VPN Kullanıcılarının RDP ile sisteme geldikten sonra yaptıkları bütün yeni RDP, dosya , işlem ve internet aktivitelerinin raporlanması ve alarmlarının oluşturulmasını sağlar.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
ANET SureLog VPN Kullanıcı Takibi: RDP, Çalıştırılan Programlar, Dosya İşlemleri ve İnternet Erişimleri
1. ANET SureLog VPN Kullanıcı Takibi: RDP, Çalıştırılan Programlar, Dosya
İşlemleri ve İnternet Erişimleri
Ertugrul.akbas@anetyazilim.com.tr
eakbas@gmail.com
VPN kullanıcılarınınnetworkünüze geldiktensonrayaptıklarınıtakipetmekhemgüvenlikkontrolleri
hemde uyumluluk(PCI,ISO27001) açısından temel ve de kritikaktivitelerdenbiridir.Pekçoklog
yönetimi ve SIEMyazılımındaayrı ayrı VPN,RDP,çalıştırılan işlem(process) listesi,dosyaişlemleri
alınabilirken;dünyadaçokazyazılımda herhangi birajankullanmadan,sadece sistemloglarınıve
Firewall loglarınıkullanarak
VPN ->RDP
VPN->RDP->RDP
VPN ->RDP->İşlem (Process)
VPN ->RDP->Dosya Erişimleri (File Access)
VPN ->RDP->İnternet Erişimleri (Internet&WEB) Access
VPN->RDP->RDP->İşlem (Process)
VPN->RDP->RDP->Dosya Erişimleri (File Access)
VPN ->RDP-> RDP-> İnternet Erşimleri (Internet&WEB) Access
Şeklindebirbiri ile ilişkili sessionlarıtakipederekVPN kullanıcısınınyaptığıbirdenfazlaRDP ve
çalıştırdığı yazılımlarve eriştiği dosyalariçin raporve alarmdesteği sunabilir.Buyazılımlardanbiri
olanANET SureLogyazılımının VPN takipmodülüaşağıdaanlatılmaktadır. SureLogbuişlemi VPN
takipmodülüile yaparkenbazıçözümlerVPN,RDP,çalışan işlemlistesi,dosyaişlemleri raporlarını
birleştirerekgöstermeye çalışmaktadır(JoinOperation).Bubirleştirmeişlemipekçokaçıdan sağlıklı
sonuçsağlamayacağı gibi, bazıdurumlardazatenbirleştirmekde mümkünolmayacaktır. Teknik
olarakbir joinişlemi yapılabilse bile bukezde aşağıdaki parametrelerinbelirsizliğidurumuortaya
çıkar.
VPN yapılantarihile RDP yapılantariharasındaki ilişki
VPN kullanıcıile ADkullanıcısıaynı mı?
Raporları join yapmakiçinortakalanlar
VPN bağlantıkopuşkriteri.Örnekmax 2 saat açık kalabilir
Vb..
Rapor birleştirmeile oluşanraporundoğrulukoranıyukarıdaki ve benzeri parametrelerin
belirlenmesine bağlıdır.Ayrıcaaşağıda açıklanan SureLogVPN takip modülündeki gibi raporların
tamamını alamazsınız çünkü VPN ardındanRDP ardından da çalıştırılan işlemler(VPN->RDP->Process)
ilişkisini veyaRDP ardındanda erişilendosya(VPN->RDP->FileAccess) ilişkisini ayrıayrı tabloları
birleştirerekoluşturmakmümkündeğildir. AynıVPN kullanıcılarıtarafındanbirdenfazlaRDP
yapılmasıdurumuzatenyukarıdaki birleştirmeyöntemi ileyapılamayacağıgibi SureLogharicinde
yapabilenüründe yokdenecekkadarazdır.
2. SURELOG VPN TAKİP MODÜLÜ
Bu modülde 2seviye mevcuttur.Birinci seviye sadece VPN kullanıcılarınınRDPiçinkullandığıyetkileri
ve ne zamanRDP yapıldığının takibininyeterli olduğudurumlariçinkullanılanilkseviye modüldür.
Burada sadece RDPkullanıcılarıntakibi yapılmaktadır.2. Seviye modülise ilkseviyemodülü
içermekte ve ayrıcabuna ekolarakkullanıcının RDP densonra yaptığı işlemve dosyaerişimlerini de
takipetmekte ve dahada ileri giderekeğerkullanıcıilkRDPyaptığı makinadandahabaşka makinelere
aynı kullanıcıadı ile RDPyaparsaonları da takipediporalardaki işlemve dosyaişlerini de takip
edebilmektedir.
Sadece RDP kullanıcıları takibi:
KorelasyonmotoruVPN kuruldu,VPN koptuve arasındaki RDPolaylarını%100 doğruluklave bütün
ilişkileritakipederekoluşturur.VPN koptuktansonrayapılanhiçbirRDPyi VPN bağlantısıile
ilişkilendirmez.Benzerşekilde VPN kurulduktansonraki bütünRDPolaylarınıda%100 doğrulukla
raporlar
Yukarıdaki resimde de görüldüğügibi tekbirraporaltındakullanıcınıne zamanVPN yapmış?,nereden
nereye VPN yapmış?VPN yaptıktansonranereye RDPyapmış?Hepsini tektektakipedebilmek
mümkün.
Yukarıdaki raporlar oluşturtulurkensistemotomatikolarakVPN koptuğundaRDPleri takibi bırakır.
Eğer tekrarVPN kurulurve kurulanVPN ile ilişkili RDPbaşlarsakaydabaşlar.
Arka arkaya birdenfazla RDP ve işlem,dosya erişimi takibi:
Bu raporların ve alarmlarınoluşmasıiçinenüst modülündevreye alınmasıgerekmektedir.
3. SureLogVPN takipmodülü öyle yeteneklidirki VPN kullanıcılarınınbirdenfazlaRDPile ulaştığı
noktalardabile yaptıklarıişlem(process) ve dosyaişlemlerinitakipedipraporlayabilirve alarmlar
üretebilir.
ÇokluRDP takibi
Aşağıdaki rapordada görüleceği gibi kullanıcıVPN yapıpdaha sonraRDP yapıyor ve aynı kullanıcıile
tekrarbaşka birmakinayaRDP yapıyor. VPN->RDP->RDP
Yukarıdaki çokluRDP raporundailkRDP yapılanmakine parentrdpsrcile gösterilmiştir.
ÇokluRDP ile işlem(Process) takibi
Aşağıdaki rapordada görüleceği gibi kullanıcıVPN yapıpdaha sonraRDP yapıyor ve aynı kullanıcıile
tekrarbaşka birmakinayaRDP yapıyorve sonRDP yaptığı makinadayapılanişlemlerraporlanıyor.
VPN->RDP->RDP->Process
Yukarıdaki çokluRDP raporundailkRDP yapılanmakine parentrdpsrcile gösterilmiştir. İşlembilgileri
de processname ile gösterilmiştir.
ÇokluRDP ile dosya erişimleri(FileAccess) takibi
Aşağıdaki rapordada görüleceği gibi kullanıcıVPN yapıpdaha sonraRDP yapıyor ve aynı kullanıcıile
tekrarbaşka birmakinayaRDP yapıyorve sonRDP yaptığı makinadayapılandosyaişlemleri
raporlanıyor. VPN->RDP->RDP->FileAccess
Yukarıdaki çokluRDP raporundailkRDP yapılanmakine parentrdpsrcile gösterilmiştir. Dosyaerişim
bilgileri de Filename ile gösterilmiştir.
Yukarıdaki raporlar oluşturtulurkensistemotomatikolarakVPN koptuğundaRDPleri takibi bırakır.
Eğer tekrarVPN kurulurve kurulanVPN ile ilişkili RDPbaşlarsakaydabaşlar. Herşey otomatik olarak
SureLogtarafındantakipedilmekte,ilişkilendirilmekteve raporlanmaktadır.
4. Diğer detay raporlar
ÖrnekRaporlar
Top VNPUsers
Top RDP Servers
Top RDP Users
Top VPN Processes
Top File Acces
Top VPN InternetAccess
Alarmlar:
Korelasyonmodülü ayrıcaVPN yapan kullanıcılarınaktivitelerinealarmekleyebilir.
Örnek:
Ertugrul VPN kullanıcısıA ve/veyaBmakinalarıharicinde birmakinayaerişirse uyar,
5. Ertugrul VPN kullanıcısıX,Y,Z programlarıhariç başkabir programı çalıştırırsa uyar,
VPN kullanıcıları1 denfazlaLogin Failedolayınasebepolursauyar,
6 saattenfazlaVPN ini açık tutan kullanıcılarıbildir,
Aynı VPN kullanıcısı2 saat içinde 3 denfazlabağlanıpkoparsa uyar.
VPN kullanıcısıX.Y.W.ZIP sine trafikoluşturursauyar
VPN kullanıcısıA.B.C.DIPsi hariçbaşka birmakinayatrafikoluşturursauyar
VPN kullanıcısıanetyazilim.com.tradresinegiderse oluşturursauyar
VPN kullanıcısıanetyazilim.com.trhariçbaşkabirURL isteği oluşturursauyar
Uyarılar SureLogalarm mekanizmasınabağlıdır.Detayları
http://www.slideshare.net/anetertugrul/anet-surelog-siem-intelligentresponselinkinde bulunabilir.