SureLog bir SIEM ürünüdür. Yani amacı korelasyon yapmaktır. KENDİ KORELASYON MOTORUNA SAHİPTİR. YANİ Hadoop ve elasticsearch temelli sorguları periyodik olarak çalıştırıp korelasyon yapıyoruz DEME BASİTLİĞİNE DÜŞMEZ.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SureLog SIEM ve Log Yönetimi Çözümü Üstünlükleri
1. NEDEN SURELOG INTERNATIONAL?
SureLog bir SIEM ürünüdür. Yani amacı korelasyon yapmaktır. KENDİ KORELASYON MOTORUNA
SAHİPTİR. YANİ Hadoop ve elasticsearch temelli sorguları periyodik olarak çalıştırıp korelasyon
yapıyoruz DEME BASİTLİĞİNE DÜŞMEZ.
SureLog ürünümüzün rakiplerine göre avantajlarının ana unsurları:
Taksonomi (Taxonomy) özelliği
(hiçbir yerli rakipte bu özellik yoktur- bazı yabancı rakiplerde mevcut)
Korelasyon yeteneği
(hiçbir yerli rakipte bu özellik yoktur; fakat yerli rakipler yukarıda bahsedilen ve korelasyonla
karıştırılan Hadoop ve elasticsearch temelli sorgulama özelliğini korelasyonmuş gibi gösteriyor
- bazı yabancı rakiplerde mevcut)
Geniş parser listesi
(hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)
TAG desteği
(hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)
Kullanıcı temelli rapor, menü, alarm yetkilendirme
Trafik analizi ve güvenlik aktiviteleri istatistiki raporları
(hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)
Dağıtık Mimari
Big-Data altyapısı
2. Taksonomi (Taxonomy)
Bir SIEM ürününün olmazsa olmazıdır. [1]. Taksonomi modülünün sağladığı avantajlarından bazıları
Taksonomi logları sınıflandırmak için kullanılan bir sistemdir. Loğların sınıflandırılması
benzer sistemler arasındaki ilişkiyi ortaya koymayı sağladığı için çok önemlidir.
Cihaz ve log tipi bağımsız korelasyon kuralları geliştirilmesini sağlar. Örnek. Bir sisteme
başarısız login olunursa uyar şeklinde bir kural geliştirmek mümkün. Bunu firewall için
ayrı, switch için ayrı, sunucular için ayrı, NAC cihazları için ayrı yazmanız gerekmez
Belirli bir süre içinde tüm kullanıcı oturumları görmek isteyen bir güvenlik analisti , bu
bilgileri almak için , her sistem türü için her log türü için özel nitelikleri bilmek zorunda
kalmaz. Örnek: Aşağıdaki loğların hepsi değişik değişik sistemlerin login logları
o %ASA-6-605004: Login denied from 0.0.0.0/1066 to outside:0.0.0.0/https for user
"admin"
o %ASA-6-605005: Login permitted from 0.0.0.0/1265 to inside:0.0.0.0/https for user
"admin"
o Nov 27 17:29:15 GMT: %FWSM-6-605005: Login permitted from 10.110.254.252/57448
to vlan_NOC:10.110.254.1/https for user "moozan"
o Mar 19 2013 09:37:00: %FWSM-6-605005: Login permitted from 10.10.2.10/62219 to
management:192.168.1.4/telnet for user "abc"
o "date=2015-11-14 time=17:08:57 devname=XXXX devid=FGT60C3G10010847
logid=0100032001 type=event subtype=system level=information vd="root"
logdesc="Admin logged in successfully" user="ismail" ui=https(192.17.2.106)
action=login status=success reason=none profile="super_admin" msg="Administrator
ismail logged in successfully from https(172.17.2.106)"";
Yukarıdaki logların hepsi taksonomi modülü sayesinde Authentication->Succedded veya Authentication-
>Failed olarak analistin önüne otomatik olarak gelir.
SureLog 1500 den fazla taksonomik gruba sahiptir [2] Bunun için 3,5 milyondan fazla imza (signature) veri
tabanı kullanır. Taksonomi özelliği SurLog un rakibi olan yerli ürünlerde desteklenmez. Gartner
tarafından hazırlanan Magic Quadrant for Security Information and Event Management
dokümanındaki ürünlerin de pek çoğunda bu modül 1500+ taksonomi grubu desteklemez.
Taksonomi ile ilgili daha detaylı bilgiyi aşağıdaki dokümandan elde edebilirsiniz
http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
Korelasyon
Korelasyon özelliğinin diğer ürünlere göre üstünlüğü aşağıdaki kurallardan anlayabilirsiniz.
SIEM çözümü ortalama bir korelasyon yeteneğine sahip ise aşağıdaki kuralı destekler: Aynı IP den
birbirinden farklı iç IP lere ve birbirinden farklı portlara 15 dakikada 100 paket blokanıyor ve daha
sonra 1 saat içinde bu bloklanan iç IP lerden birinde yeni bir process ayağa kalkıyorsa uyar.
3. Eğer, içerideki bir PC potansiyel zararlı alan adına DNS sorgusu yaparsa, daha sonra aynı PC
sonraki 24 saat içinde internete 1024’ten büyük TCP portlarından çıkmaya çalışıyorsa ve/veya
sonraki 1 hafta içerisinde aynı PC mesai saatleri dışında internet istekleri yapıyorsa uyar,
Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum
açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.
Bir kullanıcı kullanıcısı herhangi bir sunucuya sunucusuna login olamayıp authentication failure a
sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı
takdirde uyar
UnusualUDPTraffic üreten kaynak IP yi bildir
IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar
Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve
ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar.
Daha detaylı bilgi için aşağıdaki dokümanlara bakılabilir.
1. http://www.slideshare.net/anetertugrul/anet-surelog-international-edition-siem-rnnn-
korelasyon-le-lgl-stnlkler
2. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-rn-
ile-gvenlik-analiz-senaryolar
Parser Listesi
SureLog çok geniş bir parser listesine sahiptir. Cisco, SourceFire, Alteon, Mcafee, BlueCoat, F5, Oracle,
Foundry Networks, Microsoft gibi 350+ den fazla parser desteklenmektedir[3]. Tam liste için
http://www.slideshare.net/anetertugrul/surelog-parser-list
Diğer avantajlar
SureLog un diğer avantajları Big-Data altyapısı, Geniş rapor şablon sayısı, TAG desteği, Custom user group
tanımlama ve user group temelli yetkilendirme, Trafik ve güvenlik istatistik raporları , Dağıtık Mimari ve
diğer özelliklerle ilgili detaylı bilgi için http://www.slideshare.net/anetertugrul/surelog-international-
edition
Referanslar
3. https://www.gartner.com/doc/2785317/evaluation-criteria-security-information-event
4. http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
5. http://www.slideshare.net/anetertugrul/surelog-parser-list
6. http://www.slideshare.net/anetertugrul/anet-surelog-international-edition-siem-rnnn-
korelasyon-le-lgl-stnlkler
7. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-rn-
ile-gvenlik-analiz-senaryolar