Bağımlılıkları Yükleme

Wazuh modülünü Azure için Wazuh yöneticisinde veya bir Wazuh aracısında yapılandırabilirsiniz. Bu seçim tamamen ortamınızda Azure altyapınıza nasıl eriştiğinize bağlıdır.

Azure ile entegrasyonu bir Wazuh aracısında yapılandırırken yalnızca bağımlılıkları yüklemeniz gerekir. Wazuh yöneticisi zaten gerekli tüm bağımlılıkları içerir.

yum update && yum install python3

apt-get update && apt-get install python3

yum update && yum install python3-pip

apt-get update && apt-get install python3-pip

pip3 --version

pip 22.0.2 from /usr/lib/python3/dist-packages/pip (python 3.10)

pip3 install --upgrade pip

pip3 install --upgrade pip --break-system-packages

pip3 install azure-storage-blob==12.20.0 azure-storage-common==2.1.0 azure-common==1.1.25 cryptography==3.3.2 cffi==1.14.4 pycparser==2.20 six==1.14.0 python-dateutil==2.8.1 requests==2.25.1 certifi==2022.12.07 chardet==3.0.4 idna==2.9 urllib3==1.26.18 SQLAlchemy==2.0.23 pytz==2020.1

pip3 install --break-system-packages azure-storage-blob==12.20.0 azure-storage-common==2.1.0 azure-common==1.1.25 cryptography==3.3.2 cffi==1.14.4 pycparser==2.20 six==1.14.0 python-dateutil==2.8.1 requests==2.25.1 certifi==2022.12.07 chardet==3.0.4 idna==2.9 urllib3==1.26.18 SQLAlchemy==2.0.23 pytz==2020.1

Azure Kimlik Bilgilerini Yapılandırma

Azure için Wazuh modülünün Azure'a başarılı bir şekilde bağlanabilmesi için erişim kimlik bilgilerine sahip olması gerekir. Gereken kimlik bilgileri izleme türüne göre değişir. Bunlar şunları içerir:

• Microsoft Graph ve Azure Log Analytics için erişim kimlik bilgileri

• Microsoft Azure Storage için erişim kimlik bilgileri

Aşağıdaki bölümlerde bu kimlik bilgilerini nasıl oluşturabileceğinize dair genel bir bakış sunulmaktadır.

application_id = <YOUR_APPLICATION_ID>
application_key = <YOUR_APPLICATION_KEY>

account_name = <YOUR_ACCOUNT_NAME>
account_key = <YOUR_ACCOUNT_KEY>

<wodle name="azure-logs">
  <disabled>no</disabled>
  <run_on_start>yes</run_on_start>

  <log_analytics>
     <auth_path>/var/ossec/wodles/credentials/log_analytics_credentials</auth_path>
      <tenantdomain>wazuh.com</tenantdomain>
      <request>
          <query>AzureActivity</query>
          <workspace>12345678-90ab-cdef-1234-567890abcdef</workspace>
          <time_offset>1d</time_offset>
      </request>
  </log_analytics>

  <graph>
     <auth_path>/var/ossec/wodles/credentials/graph_credentials</auth_path>
      <tenantdomain>wazuh.com</tenantdomain>
      <request>
          <query>auditLogs/directoryAudits</query>
          <time_offset>1d</time_offset>
      </request>
  </graph>

<storage>
     <auth_path>/var/ossec/wodles/credentials/storage_credentials</auth_path>
      <container name="insights-activity-logs">
          <blobs>.json</blobs>
          <content_type>json_inline</content_type>
          <time_offset>24h</time_offset>
      </container>
  </storage>
</wodle>

/var/ossec/wodles/azure/azure-logs --log_analytics --la_auth_path credentials_example --la_tenant_domain 'wazuh.example.domain' --la_tag azure-activity --la_query "AzureActivity" --workspace example-workspace --la_time_offset 50d --debug 2 --reparse

Azure

Wazuh Sunucusu veya Aracısı

Azure Log Analytics'inize erişmek için Wazuh modülünü Azure için yetkilendirmeniz gerekir. Yetkilendirmeyi ayarlama hakkında daha fazla bilgi için Azure kimlik bilgilerini yapılandırma bölümüne bakın.

1. /var/ossec/etc/ossec.confAşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:

   <wodle name="azure-logs">
       <disabled>no</disabled>
       <run_on_start>no</run_on_start>
   
       <log_analytics>
           <auth_path>/var/ossec/wodles/credentials/log_analytics_credentials</auth_path>
           <tenantdomain>wazuh.com</tenantdomain>
   
           <request>
               <tag>azure-auditlogs</tag>
               <query>AuditLogs</query>
               <workspace>d6b...efa</workspace>
               <time_offset>1d</time_offset>
           </request>
   
       </log_analytics>
   </wodle>
   

   Nerede:

   • <auth_path>çalışma alanı gizli anahtarının saklandığı tam yoldur.

   • <tenantdomain>kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki Genel Bakış bölümünden edinebilirsiniz.

   • <workspace>kimlik doğrulaması için ihtiyaç duyduğunuz çalışma alanı kimliğidir.

   • <time_offset>geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir.
     
     

2. Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.
   
   

   Wazuh temsilcisi:

   systemctl restart wazuh-agent

   Wazuh sunucusu:

   systemctl restart wazuh-manager

yukarıdaki yapılandırma, Wazuh'un tanımlayıcı olarak tag değeri kullanarak herhangi bir sorguyu aramasına olanak tanır .

Azure için Wazuh modülü hakkında daha fazla bilgi için referansı inceleyin .

Use Case

Daha önce oluşturulmuş Azure uygulamasını kullanarak altyapı etkinliğinin izlenmesine dair bir örnek aşağıda verilmiştir.

Wazuh Dashboard Olayların Görselleştirilmesi

Kurulum tamamlandıktan sonra sonuçları Wazuh kontrol panelinden kontrol edebilirsiniz.

Yapılandırma

Azure

Wazuh Sunucusu veya Agent

account_nameDepolama hesabının ve'sini kimlik doğrulaması için ayarlamak önemlidir account_key. Aşağıdaki görüntü önceden yapılandırılmış bir depolama hesabını gösterir.

Microsoft Azure Depolama kimlik bilgilerini yapılandırma konusunda rehberlik için kimlik bilgileri bölümünü kontrol edin .

1. /var/ossec/etc/ossec.confAşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:

   <wodle name="azure-logs">
   
       <disabled>no</disabled>
       <interval>1d</interval>
       <run_on_start>yes</run_on_start>
   
       <storage>
   
               <auth_path>/home/manager/Azure/storage_auth.txt</auth_path>
               <tag>azure-activity</tag>
   
               <container name="insights-activity-logs">
                   <blobs>.json</blobs>
                   <content_type>json_inline</content_type>
                   <time_offset>24h</time_offset>
                   <path>info-logs</path>
               </container>
   
       </storage>
   </wodle>
   

   Nerede

   • <auth_path>çalışma alanı gizli anahtarının saklandığı tam yoldur.

   • <container>blog depolama içeriklerini getirirken yararlı parametreler içerir.

   • <container name="insights-activity-logs">Akışı yapılacak günlük kabı.

   • <blobs>.json</blobs>indirilecek blob formatıdır.

   • <time_offset>geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir.

   • <content_type>blob'ların içeriğinin depolanması için kullanılan formattır.

    

2. Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.
   
   

   Wazuh temsilcisi:

   systemctl restart wazuh-agent

   Wazuh sunucusu:

   systemctl restart wazuh-manager

Kullanım Durumu

Yukarıdaki yapılandırmayı kullanarak Microsoft Entra ID etkinlik izleme örneğini aşağıda bulabilirsiniz.

Yeni Bir Kullanıcı Oluştur

Microsoft Entra ID kullanarak Microsoft Azure ortamınızda yeni bir kullanıcı oluşturun. Kullanıcıyı oluşturduktan birkaç dakika sonra, insights-activity-logsActivity log export'u yapılandırılırken belirtilen Storage hesabının içinde adlandırılan bir kapsayıcıda yeni bir günlük kullanılabilir olacaktır.

Lütfen Azure Log Analytics kullanım örneği altında kullanıcı oluşturma bölümüne bakın .

Sonuçları Wazuh panelinden kontrol edebilirsiniz.

Azure

Uygulamanın Oluşturulması

Bu bölüm Azure Log Analytics REST API'sini kullanarak bir uygulama oluşturmayı açıklar. Ancak, mevcut bir uygulamayı yapılandırmak da mümkündür. Bu durumda, bu adımı atlayın.

1. Microsoft Entra ID panelinde , Uygulama kayıtları'nı seçin . Ardından, Yeni kayıt'ı seçin.
   
   

   
   

2. Uygulamaya açıklayıcı bir ad verin, uygun hesap türünü seçin ve Kaydol'a tıklayın.
   
   

   
   

Uygulama artık kayıtlı.

Kimlik Doğrulama İçin Uygulama Anahtarının Alınması

Log Analytics API'yi günlükleri almak için kullanmak üzere, Log Analytics API'yi doğrulamak için bir uygulama anahtarı üretmeliyiz. Uygulama anahtarını üretmek için aşağıdaki adımları izleyin.

1. Sertifikalar ve sırlar'ı seçin , ardından bir anahtar oluşturmak için Yeni istemci sırrı'nı seçin.
   
   

   
   

2. Uygun bir açıklama girin , anahtar için tercih edilen süreyi ayarlayın ve ardından Ekle'ye tıklayın.
   
   

   
   

3. Anahtar değerini kopyalayın . Bu daha sonra kimlik doğrulama için kullanılacaktır.
   

Not:  Bu sayfadan çıkmadan önce anahtarı kopyalayın, çünkü yalnızca bir kez görüntülenecektir. Sayfadan çıkmadan önce kopyalamazsanız, yeni bir anahtar oluşturmanız gerekecektir.

 

 

Wazuh Sunucusu veya Agent

Burada önceki adımlarda kaydedilen uygulamanın ve'sini keykullanacaksınız . Bu durumda, her iki alan da kimlik doğrulama için bir dosyaya kaydedildi. Bu konu hakkında daha fazla bilgi için Azure kimlik bilgilerini yapılandırma bölümüne bakın.ID

1. /var/ossec/etc/ossec.confAşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:

   <wodle name="azure-logs">
     <disabled>no</disabled>
     <wday>Monday</wday>
     <time>2:00</time>
     <run_on_start>no</run_on_start>
   
     <graph>
       <auth_path>/var/ossec/wodles/azure/credentials</auth_path>
       <tenantdomain>wazuh.com</tenantdomain>
       <request>
           <tag>microsoft-entra_id</tag>
           <query>auditLogs/directoryAudits</query>
           <time_offset>1d</time_offset>
       </request>
     </graph>
   
   </wodle>
   

   Nerede:

   • <auth_path>çalışma alanı gizli anahtarının saklandığı tam yoldur.

   • <tenantdomain>kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki Genel Bakış bölümünden edinebilirsiniz

   • <wday>tarama için planlanan haftanın günü nedir

   • <query>Denetim günlüklerinin saklandığı yoldur.

   • <time>tarama için planlanan zamandır.

   • <time_offset>' a ayarlandığında 1d, yalnızca son güne ait günlük verileri ayrıştırılır.

2. Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.
   
   

   Wazuh temsilcisi:

   systemctl restart wazuh-agent

   Wazuh sunucusu:

   systemctl restart wazuh-manager

Farklı kullanılabilir parametreleri kullanma hakkında daha fazla bilgi için Azure referansı için Wazuh modülünü kontrol edin . Microsoft Entra kimliğinizi izlemek için kimlik bilgilerini nasıl ayarlayacağınıza dair rehberlik için lütfen Wazuh Azure kimlik doğrulama dosyası bölümüne bakın.

Uyarı:  Alan zorunludur. Bunu Microsoft Entra ID'deki Genel Bakış bölümünden tenantdomainedinebilirsiniz .

Kullanım Durumu

Microsoft Entra ID'yi İzleme

Microsoft Entra ID, temel dizin hizmetlerini, uygulama erişim yönetimini ve kimlik korumasını tek bir çözümde birleştiren kimlik ve dizin yönetim hizmetidir.

Wazuh, Microsoft Graph REST API tarafından sağlanan etkinlik raporlarını kullanarak Microsoft Entra ID (ME-ID) hizmetini izleyebilir . Microsoft Graph API, Microsoft Entra ID uygulamalarındaki dizin verileri ve nesneler üzerinde okuma işlemleri gerçekleştirebilir.

Yukarıdaki yapılandırmayı kullanarak Microsoft Entra ID etkinlik izleme örneğini aşağıda bulabilirsiniz.

Yeni Bir Kullanıcı Oluştur

Azure'da yeni bir kullanıcı oluşturun. Başarılı bir kullanıcı oluşturma etkinliği bunu yansıtacak bir günlük üretecektir. Bu günlüğü auditLogs/directoryAudits sorgusunu kullanarak alabilirsiniz.

1. Kullanıcılar > Tüm kullanıcılar'a gidin , Yeni kullanıcı > Yeni kullanıcı oluştur'u seçin.
   
   

   
   

2. Gerekli bilgileri girin ve İncele + oluştur'a tıklayın . Kullanıcı artık oluşturuldu.

Başarılı kullanıcı oluşturma sonucunu Microsoft Entra ID'nin Denetim günlükleri bölümünden kontrol edebilirsiniz .

Entegrasyon çalışmaya başladığında, sonuçlar Wazuh panosunun Güvenlik Olayları sekmesinde mevcut olacaktır.

Google Bulut

Wazuh Sunucusu

Aşağıdaki adımları uygulayarak Wazuh sunucusunu Google Cloud'dan günlük alacak şekilde yapılandırın.

Not:  Komutları root yetkisiyle çalıştırın.

1. credentials.jsonŞu dizinde bir dosya oluşturun /var/ossec/wodles/gcloud/:
   
   

   # touch /var/ossec/wodles/gcloud/credentials.json
   

2. Dosyayı daha önce indirilen JSON formatındaki özel anahtarın/var/ossec/wodles/gcloud/credentials.json içeriğiyle güncelleyin . Google Cloud Pub/Sub için Wazuh modülü, Google Cloud hesabınızı doğrulamak için anahtar dosyasını kullanır.
   
   

3. Yapılandırma dosyasına aşağıdaki içeriği ekleyin /var/ossec/etc/ossec.conf. Yapılandırma, Wazuh'un proje kimliğini, Google Cloud PubSub abonelik kimliğini ve bir kimlik bilgisini kullanarak Google Cloud'a nasıl bağlanacağını belirtir.
   
   

   <ossec_config>
     <gcp-pubsub>
       <pull_on_start>yes</pull_on_start>
       <interval>5m</interval>
       <project_id><PROJECT_ID></project_id>
       <subscription_name><SUBSCRIPTION_ID></subscription_name>
        <credentials_file>/var/ossec/wodles/gcloud/credentials.json</credentials_file>
     </gcp-pubsub>
   </ossec_config>
   

   Yapılandırmadaki değişkenleri uygun değerlerle değiştirin.

   Nerede:

   • <PROJECT_ID>Yukarıda oluşturulan Google Cloud projesinin kimliğidir .

   • <SUBSCRIPTION_NAME>Google Cloud Pub/Sub'ınızın abonelik kimliğinizdir .
     
     

4. gcp_posture.xmlDizin içinde bir kural dosyası oluşturun /var/ossec/etc/rules/ve Google Cloud duruş bulgularını algılamak için aşağıdaki özel kuralları ekleyin:
   
   

   <group name="gcp,">
     <!-- Misconfiguration detection -->
       <rule id="100200" level="10">
           <if_sid>65000</if_sid>
           <field name="gcp.finding.findingClass">MISCONFIGURATION</field>
           <description>A $(gcp.finding.findingClass) with $(gcp.finding.severity) severity has been discovered on the GCP project $(gcp.resource.projectDisplayName). $(gcp.finding.description)</description>
           <mitre>
             <id>T1562</id>
           </mitre>
       </rule>
   
     <!-- Threat detection -->
       <rule id="100201" level="10">
           <if_sid>65000</if_sid>
           <field name="gcp.finding.findingClass">THREAT</field>
           <description>A $(gcp.finding.findingClass) with $(gcp.finding.severity) severity has been discovered on the GCP project $(gcp.resource.projectDisplayName). $(gcp.finding.category).</description>
           <mitre>
             <id>T1562</id>
           </mitre>
       </rule>
   </group>
   

   Nerede:

   • Wazuh bir Google Cloud hesabında yanlış yapılandırma tespit ettiğinde Kural Kimliği 100200tetiklenir.

   • Google Cloud bir tehdit algıladığında Kural Kimliği 100201tetiklenir.

5. Yapılandırmayı uygulamak için Wazuh yöneticisini yeniden başlatın:
   
   

   systemctl restart wazuh-manager

Ağ Yanlış Yapılandırmaları

Ağ yanlış yapılandırmasını simüle etmek için Google Cloud konsolunda aşağıdaki işlemleri gerçekleştirin.

1. Compute Engine API'yi etkinleştirin . Bu, dahili VPC güvenlik duvarını etkinleştirecektir.
   
   

   
   

2. verybadruleBirden fazla ağ yanlış yapılandırmasını simüle etmek için Google Cloud ağ güvenliğinde bir güvenlik duvarı kuralı oluşturun . Güvenlik duvarı kuralı tüm IP adreslerinden ve bağlantı noktalarından gelen bağlantılara izin verir.
   
   

   
   

3. verybadruleGoogle Cloud ağ güvenliğindeki kurallar listesinden güvenlik duvarı kuralını silin.
   
   

   

Kimlik ve Erişim Yönetimi Anormal Etkinliği

1. Eğer henüz bir Gmail e-posta adresiniz yoksa, bir test adresi oluşturun.

2. IAM ve Yönetici açılır menüsüne gidin ve IAM'ı seçin. Erişim Ver'e tıklayın . Erişim Ver sayfasında, test kullanıcısının Gmail adresini Yeni sorumlu olarak girin . Ardından, rolü atayın, Proje > Sahip ve Kaydet'e tıklayın.
   
   

   

Planlara Dayalı Etkinlik API İşlemleri

Office 365 Yönetim Etkinliği API'si, kuruluşların farklı Office 365 hizmetlerinden denetim günlüklerine ve etkinlik verilerine erişmesini ve bunları bütünleştirmesini sağlayan bir RESTful API'dir. Etkinlikleri ilişkili hizmetlerine göre kategorilere ayırır ve Office 365 paketindeki geniş bir hizmet yelpazesini kapsar. Kullanılabilir belirli etkinlikler, Office 365 abonelik planınıza ve etkinleştirdiğiniz hizmetlere bağlıdır.

Tüm API işlemleri tek bir kiracıyla sınırlıdır ve API'nin kök URL'si kiracı bağlamını belirten bir kiracı kimliği içerir. Kullandığınız API uç noktasının URL'si, kuruluşunuz için Office 365 abonelik planının türüne dayanır. İşte kullanılabilir planların listesi ve bunlara karşılık gelen API uç noktası URL'leri.

• İşletme planı

  https://manage.office.com/api/v1.0/{tenant_id}/activity/feed/{operation}
  

• Hükümet Topluluk Bulutu (GCC) hükümet planı

  https://manage-gcc.office.com/api/v1.0/{tenant_id}/activity/feed/{operation}
  

• Hükümet Topluluk Bulutu (GCC) Yüksek hükümet planı

  https://manage.office365.us/api/v1.0/{tenant_id}/activity/feed/{operation}
  

• Savunma Bakanlığı (DoD) hükümet planı

  https://manage.protection.apps.mil/api/v1.0/{tenant_id}/activity/feed/{operation}
  

Office 365 abonelik planları farklı özellikler ve hizmetler içerebilir, bu nedenle kullanılabilir etkinlikler belirli planınıza göre değişebilir. Ortak Office 365 planlarına ve hizmetlerine bağlı olarak Office 365 Yönetim API'sinde bulabileceğiniz bazı etkinlik kategorileri şunlardır:

• Azure Active Directory (Azure AD) etkinlikleri - Azure AD'de kullanıcıların ve grupların oluşturulması, değiştirilmesi veya silinmesiyle ilgili olaylar. Bu, oturum açmaları, kimlik doğrulama olaylarını ve rol atamalarını ve değişikliklerini de içerir.

• Exchange Online etkinlikleri : Bunlara e-postayla ilgili etkinlikler, posta kutusu izin değişiklikleri ve e-posta özelliklerinde, eklerde ve klasörlerde yapılan değişiklikler dahildir.

• SharePoint Online etkinlikleri : Bu kategori, belge ve site paylaşımı, kullanıcı erişim hakları ve izin değişiklikleri ve dosya ve klasör işlemleriyle ilgili etkinlikleri içerir.

• Microsoft Teams etkinlikleri : Kanal ve ekip yönetimi, mesaj ve sohbet işlemleri ve toplantıyla ilgili etkinliklerle ilgili etkinlikler.

• Güvenlik ve Uyumluluk Merkezi etkinlikleri : Bu kategori, uyumluluk politikaları ve veri kaybı önleme (DLP) ile ilgili olayları içerir. Ayrıca politika ihlalleri ve eDiscovery etkinlikleri için uyarıları da içerir.

• Genel aktiviteler : Belirli hizmet kategorilerine girmeyen etkinlikler. Bu kategori genel değişiklikleri ve idari aktiviteleri içerebilir.

Office 365 Yönetim Etkinlik API'si çeşitli işlemleri destekler. Bunlar arasında bildirimleri almak için bir abonelik başlatmak, bir kiracı için etkinlik verilerini almak ve bir kiracı için veri alımını durdurmak için bir aboneliği durdurmak yer alır. Etkinlik API'sini kullanarak geçerli abonelikleri, kullanılabilir içeriği ve karşılık gelen içerik URL'lerini listeleyebilirsiniz. Ayrıca içerik URL'sini kullanarak içerik alabilirsiniz.

Aşağıda, Activity API'nin kullanılabilir içerikleri listelemek ve içerik işlemlerini almak için nasıl kullanılacağını gösteriyoruz.

• Mevcut içerik listeleniyor

  Belirli bir içerik türü için şu anda alınabilecek içeriği listeleyebilirsiniz. Bu içerik, bir Office 365 ortamında gerçekleşen eylem ve olayların bir koleksiyonunu oluşturur. Kullanılabilir içeriği almak için Microsoft, bir Office 365 kurumsal planı kullanırken verileri almak için aşağıdaki API uç noktasını sağlar:

  Get https://manage.office.com/api/v1.0/<Tenant_ID>/activity/feed//subscriptions/content?contentType=<ContentType>&startTime=<START_TIME>&endTime=<END_TIME>
  

  Nerede:

  • Değişken <Tenant_ID>, aboneliğin kiracı kimliğidir.

  • Değişken <ContentType>içerik türünü belirtir. Örneğin, Audit.AzureActiveDirectoryve Audit.General.

  • <START_TIME>ve değişkenleri, <END_TIME>içeriğin ne zaman kullanılabilir hale geldiğine bağlı olarak döndürülecek içeriğin zaman aralığını belirtir (tarih biçimi: YYYY-AA-GG).

  Aşağıdaki adımları izleyerek belirtilen içerik türü için şu anda alınabilecek içerikleri manuel olarak listeleyebilirsiniz.

  1. Aşağıdaki PowerShell betiğini kullanarak bir erişim belirteci oluşturun. Bir dosya oluşturun AccessToken.ps1, ardından aşağıdaki içerikleri oluşturulan dosyaya kopyalayıp yapıştırın. <YOUR_APPLICATION_ID>, <YOUR_CLIENT_SECRET>, ve <YOUR_TENANT_ID>değerlerini uygulama kaydı sırasında toplanan doğru değerlerle değiştirin:

     $clientId = "<YOUR_APPLICATION_ID>"
     $clientSecret = "<YOUR_CLIENT_SECRET>"
     $tenantId = "<YOUR_TENANT_ID>"
     $resource = "https://manage.office.com"
     
     $tokenEndpoint = "https://login.microsoftonline.com/$tenantId/oauth2/token"
     $tokenRequestBody = @{
         grant_type    = "client_credentials"
         client_id     = $clientId
         client_secret = $clientSecret
         resource      = $resource
     }
     
     $tokenResponse = Invoke-RestMethod -Uri $tokenEndpoint -Method POST -Body $tokenRequestBody
     $MyToken = $tokenResponse.access_token
     echo $MyToken
     

  2. AccessToken.ps1Normal bir PowerShell terminali açın ve önceki adımda oluşturulan PowerShell betiğini çalıştırmak için aşağıdaki komutları çalıştırın :

     > Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
     > $accessToken = <PATH>/AccessToken.ps1
     

     Not:  Set-ExecutionPolicy RemoteSigned -Scope CurrentUser komudu yerel betiklerin yürütülmesine izin vermek için kullanılır. PowerShell betiğinin <PATH> dosya yoluyla değiştirin.

      

      

  3. Aynı PowerShell terminalinde aşağıdaki komutu çalıştırarak bir içerik türü için şu anda mevcut olan içeriklerin listesini alabilirsiniz:

     Invoke-RestMethod -Uri "https://manage.office.com/api/v1.0/<TENANT_ID>/activity/feed/subscriptions/content?contentType=<CONTENT_TYPE>&startTime=<START_TIME>&endTime=<END_TIME>" -Headers @{ Authorization = "Bearer $accessToken"; ContentType = "application/json" } -Method Get; $response.value
     

     Yer değiştirmek:

     • <TENANT_ID>Geçerli kiracı kimliğine sahip değişken .

     • Geçerli bir içerik türüne sahip değişken <CONTENT_TYPE>. ÖrneğinAudit.AzureActiveDirectory

     • <START_TIME>ve tarih aralığına sahip değişkenler <END_TIME>(biçim: YYYY-AA-GG)
       
       

     Output

     
     

     contentUri        : https://manage.office.com/api/v1.0/<Tenant_ID>/activity/feed/audit/20240129073247100003384$20*********081955691028239                        $audit_azureactivedirectory$Audit_AzureActiveDirectory$emea0010
     contentId         : 20240129073247100003384$20*********081955691028239$audit_azureactivedirectory$Audit_AzureActiveDirectory$emea0010
     contentType       : Audit.AzureActiveDirectory
     contentCreated    : 2024-01-29T08:19:55.691Z
     contentExpiration : 2024-02-05T07:32:47.100Z
     ...
     

• İçerik alınıyor

  Bir içerik blob'unu almak için, kullanılabilir içerik listesinde bulunan ilgili içerik URI'sine karşı bir GET isteği yapın. Döndürülen içerik, JSON biçiminde bir veya daha fazla eylem veya olayın bir koleksiyonu olacaktır.

  GET <CONTENT_URI>
  

  <CONTENT_URI>Değişkeni, kullanılabilir içerik listesinde bulunan bir içerik URI'sinin değeriyle değiştirin .

  Office 365 Yönetim API belgeleri, kullanılabilir uç noktalar ve yanıt biçimleri hakkında ayrıntılar sağlar. Daha fazla bilgi için belgelere başvurabilirsiniz.

Azure Portalı Üzerinden Bir Uygulamayı Kaydetme

Microsoft kimlik platformu uç noktasıyla kimlik doğrulaması yapmak için Azure portalınızda bir uygulama kaydetmeniz gerekir .

1. Azure portalınızda oturum açın .

2. Microsoft Azure portal uygulaması kayıtları bölümünde Yeni kayıt'a tıklayın.
   
   

   
   

3. Başvurunuzun adını girin, istediğiniz hesap türünü seçin ve Kayıt Ol butonuna tıklayın.
   
   

   
   

   Bu noktada başvurunuz kayıt altına alınmış olur.
   
   

4. Uygulamaları ve ID'leri görüntülemek ve kopyalamak için menüdeki Genel Bakış sekmesine tıklayın .clienttenant

   
   
   

Sertifikalar ve Sırlar Oluşturma

Uygulama, kimlik doğrulama işlemi sırasında bir sertifika ve gizli bilginin kullanılmasını gerektirir.

1. Sertifikalar ve sırlar menüsüne gidin ve Yeni istemci sırrı düğmesine tıklayın . Ardından, İstemci sırrı ekle bölümünün altındaki yeni sırrın Açıklama ve Son Kullanma Tarihi alanlarını doldurun.
   
   

   
   

2. Gizli bilginin değerini İstemci gizli bilgileri bölümünün altına kopyalayıp kaydedin.
   
   

   
   

   Not:  Bunu mutlaka not edin çünkü web arayüzü daha sonra kopyalamanıza izin vermeyecektir.

    

API İzinlerini Etkinleştirme

Uygulamanın Office 365 etkinlik olaylarını istemek için belirli API izinlerine ihtiyacı vardır. 

Uygulama izinlerini yapılandırmak için aşağıdaki adımları izleyin:

1. API izinleri menüsüne gidin ve İzin ekle'yi seçin .

   • Office 365 Yönetim API'lerini seçin ve Uygulama izinleri'ne tıklayın .

   • ActivityFeed grubunun altına aşağıdaki izinleri ekleyin :

     • ActivityFeed.Read: Kuruluşunuza ait etkinlik verilerini okuyun.

     • ActivityFeed.ReadDlp: Tespit edilen hassas veriler de dahil olmak üzere DLP politika olaylarını okuyun.

   • İzinleri ekle butonuna tıklayın.
     
     

   
   
   

   Not:  API izin değişiklikleri için yönetici onayı gereklidir.

    

    

   

Wazuh'u Office 365 API'leriyle Yapılandırma

Office 365 için Wazuh modülü, analiz ve kural ilişkilendirmesi için Office 365 API'lerinden denetim günlüklerini çeker. Modülü Wazuh sunucusunda veya Wazuh aracısında yapılandırabilirsiniz. Wazuh sunucusundaki iş yükünü azaltmak ve böylece izleme altyapınızın performansını iyileştirmek için Wazuh aracısında yapılandırmanız önerilir.

Office 365 ortamından denetim günlüklerini çekmek üzere Wazuh sunucusunu yapılandırmak için aşağıdaki adımları uygulayın.

1. Aşağıdaki yapılandırmayı dosyaya ekleyin /var/ossec/etc/ossec.conf. Yapılandırma yalnızca . Audit.SharePointaralığındaki olay türlerini çeker 1m.

   <ossec_config>
     <office365>
       <enabled>yes</enabled>
       <interval>1m</interval>
       <curl_max_size>1M</curl_max_size>
       <only_future_events>yes</only_future_events>
       <api_auth>
         <tenant_id><YOUR_TENANT_ID></tenant_id>
         <client_id><YOUR_CLIENT_ID></client_id>
         <client_secret><YOUR_CLIENT_SECRET></client_secret>
         <api_type>commercial</api_type>
       </api_auth>
       <subscriptions>
         <subscription>Audit.SharePoint</subscription>
       </subscriptions>
     </office365>
   </ossec_config>
   

   Nerede:

   • <enabled>Office 365 için Wazuh modülünü etkinleştirir. Bu seçenek için izin verilen değerler yesve'dir no.

   • <interval>Office 365 için Wazuh modülünün her yürütülmesi arasındaki zaman aralığını tanımlar. İzin verilen değer, s(saniye), m(dakika), h(saat) ve d(gün) gibi bir zaman birimini belirten bir sonek karakteri içeren herhangi bir pozitif sayıdır. Belirtilmezse modül yürütmesi için varsayılan aralık 10m.

   • <curl_max_size>b/BMicrosoft API yanıtı için izin verilen maksimum boyutu belirtir. İzin verilen değer , (bayt), k/K(kilobayt), m/M(megabayt) ve (gigabayt) gibi bir boyut birimini belirten bir sonek karakteri içeren herhangi bir pozitif sayıdır g/G. Varsayılan değer 1M.

   • <only_future_events>Office 365 için Wazuh modülünü, değer olarak ayarlandığında yalnızca Wazuh yöneticisini başlattıktan sonra oluşturulan olayları toplayacak şekilde belirtir yes. Değer olarak ayarlandığında hayır, Wazuh yöneticisini başlatmadan önce oluşturulan önceki olayları toplar. Varsayılan değer 'dir yesve izin verilen değerler yesve'dir no.

   • Blok , kimlik doğrulaması için kimlik bilgilerini Office 365 REST API ile yapılandırır. , , ve <api_auth>etiketleri, içindeki yapılandırma etiketleridir .<tenant_id><client_id><client_secret><api_type><api_auth>

     • <tenant_id>Azure'da kayıtlı uygulamanın kiracı kimliğini belirtir. İzin verilen değer herhangi bir dizedir. Değişkeni, <YOUR_TENANT_ID>Azure'da kayıtlı uygulamanızın kiracı kimliğiyle değiştirin.

     • <client_id>Azure'da kayıtlı uygulamanın istemci kimliğini belirtir. İzin verilen değer herhangi bir dizedir. Değişkeni, <YOUR_CLIENT_ID>Azure'da kayıtlı uygulamanızın istemci kimliğiyle değiştirin.

     • <client_secret>Azure'da kayıtlı uygulamanın istemci gizli değerini belirtir. Değişkeni, <YOUR_CLIENT_SECRET>Azure'da kayıtlı uygulamanızın istemci gizli değeriyle değiştirin.

     • <api_type>kiracı tarafından kullanılan Office 365 abonelik planının türünü belirtir. İzin verilen abonelikler commercial, gcc, ve 'dir gcc-high.

   • Blok <subscriptions>, Office 365 REST API'sindeki dahili seçenekleri yapılandırır.

     • <subscription>Wazuh'un denetim günlüklerini topladığı içerik türlerini belirtir. Yapılandırılabilen abonelik türleriAudit.AzureActiveDirectory arasında , Audit.Exchange, Audit.SharePoint, Audit.Generalve bulunur DLP.All.

   Yapılandırma seçenekleri hakkında daha fazla bilgi edinmek için lütfen Office 365 için Wazuh modülü başvuru kılavuzunu inceleyin.

2. Değişiklikleri uygulamak için Wazuh yönetici hizmetini yeniden başlatın:
   
   

   systemctl restart wazuh-manager

<ossec_config>
  <office365>
    <enabled>yes</enabled>
    <interval>1m</interval>
    <curl_max_size>1M</curl_max_size>
    <only_future_events>yes</only_future_events>
    <api_auth>
      <tenant_id><YOUR_TENANT_ID_1></tenant_id>
      <client_id><YOUR_CLIENT_ID_1></client_id>
      <client_secret><YOUR_CLIENT_SECRET_1></client_secret>
      <api_type>commercial</api_type>
    </api_auth>
    <api_auth>
      <tenant_id><YOUR_TENANT_ID_2></tenant_id>
      <client_id><YOUR_CLIENT_ID_2></client_id>
      <client_secret><YOUR_CLIENT_SECRET_2></client_secret>
      <api_type>commercial</api_type>
    </api_auth>
    <subscriptions>
      <subscription>Audit.AzureActiveDirectory</subscription>
      <subscription>Audit.General</subscription>
    </subscriptions>
  </office365>
</ossec_config>

Birden Fazla Aboneliği Yapılandırma

Wazuh, Office 365'teki aşağıdaki abonelik türlerinden denetim günlüklerini çeker:

• Audit.AzureActiveDirectory : Kullanıcı kimliği yönetimi.

• Audit.Exchange : E-posta ve takvim sunucusu.

• Audit.SharePoint : Web tabanlı işbirliği platformu.

• Denetim.Genel : Önceki içerik türlerinde yer almayan diğer tüm iş yüklerini içerir.

• DLP.All : Veri kaybını önleme iş yükleri.

<subscription>Aynı bloktaki ayrı etiketlerde abonelik türünü belirterek Wazuh'u bir kuruluş kiracısındaki birden fazla aboneliği izleyecek şekilde yapılandırabilirsiniz <subscriptions>.

Örneğin, aşağıdaki yapılandırma yalnızca bir kuruluştaki bir kiracı içindeki olayların Audit.AzureActiveDirectoryve türlerini çeker:Audit.General

<ossec_config>
  <office365>
    <enabled>yes</enabled>
    <interval>1m</interval>
    <curl_max_size>1M</curl_max_size>
    <only_future_events>yes</only_future_events>
    <api_auth>
      <tenant_id><YOUR_TENANT_ID></tenant_id>
      <client_id><YOUR_CLIENT_ID></client_id>
      <client_secret><YOUR_CLIENT_SECRET></client_secret>
      <api_type>commercial</api_type>
    </api_auth>
    <subscriptions>
      <subscription>Audit.AzureActiveDirectory</subscription>
      <subscription>Audit.General</subscription>
    </subscriptions>
  </office365>
</ossec_config>

<YOUR_TENANT_ID>, <YOUR_CLIENT_ID>, ve <YOUR_CLIENT_SECRET>ifadelerini kiracıya ait kuruluş kimlik bilgileriyle değiştirin.

Office 365 Etkinliğini Görselleştirme

Wazuh panosu, Office 365'te gerçekleşen olaylar hakkında ayrıntılı bilgi ve içgörüler sağlayan bir Office 365 modülüne sahiptir. Modül üç görselleştirme seçeneği sunar.

• Dashboard

• Panel

• Events

Bunlardan herhangi birini seçmek için Wazuh panosunun Bulut güvenliği bölümündeki Office 365 sekmesine gidin.

Dashboard

Pano görselleştirme seçeneği, izlenen bir Office 365 ortamında gerçekleştirilen eylemlerin kapsamlı bir görünümünü sağlar. Bu bilgiler, aşağıdaki görüntüde görüldüğü gibi şüpheli indirmeleri, Tam Erişim İzinlerini, Kimlik Avı ve Kötü Amaçlı Yazılımları, Zamana göre önem sırasına göre Olayları, Kullanıcılara göre IP adresini, Coğrafi konum haritasını ve daha fazlasını içerir.

Panel

Bu görselleştirme seçeneği, hizmetin en önemli kullanıcıları, hizmeti kullanan en önemli istemci IP adresleri, tetiklenen en önemli kurallar ve Office 365'te gerçekleştirilen en önemli işlemler dahil olmak üzere gerçekleşen olay hakkında ayrıntılı bilgi sağlar.

Events

Olay görselleştirme seçeneği, Office 365 ortamında meydana gelen olaylar tarafından oluşturulan uyarıları gösterir. Burada, aracı adı, bir kullanıcının gerçekleştirdiği işlem, bir eylemi gerçekleştiren kullanıcı, uyarının açıklaması, uyarının kural düzeyi ve daha fazla alan gibi ayrıntıları görebilirsiniz.

Bu görselleştirme ayrıca şunları içeren ek işlevler de sunar:

• Kural kimlikleri, kural grupları, IP adresleri ve diğerleri gibi belirli alanlara dayalı olay filtreleme.

• Yapılandırılmış sorgulara dayalı dinamik aramalar.

• Oluşturulan uyarının tam günlüğü, eşleşen kod çözücü ve diğerleri dahil olmak üzere tam ayrıntıları.
  
  

Aşağıdaki görselde gösterildiği gibi, uyarıyı tetikleyen olay hakkında ek bilgileri görüntülemek için her uyarı girişini genişletebilirsiniz.

Use Case'ler

Microsoft Azure AD'de Kullanıcı Oturum Açmanın Algılanması

Bir kullanıcı Microsoft Azure AD'de oturum açtığında, eylem bir olay oluşturur. Aşağıdaki eylemleri gerçekleştirerek Wazuh'u bu olayları izleyecek ve görselleştirecek şekilde yapılandırabilirsiniz:

1. Aşağıdaki yapılandırmayı /var/ossec/etc/ossec.confWazuh sunucusundaki dosyaya ekleyin:
   
   

   <ossec_config>
     <office365>
       <enabled>yes</enabled>
       <interval>1m</interval>
       <curl_max_size>1M</curl_max_size>
       <only_future_events>yes</only_future_events>
       <api_auth>
         <tenant_id><YOUR_TENANT_ID></tenant_id>
         <client_id><YOUR_CLIENT_ID></client_id>
         <client_secret><YOUR_CLIENT_SECRET></client_secret>
         <api_type>commercial</api_type>
       </api_auth>
       <subscriptions>
         <subscription>Audit.AzureActiveDirectory</subscription>
       </subscriptions>
     </office365>
   </ossec_config>
   

   Yer değiştirmek:

   • <YOUR_TENANT_ID>Microsoft Azure'da kayıtlı uygulamanızın kiracı kimliğinin bulunduğu değişken .

   • <YOUR_CLIENT_ID>Microsoft Azure'da kayıtlı uygulamanızın istemci kimliğinin bulunduğu değişken .

   • <YOUR_CLIENT_SECRET>Microsoft Azure'da kayıtlı uygulamanızın istemci sırrını içeren değişken .
     
     

2. Değişiklikleri uygulamak için Wazuh yönetici hizmetini yeniden başlatın:
   
   

   systemctl restart wazuh-manager

3. Azure portalınıza giriş yapın .

4. Wazuh panosunu ziyaret edin ve Office 365'e gidin, ardından oluşturulan uyarıları görüntülemek için Etkinlikler sekmesine tıklayın.
   
   

   

   
   Oluşturulan uyarının JSON formatı aşağıdadır.
   
   

   {
     "_index": "wazuh-alerts-4.x-2024.01.29",
     "_id": "vNQjVI0B9LTh695MXIMn",
     "_version": 1,
     "_score": null,
     "_source": {
       "input": {
         "type": "log"
       },
       "agent": {
         "name": "wazuh-server",
         "id": "000"
       },
       "manager": {
         "name": "wazuh-server"
       },
       "data": {
         "integration": "office365",
         "office365": {
           "AzureActiveDirectoryEventType": "1",
           "UserKey": "5a4603e7-100d-4fab-83c0-8dac779b2628",
           "ActorIpAddress": "102.244.157.118",
           "Operation": "UserLoggedIn",
           "OrganizationId": "0fea4e03-8146-453b-b889-54b4bd11565b",
           "ExtendedProperties": [
             {
               "Value": "Redirect",
               "Name": "ResultStatusDetail"
             },
             {
               "Value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
               "Name": "UserAgent"
             },
             {
               "Value": "OAuth2:Authorize",
               "Name": "RequestType"
             }
           ],
           "IntraSystemId": "aa9ef67e-5237-49e0-9d45-587d8afc1f00",
           "Target": [
             {
               "Type": 0,
               "ID": "5f09333a-842c-47da-a157-57da27fcbca5"
             }
           ],
           "RecordType": "15",
           "Version": "1",
           "ModifiedProperties": [],
           "Actor": [
             {
               "Type": 0,
               "ID": "5a4603e7-100d-4fab-83c0-8dac779b2628"
             },
             {
               "Type": 5,
               "ID": "XXXXXXX@wazuh.com"
             }
           ],
           "DeviceProperties": [
             {
               "Value": "Windows10",
               "Name": "OS"
             },
             {
               "Value": "Chrome",
               "Name": "BrowserType"
             },
             {
               "Value": "80ce5b15-c485-4128-a9ea-f9c0cdfb663d",
               "Name": "SessionId"
             }
           ],
           "Subscription": "Audit.AzureActiveDirectory",
           "ActorContextId": "0fea4e03-8146-453b-b889-54b4bd11565b",
           "ResultStatus": "Success",
           "ObjectId": "5f09333a-842c-47da-a157-57da27fcbca5",
           "ErrorNumber": "0",
           "ClientIP": "102.244.157.118",
           "Workload": "AzureActiveDirectory",
           "UserId": "XXXXXXX@wazuh.com",
           "TargetContextId": "0fea4e03-8146-453b-b889-54b4bd11565b",
           "CreationTime": "2024-01-29T07:29:21",
           "Id": "aa9ef67e-5237-49e0-9d45-587d8afc1f00",
           "InterSystemsId": "e0e158a5-202d-4e1f-bb93-873be484222d",
           "ApplicationId": "89bee1f7-5e6e-4d8a-9f3d-ecd601259da7",
           "UserType": "0"
         },
         "aws": {
           "accountId": "",
           "region": ""
         }
       },
       "rule": {
         "firedtimes": 1,
         "mail": false,
         "level": 3,
         "hipaa": [
           "164.312.a.2.I",
           "164.312.b",
           "164.312.d",
           "164.312.e.2.II"
         ],
         "pci_dss": [
           "8.3",
           "10.6.1"
         ],
         "description": "Office 365: Secure Token Service (STS) logon events in Azure Active Directory.",
         "groups": [
           "office365",
           "AzureActiveDirectoryStsLogon"
         ],
         "id": "91545"
       },
       "location": "office365",
       "decoder": {
         "name": "json"
       },
       "id": "1706513609.3469",
       "GeoLocation": {
         "city_name": "Sangmelima",
         "country_name": "Cameroon",
         "region_name": "South",
         "location": {
           "lon": XX.XX33,
           "lat": XX.XX33
         }
       },
       "timestamp": "2024-01-29T07:33:29.195+0000"
     },
     "fields": {
       "timestamp": [
         "2024-01-29T07:33:29.195Z"
       ]
     },
     "highlight": {
       "manager.name": [
         "@opensearch-dashboards-highlighted-field@wazuh-server@/opensearch-dashboards-highlighted-field@"
       ],
       "rule.groups": [
         "@opensearch-dashboards-highlighted-field@office365@/opensearch-dashboards-highlighted-field@"
       ]
     },
     "sort": [
       1706513609195
     ]
   }
   

Microsoft Azure AD'de Kullanıcı Hesaplarının Oluşturulmasını ve Silinmesini Algılama

Bu kullanım örneği, bir kullanıcı hesabının oluşturulması ve silinmesi de dahil olmak üzere Microsoft Azure AD'de (Office 365 için dizin hizmeti) yönetici etkinliklerinin nasıl izleneceğini gösterir.

Wazuh Sunucusu

Microsoft Azure AD'de yönetici etkinliklerini izlemek için Wazuh sunucusunu yapılandırmak üzere aşağıdaki adımları uygulayın.

1. Aşağıdaki yapılandırmayı /var/ossec/etc/ossec.confWazuh sunucusundaki dosyaya ekleyin:
   
   

   <ossec_config>
     <office365>
       <enabled>yes</enabled>
       <interval>1m</interval>
       <curl_max_size>1M</curl_max_size>
       <only_future_events>yes</only_future_events>
       <api_auth>
         <tenant_id><YOUR_TENANT_ID></tenant_id>
         <client_id><YOUR_CLIENT_ID></client_id>
         <client_secret><YOUR_CLIENT_SECRET></client_secret>
         <api_type>commercial</api_type>
       </api_auth>
       <subscriptions>
         <subscription>Audit.AzureActiveDirectory</subscription>
       </subscriptions>
     </office365>
   </ossec_config>
   

   Yer değiştirmek:

   • <YOUR_TENANT_ID>Microsoft Azure'da kayıtlı uygulamanızın kiracı kimliğini içeren değişken .

   • <YOUR_CLIENT_ID>Microsoft Azure'da kayıtlı uygulamanızın istemci kimliğini içeren değişken .

   • <YOUR_CLIENT_SECRET>Microsoft Azure'da kayıtlı uygulamanızın istemci sırrını içeren değişken .
     
     

2. Değişiklikleri uygulamak için Wazuh yönetici hizmetini yeniden başlatın:
   
   

   systemctl restart wazuh-manager

Microsoft Azure Portal

Wazuh'un panoda izleyip görüntüleyebileceği bir etkinlik oluşturmak için Microsoft Azure AD'de bir kullanıcı hesabı oluşturuyoruz ve siliyoruz.

Bir test kullanıcı hesabı oluşturmak ve silmek için aşağıdaki işlemleri gerçekleştirin.

1. Azure Active Directory artık Microsoft Entra ID'dir. Azure portalının Arama çubuğuna yazın ve AD'nize erişmek için üzerine tıklayın.Microsoft Entra ID

2. Yan menüden Kullanıcılar'a gidin ve Yeni kullanıcı > Yeni kullanıcı oluştur'a tıklayın .
   
   

   
   

3. Kullanıcının bilgilerini doldurun ve İncele + oluştur butonuna tıklayarak kullanıcıyı oluşturun.
   
   

   
   

4. Görünen adı seçip Sil butonuna tıklayarak kullanıcıyı silin .
   
   

   
   

Wazuh Dashboard

Modüller > Office 365'e gidin ve oluşturulan uyarıları görüntülemek için Etkinlikler sekmesine tıklayın.

Aşağıda kullanıcı ekleme etkinliğinin JSON formatındaki örnek uyarısı yer almaktadır.

{
  "_index": "wazuh-alerts-4.x-2024.01.29",
  "_id": "0NRwVY0B9LTh695MCISi",
  "_version": 1,
  "_score": null,
  "_source": {
    "input": {
      "type": "log"
    },
    "agent": {
      "name": "wazuh-server",
      "id": "000"
    },
    "manager": {
      "name": "wazuh-server"
    },
    "data": {
      "integration": "office365",
      "office365": {
        "AzureActiveDirectoryEventType": "1",
        "ResultStatus": "Success",
        "ObjectId": "testuser@wazuh.com",
        "UserKey": "10032002120F5B41@wazuh.com",
        "Operation": "Add user.",
        "OrganizationId": "0fea4e03-8146-453b-b889-54b4bd11565b",
        "ExtendedProperties": [
          {
            "Value": "{}",
            "Name": "additionalDetails"
          },
          {
            "Value": "User",
            "Name": "extendedAuditEventCategory"
          }
        ],
        "Workload": "AzureActiveDirectory",
        "IntraSystemId": "db6d1058-438e-452a-8de2-82650855e986",
        "Target": [
          {
            "Type": 2,
            "ID": "User_f1937c88-f4f2-43b3-a753-e324345e39e4"
          },
          {
            "Type": 2,
            "ID": "f1937c88-f4f2-43b3-a753-e324345e39e4"
          },
          {
            "Type": 2,
            "ID": "User"
          },
          {
            "Type": 5,
            "ID": "testuser@wazuh.com"
          },
          {
            "Type": 3,
            "ID": "100320034A719856"
          }
        ],
        "RecordType": "8",
        "Version": "1",
        "ModifiedProperties": [
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  true\r\n]",
            "Name": "AccountEnabled"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"testuser\"\r\n]",
            "Name": "DisplayName"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"Test\"\r\n]",
            "Name": "GivenName"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"testuser\"\r\n]",
            "Name": "MailNickname"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"2024-01-29T13:19:12Z\"\r\n]",
            "Name": "StsRefreshTokensValidFrom"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"User\"\r\n]",
            "Name": "Surname"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"testuser@wazuh.com\"\r\n]",
            "Name": "UserPrincipalName"
          },
          {
            "OldValue": "[]",
            "NewValue": "[\r\n  \"Member\"\r\n]",
            "Name": "UserType"
          },
          {
            "OldValue": "",
            "NewValue": "AccountEnabled, DisplayName, GivenName, MailNickname, StsRefreshTokensValidFrom, Surname, UserPrincipalName, UserType",
            "Name": "Included Updated Properties"
          }
        ],
        "UserId": "XXXXXXX@wazuh.com",
        "TargetContextId": "0fea4e03-8146-453b-b889-54b4bd11565b",
        "Actor": [
          {
            "Type": 5,
            "ID": "XXXXXXX@wazuh.com"
          },
          {
            "Type": 3,
            "ID": "10032002120F5B41"
          },
          {
            "Type": 2,
            "ID": "User_046e51c3-4029-44c0-b57a-e80d39e4970e"
          },
          {
            "Type": 2,
            "ID": "046e51c3-4029-44c0-b57a-e80d39e4970e"
          },
          {
            "Type": 2,
            "ID": "User"
          }
        ],
        "CreationTime": "2024-01-29T13:19:12",
        "Id": "0c620dac-5a11-4478-a8fe-4c8f35d89517",
        "InterSystemsId": "1f9afa31-170c-4862-8655-5b48b00cc368",
        "Subscription": "Audit.AzureActiveDirectory",
        "UserType": "0",
        "ActorContextId": "0fea4e03-8146-453b-b889-54b4bd11565b"
      },
      "aws": {
        "accountId": "",
        "region": ""
      }
    },
    "rule": {
      "firedtimes": 1,
      "mail": false,
      "level": 6,
      "hipaa": [
        "164.312.a.2.I",
        "164.312.b"
      ],
      "pci_dss": [
        "8.1.2",
        "10.6.2"
      ],
      "description": "Office 365: Added user",
      "groups": [
        "office365",
        "AzureActiveDirectory"
      ],
      "mitre": {
        "technique": [
          "Valid Accounts",
          "Additional Cloud Credentials"
        ],
        "id": [
          "T1078",
          "T1098.001"
        ],
        "tactic": [
          "Defense Evasion",
          "Persistence",
          "Privilege Escalation",
          "Initial Access"
        ]
      },
      "id": "91709"
    },
    "location": "office365",
    "decoder": {
      "name": "json"
    },
    "id": "1706535414.239597",
    "timestamp": "2024-01-29T13:36:54.168+0000"
  },
  "fields": {
    "timestamp": [
      "2024-01-29T13:36:54.168Z"
    ]
  },
  "highlight": {
    "manager.name": [
      "@opensearch-dashboards-highlighted-field@wazuh-server@/opensearch-dashboards-highlighted-field@"
    ],
    "rule.groups": [
      "@opensearch-dashboards-highlighted-field@office365@/opensearch-dashboards-highlighted-field@"
    ]
  },
  "sort": [
    1706535414168
  ]
}

GitHub'da Kişisel Erişim Belirteci Oluşturma

Gerekli kişisel erişim belirtecini oluşturmak için GitHub'da aşağıdaki adımları izleyin:

1. Kuruluş sahibine ait bir hesapla GitHub'a giriş yapın.

2. Yeni bir kişisel erişim belirteci oluşturmak için https://github.com/settings/tokens/new adresine gidin .

3. Kişisel erişim belirteci için açıklayıcı bir not ekleyin ve bir son kullanma tarihi seçin.
   
   

   
   

4. Aşağı kaydırın, audit_log öğesini seçin ve Jeton oluştur öğesine tıklayın.
   
   

   
   

5. Yeni oluşturulan kişisel erişim belirtecini kopyalayın.
   
   

   

Birden Fazla GitHub Organizasyonunu İzleyin

Wazuh ile birden fazla GitHub kuruluşunu, kuruluş kimlik bilgilerini ayrı bölümlerde belirterek izleyebilirsiniz <api_auth>. Örneğin, aşağıdaki yapılandırma organization1ve adlı iki kuruluşu izler organization2.

<github>
  <enabled>yes</enabled>
  <interval>1m</interval>
  <time_delay>1m</time_delay>
  <curl_max_size>1M</curl_max_size>
  <only_future_events>no</only_future_events>

  <api_auth>
    <org_name>organization1</org_name>
    <api_token><API_TOKEN></api_token>
  </api_auth>

  <api_auth>
    <org_name>organization2</org_name>
    <api_token><API_TOKEN></api_token>
  </api_auth>

  <api_parameters>
    <event_type>git</event_type>
  </api_parameters>
</github>

Nerede:

• <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

Gereksinimler

• GitHub aktivite izleme dokümanlarına göre Wazuh'u GitHub ile entegre edin .

• Curl yüklü bir Ubuntu 23.10 uç noktası.

GitHub

admin:org, repo, ve kapsamları içinde bir GitHub kişisel erişim belirteci oluşturun delete_repo. Bu belirteci, Wazuh'ta uyarıları tetikleyen kuruluşta eylemler gerçekleştirerek kullanım durumlarını test etmek için GitHub REST API'siyle kullanacağız. Belirteci oluşturmak için aşağıdaki adımları izleyin:

1. https://github.com/settings/tokens/new adresine gidin , token için bir not ekleyin, istediğiniz son kullanma tarihini seçin ve ardından repove admin:orgkapsamlarını seçin.
   
   

   
   

2. Sayfanın en altına gidin, ardından delete_repokapsamı seçin ve Jeton oluştur düğmesine tıklayın.
   
   

   
   

3. Yeni oluşturulan kişisel erişim belirtecini kopyalayın.
   
   

   

Ubuntu Uç Noktası

Örgüt Üyelerinin Manipülasyonlarını Tespit Edin

Bir Üyeyi Davet Et

Kuruluşunuza bir üye davet etmek için aşağıdaki adımları izleyin.

1. Ubuntu uç noktasında aşağıdaki komutu çalıştırın:

   # curl -L \
     -X POST \
     -H "Accept: application/vnd.github+json" \
     -H "Authorization: Bearer <API_TOKEN>" \
     -H "X-GitHub-Api-Version: 2022-11-28" \
     https://api.github.com/orgs/<ORG_NAME>/invitations \
     -d '{"email":"<USER_EMAIL>","role":"direct_member"'
   

   Nerede:

   • <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

   • <ORG_NAME>kuruluşunuzun adıdır.

   • <USER_EMAIL>davet etmek istediğiniz kullanıcının e-posta adresidir.

2. Davet edilen üyenin posta kutusuna gidin ve daveti kabul edin.

Bir Üyeyi Yönetici Olarak Terfi Ettir

Kuruluşunuzdaki bir üyeyi yönetici rolüne yükseltmek için aşağıdaki komutu çalıştırın:

# curl \
  -u <ADMIN_USERNAME>:<API_TOKEN> \
  -X PUT \
  -H "Accept: application/vnd.github.v3+json" https://api.github.com/orgs/<ORG_NAME>/memberships/<MEMBER_USERNAME> \
   -d '{"role":"admin"}'

Nerede:

• <ADMIN_USERNAME>geçerli bir yöneticinin kullanıcı adıdır. Örneğin, kuruluşun sahibinin kullanıcı adı.

• <API_TOKEN> kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

• <ORG_NAME>kuruluşunuzun adıdır.

• <MEMBER_USERNAME>terfi ettirmek istediğiniz kullanıcının kullanıcı adıdır.

Yeni Bir Ekip Oluştur

Kuruluşunuzda yeni bir ekip oluşturmak için aşağıdaki komutu çalıştırın:

# curl -X POST \
     -H "Authorization: Bearer <API_TOKEN>" \
     -d '{"name": "<NEW_TEAM_NAME>"}' \
     "https://api.github.com/orgs/<ORG_NAME>/teams"

Nerede:

• <NEW_TEAM_NAME>yeni takımın adı.

• <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

• <ORG_NAME>kuruluşunuzun adıdır.

Aşağıdaki görsel, izlenen GitHub organizasyonunda yukarıdaki eylemleri gerçekleştirdikten sonra Wazuh panosunda oluşan uyarıları göstermektedir.

Bir Depoda Yapılan Değişiklikleri Algıla

Yeni Bir Depo Oluştur

Yeni bir depo oluşturmak için aşağıdaki komutu çalıştırın:

# curl -L \
  -X POST \
  -H "Accept: application/vnd.github+json" \
  -H "Authorization: Bearer <API_TOKEN>" \
  -H "X-GitHub-Api-Version: 2022-11-28" \
  https://api.github.com/orgs/<ORG_NAME>/repos \
  -d '{"name":"<NEW_REPO_NAME>"}'

Nerede:

• <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir repo.

• <ORG_NAME>kuruluşunuzun adıdır.

• <NEW_REPO_NAME>oluşturmak istediğiniz deponun adıdır.

Deponuza Bir Takım Ekleyin

Takımları listelemek ve deponuza bir takım eklemek için aşağıdaki komutları çalıştırın:

1. Organizasyonunuzdaki takım kimliklerini listeleyin.

   # curl -H "Authorization: Bearer <API_TOKEN>" "https://api.github.com/orgs/<ORG_NAME>/teams"
   

2. Deponuza eklemek istediğiniz takımın ID'sini girin.

   # curl -X PUT \
        -H "Authorization: Bearer <API_TOKEN>" \
        -d '{"permission": "push"}' \
        "https://api.github.com/teams/<TEAM_ID>/repos/<ORG_NAME>/<REPO_NAME>"
   

   Nerede:

   • <TEAM_ID>Takım ID'sidir.

   • <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

   • <ORG_NAME>kuruluşunuzun adıdır.

   • <REPO_NAME>Bir takımı eklemek istediğiniz deponun adıdır.
     
     

Ayrıcalıkları Yönet

Ekibinizdeki üyelere depoda yönetici ayrıcalıkları vermek için aşağıdaki komutu çalıştırın:

# curl \
-u <ADMIN_USERNAME>:<API_TOKEN> \
-X PUT \
-H "Accept: application/vnd.github.v3+json" https://api.github.com/orgs/<ORG_NAME>/teams/<TEAM_NAME>/repos/<ORG_NAME>/<REPO_NAME> \
 -d '{"permission":"admin"}'

Nerede:

• <ADMIN_USERNAME>bir kullanıcıyı yönetici olarak yükseltme iznine sahip kullanıcının kullanıcı adıdır

• <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

• <ORG_NAME>kuruluşunuzun adıdır.

• <REPO_NAME>Ekibinin erişimini yönetmek istediğiniz deponun adıdır.

• <TEAM_NAME>deponuzdaki belirli takımın adıdır.

Depoyu Sil

Kuruluşunuzdaki bir deponun silinmesi için aşağıdaki komutu çalıştırın:

# curl -L \
  -X DELETE \
  -H "Accept: application/vnd.github+json" \
  -H "Authorization: Bearer <API_TOKEN>" \
  -H "X-GitHub-Api-Version: 2022-11-28" \
  https://api.github.com/repos/<ORG_NAME>/<REPO_NAME>

Nerede:

• <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir delete_repo.

• <ORG_NAME>kuruluşunuzun adıdır.

• <REPO_NAME>kuruluşunuzdan silmek istediğiniz deponun adıdır.

Takımı Sil

Oluşturduğunuz takımı silmek için aşağıdaki komutu çalıştırın:

# curl -L \
  -X DELETE \
  -H "Accept: application/vnd.github+json" \
  -H "Authorization: Bearer <API_TOKEN>" \
  https://api.github.com/orgs/<ORG_NAME>/teams/<TEAM_NAME>

Nerede:

• <API_TOKEN>kapsam dahilinde oluşturulan GitHub kişisel erişim belirtecidir admin:org.

• <ORG_NAME>kuruluşunuzun adıdır.

• <TEAM_NAME>deponuzdaki belirli takımın adıdır.

Aşağıdaki görsel, izlenen GitHub organizasyonunda yukarıdaki eylemleri gerçekleştirdikten sonra Wazuh panosunda oluşan uyarıları göstermektedir.