SCOM Active Directory Custom Monitor yazımızda , SCOM Active Directory Management Packs dışında custom olarak neler yapılabilir , bunlara bakacağız. Yazımızın en başında aslında Custom Management Packs oluşturmayıda göstermiş olacağız. Custom MP paketi oluşturmadan sonra monitor ve rulelarımızı oluşturmuş olacağız. En son olarak Kritik olarak nitelendirilen eventleri yorumlayarak monitor edeceğiz. Bunun dışında Security Monitoring Management Packs yeteneklerini sizlere göstereceğim. Bu MP yi göz önünde bulundurarak neler yapabiliriz , bunlara bakacağız.
Security Monitoring MP
Security Monitoring Management Pack paketi güvenlik açısından bir çok noktaya bakmaktadır. Bu noktada incelenmesinde kesinlikle fayda vardır. Bu arada oluşturulan rule lardan yola çıkarak birçok custom rule oluşturabiliriz.
Buradan hareketle ilk olarak oluşturabileceğimiz Grouplarla ilgili , Çoğu sistemler Tier Yapısı kullanmaktadır veya farklı yapılar tasarlanmıştır. Sizin için kritik olan gruplara herhangi bir user’ın girip çıkması önem teşkil ediyorsa izlenmesinde fayda vardır. Bunun için ilk olarak sizlere custom management pack nasıl oluşturulur onu göstermek istiyorum. Daha sonrasında Custom group izlemesi yapacağız.
Administration kısmından Management Pack kısmına right-click yapılırsa Create Management Pack kısmı ile custom paketler oluşturabilmekteyiz.
Paketimizi oluşturduğumuza göre izleme nasıl yapacağız , gruplarımızı nasıl izleyeceğiz onu göstermeye geldi sıra ,
Group Membership Monitoring
İlk olarak Event Logları takip rule yapacağız. Bunun için Authoring kısmında Rule kısmına right-click ile new-rule yapıyoruz. Bizim DC üzerinde event logları izleyerek yorumlayacağız. NT Event Log kısmı seçerek devam ediyoruz.
Rule Name ve Rule target seçiyoruz. Windows Domain Controller kısmında, agent yüklenmiş tüm DC rolüne sahip sunucularımız gelmektedir.
Seçilecek olan event logumuz Security Logudur. Burada aslında Security logunu yorumlayacağız. Sizler için oluşturacağınız diğer custom rule larda hangi log türünü seçmek isterseniz seçebilmektesiniz. Örnek olarak shutdown için system logu gibi.
En kritik bölüm burasıdır. Event ID ve içindeki parametredir. Tüm Event id lere bu siteden ulaşabilirsiniz. Burada 4728 ve 4729 eventini kullanarak gruplara kimin girip kimin çıkardıklarını göreceğiz. Ayrıca tüm gruplar değilde ben sadece T0-Admins group’una bunu uygulacağız. İsteyenler tümü için çalıştırabilir . Tabikide çok fazla group membership değişikliği varsa storm yapabilirsiniz. Bunun için burada filtre yapmak en mantıklı yoldur.
Değiştirmeden devam ediyoruz. Sadece Priority kısmını high olarak ayarlıyorum.
Test01 kullanıcısını T0-Admins grubuna eklediğimde alarm oluşmuştur. Kaldırdığınızda aynı alarmı alacaksınız.
Computer Account Created or Deleted
Bilgisayar hesaplarınızın sizin dışında oluşması ,yada kimin oluşturduğunu yakalamak için rule yapabilirsiniz. Aslında bu rule çok farklı alanlarda kullanılmaktadır. Bu alanların başında raporlama gelmektedir. Custom olarak oluşturacağınız raporlarla en çok kimin oluşturduğunuz , ya da yapınızda kimler computer account oluşturabilmektedir. Bunları kontrol edebilirsiniz.
Computer account oluşturma veya silinme eventleri 4741 ve 4743 dür. Değişimleri kontrol etmek isteseniz 4742 event idsini kullanabilirsiniz.
Resimde gözüktüğü gibi Administrator tarafından Test-CMP bilgisayar hesabı oluşmuştur. İstenirse bu alarmlar bastırabilir.
User Account Created or Deleted
User account oluşturma yetkisi kritik bir yetkisidir. Bu sebepten dolayı Domain üzerinde herhangi bir user’ın kimin oluşturduğu izlenmesi gereken önemli bir durumdur. Bu durumda custom rule oluşturarak kimin hangi user account oluşturduğunu görebilmekteyiz.
Bu kısımda yine Event ID leri belirliyoruz. 4720 oluşturma 4726 silinmedir. İstenirse 4722 ve 4725 ile enable disable durumuda izlenebilmektedir.
Son olarak göründüğü gibi kimin tarafından hesabın oluşturulduğu gözükmektedir.
Değerli okurlar son olarak ; Yazıda bahsettiğim gibi user, computer ve grouplar konusunda istenildiği gibi custom rule oluşturabiliriz. Ayrıca Group Policy takipleri yapılabilmektedir.
Group Policy Deleted , Created or Changed
Group Policy değişikleride sizler için önemli bir kısımdır. Bunun değişiklikleri oluşturulması veya silinmesi 5137,5136,5141 event idlerinden yine yukarıdaki gibi aynı şekilde takip edilebilmektedir.
Storm oluşma durumunda tabikide bazı bildiğimiz userlar bu işlemleri yapabilir . Örnek olarak MIM Hesabı user oluşturabilmektedir. Bundan gelen alarmları görmek istemezsek Override seçeneğini kullanabiliriz. User attribute kullanabiliriz. Yada farklı attributelardan filtreleme yapabilirsiniz.
Bu yazımızda genellikle security ile ilgili noktalara değindik ama diğer event logları kullanarak farklı custom rule yapabilmekteyiz. Örnek olarak shutdown edilmesi , yeni bir driver yüklenemesi , yeni roller yada herhangi bir application run edilmesi gibi alarmlar kullanılabilmektedir. Security Monitoring Management pack paketinde gözüktüğü gibi mimikatz veya WCE gibi uygulamaların makinede çalışması gibi durumları kontrol edebilirsiniz.
Scom ile ilgili diğer yazılarımı SCOM linkinden takip edebilirsiniz.