Sysmon 10 Sürümü ile Son Kullanıcı Güvenliği
için Önemli bir Özellik – DNS Loglama
11 Haziran 2019 tarihi itibari ile Sysmon 10.0
sürümü yayınlandı. Sysmon veya Türkçe açılımı ile Sistem Monitörü, Bir servis
olarak yüklenebilen ve bu sayede Windows işletim sistemi üzerindeki çeşitli
olayları ve bilgileri Windows olay günlüklerine kaydedebilen bir Sysinternals aracıdır.
Sysinternals kelimesi de size yabancı ise
onuda hızlıca özetlemek isterim.
Sysinternals, Windows sistemlerinizi ve
uygulamalarınızı yönetmenize, sorun gidermenize ve teşhis etmenize yardımcı
olacak yardımcı programların bütününe verilen isimdir.
Bu yeni sürümde bizlerin dikkatini çeken en
önemli özellik DNS olaylarının da artık kayıt altına alınabilmesi.
Event ID 22 olarak aşağıdaki gibi göreceğiniz olay günlüğü kaydı sayesinde DNS sorgularının kimin tarafından yani hangi process tarafından yapıldığı detayına kadar artık olay günlüğünde görebileceğiz.
Tabi bu konuyu yakından takip edenler aslında
bu yeni özelliğin istemci güvenliği için ne kadar önemli olduğunu çok iyi
bilir. Malum günümüz EDR sistemlerinin popülerliği düşünülür ise sysmon ile
neler yapabileceğiniz konusunda güzel bir örnek vermek istiyorum;
Pek çok kurumsal şirket artık klasik dosya sunucusu yerine her an herhangi birisi ile güvenli ve takip edilebilecek bir şekilde dosya paylaşacak platformlar ile ilgileniyor. Tabiki bazıları regülasyon kaynaklı yerel programları tersih ederken bazıları ise cloud temelli programları kullanmak istiyor. Bunlardan bir kaç tane örnek paylaşmak istiyorum;
Merhaba, bu alanda pek çok yazılım olduğunu biliyorum, ancak temel amacınız gerçekten izleme ise (yani uzak yönetim + izleme değil de tamamen araştırma amaçlı) aşağıdaki 3 programı öneririm;
SSL Sertifika zinciri, aslında Türkçe karşılığı olan zincir kelimesinde olduğu gibi bir birine bağlı olan ve en alttan en üste doğru sertifikaların verilim sırasına göre dizilmesidir. Bir web servisi veya güvenlik amacı ile ulaştığınız bir sistemin kullanmış olduğu sertifikayı sizin aktif olarak kullanabilmeniz için öncelikle o sertifikayı veren Sertifika dağıtıcısına bilgisayarınızın veya kullandığınız aygıtın güvenmesi gereklidir. Aksi halde size bunu belirten bir uyarı çıkacağı gibi Outlook Anywhere örneğinde olduğu gibi sistem hiç çalışmayabilir.
Yukarıda çok güzel bir örnek var, paypal malum ödeme sistemleri web sitesi olup bu uyarı hiçte normal bir durum değildir. Tabiki bu uyarının temel 3 nedeni vardır;
1 – Sertifikanın tarihi doğru mu?
2 – Sertifikanın istek dosyasındaki URL adresi yani verildiği domain’ den farklı bir adres isteği mi yapılmış? Yani sertifika üzerindeki URL ile sizin girdiğiniz URL örtüşüyor mu?
3 – Bu blog yazımın konusu, bu sertifikayı veren dağıtıcıya sizin bilgisayarınız güveniyor mu?
Peki bu sertifika zinciri ne için kullanılır? Örneğin şirketinizin bir web sitesi var ve bunun için bir sertifika satın almak istiyorsunuz, sizin satın alım yaptığınız firma aslında bir kök sertifika dağıtıcı olmayabilir, veya böyle bir firma olmasına karşın kök dağıtıcı rolünü aktif olarak sertifika dağıtımı için kullanmaz ( güvenlik nedeni ile), bu durumda kök sertifika dağıtıcısının onayladığı bir intermediate dediğimiz bir alt merci veya onunda onayladığı bir alt merci daha vermiş olabilir. İşte bunun gibi bir Root tarafından onaylanan bir intermediate CA’ in veya onunda onayladığı bir alt intermediate CA’ den sertifika almış olabilirsiniz. Ancak bu bağlantı sertifika zinciri olarak gösterilir ve günün sonunda bilgisayarınız bu aradaki dağıtıcılara güvenmiyor olsa bile kök dağıtıcıya güvenmesi otomatik olarak onun güvendiği ve güvendiği dağıtıcının verdiği sertifikaya güvenmemizi sağlar.
Not: Bazı sistemler ne yazık ki bu doğrulamayı kendisi yapamadığı için mutlaka tüm zincir içerisindeki sertifikayı ister. Örneğin Firewall, Access Point gibi network aktif cihazları veya Linux sistemler için genelde bu zincirin tamamı sisteme import edilmek istenebilir.
Burada bir kaç kafa karıştıran soru bulunmakta olup onun cevaplarını vermek istiyorum. İlk olarak web serverımız için bir sertifika aldık, bunu veren intermediate üstündeki yani en üstteki root sertifikasını sunucuma yüklemem gerekiyor mu? HAYIR, çünkü buna güvenecek olan istemci makineler olup onlarda zaten olması gerekli, aksi halde merdiven altı bir kurumdan sertifika aldınız demektir, yani çok yaygın olmayan. Peki Intermediate SSL sertifikalarını ( arada kaç tane var ise) yüklemek zorunda mıyım? EVET, aksi halde zincir kırılır ve son kullanıcının root’ u bulamadığı durumlarda zincir de kırık olduğu için sertifikanız güvenilmeyen bir sertifika olarak isimlendirilir.
Eğer Dell Dock Station TB15 veya TB16 kullanıyorsanız yukarıdaki uyarıyı tanıyor olabilirsiniz. Bu Dock station cihazları aslında son derece kabiliyetli, yani standart port çoklayıcıya benzeyen bir dosck station değil. Bende özellikle bu nedenle bu ürünü seçmiştim. Ürünü kullanıyor ancak özelliklerinden haberdar değilseniz diye aşağıdaki linki sizler ile paylaşmak istiyorum;
Peki gelelim sorunumuza. Evet ürün gerçekten güzel ancak birden çok model desteklediği için farklı güç adaptörleri ile kullanıma uygun. Yani cihazı satın alırken cihaz ile beraber gelen adaptör aslında hangi laptop modelleri ile kullacağınız konusunda çok önemli. Örneğin benim gibi ilk olarak Dell XPS 13 için kullanıyorsanız dock station ile kullandığınız adaptör çok önemli değildir. İki adaptör desteği vardır 180W ve 240W.
Eğer bu dock station ile kullanacağınız laptop 130W’ dan fazla enerji istiyor ise bu durumda 240W power adaptör kullanmanız gereklidir. Aksi durumda aşağıdaki gibi bir hata alırsınız
Burada iki seçeneğiniz var, eğer adaptörünüz 240W değil ise Dock station usb C + laptop’ ın kendi güç kablosunu aynı anda kullanabilirsiniz. Ya da tabiki 240W destekleyen bir power adaptör alabilirsiniz.
Eğer bu şekilde ürünü kullanmaya devam ederseniz ki hatta yukarıdaki uyarıyı BIOS dan kapatmak bile mümkün bu hem laptop performansına hem de pil ömrünüze negatif olarak yansıyacaktır. Ayrıca pilin dolma süreside bir hayli uzun olacaktır.
Peki bir laptop ve dock station alacaksınız ancak kaç W adaptör gerekli nasıl öğrenebilirsiniz?
Aşağıdaki link üzerinden kolayca bu bilgiye ulaşabilirsiniz;
Peki gelelim benim sorunuma. Ben aslında ürünü alırken malum uzun vadeli kullanmak adına 240W adaptör ile aldım. Ancak ilk kullandığım laptop Dell XPS 13 ile hiç sorun yaşamazken Dell Precision 5530 da bir kullanım sorunu ile karşılaştım. Normalde Dock station bu model için sorunsuz destek sunmaktadır fakat şöyle garip bir durum söz konusu. Dock station açık olduğu sürece hiç bir sorun yaşamıyorum. Ancak örneğin dock station laptop’ a bağlı ve elektirik komple kesildi, yani bir şekilde dock station’ ın elektiriği gidip gelir ise bu durumda varsayılan olarak pek çok modele destek verbilmek adına olduğunu düşünüyorum daha düşük bir voltaj ile çalışmaya başlıyor. Durum böyle olunca da Windows 10 üzerinde sağ alt köşede pil uyarısını görebiliyorum;
Slow USB Charger connected To speed up charging or prevent discharging, use the recommended charger and cable for your device, and make sure it’s directly plugged in.
Çözüm ne yazık ki Dock Station’ ın USB C bağlantısını laptop’ dan çıkarmak ve tekrar takmak. Yani bir şekilde Dock Station öncelikle elektirik almış olmalı. Çok sorun yaşıyor musunuz derseniz tabiki hayır ancak yinede bazen can sıkıcı olabiliyor. Çözüm çok araştırmama rağmen Dell Support sitesinde öneri olarak böyle yapın diyorlar zaten.
Umarım kullanan ve bu sorunu yaşayanlar için faydalı bir yazı olmuştur.
Sürekli olarak duyduğunuz kelimelerden
birisidir muhtemel “üretkenlik”, ancak gerçekten bu başlık altına sizden
istenilen gereksinimlerin ne kadar başarılı bir şekilde üretkenliğe
dönüşeceğini merak ediyorsunuzdur. Veya kesinlikle üretkenlik artışına neden
olacağına emin olduğunuz eğitim, ofis veya çalışma şartları başta olmak üzere
teknolojik alt yapılara yaptığınız yatırımın kazandıracağı üretkenlik artışının
belki de oranını merak ediyorsunuz. Bunun için en doğru yöntem tabiki mevcut iş
yapış şeklinizdeki KPI rakamları olacaktır.
Yani hali hazırda rakamsal olarak yapacağınız
yatırımların yine rakamlar olarak karşılığını alabileceğiniz pek çok proje
görebilirsiniz.
Benim bizzat başında bulunduğum ve gerçekten
üretkenliği arttıran bir video konferans projesi bir banka organizasyonuna
yıllık 1,5 milyon dolar kazanım sağlamıştı. Evet rakam bir hayli yüksek. Ancak
ortalama 8000 personele bir yıl içerisinde yaptığınız tüm eğitimleri online
ortama aldığınızı düşünürseniz gayet mantıklı bir “üretkenliği artıran” proje
oldu. Tabiki buradan anladığım üretkenlik para değil, insanların sadece eğitim
ve toplantı için seyahat etmesi, hatta aynı bina içerisinde bile masasından
kalkıp toplantı odasın gitmesi aslında üretkenlik kaybına yol açar.
Bu konuda yine Logitech Meetup ve Skype konusunda aşağıdaki yazdığım makaleyi inceleyebilirsiniz
Hatta inanılmaz rakamlar paylaşılıyor bu
makalelerde. Gerçekten benimde içinde bulunduğum ve bizzat şahit olduğum
rakamlar düşünüldüğü zaman bunların abartı olmadığını göreceksiniz.
