Kontrolleri ve yanıtları otomatikleştirmek için kullanışlı betikler
Programlama bilmenize gerek yok. Pişirmek gibi düşünün: tarifi tam olarak uygulayın ve kek (yani betik) işini yapacaktır.
Betiklerinizi nereye koymalısınız
Tüm özel betiklerinizi tek bir güvenli, tahmin edilebilir yerde tutmak isteyeceksiniz. İşte bunu nasıl yapacağınız.
- Terminali açın: Sunucunuzda (Linux) bir terminal penceresi açın.
scripts
klasörünü oluşturun. Betikleriniz burada yaşayacak:
sudo mkdir -p /opt/siem/scripts
- Bu klasöre gidin
cd /opt/siem/scripts
- Kilitleyin (sadece yönetici kullanıcılar dokunabilmeli)
sudo chmod 700 /opt/siem/scripts
Bir cihazı ağdan kes
Ne yapar: Ağdaki bir telefon veya dizüstü bilgisayar şüpheli davranıyorsa—belki casus yazılım veya izleme belirtileri gösteriyor—bu betikle hemen bağlantısını kesebilirsiniz.
Neden önemli: Hızlı yanıt çok önemlidir. Bu, bir cihazın internete bir şey göndermesini engeller.
Oluşturmak için adım adım
- Hala
/opt/siem/scripts
içindeyken, betik dosyasını oluşturun:
sudo nano quarantine_device.sh
- Bunu yapıştırın:
#!/bin/bash
echo "$1 ağdan kesiliyor..."
sudo iptables -A OUTPUT -s $1 -j DROP
- Kaydedin ve çıkın:
Ctrl + O
, sonraEnter
tuşlarına basınCtrl + X
tuşlarına basın
- Çalıştırılabilir yapın:
sudo chmod +x quarantine_device.sh
Kullanımı
Şüpheli cihazın IP’si 192.168.1.50
ise:
sudo /opt/siem/scripts/quarantine_device.sh 192.168.1.50
Bir daha geçitlerden geçemez.
Wazuh günlüklerinde şüpheli şeyler arayın
Ne yapar: Wazuh ajanınızın günlüklerini tarar ve “şüpheli” olarak işaretlenen her şeyi çıkarır.
Neden önemli: Ham günlükleri okumak zahmetlidir. Bu size sadece uyarıları içeren küçük bir dosya verir.
Adım adım
- Dosyayı oluşturun:
sudo nano parse_logs.sh
- Bunu yapıştırın:
#!/bin/bash
mkdir -p /opt/siem/alerts
journalctl -u wazuh-agent | grep -i suspicious > /opt/siem/alerts/suspicious.log
Kaydedin ve çıkın (
Ctrl + O
,Enter
,Ctrl + X
)Çalıştırılabilir yapın:
sudo chmod +x parse_logs.sh
Her saat otomatikleştirin
crontab -e
Altına ekleyin:
0 * * * * /opt/siem/scripts/parse_logs.sh
Artık her saat günlükleri kontrol edecek ve alarm verici her şeyi şuraya kaydedecek:
/opt/siem/alerts/suspicious.log
Sonuçları şifreleyin (isteğe bağlı, ama önerilir)
Sadece güvenilir kişilerin okuyabilmesini sağlayın:
gpg -c /opt/siem/alerts/suspicious.log
Güçlü bir şifre seçin, güvenli bir yerde saklayın.
Android’de Termux ile çalıştırın
Bir mağdurun Android cihazı varsa ve ondan yararlı ipuçları toplamak istediğinizde kullanılır.
Sunucunuzda (başkalarının indirebileceği yerde):
- Dosyayı oluşturun:
sudo nano /opt/siem/scripts/setup_android.sh
- Bunu yapıştırın:
#!/data/data/com.termux/files/usr/bin/bash
echo "Android ipuçları toplanıyor..."
mkdir -p ~/ipa_siem_logs
pm list packages -f > ~/ipa_siem_logs/apps.txt
settings get global http_proxy > ~/ipa_siem_logs/proxy.txt
cat /data/misc/wifi/wpa_supplicant.conf > ~/ipa_siem_logs/wifi.txt 2>/dev/null
logcat -d > ~/ipa_siem_logs/logcat.txt
echo "✅ Tamamlandı. Dosyalar ~/ipa_siem_logs/ içinde kaydedildi"
- Çalıştırılabilir yapın:
chmod +x /opt/siem/scripts/setup_android.sh
İndirilebilmesi için barındırın:
/opt/siem/scripts
içinden:
python3 -m http.server 8000
Android cihazda (Termux içinde):
pkg update && pkg install curl
curl -s http://192.168.1.10:8000/setup_android.sh | bash
Jailbreak’li iPhone’dan günlük alın
Gerekenler:
- Cydia ile OpenSSH yüklü iPhone
- iPhone’un yerel Wi-Fi’daki IP adresini biliyorsunuz
Sunucuda
sudo nano /opt/siem/scripts/pull_ios_logs.sh
Yapıştırın:
#!/bin/bash
IP=$1
USER=mobile
DATE=$(date +"%Y-%m-%d_%H-%M")
mkdir -p /opt/siem/ios_logs/$DATE
scp -r ${USER}@${IP}:/var/mobile/Library/Logs/CrashReporter /opt/siem/ios_logs/$DATE/
scp ${USER}@${IP}:/var/log/syslog /opt/siem/ios_logs/$DATE/
echo "iPhone günlükleri /opt/siem/ios_logs/$DATE içine kaydedildi"
Çalıştırılabilir yapın:
chmod +x /opt/siem/scripts/pull_ios_logs.sh
Şöyle çalıştırın:
/opt/siem/scripts/pull_ios_logs.sh 192.168.1.23
Günlüklerde casus yazılım kelimeleri bulun
sudo nano /opt/siem/scripts/watch_logs.sh
Yapıştırın:
#!/bin/bash
LOGDIR="/opt/siem/ios_logs"
ALERTS="/opt/siem/alerts"
mkdir -p $ALERTS
grep -rEi "spy|track|mirror|record|stalker|surveil|remote access" $LOGDIR > $ALERTS/suspicious.log
echo "Şüpheli terimler bulundu. $ALERTS/suspicious.log dosyasını kontrol edin"
Çalıştırılabilir yapın:
chmod +x /opt/siem/scripts/watch_logs.sh
USB belleklerden dosya toplayın
sudo nano /opt/siem/scripts/usb_intake.sh
Yapıştırın:
#!/bin/bash
MOUNT="/media/usb"
DEST="/opt/siem/manual_uploads/$(date +%F_%H%M)"
mkdir -p $DEST
cp -r $MOUNT/* $DEST
echo "Dosyalar $DEST içine kopyalandı"
Çalıştırılabilir yapın:
chmod +x /opt/siem/scripts/usb_intake.sh
Hepsini çalıştırın
sudo nano /opt/siem/scripts/full_check.sh
Yapıştırın:
#!/bin/bash
/opt/siem/scripts/usb_intake.sh
/opt/siem/scripts/watch_logs.sh
Çalıştırılabilir yapın:
chmod +x /opt/siem/scripts/full_check.sh