Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Log siem korelasyon

987 views

Published on

Log yönetimi, siem ve korelasyon nedir? nasıldır? faydaları nedir?

Published in: Technology
  • Be the first to comment

Log siem korelasyon

  1. 1. Neden Loglarız ve Loglara neden ihtiyacımız var?  Korelasyon  Uyumluluk ve teftiş talepleri (BDDK, 5651, SOX, PCI, zaman damgası vurma, değişmezliğini garanti etme vs )  Yasal Zorunluluklar (5651)  Düzenli veya anlık raporlama  Güvenlik polikalarının belirlenmesi Neleri Loglamalıyız?  Dosya ve Dizin değişimleri,  Registry erişimleri (ekleme, değiştirme ve silme),
  2. 2.  Kullanıcı hesap değişiklikleri ve yönetici hak tanımlamaları,  Active Directory erişim ve değişimleri,  Grup değişimleri; ekleme, değiştirme veya silme,  Başarılı/Başarısız Windows ve SSH oturum açma girişimleri,  Sistem olayları; işlem başlama ve kapanma,  Uygulama hataları, başlama ve kapanma,  IDS ve Antivirüs Log’ları,  Ağ arayüzlerinde, TCP ve UDP yüksek bağlantı oluşturan noktalar,  Sunucu kapama, açma ve yeniden başlama durumları,  Ağ altyapısına erişimler,  Anahtarlar, Yönlendiriciler veya Güvenlik Duvarları kural değişiklikleri,  DNS değişikleri,  Web Sunucu erişimleri ve erişim değişiklikleri,  HTTP 404 hataları,  FTP sunucu erişimleri ve dosya transferleri,  Sunucu ve İş İstasyonu, saldırı olayları ve kural değişiklikleri,  Finans, Müşteri, Yasal belgeleri içeren; Dosya, Dizin ve Nesnelere erişim ve izin değişimleri Ne Tür Kurallar Olmalı?  Eğer, içerideki bir PC potansiyel zararlı alan adına DNS sorgusu yaparsa, daha sonra aynı PC sonraki 24 saat içinde internete 1024’ten büyük TCP portlarından çıkmaya çalışıyorsa ve/veya sonraki 1 hafta içerisinde aynı PC mesai saatleri dışında internet istekleri yapıyorsa uyar,
  3. 3.  Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme oturum açar ise tespit et,  Bir saat içerisinde, aynı kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi yapılıyorsa alarm üret,  Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde 3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7 gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.  Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar,  Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar,  Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et,  Sisteminize bir gün içerisinde, aynı kullanıcı farklı ülkelerden geliyorsa uyar,  Protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar,  Aynı IP den birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et,  Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar,
  4. 4.  Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar,  Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,  Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar,  Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir,  Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar,  Eğer aynı IP’den, kısa zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa uyar,  Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika içerisinde başka saldırının hedefi olmuş ise uyar,  Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu kullanıcı ve bunu bloklayan kuralı tespit et,  Herhangi bir kullanıcı bir sunucuya login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyar,  Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan işletilmek üzere gönderilirse uyar,
  5. 5.  Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login logu gelirse uyar,  Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından mail gönderildi ise uyar,  Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar,  Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar,  Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar,  Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar,  Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar,  Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz),  UnusualUDPTraffic üreten kaynak IP yi bildir,  IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar,  Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar,  Bir IP taraması olursa uyar,
  6. 6.  WEB üzerinden SQL atağı olursa uyar,  Mesai saatleri dışında sunuculara ulaşan olursa uyar,  Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum açmayı denerse uyar. ANET SURELOG International Edition : http://www.slideshare.net/anetertugrul/surelog- international-edition

×