SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
1. SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
eakbas@gmail.com
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false
positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a
bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
SIEM dilinde en basit korelasyon, belli sürede belli şartları sağlayan birden fazla sisteme ait
belli sayıda logun oluşması durumunda alarm tetiklenmesi ve bu alarmın aksiyonu olarak size
eposta atılması, yardım masasına talep açılması veya belki de bir kod çalıştırıp ilgili sistemler
üzerinde daha derin işlemlerin yapılmasını sağlamak örnek verilebilir.
KORELASYON ÖZELLİKLERİ
Sistemgerçek zamanlı çalışabilmelidir.
Sistemsorgu (SQL,NoSQL,FlatFile) temelli olmamalıdır
Sistemperiyodik olarak değil her zaman aktif olmalıdır.
Sistemveri tabanı (SQL,NoSQL,FlatFile) üzerindençalışmamalı. Veri tabanıkapatılsabile
korelasyonçalışabilmeli
Taxonomy özelliği olmalıdır. Örnek:
https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html
http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution
http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
Rule Severity:Birdenfazlakuralısıra veyaaralarındaki zamanilişkisinegöre işletebilmelidir.
Threat Intelligence özelliği olmalı.Global değişik kaynaklara(IPBlockList,Spammersetc..)
entegrasyonuolmalı
Birdençokkorelasyondanbaşka birkorelasyonyazılabilmeli
Birdenfazladeğişikolayınbelirli süre zarfındasıralıolarakbir kısmının gerçekleşmesi,
diğerleriningerçekleşmemesi ( X' not Y) kuralıyazılabilmeli
Birdenfazladeğişikolayınbelirli süre zarfındasıralıolarakgerçekleşmesi ( X' Y) (sıralı
(sequential)korelasyon) kuralıyazılabilmeli
Bir yada birçok değişikolayınbelirlibirsüre zarfındabirçokkere gerçekleşmesi (zaman
pencereli (time window) korelasyon)
Her birkorelasyonkuralıiçin öncelikdeğeri verilebilmeli
Korelasyonkurallarınınyazılmasıiçinürüngörsel birarayüze sahipolmalı.
Birdenfazladeğişikolayıngerçekleşmesi(birleşikkorelasyon)
Kurallar,kurallararası ilişki ve senaryokurallarıgeliştirilebilmeli.Örnek:
2. o Aynı kullanıcıdan3 denfazlabaşarısız erişimolupsonrasındabaşarılıerişimolursabu
brüte force atack olasılığıdır; bu makineyi tespit et,
o Yeni birkullanıcıoluşturulurve buoluşturulankullanıcıile erişimyapılmayaçalışılıp
başarısız olunursauyar,
o Aynı kaynakIPdendakikada3 veyadahafazlabaşarısız erişimve hemenardından
başarılı erişimolursauyar.
o Sistemdeki aynıkaynaktandakikada15 paketvirüslü sebebi ilebloklanıyorsa, 5
dakikaiçerisindebukaynağabiroturumaçılmışsa bu oturumuaçan makinayıtespit
et,
o Eğer birUTM/IDS/IPS sistemi tarafındanatakkaynağıolarakraporlananbir IPson 15
dakikaiçerisindebaşkasaldırınınhedefi olmuşise uyar,
o Herhangi birkullanıcınıntrafiği birfirewall kuralıtarafındansaniyede Xadet
bloklanıyorsabukullanıcıve bunubloklayankuralıiçerenbiruyarımaili almak.[NOT:
Kural adını veyakullanıcıadını bilmeden yadasisteme girmeye gerekkalmadan
bütünkullanıcıve bütünkuralları takip edip, aynıkullanıcınınaynı kural tarafından
bloklanmasınıayırt edebilmeli.],
o A kullanıcısıX sunucusunaloginolamayıpauthenticationfailure asebepolduktan
sonra 2 saat içerisinde aynıA kullanıcısınınaynı X sunucusunabaşarılıoturum
açmadığı takdirde uyarıalmakveyaaksiyon gerçekleştir,
o Önce A olayı,sonrasındaB olayı,5 dakikaiçerisinde Colayıve sonrasındaD olayı
olursauyar.