Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri

2,458 views

Published on

Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.

Published in: Technology

Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri

  1. 1. Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Korelasyonyeteneği birSIEMürünününenönemli özelliklerinden biridir. Ürünlerinkorelasyon yeteneklerifarklılıkgöstermektedir [1]. Aşağıda ortalamabirkorelasyonyeteneğine sahipbirSIEMürünü ile geliştirilebilecekkurallara örnekleri listelemeye çalıştık. 1. Bir IP dentarama yapıldıise ve sonrasındaaynın IP denbaşarılı birbağlantı kurulduise ve ardından bağlantıkurulanIP dentarama yapılan IPye geriye bağlantıkurulduise uyar. 2. BirbirindentamamenfarklıdışIP lerden aynıhedef IPye dakikada100 adettenfazlabağlantı oluşuyorsauyar 3. Aynı Dış IP ve farklıportlardanaynı hedef IPye dakikada100 adetbağlantıolursauyar 4. Aynı kullanıcı,aynımakineye saatte 3denfazlabaşarısız oturumaçmayı denerse uyar 5. Bir kullanıcıherhangi birsunucuyalogin olamayıpauthenticationfailureasebepolduktan sonra 2 saat içerisinde aynıkullanıcıaynısunucuyabaşarılı oturumaçmazsa uyar 6. Aynı kaynakIPden 1 dakikada100 adet paketUTM/FireWall tarafından bloklanıyorise bir defa uyar ve bir saat içerisindetekraruyarma.(DDOS atağı oluştuise saatte milyonlarca paketbloklanır.Hepsi içinmail gönderirse kendi kendinizi DDOSamaruz bırakmış olursunuz) 7. UnusualUDPTrafficüretenkaynakIPyi bildir 8. IPReputation [6] Listesindekibirkaynaktanveyaokaynağabirtrafikoluşursauyar 9. Ulusal SiberOlaylaraMüdahale (USOM) Merkezi tarafındanyayınlanan“ZararlıBağlantılar” listesindeki kaynaktanveyaokaynağabirtrafikoluşursauyar 10. Birisi NetworkünüzdeDHCP serverıaçtıysaya da farklı birgatewayyayınyapıyorsa,bunu bulmak için:protokolüUDP olanhedef portu67 olan içeridendışarıyaveyaiçeridendışarıya yönelenve hedef IPsi kayıtlıDHCP sunucularlistesindeolmayanbirtrafikolursauyar 11. Bir IPtaraması olursauyar 12. WEB üzerindenSQLatağıolursauyar 13. Mesai saatleri dışındasunucularaulaşanolursauyar 14. Aynı kullanıcı,birbirindentamamen farklımakinelere dakikada3denfazlabaşarısız oturum açmayı denerse uyar Yukarıdaki 1,7,11,12 numaralıkuralların taxonomy[5] özelliği gerektirdiğini de belirtelim.Dolayısıile herüründeki korelasyonyeteneği aynıdeğildir[1].
  2. 2. Bu tarz kurallarıgeliştirebilme;birde bunlarıbirsihirbazyardımıile geliştirebilmekSIEMürünlerinde belirleyicibirözellik olmaklaberaber, butarz kurallarınsayısı korelasyon içinihtiyaçduyulanCPUve RAMihtiyacıda önemli birparametredir.[2] Bu parametrelerdoğrubirşekildetespitedilemezse projedelogkaybı,alarmlarındoğrutespit edilememesi veyaalarmların üretilememesinesebepolur[3]. Örnekolarak Sentinel 6.1ürününü20 adetkorelasyonkuralıiçinönerdiği fiziksel sunucuözellikleri 2 core 3 Ghz CPU ve 4 GB RAM idi [2].Bu sunucune log toplamane de normalizasyonişlemi yapmaktadır.Sadece logkorelasyonişlemiyapmaküzere kullanılafizikselbirsunucudur [2].Son sürümünde üretici net20rakamı vermekyerine ihtiyaçduydukçayeni birfiziksel korelasyon sunucusuekleyindemektedir.[3] HP,IBMgibi üreticilerde netbirrakam vermekyerinedurumagöre fiziksel kaynakekleyintarzıöneri ve uyarılarda bulunmaktadır. Çalıştırılacak korelasyonkuralıadedi ve EPSdeğerleri ileCPU, RAM, Diskhızı ve kaç adetfiziksel veya sanal korelasyonsunucusuolacağıarasındabir ilişki vardır. [7] 1. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem- rn-ile-gvenlik-analiz-senaryolar 2. http://www.slideshare.net/NOVL/how-to-architect-a-novell-sentinel-implementation 3. http://www.slideshare.net/anetertugrul/log-ynetimi-sisteminizin-log-karp-karmadn-test- etmek-ister-misiniz 4. https://www.netiq.com/documentation/sentinel- 73/s73_install/data/b19meos5.html#b12e1bcy 5. http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi 6. http://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem 7. http://www.slideshare.net/anetertugrul/siem-sure-log-arcsight-qradar-alienvault- solarwinds-performans-verileri

×