- Çok nadir kullanılan bir process varsa tespit edin
- Bugünkü web sunucunun hatalı request sayısının normal request sayısına oranı son 1 haftaki oranlara göre %30 daha yüksekse tespit et
- Herkesin erişebileceği ortak alana içinde kişisel veri olan bir dosya kopyalandı veya mevcutta var olan bir dosyaya kişisel veri eklendi ise tespit et
- If an IP address is making an unusual number of connections to a web server,
- if a user account is logging in from an unusual location,
- If the amount of network traffic in the past hour is 30% higher compared to the same time last week
- If the number of login failures in the past hour is 30% higher compared to the same time last week
- If the number of server errors in the past hour is 30% higher compared to the same time last week,
- If the number of database queries in the past hour is 30% higher compared to the same time last week
- Alert on increased web traffic: If the number of web requests in the past hour is 30% higher compared to the same time last week
- If the number of file changes in the past hour is 30% higher compared to the same time last week
- If the number of emails sent or received in the past hour is 30% higher compared to the same time last week,
- If a user is accessing more files than usual
- If a device is making an unusual number of connections to external servers,
