CyberFlow Logo CyberFlow BLOG
Soc L3 Adversary Emulation Evasion Testing

PowerShell Görünürlüğü ve Script Block Logging Testleri

✍️ Ahmet BİRKAN 📂 Soc L3 Adversary Emulation Evasion Testing

PowerShell Görünürlüğü ve Script Block Logging Testleri konusunu SOC L3 - Adversary Emulation - Savunma Atlama (Evasion) Testleri baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

PowerShell Görünürlüğü ve Script Block Logging Testleri

PowerShell işlem, modül ve script block kayıtlarının güvenli komutlarla doğrulanması. Test yalnızca yazılı olarak yetkilendirilmiş ve geri dönüş planı bulunan laboratuvar ortamında yürütülür.

Giris ve Temel Akis

PowerShell işlem, modül ve script block kayıtlarının güvenli komutlarla doğrulanması. Test yalnızca yazılı olarak yetkilendirilmiş ve geri dönüş planı bulunan laboratuvar ortamında yürütülür.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Logging politikasını kontrol et
  • Benzersiz test metnini belirle
  • Güvenli komutu çalıştır
  • 4104 olayını ara
  • Process olayını eşleştir
  • SIEM görünürlüğünü raporla

Temel Kavram Eslesmeleri

PowerShell Görünürlüğü ve Script Block Logging Testleri kapsamında kullanılan araçlar ve yönetişim bileşenleri farklı görevleri destekler.

  • PowerShell Operational Log: Birincil test, analiz veya telemetri doğrulama aracı
  • Sysmon: İkinci veri kaynağı veya bağımsız doğrulama aracı
  • Rules of Engagement: İzinleri, sınırları ve durdurma koşullarını belirler
  • Cleanup Plan: Test artefactlarının güvenli biçimde geri alınmasını tanımlar

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Script Block Logging olarak verilir. PowerShell işlem, modül ve script block kayıtlarının güvenli komutlarla doğrulanması. Amaç gerçek güvenlik kontrollerini aşmak değil, bu davranışlara karşı görünürlük ve detection dayanıklılığını ölçmektir.

Arac, Komut veya Inceleme Akisi

Konuya uygun güvenli gözlem veya lab komutları: Write-Output "evasion-telemetry-test" Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational";Id=4104} -MaxEvents 5

Bu bölümün pratik akışı şu sırayla ilerler:

  • Komutu İncele
  • Lab Hedefini Doğrula
  • Telemetriyi Aç
  • Komutu Çalıştır
  • Çıktıyı Kaydet
  • Cleanup Yap

Kanit ve Bilesen Iliskileri

Komut ve araç çıktıları, evasion davranışlarının savunma tarafındaki izlerini doğrulamak için kullanılır.

  • Write-Output "evasion-telemetry-test": Birincil güvenli kontrol veya sentetik test komutu
  • Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational";Id=4104} -MaxEvents 5: Olay, durum veya cleanup doğrulama komutu
  • PowerShell Operational Log: Ana analiz veya emülasyon çıktısını sağlar
  • Sysmon: Sonucu ikinci bir veri kaynağında doğrular

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram PowerShell Operational Log olarak verilir. Bu derste birincil araç olarak PowerShell Operational Log, yardımcı doğrulama aracı olarak Sysmon kullanılır.

Operasyonel Dogrulama ve Raporlama

Evasion testinin öğretici olması için beklenen telemetri, gözlenen olay ve detection sonucu aynı zaman çizelgesinde karşılaştırılır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Beklenen Olayı Tanımla
  • Test Zamanını Kaydet
  • Endpoint Verisini Topla
  • Ağ veya Kimlik Verisini Topla
  • SIEM Sonucunu Karşılaştır
  • Detection Boşluğunu Yaz

Cikti ve Kullanım Amaci

Evasion testi çıktıları farklı savunma ekiplerine farklı kanıtlar sunar.

  • Endpoint Telemetry: Süreç, dosya ve yapılandırma davranışlarını doğrular
  • Network Telemetry: Bağlantı, DNS ve proxy görünürlüğünü doğrular
  • Detection Result: Kuralın alarm üretip üretmediğini gösterir
  • Cleanup Evidence: Test artefactlarının kaldırıldığını kanıtlar

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Cleanup olarak verilir. Test tamamlandığında sentetik artefactlar kaldırılır, değişiklikler geri alınır ve güvenlik araçlarının başlangıç durumunda olduğu doğrulanır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, PowerShell Görünürlüğü ve Script Block Logging Testleri konusunu SOC L3 - Adversary Emulation - Savunma Atlama (Evasion) Testleri baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: PowerShell Operational Log, Sysmon, Rules of Engagement, Cleanup Plan, Write-Output "evasion-telemetry-test", Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational";Id=4104} -MaxEvents 5, Endpoint Telemetry, Network Telemetry, Detection Result, Cleanup Evidence. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.