# Olay Müdahalesi

Bir güvenlik olayı, dijital varlıkların, ağların, verilerin veya kaynakların gizliliğini, bütünlüğünü veya kullanılabilirliğini riske atan veya tehdit eden herhangi bir olumsuz olay veya faaliyeti ifade eder. Bu tür olaylara yetkisiz erişim, veri ihlalleri, kötü amaçlı yazılım enfeksiyonları, hizmet reddi saldırıları ve bir kuruluşun bilgi teknolojisi ortamının güvenlik duruşunu tehlikeye atan diğer tüm faaliyetler dahildir.

Olay müdahalesinin amacı, bir güvenlik olayını etkili bir şekilde ele almak ve normal iş operasyonlarını mümkün olan en kısa sürede geri yüklemektir. Kuruluşların dijital varlıkları sürekli büyüdükçe, olayları manuel olarak yönetmek giderek daha zor hale gelir, dolayısıyla otomasyona ihtiyaç duyulur.

Otomatik olay müdahalesi, güvenlik olaylarına müdahale ederken gerçekleştirilen otomatik eylemleri içerir. Bu eylemler, tehlikeye atılmış uç noktaları izole etmeyi, kötü amaçlı IP adreslerini engellemeyi, enfekte cihazları karantinaya almayı veya tehlikeye atılmış kullanıcı hesaplarını devre dışı bırakmayı içerebilir. Olay müdahalesini otomatikleştirerek, siber güvenlik ekipleri tespit edilen tehditlere verilen yanıt süresini azaltır, olayların etkisini önler veya en aza indirir ve büyük miktarda güvenlik olayını verimli bir şekilde yönetir.

<section id="bkmrk-wazuh-aktif-tepki-mo">#### Wazuh Aktif Tepki modülü

Wazuh [Aktif Tepki](https://acikkaynak.lastguard.com.tr/books/kullanim-kilavuzu/page/aktif-tepki) modülü, kullanıcıların uç noktalarda olaylar algılandığında otomatik eylemler yürütmesine olanak tanır. Bu, bir organizasyonun olay yanıtlama süreçlerini iyileştirerek güvenlik ekiplerinin algılanan tehditlere karşı anında ve otomatik eylemler gerçekleştirmesini sağlar.

Eylemleri durumsuz veya durumlu olacak şekilde de yapılandırabilirsiniz. Durumsuz etkin yanıtlar tek seferlik eylemlerdir, durumlu yanıtlar ise bir süre sonra eylemlerini geri alır.

<section id="bkmrk-varsay%C4%B1lan-etkin-yan">#### Varsayılan Etkin Yanıt Eylemleri

Wazuh aracılarını çalıştıran her işletim sisteminde kullanıma hazır betikler mevcuttur. <span class="doc">Varsayılan etkin yanıt</span> betiklerinden bazıları şunlardır:

<table class="docutils align-default"><thead><tr class="row-odd"><th class="head">Komut dosyası adı

</th><th class="head">Tanım

</th></tr></thead><tbody><tr class="row-even"><td>hesabı devre dışı bırak

</td><td>Bir kullanıcı hesabını devre dışı bırakır

</td></tr><tr class="row-odd"><td>güvenlik duvarı-bırakma

</td><td>Iptables reddetme listesine bir IP adresi ekler.

</td></tr><tr class="row-even"><td>güvenlik duvarıd-bırak

</td><td>Güvenlik duvarının bırakma listesine bir IP adresi ekler.

</td></tr><tr class="row-odd"><td>yeniden başlat.sh

</td><td>Wazuh aracısını veya sunucusunu yeniden başlatır.

</td></tr><tr class="row-even"><td>netsh.exe

</td><td>Netsh kullanarak bir IP adresini engeller.

</td></tr></tbody></table>

</section><section id="bkmrk-%C3%96zel-etkin-yan%C4%B1t-eyl">#### Özel etkin yanıt eylemleri

Wazuh Active Response modülünün faydalarından biri de uyarlanabilirliğidir. Wazuh, güvenlik ekiplerinin herhangi bir programlama dilinde <span class="doc">özel aktif yanıt</span> eylemleri oluşturmasına ve bunları kendi özel ihtiyaçlarına göre uyarlamasına olanak tanır. Bu, bir tehdit algılandığında yanıtın kuruluşun gereksinimleriyle uyumlu olacak şekilde özelleştirilebilmesini sağlar.

</section></section><section id="bkmrk-wazuh-ile-olay-m%C3%BCdah">#### Wazuh ile olay müdahalesini otomatikleştirme

<span class="doc">Wazuh Active Response modülünden yararlanmak için, izlenen bir uç noktada belirli bir olay meydana geldiğinde gerçekleştirilecek eylemi yapılandırmanız</span> gerekir . Örneğin, Wazuh Active Response modülünü enfekte bir uç noktadan kötü amaçlı bir yürütülebilir dosyayı silecek şekilde yapılandırabilirsiniz. Aşağıdaki örneklerde, Wazuh Active Response modülünün farklı olayları nasıl ele aldığını gösteriyoruz.

<section id="bkmrk-k%C3%B6t%C3%BC-ama%C3%A7l%C4%B1-yaz%C4%B1l%C4%B1ml">#### Kötü amaçlı yazılımları kaldırma

Kötü amaçlı dosyaları bir uç noktadan tespit etmek ve kaldırmak için Wazuh Active Response modülünü [<span class="doc">Dosya Bütünlüğü İzleme</span>](https://acikkaynak.lastguard.com.tr/books/baslangic/page/dosya-butunlugunun-izlenmesi) modülü ve <span class="doc">VirusTotal entegrasyonuyla</span> birlikte kullanabilirsiniz .

Aşağıdaki görselde şu aktiviteler gösterilmektedir:

1. Wazuh Dosya Bütünlüğü İzleme modülü ile izlenen dizine `<span class="pre">554</span>`bir dosya eklendiğinde Kural Kimliği tetiklenir.`<span class="pre">Downloads</span>`
2. Kural Kimliği, `<span class="pre">87105</span>`Wazuh dosya karmasını çıkardığında, API'si aracılığıyla VirusTotal veritabanından dosya karması hakkında veri istediğinde ve kötü amaçlı bir dosya yanıtı aldığında tetiklenir.
3. Wazuh Dosya Bütünlüğü İzleme modülü ile izlenen dizinden `<span class="pre">553</span>`bir dosya silindiğinde Kural Kimliği tetiklenir.`<span class="pre">Downloads</span>`
4. Kural Kimliği, `<span class="pre">110006</span>`Wazuh Active Response modülü kötü amaçlı dosyayı uç noktadan sildiğinde tetiklenir.

<div class="wazuh-image-wrapper align-center">![Kötü amaçlı yazılım etkinlik olaylarını kaldırma](https://documentation.wazuh.com/current/_images/removing-malware-activities1.png)</div>Bu senaryoda, Wazuh Active Response modülü kötü amaçlı dosyayı otomatik olarak kaldırarak tehdit tespiti ile azaltma arasındaki süreyi kısaltır.

</section><section id="bkmrk-dos-sald%C4%B1r%C4%B1lar%C4%B1na-ya">#### DoS saldırılarına yanıt verme

Bir DoS saldırısının birincil amacı, hedefi meşru kullanıcılar için erişilemez hale getirerek hizmet reddi oluşturmaktır. Aşağıdaki görüntüde, Wazuh Active Response modülünün Ubuntu uç noktasındaki bir web sunucusuna karşı DoS gerçekleştiren kötü amaçlı IP adreslerini nasıl engellediğini gösteriyoruz.

<div class="wazuh-image-wrapper align-center">![Ana bilgisayar Active Response uyarıları tarafından engellendi](https://documentation.wazuh.com/current/_images/ar-module-blocks-dos-attack1.png)</div></section></section><div class="wazuh-image-wrapper align-center" id="bkmrk--2"></div><div class="wazuh-image-wrapper align-center" id="bkmrk--3"></div><div class="wazuh-image-wrapper align-center" id="bkmrk--4"></div><div class="wazuh-image-wrapper align-left" id="bkmrk-bu-durumda%2C-wazuh-ac"><section id="bkmrk-bu-durumda%2C-wazuh-ac-1">Bu durumda, Wazuh Active Response modülü kötü niyetli ana bilgisayarların web sunucusunda bir DoS saldırısı düzenlemesini otomatik olarak engeller. Böylece web sunucusunun yetkili kullanıcılar için kullanılabilirliği garanti altına alınır.

</section><section id="bkmrk-kaba-kuvvet-sald%C4%B1r%C4%B1s">#### Kaba kuvvet saldırısından sonra bir kullanıcı hesabını devre dışı bırakma

Hesap kilitleme, bir kullanıcının belirli bir zaman diliminde yapabileceği oturum açma girişimi sayısını sınırlayarak kaba kuvvet saldırılarına karşı savunmak için kullanılan bir güvenlik önlemidir. Parolası bir saldırgan tarafından tahmin edilen kullanıcı hesabını devre dışı bırakmak için Wazuh Active Response modülünü kullanırız.

Aşağıdaki görselde Wazuh Active Response modülü, Linux uç noktasındaki hesabı devre dışı bırakıyor ve 5 dakika sonra tekrar etkinleştiriyor.

<div class="wazuh-image-wrapper align-center">![Linux hesabı geçici olarak devre dışı bırakıldı uyarıları](https://documentation.wazuh.com/current/_images/account-temporarily-disabled1.png)</div>Bu senaryoda, bir saldırgan bir kullanıcının parolasını tekrar tekrar tahmin etmeye çalıştığında ve başarısız olduğunda, hesap geçici olarak erişilemez hale gelir. Bu, kullanıcı hesabı parolalarını tahmin etmek için kaba kuvvet yöntemlerine güvenen saldırganların işini engeller.

Wazuh Active Response modülünü kullanarak güvenlik ekipleri farklı olaylara verilen yanıtları otomatikleştirebilir. Böylece etkili olay yanıtı ve daha dayanıklı bir siber güvenlik duruşu sağlanabilir.

</section></div>