SlideShare a Scribd company logo

SureLog SIEM ve Log Yönetimi Çözümü Üstünlükleri

Ertugrul Akbas
Ertugrul Akbas

SureLog bir SIEM ürünüdür. Yani amacı korelasyon yapmaktır. KENDİ KORELASYON MOTORUNA SAHİPTİR. YANİ Hadoop ve elasticsearch temelli sorguları periyodik olarak çalıştırıp korelasyon yapıyoruz DEME BASİTLİĞİNE DÜŞMEZ.

Technology
1 of 3
Download to read offline
NEDEN SURELOG INTERNATIONAL? SureLog bir SIEM ürünüdür. Yani amacı korelasyon yapmaktır. KENDİ KORELASYON MOTORUNA SAHİPTİR. YANİ Hadoop ve elasticsearch temelli sorguları periyodik olarak çalıştırıp korelasyon yapıyoruz DEME BASİTLİĞİNE DÜŞMEZ. SureLog ürünümüzün rakiplerine göre avantajlarının ana unsurları:  Taksonomi (Taxonomy) özelliği (hiçbir yerli rakipte bu özellik yoktur- bazı yabancı rakiplerde mevcut)  Korelasyon yeteneği (hiçbir yerli rakipte bu özellik yoktur; fakat yerli rakipler yukarıda bahsedilen ve korelasyonla karıştırılan Hadoop ve elasticsearch temelli sorgulama özelliğini korelasyonmuş gibi gösteriyor - bazı yabancı rakiplerde mevcut)  Geniş parser listesi (hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)  TAG desteği (hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)  Kullanıcı temelli rapor, menü, alarm yetkilendirme  Trafik analizi ve güvenlik aktiviteleri istatistiki raporları (hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)  Dağıtık Mimari  Big-Data altyapısı
Taksonomi (Taxonomy) Bir SIEM ürününün olmazsa olmazıdır. [1]. Taksonomi modülünün sağladığı avantajlarından bazıları  Taksonomi logları sınıflandırmak için kullanılan bir sistemdir. Loğların sınıflandırılması benzer sistemler arasındaki ilişkiyi ortaya koymayı sağladığı için çok önemlidir.  Cihaz ve log tipi bağımsız korelasyon kuralları geliştirilmesini sağlar. Örnek. Bir sisteme başarısız login olunursa uyar şeklinde bir kural geliştirmek mümkün. Bunu firewall için ayrı, switch için ayrı, sunucular için ayrı, NAC cihazları için ayrı yazmanız gerekmez  Belirli bir süre içinde tüm kullanıcı oturumları görmek isteyen bir güvenlik analisti , bu bilgileri almak için , her sistem türü için her log türü için özel nitelikleri bilmek zorunda kalmaz. Örnek: Aşağıdaki loğların hepsi değişik değişik sistemlerin login logları o %ASA-6-605004: Login denied from 0.0.0.0/1066 to outside:0.0.0.0/https for user "admin" o %ASA-6-605005: Login permitted from 0.0.0.0/1265 to inside:0.0.0.0/https for user "admin" o Nov 27 17:29:15 GMT: %FWSM-6-605005: Login permitted from 10.110.254.252/57448 to vlan_NOC:10.110.254.1/https for user "moozan" o Mar 19 2013 09:37:00: %FWSM-6-605005: Login permitted from 10.10.2.10/62219 to management:192.168.1.4/telnet for user "abc" o "date=2015-11-14 time=17:08:57 devname=XXXX devid=FGT60C3G10010847 logid=0100032001 type=event subtype=system level=information vd="root" logdesc="Admin logged in successfully" user="ismail" ui=https(192.17.2.106) action=login status=success reason=none profile="super_admin" msg="Administrator ismail logged in successfully from https(172.17.2.106)""; Yukarıdaki logların hepsi taksonomi modülü sayesinde Authentication->Succedded veya Authentication- >Failed olarak analistin önüne otomatik olarak gelir. SureLog 1500 den fazla taksonomik gruba sahiptir [2] Bunun için 3,5 milyondan fazla imza (signature) veri tabanı kullanır. Taksonomi özelliği SurLog un rakibi olan yerli ürünlerde desteklenmez. Gartner tarafından hazırlanan Magic Quadrant for Security Information and Event Management dokümanındaki ürünlerin de pek çoğunda bu modül 1500+ taksonomi grubu desteklemez. Taksonomi ile ilgili daha detaylı bilgiyi aşağıdaki dokümandan elde edebilirsiniz http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Korelasyon Korelasyon özelliğinin diğer ürünlere göre üstünlüğü aşağıdaki kurallardan anlayabilirsiniz.  SIEM çözümü ortalama bir korelasyon yeteneğine sahip ise aşağıdaki kuralı destekler: Aynı IP den birbirinden farklı iç IP lere ve birbirinden farklı portlara 15 dakikada 100 paket blokanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP lerden birinde yeni bir process ayağa kalkıyorsa uyar.
 Eğer, içerideki bir PC potansiyel zararlı alan adına DNS sorgusu yaparsa, daha sonra aynı PC sonraki 24 saat içinde internete 1024’ten büyük TCP portlarından çıkmaya çalışıyorsa ve/veya sonraki 1 hafta içerisinde aynı PC mesai saatleri dışında internet istekleri yapıyorsa uyar,  Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.  Bir kullanıcı kullanıcısı herhangi bir sunucuya sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyar  UnusualUDPTraffic üreten kaynak IP yi bildir  IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar  Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar. Daha detaylı bilgi için aşağıdaki dokümanlara bakılabilir. 1. http://www.slideshare.net/anetertugrul/anet-surelog-international-edition-siem-rnnn- korelasyon-le-lgl-stnlkler 2. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-rn- ile-gvenlik-analiz-senaryolar Parser Listesi SureLog çok geniş bir parser listesine sahiptir. Cisco, SourceFire, Alteon, Mcafee, BlueCoat, F5, Oracle, Foundry Networks, Microsoft gibi 350+ den fazla parser desteklenmektedir[3]. Tam liste için http://www.slideshare.net/anetertugrul/surelog-parser-list Diğer avantajlar SureLog un diğer avantajları Big-Data altyapısı, Geniş rapor şablon sayısı, TAG desteği, Custom user group tanımlama ve user group temelli yetkilendirme, Trafik ve güvenlik istatistik raporları , Dağıtık Mimari ve diğer özelliklerle ilgili detaylı bilgi için http://www.slideshare.net/anetertugrul/surelog-international- edition Referanslar 3. https://www.gartner.com/doc/2785317/evaluation-criteria-security-information-event 4. http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi 5. http://www.slideshare.net/anetertugrul/surelog-parser-list 6. http://www.slideshare.net/anetertugrul/anet-surelog-international-edition-siem-rnnn- korelasyon-le-lgl-stnlkler 7. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-rn- ile-gvenlik-analiz-senaryolar

Recommended

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 

Recommended

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Ertugrul Akbas
 
ANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponseANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Ertugrul Akbas
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Ertugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
Ertugrul Akbas
 
Machine learning scientist
Machine learning scientistMachine learning scientist
Machine learning scientist
Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product
Ertugrul Akbas
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
Ertugrul Akbas
 
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Ertugrul Akbas
 
Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance data
Ertugrul Akbas
 
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
Ertugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
Ertugrul Akbas
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 

More Related Content

Viewers also liked

Viewers also liked (15)

Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
 
ANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponseANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponse
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
 
Machine learning scientist
Machine learning scientistMachine learning scientist
Machine learning scientist
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
 
Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance data
 

More from Ertugrul Akbas

Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 

SureLog SIEM ve Log Yönetimi Çözümü Üstünlükleri

  • 1. NEDEN SURELOG INTERNATIONAL? SureLog bir SIEM ürünüdür. Yani amacı korelasyon yapmaktır. KENDİ KORELASYON MOTORUNA SAHİPTİR. YANİ Hadoop ve elasticsearch temelli sorguları periyodik olarak çalıştırıp korelasyon yapıyoruz DEME BASİTLİĞİNE DÜŞMEZ. SureLog ürünümüzün rakiplerine göre avantajlarının ana unsurları:  Taksonomi (Taxonomy) özelliği (hiçbir yerli rakipte bu özellik yoktur- bazı yabancı rakiplerde mevcut)  Korelasyon yeteneği (hiçbir yerli rakipte bu özellik yoktur; fakat yerli rakipler yukarıda bahsedilen ve korelasyonla karıştırılan Hadoop ve elasticsearch temelli sorgulama özelliğini korelasyonmuş gibi gösteriyor - bazı yabancı rakiplerde mevcut)  Geniş parser listesi (hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)  TAG desteği (hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)  Kullanıcı temelli rapor, menü, alarm yetkilendirme  Trafik analizi ve güvenlik aktiviteleri istatistiki raporları (hiçbir yerli rakipte yok- bazı yabancı rakiplerde mevcut)  Dağıtık Mimari  Big-Data altyapısı
  • 2. Taksonomi (Taxonomy) Bir SIEM ürününün olmazsa olmazıdır. [1]. Taksonomi modülünün sağladığı avantajlarından bazıları  Taksonomi logları sınıflandırmak için kullanılan bir sistemdir. Loğların sınıflandırılması benzer sistemler arasındaki ilişkiyi ortaya koymayı sağladığı için çok önemlidir.  Cihaz ve log tipi bağımsız korelasyon kuralları geliştirilmesini sağlar. Örnek. Bir sisteme başarısız login olunursa uyar şeklinde bir kural geliştirmek mümkün. Bunu firewall için ayrı, switch için ayrı, sunucular için ayrı, NAC cihazları için ayrı yazmanız gerekmez  Belirli bir süre içinde tüm kullanıcı oturumları görmek isteyen bir güvenlik analisti , bu bilgileri almak için , her sistem türü için her log türü için özel nitelikleri bilmek zorunda kalmaz. Örnek: Aşağıdaki loğların hepsi değişik değişik sistemlerin login logları o %ASA-6-605004: Login denied from 0.0.0.0/1066 to outside:0.0.0.0/https for user "admin" o %ASA-6-605005: Login permitted from 0.0.0.0/1265 to inside:0.0.0.0/https for user "admin" o Nov 27 17:29:15 GMT: %FWSM-6-605005: Login permitted from 10.110.254.252/57448 to vlan_NOC:10.110.254.1/https for user "moozan" o Mar 19 2013 09:37:00: %FWSM-6-605005: Login permitted from 10.10.2.10/62219 to management:192.168.1.4/telnet for user "abc" o "date=2015-11-14 time=17:08:57 devname=XXXX devid=FGT60C3G10010847 logid=0100032001 type=event subtype=system level=information vd="root" logdesc="Admin logged in successfully" user="ismail" ui=https(192.17.2.106) action=login status=success reason=none profile="super_admin" msg="Administrator ismail logged in successfully from https(172.17.2.106)""; Yukarıdaki logların hepsi taksonomi modülü sayesinde Authentication->Succedded veya Authentication- >Failed olarak analistin önüne otomatik olarak gelir. SureLog 1500 den fazla taksonomik gruba sahiptir [2] Bunun için 3,5 milyondan fazla imza (signature) veri tabanı kullanır. Taksonomi özelliği SurLog un rakibi olan yerli ürünlerde desteklenmez. Gartner tarafından hazırlanan Magic Quadrant for Security Information and Event Management dokümanındaki ürünlerin de pek çoğunda bu modül 1500+ taksonomi grubu desteklemez. Taksonomi ile ilgili daha detaylı bilgiyi aşağıdaki dokümandan elde edebilirsiniz http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Korelasyon Korelasyon özelliğinin diğer ürünlere göre üstünlüğü aşağıdaki kurallardan anlayabilirsiniz.  SIEM çözümü ortalama bir korelasyon yeteneğine sahip ise aşağıdaki kuralı destekler: Aynı IP den birbirinden farklı iç IP lere ve birbirinden farklı portlara 15 dakikada 100 paket blokanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP lerden birinde yeni bir process ayağa kalkıyorsa uyar.
  • 3.  Eğer, içerideki bir PC potansiyel zararlı alan adına DNS sorgusu yaparsa, daha sonra aynı PC sonraki 24 saat içinde internete 1024’ten büyük TCP portlarından çıkmaya çalışıyorsa ve/veya sonraki 1 hafta içerisinde aynı PC mesai saatleri dışında internet istekleri yapıyorsa uyar,  Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.  Bir kullanıcı kullanıcısı herhangi bir sunucuya sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyar  UnusualUDPTraffic üreten kaynak IP yi bildir  IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar  Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar. Daha detaylı bilgi için aşağıdaki dokümanlara bakılabilir. 1. http://www.slideshare.net/anetertugrul/anet-surelog-international-edition-siem-rnnn- korelasyon-le-lgl-stnlkler 2. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-rn- ile-gvenlik-analiz-senaryolar Parser Listesi SureLog çok geniş bir parser listesine sahiptir. Cisco, SourceFire, Alteon, Mcafee, BlueCoat, F5, Oracle, Foundry Networks, Microsoft gibi 350+ den fazla parser desteklenmektedir[3]. Tam liste için http://www.slideshare.net/anetertugrul/surelog-parser-list Diğer avantajlar SureLog un diğer avantajları Big-Data altyapısı, Geniş rapor şablon sayısı, TAG desteği, Custom user group tanımlama ve user group temelli yetkilendirme, Trafik ve güvenlik istatistik raporları , Dağıtık Mimari ve diğer özelliklerle ilgili detaylı bilgi için http://www.slideshare.net/anetertugrul/surelog-international- edition Referanslar 3. https://www.gartner.com/doc/2785317/evaluation-criteria-security-information-event 4. http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi 5. http://www.slideshare.net/anetertugrul/surelog-parser-list 6. http://www.slideshare.net/anetertugrul/anet-surelog-international-edition-siem-rnnn- korelasyon-le-lgl-stnlkler 7. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-rn- ile-gvenlik-analiz-senaryolar