EBSMuhafız Güvenlik Sistemi V0.1
EBSMuhafız güvenlik sistemi kullanıcılar,firmalar ve kamu kurumlarının kullanabileceği bir windows servis olup sistem güvenliği ve siber saldırılara hızlı müdahele etmek için geliştirilmiştir. Ayrıca ilgili kurum ve kuruluşların isteklerine göre sonradan eklemeler yapılabilmektedir.
Özellikleri
- Windows İşletim Sistemine İzinsiz User oluşturulduğunda Size anlık olarak loglama yaparak ilgili oluşturulan hesabı Siliyor.
- Local ağ ve ya uzakdan RDP Şifre Denemelerini Anlık olarak Size Bildiriyor.
- (Anlık) RDP Saldırıların'da sizin belirlediğiniz Rate Limite'e takılan İp Adreslerini Otomatik windows Role oluşturarak İp engelliyor ve siz bunun bildirimini yapıyor.
- Bilgisayarınıza fiziksel olarak şifre denemesi yapıldığında sizin Rate Limit'e ulaştığında otomatik Bilgisayar kapatılıyor ve Siz bildirim Yollanıyor.
- Kurum ve kuruluşun belirleyeceği bir dizindeki (Created, Deleted, ve Changed) gibi işlemleri loglayarak ilgili birime bildirim yollanması.
Kurumların İsteklerine göre eklenebilecek Özellikler
- Anlık Bildirimlerin kurum için bir sisteme gönderilmesi Yöneticilere ve ya Some ekiplerine
- Aşağıda verilen bütün log kaynakların sisteme eklenebilmesi.
| Dosya ve Ağ Erişimleri ile Proses Aktivitelerine İlişkin Event ID'ler |
| Event ID | Açıklama |
1102 | Log Clearing |
| 4688 | Process Created (Program Execution) |
| 4656 | Access to File or Other Object Requested |
| 4663 | Attempt made to access a file or object |
| 4658 | Access to a File or object closed |
| 4697 | New Service has been Installed |
| 4782 | Password Hash of an Account has been Accessed |
| 5140 | Network Share Accessed |
| Oturum Açma/Kapama Aktivitelerine İlişkin Event ID'ler |
| Event ID | Açıklama |
| 4624 | Network logon |
| 4625 | Login Failed |
| 4634 | Logoff |
| 4648 | Attempted Login |
| 4672 | Administrator has Logged in |
| 4776 | Credential Authentication (Success/Fail) |
| 4778 | Session Reconnect (RDP or FastUser Switch) |
| 4770 | Kerberos Ticket Renewed |
| 4793 | Password Policy Checking API called |
| Kullanıcı Hesapları İle İlgili Aktivitelerine İlişkin Event ID'ler |
| Event ID | Açıklama |
| 4704 | User Right Assigned |
| 4720 | New User Account Created |
| 4722 | New User Account Enabled |
| 4725 | User Account Disabled |
| 4726 | User Account Deleted |
| 4728 | Member Added to Global Group |
| 4731 | Security Enabled Group Created |
| 4732 | Member Added to Local Group |
| 4733 | Account removed from Local Security Group |
| 4765 | SID History added to Account |
| 4634 | Local Group Deleted |
| 4735 | Local Group Changed |
| 4740 | Account Locked Out |
| 4748 | Local Group Deleted |
| 4756 | Member Added to Universal Group |
| 4766 | SID History add attempted on Account |
| 4767 | User Account Unlocked |
| 4781 | Account Name Changed |
| Firewall'da Yapılan Değişikliklere İlişkin Event ID'ler |
| Event ID | Açıklama |
| 4946 | Firewall Rule has been Added |
| 4947 | Firewall Rule has been Modified |
| 4948 | Firewall Rule has been Deleted |
| 4950 | Firewall Rule has been Changed |
| Application Kategorisinde Yer Alan Önemli Event ID'ler |
| Event ID | Açıklama |
| 865 | GPO Blocked – Exe Default Security Level |
| 866 | PO Blocked exe – Restricted Path |
| 867 | GPO Blocked Exe – Certificate rule |
| 868 | GPO Blocked Exe – zone or hash rule |
| 882 | GPO Blocke Exe by Policy Rule |
| 1000 | Application Error 1001 – WER Info |
| 1001 | EMET 1=Warning 2=Error |
| 1002 | Application Hang Software Policy Events |
| Sistem Kategorisinde Yer Alan Önemli Event ID'ler |
| Event ID | Açıklama |
| 1074 | System Halt |
| 7000 | Service failed to start: did not respond to the start control request |
| 7022 | Service hung on start |
| 7023 | Service terminated with error |
| 7024 | Service terminated with error |
| 7026 | Service failed on system start |
| 7031 | Service terminated unexpectedly |
| 7034 | Service terminated unexpectedly |
| 7035 | Service sent a request to Stop or Start |
| 7036 | Service was Started or Stopped |
| 7045 | Service Installed |
| 7040 | Service changed from "auto start" to "disabled" |
| Zamanlanmış Görevler Kategorisinde Yer Alan Önemli Event ID'ler |
| Event ID | Açıklama |
| 106 | Task scheduled |
| 200 | Task executed |
| 201 | Task completed |
| 202 | Task Failed to complete |
| 140 | Task Updated |
| 141 | Task Deleted |
| 142 | Task Disabled |
| 145 | Computer woke up by TaskScheduler |
| 300 | Task Scheduler Started |
| 400 | Task Scheduler Service Started |
| Windows Defender Kategorisinde Yer Alan Önemli Event ID'ler |
| Event ID | Açıklama |
| 1005 | Scan Failed |
| 1006 | Malware Detected |
| 1008 | Action on Malware Failed |
| 2000 | Signature Updated |
| 2001 | Signature Update Failed |
| 2003 | Engine Update Failed |
| 2004 | Reverting to Last Known Gadd Signatures |
| 3001 | Real-Time Protection Stopped |
| 5008 | Unexpected Error |
| TerminalServices-RemoteConnectionManager ve TerminalServices-LocalSessionManager Kategorisinde Yer Alan Önemli Event ID'ler |
| Event ID | Açıklama |
| 261 | Terminal Service Received Connection |
| 1006 | Large Number of Connection Attempts |
| 1149 | User authenticated |
| 21 | Logon Success |
| 23 | Logoff |
| 24 | Disconnect |
Hiç yorum yok
Yorum Gönder