SlideShare a Scribd company logo

Log yonetimi korelasyon ve SIEM

Download as DOCX, PDF
Ertugrul Akbas
Ertugrul Akbas

Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?

Technology
1 of 8
Log Yönetimi, Korelasyon ve SIEM Dr. Ertuğrul AKBAŞ eakbas@gmail.com SIEM çözümünün Log Yönetimi çözümlerine göre en temel farkı Korelasyon ve ürettiği alarmlardır. SIEM ürünlerinde Korelasyon özelliği temelde 2 ana gruba ayrılır.  Korelasyon Motoru Olan Çözümler o ANET SureLog o AlianVault o BlackStratus o EMC(RSA) o EventTracker o FortiSIEM (AccelOps) o HP (ArcSight) o IBM (QRadar) o Intel Security (McAfee) o LogRhythm o NetIQ (Novel) o Solarwinds o TrustWave  Periyodik arama sorgusu çalıştıran ürünler o Elastic-Alert(Watcher) o ElasTalert o Loggly o LogPoint o LogSign o SumoLogic o Splunk
Korelasyon Motoru Olan Çözümler Bu gruptaki ürünlerin hepsi ayrı bir modül olarak ayrı bir korelasyon motoru içerir. İyi veya kötü bir korelasyon geliştirme sihirbazına sahiptir. Ürünlerin korelasyon motorlarının avantaj ve dezavantajlarına ayrı bir çalışmada değinileceği için burada bahsedilmeyecektir. Buradaki ürünleri de korelasyon motorları üçüncü parti (3rd party) yazılımlardan mı oluşmakta yoksa kendi AR-GE leri mi diye ayırmak mümkün. Bu ayarımın temel amacı da motorların esnekliği hakkında fikir sahibi olmaktır.  Kendi AR-GE Çalışmaları o ANET SureLog o AlianVault o BlackStratus o EMS(RSA) o EventTracker o Fortinate (AccelOps) o HP (ArcSight) o Intel Security (McAfee) o LogRhythm o NetIQ (Novel) o Solarwinds o TrustWave  Üçüncü Parti (3rd Party) o IBM (QRadar)  http://www.eventgnosis.com/ Aşağıdaki AR-Ge sini kendi yapan ve gelişmiş bir kural editörüne sahip bir çözümün kural editörü gözükmektedir.
Periyodik Sorgu Çalıştıran Ürünler Bu gruptaki ürünlerin hiçbirinde ayrı bir modül olarak bir korelasyon motoru yoktur. Örnek ürünler:  Elastic-Alert(Watcher)  ElasTalert  Loggly  LogSign  SumoLogic  Splunk Bu tarz ürünler filtreleme ve arama için kullandıkları sorgu formatın ekrandaki text alanlarına sorgu , arama dili veya özel notasyonlu cümlecik yazmak şeklinde kuralları oluşturup belli periyotlarda ve belli veri kümeleri üzerinde çalıştırırlar. Bu tür korelasyon özelliklerinin temel bazı handikapları bulunur. Bunlar 1- Gelişmiş senaryolar oluşturulamaz 2- Bu yöntemi iyi kullanmak için biraz geliştirici (developer) olmak ve biraz da log kaynağını iyi bilmek ve logu tanımak gerekir. https://xiom.com/2016/11/29/understanding-siem-structured-search/
3- Birden fazla kural arasında kural özellikleri (arribute) de kullanılarak cross correlation yapılamaz 4- Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz. Kurallar (Aslında Filtereleme ve arama için kullandıkları sorgu formatın ekrandaki text alanlarına sorgu , arama dili veya özel notasyonlu cümlecik yazmak şeklinde veya scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod içindeki olaylar anında yakalanamaz 5- Sorgu veya filtrenin belli periyotlarla çalıştırılması bir performans problemine sebep olur 6- Kural yazmak son kullanıcı için hiç de kolay değildir. 7- Kurallar arttıkça ve/veya biraz karmaşıklaşınca CPU ve RAM ihtiyacı ciddi artmaktadır. Korelasyon kural sayısı, kuralların ne kadar kompleksliği ve EPS değerleri performansı çok ciddi etkileyen unsurlardır. Buna aşağıdaki çalışma değinmektedir. https://www.linkedin.com/pulse/siem-korelasyon-%C3%A7%C3%B6z%C3%BCmlerinde- aktif-kural-say%C4%B1lar%C4%B1-ve-gerekli-akbas Bu ürünler aslında bir korelasyon ürünü değildir, çünkü: 1- Ayrı bir korelasyon motoruna sahip değildir 2- Alarm modülü tamamen log arama sorgularını periyodik olarak çalıştırma üzerine kuruludur
Periyodik Sorgu Temelli Alarm Modülü Alarm modülü tamamen log arama sorgularını periyodik olarak çalıştırma üzerine kuruludur: Aşağıda yukarıdaki uygulamalardan birinden alınan bir ekran görüntüsü gösterilmiştir. Resme bakarsanız run this alert every ve check events in last alanlarını görürsünüz. Bu alanların anlamı bu ekranda hazırladığınız sorguyu hangi periyotta çalıştıracağınızı size soruyor ve daha kötüsü check events in last alanında da yakalamak istediğiniz olayın oluştuğu zaman dilimini bilmeniz isteniyor. Örnek vermek gerekirse; her 5 dakikada 1 son 10 dakikaya bak deseniz bile 10 dakikada 2 veya daha fazla login failed oluşturan kullanıcıyı bulamama ihtimaliniz olur. Aşağıdaki resimde açıklamaya çalıştığım gibi siz T10 anında geriye doğru 10 dakikayı taradınız sonra 5 dakika beklediniz ve T15 anında geriye doğru taradınız ama olaylar T3 ve T11 de olmuştu ve T3 ile T11 iki farklı taramanın içinde kaldığı için yakalanamadı. Aklınızı o zaman ben de her 30 saniyede tararım veya 10 saniye tararım gelebilir o zaman da öncelikli olarak her 10 saniyede arkada bir sorgu çalışacağı için CPU ve RAM kullanımımınız artacak hem de hala bu 5 dakikada bir mi çalışsın 10 saniyede bir mi çalısın geriye doğru 10
dakikaya mı baksın 20 dakikaya mı vb.. parametreleri siz manuel set etmek ve bilmek zorundasınız. Benzer şekilde gerçek zamanlı (realtime) seçeneği de içeren diğer bir ürünün alarm hazırlama ekranları. Yukarıda ekran görüntüleri paylaşılan ürüne göre realtime alarm özelliğine sahip. Bunula birlikte real time özelliğinin hem çeşitli kısıtları hem de performansı zorlayıcı etkileri vardır. https://help.sumologic.com/Dashboards_and_Alerts/Alerts/Create_a_Real_Time_Alert
Ayrıca arama modülü yukarıdaki yapıyı kullansa bile çok temel analizleri yapmaktan uzaktır: Önemli bazı güvenlik kontrolü kuraları yazılamaz. Yazılamayacak Örnek Kurallar: 1. Aynı dış IP den birbirinden farklı iç IP lere ve birbirinden farklı portlara 15 dakikada 100 den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP lerin tamamından yeni bir process ayağa kalkıyorsa uyar 2. FW tarafından bir Dış IP’den aynı İç IP ye gelen trafik 1 dakikada 50 den fazla bloklanıyorsa ve daha sonra aynı İç IP den aynı Dış IP ye 2 saat içerisinde trafik isteği oluşursa uyar 3. Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyar, Aşağıdaki SIEM kural örnekleri bölümünde verilen kuralların önemli bir kısmını sorgu ile yazmak imkânsızdır. Alarm yazmak son kullanıcı için hiç de kolay değildir: Aşağıdaki ekrandaki bütün alanları ve özellikle 2 adet query alanını sizin doldurmanız gerekir. Son olarak da bu yöntemi iyi kullanmak için biraz geliştirici (developer) olmak ve biraz da log kaynağını iyi bilmek ve logu tanımak gerekir. https://xiom.com/2016/11/29/understanding-siem-structured-search/ . Bu da her son kullanıcının yapabileceği bir şey değildir.

Recommended

Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
BGA Cyber Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
BGA Cyber Security
 

Recommended

Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
BGA Cyber Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
BGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 

More Related Content

What's hot

DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 

What's hot (20)

Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
 

Similar to Log yonetimi korelasyon ve SIEM

SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
Çözümlü Sorular
Çözümlü SorularÇözümlü Sorular
Çözümlü Sorular
BttBLog
 

Similar to Log yonetimi korelasyon ve SIEM (20)

ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
Visual Studio Developer Tools
Visual Studio Developer ToolsVisual Studio Developer Tools
Visual Studio Developer Tools
 
Solarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch ManagerSolarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch Manager
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage Kullanımı
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
 
Kurumsal Bilgi Portali - Knowledge Management
Kurumsal Bilgi Portali - Knowledge ManagementKurumsal Bilgi Portali - Knowledge Management
Kurumsal Bilgi Portali - Knowledge Management
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
Çözümlü Sorular
Çözümlü SorularÇözümlü Sorular
Çözümlü Sorular
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 

More from Ertugrul Akbas

Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
Ertugrul Akbas
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
 

Log yonetimi korelasyon ve SIEM

  • 1. Log Yönetimi, Korelasyon ve SIEM Dr. Ertuğrul AKBAŞ eakbas@gmail.com SIEM çözümünün Log Yönetimi çözümlerine göre en temel farkı Korelasyon ve ürettiği alarmlardır. SIEM ürünlerinde Korelasyon özelliği temelde 2 ana gruba ayrılır.  Korelasyon Motoru Olan Çözümler o ANET SureLog o AlianVault o BlackStratus o EMC(RSA) o EventTracker o FortiSIEM (AccelOps) o HP (ArcSight) o IBM (QRadar) o Intel Security (McAfee) o LogRhythm o NetIQ (Novel) o Solarwinds o TrustWave  Periyodik arama sorgusu çalıştıran ürünler o Elastic-Alert(Watcher) o ElasTalert o Loggly o LogPoint o LogSign o SumoLogic o Splunk
  • 2. Korelasyon Motoru Olan Çözümler Bu gruptaki ürünlerin hepsi ayrı bir modül olarak ayrı bir korelasyon motoru içerir. İyi veya kötü bir korelasyon geliştirme sihirbazına sahiptir. Ürünlerin korelasyon motorlarının avantaj ve dezavantajlarına ayrı bir çalışmada değinileceği için burada bahsedilmeyecektir. Buradaki ürünleri de korelasyon motorları üçüncü parti (3rd party) yazılımlardan mı oluşmakta yoksa kendi AR-GE leri mi diye ayırmak mümkün. Bu ayarımın temel amacı da motorların esnekliği hakkında fikir sahibi olmaktır.  Kendi AR-GE Çalışmaları o ANET SureLog o AlianVault o BlackStratus o EMS(RSA) o EventTracker o Fortinate (AccelOps) o HP (ArcSight) o Intel Security (McAfee) o LogRhythm o NetIQ (Novel) o Solarwinds o TrustWave  Üçüncü Parti (3rd Party) o IBM (QRadar)  http://www.eventgnosis.com/ Aşağıdaki AR-Ge sini kendi yapan ve gelişmiş bir kural editörüne sahip bir çözümün kural editörü gözükmektedir.
  • 3.
  • 4. Periyodik Sorgu Çalıştıran Ürünler Bu gruptaki ürünlerin hiçbirinde ayrı bir modül olarak bir korelasyon motoru yoktur. Örnek ürünler:  Elastic-Alert(Watcher)  ElasTalert  Loggly  LogSign  SumoLogic  Splunk Bu tarz ürünler filtreleme ve arama için kullandıkları sorgu formatın ekrandaki text alanlarına sorgu , arama dili veya özel notasyonlu cümlecik yazmak şeklinde kuralları oluşturup belli periyotlarda ve belli veri kümeleri üzerinde çalıştırırlar. Bu tür korelasyon özelliklerinin temel bazı handikapları bulunur. Bunlar 1- Gelişmiş senaryolar oluşturulamaz 2- Bu yöntemi iyi kullanmak için biraz geliştirici (developer) olmak ve biraz da log kaynağını iyi bilmek ve logu tanımak gerekir. https://xiom.com/2016/11/29/understanding-siem-structured-search/
  • 5. 3- Birden fazla kural arasında kural özellikleri (arribute) de kullanılarak cross correlation yapılamaz 4- Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz. Kurallar (Aslında Filtereleme ve arama için kullandıkları sorgu formatın ekrandaki text alanlarına sorgu , arama dili veya özel notasyonlu cümlecik yazmak şeklinde veya scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod içindeki olaylar anında yakalanamaz 5- Sorgu veya filtrenin belli periyotlarla çalıştırılması bir performans problemine sebep olur 6- Kural yazmak son kullanıcı için hiç de kolay değildir. 7- Kurallar arttıkça ve/veya biraz karmaşıklaşınca CPU ve RAM ihtiyacı ciddi artmaktadır. Korelasyon kural sayısı, kuralların ne kadar kompleksliği ve EPS değerleri performansı çok ciddi etkileyen unsurlardır. Buna aşağıdaki çalışma değinmektedir. https://www.linkedin.com/pulse/siem-korelasyon-%C3%A7%C3%B6z%C3%BCmlerinde- aktif-kural-say%C4%B1lar%C4%B1-ve-gerekli-akbas Bu ürünler aslında bir korelasyon ürünü değildir, çünkü: 1- Ayrı bir korelasyon motoruna sahip değildir 2- Alarm modülü tamamen log arama sorgularını periyodik olarak çalıştırma üzerine kuruludur
  • 6. Periyodik Sorgu Temelli Alarm Modülü Alarm modülü tamamen log arama sorgularını periyodik olarak çalıştırma üzerine kuruludur: Aşağıda yukarıdaki uygulamalardan birinden alınan bir ekran görüntüsü gösterilmiştir. Resme bakarsanız run this alert every ve check events in last alanlarını görürsünüz. Bu alanların anlamı bu ekranda hazırladığınız sorguyu hangi periyotta çalıştıracağınızı size soruyor ve daha kötüsü check events in last alanında da yakalamak istediğiniz olayın oluştuğu zaman dilimini bilmeniz isteniyor. Örnek vermek gerekirse; her 5 dakikada 1 son 10 dakikaya bak deseniz bile 10 dakikada 2 veya daha fazla login failed oluşturan kullanıcıyı bulamama ihtimaliniz olur. Aşağıdaki resimde açıklamaya çalıştığım gibi siz T10 anında geriye doğru 10 dakikayı taradınız sonra 5 dakika beklediniz ve T15 anında geriye doğru taradınız ama olaylar T3 ve T11 de olmuştu ve T3 ile T11 iki farklı taramanın içinde kaldığı için yakalanamadı. Aklınızı o zaman ben de her 30 saniyede tararım veya 10 saniye tararım gelebilir o zaman da öncelikli olarak her 10 saniyede arkada bir sorgu çalışacağı için CPU ve RAM kullanımımınız artacak hem de hala bu 5 dakikada bir mi çalışsın 10 saniyede bir mi çalısın geriye doğru 10
  • 7. dakikaya mı baksın 20 dakikaya mı vb.. parametreleri siz manuel set etmek ve bilmek zorundasınız. Benzer şekilde gerçek zamanlı (realtime) seçeneği de içeren diğer bir ürünün alarm hazırlama ekranları. Yukarıda ekran görüntüleri paylaşılan ürüne göre realtime alarm özelliğine sahip. Bunula birlikte real time özelliğinin hem çeşitli kısıtları hem de performansı zorlayıcı etkileri vardır. https://help.sumologic.com/Dashboards_and_Alerts/Alerts/Create_a_Real_Time_Alert
  • 8. Ayrıca arama modülü yukarıdaki yapıyı kullansa bile çok temel analizleri yapmaktan uzaktır: Önemli bazı güvenlik kontrolü kuraları yazılamaz. Yazılamayacak Örnek Kurallar: 1. Aynı dış IP den birbirinden farklı iç IP lere ve birbirinden farklı portlara 15 dakikada 100 den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP lerin tamamından yeni bir process ayağa kalkıyorsa uyar 2. FW tarafından bir Dış IP’den aynı İç IP ye gelen trafik 1 dakikada 50 den fazla bloklanıyorsa ve daha sonra aynı İç IP den aynı Dış IP ye 2 saat içerisinde trafik isteği oluşursa uyar 3. Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyar, Aşağıdaki SIEM kural örnekleri bölümünde verilen kuralların önemli bir kısmını sorgu ile yazmak imkânsızdır. Alarm yazmak son kullanıcı için hiç de kolay değildir: Aşağıdaki ekrandaki bütün alanları ve özellikle 2 adet query alanını sizin doldurmanız gerekir. Son olarak da bu yöntemi iyi kullanmak için biraz geliştirici (developer) olmak ve biraz da log kaynağını iyi bilmek ve logu tanımak gerekir. https://xiom.com/2016/11/29/understanding-siem-structured-search/ . Bu da her son kullanıcının yapabileceği bir şey değildir.