SlideShare a Scribd company logo

Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi

Ertugrul Akbas
Ertugrul Akbas

bilgi güvenliği,iso 27001,korelasyon,log yönetimi,siem

Technology
1 of 4
Download to read offline
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi Ertuğrul AKBAŞ Anet Yazılım, İstanbul e-posta: ertugrul.akbas@anetyazilim.com.tr FreeBSD, IPCop, Juniper, Drytek, Kerio, Lucent, McAfee- 1. Log Analizi Secure Computing, NetApp, NetFilter, Snort, SonicWALL, Netopia,Network-1, St. Bernard Software, Sun Microsystems, Bilgisayar ağlarında kullanılan ağ cihazları olaylar hakkında WatchGuard, Zywall, Anchiva, Applied Identity, ARKOON, kayıt yapma özelliğine sahiptirler. Bu kayıtlar sayesinde ağ Aventail, AWStats, Cimcor, DP Firewalls, Electronic üzerinde güvenlik olaylarının belirlenmesi ve önlem alınması Consultants, Global Technologies, Ingate, Inktomi, Lenovo sağlanmaktadır. Buna Log Analizi denilmektedir. Security Technologies, NetASQ, Websense vs.. Log analizi sayesinde sisteme girmeye çalışan kişilerin adres Network Cihazları: bilgilerine ulaşılmaktadır. Ayrıca sistem içinde bulunan Syslog Gönderen Cihazlar, SNMP Trap Gönderen Cihazlar, kullanıcıların yaptıkları (dosya kaydetme, yazıcıdan çıktı Cisco router,Cisco switch vs.. alama gibi) işler kontrol edilmesi mümkün olmaktadır. Email: Büyük firmalarda ise internet ortamında kullanıcıların hangi Exchange 2003, Exchange 2007, Exchange 2010, IIS SMTP, siteye girdikleri, hangi aşamada terk ettikleri, hangi sayfada SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler vs.. daha çok / az zaman harcadıkları gibi bilgilere kolaylıkla Veritabanları: ulaşmaları sağlanır[1]. Oracle, MSSQL, MySQL, Sybase vs.. 2. Log Yönetimi Log Yönetimi ile ilgili pek çok açık kaynaklı sistem Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, bulunabilir. Bunların en bilinenleri OSSIM, LASSO, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası SNARE-AGENT, SPLUNK sayılabilir [1]. standartlar log yönetimini zorunlu kılmaktadır. PCI veri güvenliği standartı da log yönetimini zorunlu kılan Sistemlerden loglar ya etmen(agent) kurarak ya da log sunucu standartlara örnek verilebilir. PCI DSS Standardı 6 başlık tarafından uzaktan çekilerek toplanır. Her ikisinin de avantaj altında 12 gereksinim ister. Bunlardan biride log yönetimine ve dezavantajları vardır. aittir[2] .Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir. Ayrıca, 04.05.2007 tarihli Ajanlı Yöntem: 5651 sayılı kanunda internet suçlarını önlemeye yönelik Avantajları: Log sunucu kapalı da olsa veri Kaybı olarak kurumların log yönetimi ile ilgili yükümlülükleri olmaz,Log sunucu ne zaman toplayacağına karar verebilir,Log belirlemiştir. sunucu istemcinin durumunu tespit edebilir. Log sistemleri karakterleri itibari ile dağıtık yapıya sahip Dezavantajları:Bütün makinelerin önceden sistemlerdir (Şekil 1). konfigurasyona ihtiyacı olması,Sistem ele geçirilirse ajanın Log Yönetimi: Log Toplama, Log Normalleştirme, Log log göndermesi engellenebilir. Indexleme, Korelasyon, Filtreleme/Raporlama ve Alarm yönetimi katmanlarından oluşur. Ajansız Yöntem: Bu özelliklere sahip sistemlerin özellikleri: Avantajları: Kurulum ve konfigürasyonu çok kolay, • Logların merkeze toplanması çok esnek ve çok büyük sistemler için ölçeklenebilir • Log Saklama Dezavantajları: Syslog UDP temelli bir protokol ve • Verilere hızlı erişimi ve gösterimi veri kaybı olabilir, Log sunucu istemcileri takip edemez. • Desteklediği Log formatının çokluğu • Veri analizi • Kayıtların saklanması • Arşivleme ve geri getirme • Verilerin yetkiler ve ilişkiler seviyesinde erişimi • Veri bütünlüğünün sağlanması • Loglara erişim auditlerinin tutulması Sistemlerden pek çok kaynaktan log toplanabilir. İşletim Sistemleri: Windows XP/Vista/7, Windows Server 2000/2003/2008/R2, Unix/Linux Türevleri, Nas Cihazları (NetApp) vs.. Uygulamalar: DHCP, IIS 6/7/7.5 (W3C), Apache (Syslog), Text-Based Log (Csv/Tsv/W3C/Txt/Custom ), Dansguardain, Postfix vs.. Şekil 2: Merkezi Log Toplama Firewall/Proxy: ISA/TMG Server, BlueCoat, 3Com, Astaro, CheckPoint, Cisco Systems, Clavister, CyberGuard, D-Link, Fortinet,
getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak kullanılması, log yönetimindeki amaçlardan biridir. Şekil 1: Dağıtık Log Toplama Mimarisi 4. Log Toplama Log toplama süreci aşağıda gösterilen bir formül ile ifade edilmiştir. Denklemdesistemler (domain) R ile simgelenmiş, bu sistem içindeki tüm cihazlar D ilegösterilmiştir. Denklem 1 log kayıtları kümesi, 2 bilgi sistemleri cihazlarının farklılog 3. Log Analizi ve Bilgi Güvenliği tiplerini, 3 ise her sistem cihazının farklı olay logları kümesine sahip olduğunugöstermektedir. Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara bir de R = {D1 D2,...., Dn} (1) sunucular ve istemcilerin logları da eklendiğinde hareketlere Her sistem cihazının kendi loglarının olması, B log türleri ve trafiğe ilişkin değerli olabilecek birçok bilginin süzülmesi, olmak üzere, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz Di = {Bi1, Bi2,....., Bim}, iЄ [1,n] (2) edilmesi, takibi ve anlamlı sonuçlar verebilecek şekilde Her indeksin bir cihazı temsil etmesi durumunda, her cihazın raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür farklı tip olay kayıtları oluşturması durumu (Örneğin windows bilgilerin yeterince etkili şekilde değerlendirilemediği sistemlerinde, uygulama (application), sistem (system), durumlarda, kontrol gerçek anlamda sağlanamamakta ve güvenlik (security) loglarının ayrı ayrı olması gibi...), e olay kontrol edilemeyen bilgi sistemleri alt yapılarına yönelik tipi olmak üzere; log modellemesini formüle edebiliriz. yatırımlar da, verimli kullanılamamış olacaktır[3]. Bij = {eij1, eij2,....., eip}, iЄ [1,n], jЄ [1,m] (3) Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın Log Toplama Sitrmlerinde Karşılaşılan Başlıca Problemler ihtiyaçlarına göre bunun hangi sistemler için 1. Çok yüksek sayılarda ve büyüklüklerde log kayıtları, gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, 2. Log kayıt desenlerinin farklılığı, ayrıca bunun sonuçları üzerinde nasıl bir değerlendirme 3. İçeriklerin oldukça farklı olması yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir organizmanın çeşitli birimleri ile görüşülerek bilgi 5. Log Normalleştirme toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan Log kaynakları birbirinden farklı formatlarda log üretirler: log kayıtlarını işaret eder. Log yönetim çalışmalarında ele Cisco Router alınması gereken ilk konunun, bilgi sistemlerinin hangi Jul 20 14:59:32 router 20: *Mar 1 01:39:25: %SYS-5- süreçlerinde, hangi log verilerinin log yönetimi amacı ile CONFIG_I : Configured from console by vty0 (10.1.6.160) değerlendirilmesi gerektiğine karar verilmesidir. Jul 20 15:01:07 router 21: *Mar 1 01:41:00: %SYS-5- CONFIG_I : Configured from console by vty0 (10.1.6.160) Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü Jul 20 15:10:43 router 22: *Mar 1 01:50:36: %RCMD-4- veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile RSHPORTATTEMPT: Attempted to connect to RSHELL oldukça yakın ilişkideki bir yönetim sistemidir.(Network from 10.1.6.165 güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için Jul 20 15:18:06 router 24: *Mar 1 01:57:58: %RCMD-4- gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi RSHPORTATTEMPT: Attempted to connect to RSHELL için, dikkat edilmesi gereken önemli bir mesele, network from 10.1.6.165 üzerindeki atakların saptanabilmesi ve bunları doğru olarak Jul 20 15:18:06 router 25: *Mar 1 01:57:59: %RCMD-4- tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok RSHPORTATTEMPT: Attempted to connect to RSHELL çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne from 10.1.6.165 aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere Remote Apache logging ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client Güvenlik Raporları birer birer sistemlerin kendisinden 202.56.224.218] File does not exist: /htdocs/default.ida alınabilecek raporlardan çok, farklı veritabanlarında bulunan Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] veriler kullanılarak; otomatik olarak oluşturuldukları takdirde, [client 202.197.181.203] File does not exist: güvenlik durumuna ait daha kapsamlı genel bir görüntü /htdocs/default.ida sunabilecek ve farklı bakış açılarına ait verileri bir araya
Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] 6. Log Depolama [client 202.101.159.163] request failed: URI too long Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] Logların deoplanması ve arşivlenmesi özellikle çok büyük [client 202.138.123.1] File does not exist: sistemlerde kritik olmaktadır. Günde 100 lerce GB logu /htdocs/scripts/nsiislog.dll saklamak ve üzerinden sorgu yapmak için özel depolama Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] sistemleri tasarlanmaktadır[7,8]. [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Normalizasyon, kaynak verilerdeki bütünlüğü bozmayacak şekilde, Log dosyası verilerinden uygun bir bilgi ortaya çıkarmak için, korelasyon aracının bu yeteneğe sahip olması gereğidir. Bu logları alıp ortak bir platformda ifade edip bütün bu veriler üzerinde indexleme, korelasyon ve NIST(2007) tarafından yayınlanan Guide to Computer filtreleme/raporlama yapılabilmesini sağlama işlemine Security Log Management isimli yayından derlenmiştir normalleştirme denir. Örneğin, bir Windows etki alanı denetleyicisi ile bir Windows Loglanacak sistemlerin ne kadar log üreteceği ve bu loglar için veritabanına giriş hatalarını gösteren ne kadarlık disk alanı ayrılacağı önemli bir mühendislik hesabı "giriş-başarısız" olayını aynı adla kaydedemeyiz. Çünkü gerektirir. Windows Account_Expired ve MSSQLSVR gibi daha spesifik detaylı bilgelere sahiptirler ve normalize edilmelidirler. Örnek Kapasite Hesabı: Normalize işlemi logların parse edilmesiyle başlar. Her bir tür Bir yıllık loglama için ortalama disk alanı = 365 gün x 24 log için özel parserler REGEX[5] yardımı ile oluşturulur. saat x 3600 saniye x 100 (yoğun sistemler saniyede çok daha Burada 2 farklı yöntem vardır. fazla log üretecektir) x 200 byte = 580~ gigabyte / yıl . Tabi bu 1-Neyin logunun toplanacağının tanımlandığı sistemler değer sıkıştırılmamış ham veridir. İyi bir sıkıştırma ile bu 2-Özellikle Log Proxy kullanılan sistemlerdeki auto log değer küçültülebilir. Eğer loglar için veritabanı discovery özelliği-Logların geldiği anda tipinin otomatik kullanıyorsanız bu sayıyı iki üç ile çarpmak gerekir. İlişkisel tanımlanması. veritabanı kullanımlarında OS seviyesinde sıkıştırma bu alana Normalleştirme işlemi sırasında zaman bilgisi ve timezone geri kazanmanızı sağlayabilir. hesaplaması da gerçekleşir. Toplanan loglar normalleştirme öncesinde sadece veri 7. Korelasyan durumunda iken parse/normalleştirme ile bilgi durumuna gelmiş olur. Log Yönetimi ve SIEM (Security Information & Event Management) birbirini tamamlayıcı katmanlardır. Genellikle Log Yönetiminden bahsedilirken korelasyondan da bahsedilir 5.1. Zaman Bilgisi ve dolayısı ile SIEM katmanına çıkılmış olur. Pek çok farklı sistemden loglar toplanıp merkezi bir noktada Sistemlerin korelasyon yeteneği sayesinde farklı cihazlardaki toplanacağı için logların kendi içerisinde tutarlı ve korelasyon logları otomatik olarak ilişkilendirir, anlamlı hale getirir ve kurallarının anlamlı veriler üretebilmesi için loglardaki zaman daha önemli uyarılar üreterek, sistem yöneticilerinin ortaya bilgisi çok önemlidir. Bu tutarlılığı sağlamak için ağda NTP çıkabilecek bir sorunu önceden görmelerini veya ortaya çıkmış (Network Time Protocol) aktif edilmelidir. bir sorunu daha kolay çözmelerini sağlar. 5.2. Timezone Korelasyon işlemi belli kuralların işletilmesi şeklinde oluşur. Örnek kurallar Sistemlerden toplanan logların özellikle dağıtık bir altyapıda timezone bilgisi ve bu bilginin merkezi log toplama merkezi • İstenmeyen mesajları yok etmek ile uyumlulaştırılması logların analizi için gereklidir.Log kaynaklarının hepsinin aynı timezone ayarını alması ve bu • Tek mesaj eşleştirme ve aksiyon alma bilgisi her durumda göndermsinin sağlanması gerekir • Mesaj çiftlerini eşleştirme ve aksiyon alma • Belirlenen bir zaman dilimi içerisinde olay oluşum sayısına bakarak aksiyon alma Farklı korelasyon teknikleri mevcuttur.Mesela: • Farklı olayların korelâsyonu (Mantıksal Korelasyon)
• Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon), • Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu) 8. Alarm Yönetimi Log yönetim sistemleri loglar ile ilgili alarmlar üretebilmekte sistem yöneticilerini mail, sms, snmp gibi yöntemler ile uyarabilmektedir. 9. Kaynakça [1] Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf [2] http://en.wikipedia.org/wiki/Log_management_and_intell igence, 2011. [3] http://en.wikipedia.org/wiki/Payment_Card_Industry_Dat a_Security_Standard, 2011. [4] http://csrc.nist.gov/publications/nistpubs/800-92/SP800- 92.pdf, 2006 [5] Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006. [6] http://en.wikipedia.org/wiki/Regular_expression [7] Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010. [8] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archiv es/logging-notes.pdf

Recommended

Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
BGA Cyber Security
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 

Recommended

Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
BGA Cyber Security
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
BGA Cyber Security
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin Anlamı
BGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
 
Siber Tehdit Avcılığı (Threat Hunting)
Siber Tehdit Avcılığı (Threat Hunting)Siber Tehdit Avcılığı (Threat Hunting)
Siber Tehdit Avcılığı (Threat Hunting)
BGA Cyber Security
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
BGA Cyber Security
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
BGA Cyber Security
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) Eğitimi
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
Ertugrul Akbas
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
Ertugrul Akbas
 

More Related Content

What's hot

DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) Eğitimi
BGA Cyber Security
 

What's hot (20)

BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin Anlamı
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
Siber Tehdit Avcılığı (Threat Hunting)
Siber Tehdit Avcılığı (Threat Hunting)Siber Tehdit Avcılığı (Threat Hunting)
Siber Tehdit Avcılığı (Threat Hunting)
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) Eğitimi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 

Viewers also liked

Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
Ertugrul Akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
Ertugrul Akbas
 

Viewers also liked (18)

Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
Juniper Srx Log
Juniper Srx LogJuniper Srx Log
Juniper Srx Log
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through Baselining
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 

Similar to Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi

Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
logyonetimi
 
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
pronms
 
SCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiSCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesi
Mustafa
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
mtcakmak
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
 
Bi̇s raporu şablonu v 1 0
Bi̇s raporu şablonu v 1 0Bi̇s raporu şablonu v 1 0
Bi̇s raporu şablonu v 1 0
zeyneparin
 

Similar to Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi (20)

ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemi
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / Programlama
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
 
Isl sis
Isl sisIsl sis
Isl sis
 
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
Solarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuSolarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumu
 
SCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiSCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesi
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
SELinux: Yüksek Güvenlikli Linux
SELinux: Yüksek Güvenlikli LinuxSELinux: Yüksek Güvenlikli Linux
SELinux: Yüksek Güvenlikli Linux
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Bi̇s raporu şablonu v 1 0
Bi̇s raporu şablonu v 1 0Bi̇s raporu şablonu v 1 0
Bi̇s raporu şablonu v 1 0
 

More from Ertugrul Akbas

Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 

Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi

  • 1. Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi Ertuğrul AKBAŞ Anet Yazılım, İstanbul e-posta: ertugrul.akbas@anetyazilim.com.tr FreeBSD, IPCop, Juniper, Drytek, Kerio, Lucent, McAfee- 1. Log Analizi Secure Computing, NetApp, NetFilter, Snort, SonicWALL, Netopia,Network-1, St. Bernard Software, Sun Microsystems, Bilgisayar ağlarında kullanılan ağ cihazları olaylar hakkında WatchGuard, Zywall, Anchiva, Applied Identity, ARKOON, kayıt yapma özelliğine sahiptirler. Bu kayıtlar sayesinde ağ Aventail, AWStats, Cimcor, DP Firewalls, Electronic üzerinde güvenlik olaylarının belirlenmesi ve önlem alınması Consultants, Global Technologies, Ingate, Inktomi, Lenovo sağlanmaktadır. Buna Log Analizi denilmektedir. Security Technologies, NetASQ, Websense vs.. Log analizi sayesinde sisteme girmeye çalışan kişilerin adres Network Cihazları: bilgilerine ulaşılmaktadır. Ayrıca sistem içinde bulunan Syslog Gönderen Cihazlar, SNMP Trap Gönderen Cihazlar, kullanıcıların yaptıkları (dosya kaydetme, yazıcıdan çıktı Cisco router,Cisco switch vs.. alama gibi) işler kontrol edilmesi mümkün olmaktadır. Email: Büyük firmalarda ise internet ortamında kullanıcıların hangi Exchange 2003, Exchange 2007, Exchange 2010, IIS SMTP, siteye girdikleri, hangi aşamada terk ettikleri, hangi sayfada SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler vs.. daha çok / az zaman harcadıkları gibi bilgilere kolaylıkla Veritabanları: ulaşmaları sağlanır[1]. Oracle, MSSQL, MySQL, Sybase vs.. 2. Log Yönetimi Log Yönetimi ile ilgili pek çok açık kaynaklı sistem Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, bulunabilir. Bunların en bilinenleri OSSIM, LASSO, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası SNARE-AGENT, SPLUNK sayılabilir [1]. standartlar log yönetimini zorunlu kılmaktadır. PCI veri güvenliği standartı da log yönetimini zorunlu kılan Sistemlerden loglar ya etmen(agent) kurarak ya da log sunucu standartlara örnek verilebilir. PCI DSS Standardı 6 başlık tarafından uzaktan çekilerek toplanır. Her ikisinin de avantaj altında 12 gereksinim ister. Bunlardan biride log yönetimine ve dezavantajları vardır. aittir[2] .Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir. Ayrıca, 04.05.2007 tarihli Ajanlı Yöntem: 5651 sayılı kanunda internet suçlarını önlemeye yönelik Avantajları: Log sunucu kapalı da olsa veri Kaybı olarak kurumların log yönetimi ile ilgili yükümlülükleri olmaz,Log sunucu ne zaman toplayacağına karar verebilir,Log belirlemiştir. sunucu istemcinin durumunu tespit edebilir. Log sistemleri karakterleri itibari ile dağıtık yapıya sahip Dezavantajları:Bütün makinelerin önceden sistemlerdir (Şekil 1). konfigurasyona ihtiyacı olması,Sistem ele geçirilirse ajanın Log Yönetimi: Log Toplama, Log Normalleştirme, Log log göndermesi engellenebilir. Indexleme, Korelasyon, Filtreleme/Raporlama ve Alarm yönetimi katmanlarından oluşur. Ajansız Yöntem: Bu özelliklere sahip sistemlerin özellikleri: Avantajları: Kurulum ve konfigürasyonu çok kolay, • Logların merkeze toplanması çok esnek ve çok büyük sistemler için ölçeklenebilir • Log Saklama Dezavantajları: Syslog UDP temelli bir protokol ve • Verilere hızlı erişimi ve gösterimi veri kaybı olabilir, Log sunucu istemcileri takip edemez. • Desteklediği Log formatının çokluğu • Veri analizi • Kayıtların saklanması • Arşivleme ve geri getirme • Verilerin yetkiler ve ilişkiler seviyesinde erişimi • Veri bütünlüğünün sağlanması • Loglara erişim auditlerinin tutulması Sistemlerden pek çok kaynaktan log toplanabilir. İşletim Sistemleri: Windows XP/Vista/7, Windows Server 2000/2003/2008/R2, Unix/Linux Türevleri, Nas Cihazları (NetApp) vs.. Uygulamalar: DHCP, IIS 6/7/7.5 (W3C), Apache (Syslog), Text-Based Log (Csv/Tsv/W3C/Txt/Custom ), Dansguardain, Postfix vs.. Şekil 2: Merkezi Log Toplama Firewall/Proxy: ISA/TMG Server, BlueCoat, 3Com, Astaro, CheckPoint, Cisco Systems, Clavister, CyberGuard, D-Link, Fortinet,
  • 2. getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak kullanılması, log yönetimindeki amaçlardan biridir. Şekil 1: Dağıtık Log Toplama Mimarisi 4. Log Toplama Log toplama süreci aşağıda gösterilen bir formül ile ifade edilmiştir. Denklemdesistemler (domain) R ile simgelenmiş, bu sistem içindeki tüm cihazlar D ilegösterilmiştir. Denklem 1 log kayıtları kümesi, 2 bilgi sistemleri cihazlarının farklılog 3. Log Analizi ve Bilgi Güvenliği tiplerini, 3 ise her sistem cihazının farklı olay logları kümesine sahip olduğunugöstermektedir. Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara bir de R = {D1 D2,...., Dn} (1) sunucular ve istemcilerin logları da eklendiğinde hareketlere Her sistem cihazının kendi loglarının olması, B log türleri ve trafiğe ilişkin değerli olabilecek birçok bilginin süzülmesi, olmak üzere, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz Di = {Bi1, Bi2,....., Bim}, iЄ [1,n] (2) edilmesi, takibi ve anlamlı sonuçlar verebilecek şekilde Her indeksin bir cihazı temsil etmesi durumunda, her cihazın raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür farklı tip olay kayıtları oluşturması durumu (Örneğin windows bilgilerin yeterince etkili şekilde değerlendirilemediği sistemlerinde, uygulama (application), sistem (system), durumlarda, kontrol gerçek anlamda sağlanamamakta ve güvenlik (security) loglarının ayrı ayrı olması gibi...), e olay kontrol edilemeyen bilgi sistemleri alt yapılarına yönelik tipi olmak üzere; log modellemesini formüle edebiliriz. yatırımlar da, verimli kullanılamamış olacaktır[3]. Bij = {eij1, eij2,....., eip}, iЄ [1,n], jЄ [1,m] (3) Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın Log Toplama Sitrmlerinde Karşılaşılan Başlıca Problemler ihtiyaçlarına göre bunun hangi sistemler için 1. Çok yüksek sayılarda ve büyüklüklerde log kayıtları, gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, 2. Log kayıt desenlerinin farklılığı, ayrıca bunun sonuçları üzerinde nasıl bir değerlendirme 3. İçeriklerin oldukça farklı olması yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir organizmanın çeşitli birimleri ile görüşülerek bilgi 5. Log Normalleştirme toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan Log kaynakları birbirinden farklı formatlarda log üretirler: log kayıtlarını işaret eder. Log yönetim çalışmalarında ele Cisco Router alınması gereken ilk konunun, bilgi sistemlerinin hangi Jul 20 14:59:32 router 20: *Mar 1 01:39:25: %SYS-5- süreçlerinde, hangi log verilerinin log yönetimi amacı ile CONFIG_I : Configured from console by vty0 (10.1.6.160) değerlendirilmesi gerektiğine karar verilmesidir. Jul 20 15:01:07 router 21: *Mar 1 01:41:00: %SYS-5- CONFIG_I : Configured from console by vty0 (10.1.6.160) Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü Jul 20 15:10:43 router 22: *Mar 1 01:50:36: %RCMD-4- veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile RSHPORTATTEMPT: Attempted to connect to RSHELL oldukça yakın ilişkideki bir yönetim sistemidir.(Network from 10.1.6.165 güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için Jul 20 15:18:06 router 24: *Mar 1 01:57:58: %RCMD-4- gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi RSHPORTATTEMPT: Attempted to connect to RSHELL için, dikkat edilmesi gereken önemli bir mesele, network from 10.1.6.165 üzerindeki atakların saptanabilmesi ve bunları doğru olarak Jul 20 15:18:06 router 25: *Mar 1 01:57:59: %RCMD-4- tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok RSHPORTATTEMPT: Attempted to connect to RSHELL çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne from 10.1.6.165 aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere Remote Apache logging ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client Güvenlik Raporları birer birer sistemlerin kendisinden 202.56.224.218] File does not exist: /htdocs/default.ida alınabilecek raporlardan çok, farklı veritabanlarında bulunan Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] veriler kullanılarak; otomatik olarak oluşturuldukları takdirde, [client 202.197.181.203] File does not exist: güvenlik durumuna ait daha kapsamlı genel bir görüntü /htdocs/default.ida sunabilecek ve farklı bakış açılarına ait verileri bir araya
  • 3. Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] 6. Log Depolama [client 202.101.159.163] request failed: URI too long Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] Logların deoplanması ve arşivlenmesi özellikle çok büyük [client 202.138.123.1] File does not exist: sistemlerde kritik olmaktadır. Günde 100 lerce GB logu /htdocs/scripts/nsiislog.dll saklamak ve üzerinden sorgu yapmak için özel depolama Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] sistemleri tasarlanmaktadır[7,8]. [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Normalizasyon, kaynak verilerdeki bütünlüğü bozmayacak şekilde, Log dosyası verilerinden uygun bir bilgi ortaya çıkarmak için, korelasyon aracının bu yeteneğe sahip olması gereğidir. Bu logları alıp ortak bir platformda ifade edip bütün bu veriler üzerinde indexleme, korelasyon ve NIST(2007) tarafından yayınlanan Guide to Computer filtreleme/raporlama yapılabilmesini sağlama işlemine Security Log Management isimli yayından derlenmiştir normalleştirme denir. Örneğin, bir Windows etki alanı denetleyicisi ile bir Windows Loglanacak sistemlerin ne kadar log üreteceği ve bu loglar için veritabanına giriş hatalarını gösteren ne kadarlık disk alanı ayrılacağı önemli bir mühendislik hesabı "giriş-başarısız" olayını aynı adla kaydedemeyiz. Çünkü gerektirir. Windows Account_Expired ve MSSQLSVR gibi daha spesifik detaylı bilgelere sahiptirler ve normalize edilmelidirler. Örnek Kapasite Hesabı: Normalize işlemi logların parse edilmesiyle başlar. Her bir tür Bir yıllık loglama için ortalama disk alanı = 365 gün x 24 log için özel parserler REGEX[5] yardımı ile oluşturulur. saat x 3600 saniye x 100 (yoğun sistemler saniyede çok daha Burada 2 farklı yöntem vardır. fazla log üretecektir) x 200 byte = 580~ gigabyte / yıl . Tabi bu 1-Neyin logunun toplanacağının tanımlandığı sistemler değer sıkıştırılmamış ham veridir. İyi bir sıkıştırma ile bu 2-Özellikle Log Proxy kullanılan sistemlerdeki auto log değer küçültülebilir. Eğer loglar için veritabanı discovery özelliği-Logların geldiği anda tipinin otomatik kullanıyorsanız bu sayıyı iki üç ile çarpmak gerekir. İlişkisel tanımlanması. veritabanı kullanımlarında OS seviyesinde sıkıştırma bu alana Normalleştirme işlemi sırasında zaman bilgisi ve timezone geri kazanmanızı sağlayabilir. hesaplaması da gerçekleşir. Toplanan loglar normalleştirme öncesinde sadece veri 7. Korelasyan durumunda iken parse/normalleştirme ile bilgi durumuna gelmiş olur. Log Yönetimi ve SIEM (Security Information & Event Management) birbirini tamamlayıcı katmanlardır. Genellikle Log Yönetiminden bahsedilirken korelasyondan da bahsedilir 5.1. Zaman Bilgisi ve dolayısı ile SIEM katmanına çıkılmış olur. Pek çok farklı sistemden loglar toplanıp merkezi bir noktada Sistemlerin korelasyon yeteneği sayesinde farklı cihazlardaki toplanacağı için logların kendi içerisinde tutarlı ve korelasyon logları otomatik olarak ilişkilendirir, anlamlı hale getirir ve kurallarının anlamlı veriler üretebilmesi için loglardaki zaman daha önemli uyarılar üreterek, sistem yöneticilerinin ortaya bilgisi çok önemlidir. Bu tutarlılığı sağlamak için ağda NTP çıkabilecek bir sorunu önceden görmelerini veya ortaya çıkmış (Network Time Protocol) aktif edilmelidir. bir sorunu daha kolay çözmelerini sağlar. 5.2. Timezone Korelasyon işlemi belli kuralların işletilmesi şeklinde oluşur. Örnek kurallar Sistemlerden toplanan logların özellikle dağıtık bir altyapıda timezone bilgisi ve bu bilginin merkezi log toplama merkezi • İstenmeyen mesajları yok etmek ile uyumlulaştırılması logların analizi için gereklidir.Log kaynaklarının hepsinin aynı timezone ayarını alması ve bu • Tek mesaj eşleştirme ve aksiyon alma bilgisi her durumda göndermsinin sağlanması gerekir • Mesaj çiftlerini eşleştirme ve aksiyon alma • Belirlenen bir zaman dilimi içerisinde olay oluşum sayısına bakarak aksiyon alma Farklı korelasyon teknikleri mevcuttur.Mesela: • Farklı olayların korelâsyonu (Mantıksal Korelasyon)
  • 4. Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon), • Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu) 8. Alarm Yönetimi Log yönetim sistemleri loglar ile ilgili alarmlar üretebilmekte sistem yöneticilerini mail, sms, snmp gibi yöntemler ile uyarabilmektedir. 9. Kaynakça [1] Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf [2] http://en.wikipedia.org/wiki/Log_management_and_intell igence, 2011. [3] http://en.wikipedia.org/wiki/Payment_Card_Industry_Dat a_Security_Standard, 2011. [4] http://csrc.nist.gov/publications/nistpubs/800-92/SP800- 92.pdf, 2006 [5] Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006. [6] http://en.wikipedia.org/wiki/Regular_expression [7] Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010. [8] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archiv es/logging-notes.pdf