Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gerçek SIEM Nedir? Olmazsa Olmazları! Ve Gerçek SIEM Ürünü ile Güvenlik Analiz Senaryoları

3,938 views

Published on

Log içerisinden arama tarama yaparak önemli güvenlik zafiyetleri tespit edilemez. Bu tur zafiyetleri tespit için Log yönetiminden SIEM çözümlerine geçmelisiniz. Bu noktada ise 2. Bir yol ayrımı ile karşılaşırsınız. SIEM tanımının kapsamı. Bu kapsam global ürünlerde oturmuş olsa bile lokal ürünlerin pek çoğunda bu tanım oturmuş değildir.

Published in: Technology
  • Be the first to comment

Gerçek SIEM Nedir? Olmazsa Olmazları! Ve Gerçek SIEM Ürünü ile Güvenlik Analiz Senaryoları

  1. 1. Gerçek SIEM Nedir? Olmazsa Olmazları! Ve Gerçek SIEM Ürünü ile Güvenlik Analiz Senaryoları Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Log içerisinden arama tarama yaparak önemli güvenlik zafiyetleri tespit edilemez. Bu tur zafiyetleri tespit için Log yönetiminden SIEM çözümlerine geçmelisiniz. Bu noktada ise 2. Bir yol ayrımı ile karşılaşırsınız. SIEM tanımının kapsamı. Bu kapsam global ürünlerde oturmuş olsa bile lokal ürünlerin pek çoğunda bu tanım oturmuş değildir. Gerçek bir SIEM çözümü, görünürde birbiri ile ilişikli olmayan olayları ilişkilendirir ve ortaya asıl veriyi çıkarır. İyi bir korelasyon ile milyonlarca olay içerisinden filtreleme yapar ve önemli olana odaklanmanızı sağlar. Fazla sayıdaki “ false positive” ler ve fazla sayıdaki “false negative alert” ler dikkatinizi dağıtır. İyi bir SIEM time windows, context analysis,data mining vb.. teknik kullanarak veriyi süzer. Böylece siz, her gün üretilen milyonlarca olay arasından önemli olana odaklanabilirsiniz. Bu süzme işinin temel bileşeni Taxonomy modülüdür. Milyonlarca olay logu ve network hareketi içerisinde, tehdit veya olayı oluşturan “gerçek” hareketin okunabilir, rahatlıkla takip edilebilir olmasını mümkün kılmak en temel SIEM özelliğidir. Bütün bu faydaları sağlarken, çok kolay, üretici şirkete bağımlı kalmadan, çok hızlı, tamamen drag&drop yardımı ile bu ayarlar, kurallar ce alarmlar geliştirilebilmeli, güncellenebilmeli ve değiştirebilmeli. Üst seviye bir SIEM değişik uygulama dilleri, geliştirme araçları, sorgu, script vb. ek kaynak ve bilgilere ihtiyaç duymaksızın, sadece standart ekranlar ve sihirbazlar ile özelleştirme, yeni kurallar ve raporlar oluşturmanızı sağlamalıdır. Sistem özel, kendii dili, notasyonu, sorgu veya benzeri yöntemleri bilmeye bağlı sistemler sürdürülebilir değildir. Global ürünlerde ve bu ürünlerin kalitesindeki ürünlerde ilk aranan şey korelasyon editörü ve bunun kolay, ergonomik, hızlı öğrenilebilir ve son kullanıcı için geliştirilmiş olmasıdır. Bir logun içindeki kaynaklara, hedeflere, URL ve kullanıcı bilgilerine bakarak pek çok şeyi anlayamazsınız. Mesela bir kaynağın dakikada 15 tane paketinin bloklanıp bloklanmadığına bakarak net sonuç elde edemezsiniz. Sadece kuşku duyabilirsiniz. Ama daha öncesinde o kaynağın bir port taramasına maruz kalıp kalmadığını bilirseniz karar vermeniz çok kolaylaşır. Bunun için de Taxonoym özelliği olan bir SIEM çözümüne ihtiyacınız olur. Çünkü logları ve olayları bu port taramasıdır, bu saldırıdır, bu normal olmayan TCP trafiğidir vb.. analiz edip kategorize eden modüle Taxonomy denir.
  2. 2. Diğer bir taxonomy özelliğinin avantaj sağladığı durum web sunucunuzun çok log ürettiğini veya çok trafik ürettiğini bir şekilde fark ettiğiniz. İyi de neden böyle oldu sorusuna bir Log yönetimi sistemi içerisinde saatlerce vakit harcasanız da cevap bulamazsınız. Taxonomy özellikli bir SIEM de ise bu web sunucusuna “Malicious->Web->SQL” hareketi olmuş mu diye bakarak hemen sonuç üretmek mümkündür Başka bir örnek ise ben ağımda anormal bir trafik olduğunda haberdar olmak istiyorum. Görüldüğü gibi ihtiyaç yalın ve basit. Ne Kaynak ve Hedef IP ler, ne portlar, ne URL bilgisi veya sayısı benim işimi çözmüyor. Bunun için illa Taxonomy modülü gerekli. Çünkü bu logu aldığımız cihazın (Firewall, URM, IPS/IDS vb..) milyonlarca olay kodu ve imza (signature) bilgisi bu Taxonomy modülü tarafından işlenip bu log anormal bir TPC/UDP/ICMP logudur denmediği sürece loglara bakarak, loglar üzerinde arama tarama yaparak hiçbir sonuç elde edilemez. Bir insanın veya ekibin de yüzlerce cihazın milyonlarca olay kodu ve imzasını (signature) bilip, bir de linuxda bu formatta windows da bu formatta, cisco da bu ama fortnate de bu formatta olacak diye kombinasyonlarını bilip sonra bunlar tek bir UnusualTCPTraffic logudur diyebilmesi teorik olarak mümkün değil Pratik olarak da tek bir olay için günler gerektirir. Üzerinde konuşulabilecek diğer bir senaryo ise günde 5 defa şifre değiştiriliyor ise hangi firewall, hangi sunucu, hangi router veya switch ise bildir şeklinde bir Kural için yine taxonomy gereklidir. Zafiyet analizi için önemli bir senaryo olan kötü amaçlı yazılım tespitidir (Malware Detection). Bunun için içeriden (inbound) Reputation listelerindeki kötü niyetli (malicious) hedeflerine trafiğin tespiti gerekir. Bunu için öncelikle trafiğin inbound/outbound olarak kategorize edilmesi sonra da bu trafik malicious diye işaretlenmelidir. Dolayısı ile bir SIEM ürününde logları ve olayları analiz edip, anlamlandırıp daha sonra korelasyon ve raporlamada kullanmanızı sağlayan ek bilgilere ihtiyaç vardır. Aşağıda birkaç örnek verilmiştir.  Compromised->RemoteControlApp->Response  HealthStatus->Informational->HighAvailability->LinkStatus->Down  IPTrafficAudit->IP Too many fragments  IPSpoofAccess->ICMP CODE Redirect for the Host  FileTransferTrafficAudit->Authentication Failed  UnusualTCPTraffic  UnusualUDPTraffic  Malicious->Web->SQL Üst seviye bir SIEM çözümünde 1000 lerce böyle kategori olmalıdır. Taxonomy özelliği ile birlikte üst seviye bir SIEM çözümünün korelasyon özelliği de üst seviyede olmalıdır. Bu özelliklerden in önemli 3 tanesi [ http://chuvakin.blogspot.com.tr/2011/07/top-10- criteria-for-siem.html ]  Üst seviye bir SIEM değişik uygulama dilleri, geliştirme araçları, sorgu, script vb. ek kaynak ve bilgilere ihtiyaç duymaksızın, sadece standart ekranlar ve sihirbazlar ile özelleştirme, yeni kurallar oluşturmanızı sağlamalıdır.  Hafızada (In-Memory) korelasyon yapabilmeli. Herhangi bir sorguyu periyodik olarak çalıştırıp buna da korelasyon diyen çözümler bu kategoriye girmez.  Gelişmiş kuralların geliştirilebiliyor olması. o Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme
  3. 3. o Çapraz korelasyon (Cross Correlation) o Canned Rules o Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) o Sabit zamanlar içerisinde (örn: mesai saati dışı) olayların gerçekleşmesi. o Anahtar kelime ile ve Regex (regular expression) kullanarak kural yazılabilecektir. o Korelasyon aksiyonları belirlenen bir sürece gönderilmesi engellenecek, böylelikle aynı alarmların birçok kez gelmesi engellenecektir. Örnek Korelasyon Editörü Gelişmiş korelasyona bir örnek senaryo ; Outbound Spam Detection dır. Bunun için ise kural geliştirme süreci tamamen sihirbaz temelli, son kullanıcının çok kolay bir şekilde değişik uygulama dilleri, geliştirme araçları, sorgu, script vb. ek kaynak ve bilgilere ihtiyaç duymaksızın, sadece standart ekranlar ve sihirbazlar ile geliştirebilmesi ilk ihtiyaçtır. Sonrasında ise aşağıdaki 3 farklı olay birbirine sıra ile bağlanır. 1-Outbound 25 numaralı porta 1 dakikada 10 olay oluşuyor
  4. 4. 2- Sistemdeki IPS/IDS veya mail filtreleme log kaynaklarından aynı Kaynak IP den aynı Hedef IP ye SPAM trafiği oluşuyor ve buradaki Kaynak IP ve Hedef IP 1 Numaralı olaydaki Kaynak IP ve Hedef IP ile aynı. 3-Aynı Kaynaktan port 25 e SYN Scan yapılıyor Son örneğimiz ise bir departmandaki bir kullanıcı başka bir departmandaki bir makinaya login olursa haberdar olmak için SIEM çözümü gerekir. Kurallar  Aynı VPN hesabından 10 dakikada 3 adet hatalı giriş denemsi oluyorsa uyar  5 dakika içerisinde 5 den fazla Authanticaion yapan hesabı bul  Aynı hesaptan 12 saat içerisinde 2 farklı makineye oturum açılırsa uyar Referanslar 1. http://www.slideshare.net/anetertugrul/surelog-international-edition 2. http://www.slideshare.net/anetertugrul/log-ynetimi-siem-demek-deildir 3. http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf 4. http://www.cisoplatform.com/profiles/blogs/siem-tools-implementation-guide-and-vendor- evaluation-checklist 5. http://blogs.gartner.com/anton-chuvakin/2013/09/24/detailed-siem-use-case-example/ 6. http://blogs.gartner.com/anton-chuvakin/2014/05/14/popular-siem-starter-use-cases/ 7. http://journeyintoir.blogspot.com.tr/2014/09/siem-use-case-implementation-mind- map.html

×