Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SIEM Neden Gerekli?

1,055 views

Published on

Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

SIEM Neden Gerekli?

  1. 1. SIEM Neden Gereklidir? Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Ayrıca ülkeden ülkeye değişin kanuni zorunluluklar da log yönetimini şart koşmaktadır. Loglara bakarak aşağıdaki sorulara cevap bulabiliriz.[1,2,3]  Kim hangi bağlantıları kurdu?  USB bellek kullanımı oldu mu?  Belirli zaman aralıklarında kimler oturum açtı?  Sistem yöneticileri takip ediliyor mu?  Bilgisayar adı, IP adresi, MAC adresi değişikliği oldu mu?  Kimler hangi IP adresini aldı?  Bu IP adresleri ile nerelere erişidi?  Sisteme uzak bağlantı sağlandı mı?  Kimler hangi saatle VPN bağlantısı kurdu?  Donanım değişikliği yapıldı mı?  P2P program kullanan var mı?  Kim hangi dosya ya erişti ?  Erişilen dosyalardan silinen var mı?  Başarılı password değişiklikleri?  Bilgisayar hesabı yada kullanıcı hesabı yaratıldı mı?  Port scan yapıldı mı?  Kimler hangi dokümanları print etti? (print server mimarisi ile)  Domain admin hesabına kullanıcı eklendi mi?  Virüs bulaştı mı?  Virüslü bir siteye erişi denemesi oldu mu? BT altyapısını oluşturan log kayıtlarını toplayan, inkar edilemez bir şekilde saklayan, analiz yapan log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır Her ne kadar, log yönetim sistemleriyle logları toplamak gerekli olsa da yeterli değildir. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin ve bu sebeple SIEM sistemleri büyük önem taşımaktadır. Tanımlanan koşulların oluşması durumunda haber veren gerçek [6,7] bir SIEM çözümü kurmak gerekir. Peki, bir SIEM ürünü almanın avantajları nedir?
  2. 2. SIEM ürünlerinin, birçok noktadan ve yüzlerce cihazdan aldığı loglar ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki logları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar. Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur. [4,5]. Bu loglar arasında oluşabilecek kombinasyonları düşünürsek birikmiş logların üzerinden arama tarama, raporlama ve arşivleme ile herhangi bir tehditlerin yakalanması mümkün değildir. Bunun için gerçek bir korelasyon özelliğine sahip [6,7] SIEM ürünlerinin gücüne başvurmak gerekir. Böylece aşağıdaki gibi tehdit içeren durumları milyarlarca veri içerisinden anında tespit etmek mümkün olur. 1. Aynı IPdenfarklı kullanıcıadları ile aynıbilgisayara15 dakikada5 adetbaşarısız oturum denemesiyapıldıktansonraaynıIP denherhangi bir makinayaoturumaçıldıise uyar. 2. Bir IPdentarama yapıldıise ve sonrasındaaynı IP denbaşarılı bir bağlantıkurulduise ve ardından bağlantıkurulanIPdentarama yapılan IPye geriye bağlantıkurulduise uyar. 3. BirbirindentamamenfarklıdışIP lerdenaynıhedef IPye dakikada100 adettenfazlabağlantı oluşuyorsauyar 4. Aynı Dış IP ve farklıportlardanaynı hedef IPye dakikada100 adetbağlantıolursauyar 5. Aynı kullanıcı,aynımakineye saatte 3denfazlabaşarısız oturumaçmayı denerse uyar 6. Bir kullanıcıherhangi birsunucuyaloginolamayıpauthenticationfailureasebepolduktan sonra 2 saat içerisinde aynıkullanıcıaynısunucuyabaşarılı oturumaçmazsa uyar 7. Aynı kaynakIPden 1 dakikada100 adet paketUTM/FireWall tarafından bloklanıyorise bir defa uyar ve bir saat içerisindetekraruyarma.(DDOSatağı oluştuise saatte milyonlarca paketbloklanır.Hepsi içinmail gönderirse kendi kendinizi DDOSamaruz bırakmış olursunuz) 8. UnusualUDPTrafficüretenkaynakIPyi bildir 9. IPReputation [8] Listesindekibirkaynaktanveyaokaynağabirtrafikoluşursauyar 10. Ulusal SiberOlaylaraMüdahale (USOM) Merkezi tarafındanyayınlanan“ZararlıBağlantılar” listesindeki kaynaktanveyaokaynağabirtrafikoluşursauyar 11. Birisi NetworkünüzdeDHCPserverıaçtıysaya da farklı birgatewayyayınyapıyorsa,bunu bulmakiçin:protokolüUDPolanhedef portu67 olan içeridendışarıyaveyaiçeridendışarıya yönelenve hedef IPsi kayıtlıDHCP sunucularlistesindeolmayanbirtrafikolursauyar 12. Bir IPtaraması olursauyar 13. WEB üzerindenSQLatağıolursauyar 14. Mesai saatleri dışındasunucularaulaşanolursauyar 15. Aynı kullanıcı,birbirindentamamenfarklımakinelere dakikada3denfazlabaşarısız oturum açmayı denerse uyar Genel olarak bir SIEM ile  Sistem ve network’lerinizdeki mevcut tehdit ve zaafiyetlerin tespiti, gerçekleşen olayların takibi.  Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve takibi.  Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi.
  3. 3.  Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım sağlanması.  Kurumsal güvenlik standart ihlallerinin takibi.  ISO 27001, SOX, PCI, HIPAA, NERC, FFIEC, FISMA, GLBA, NCUA, COBIT, vb. uyumluluk (Compliance) raporlama ve denetimleri.  SOME uygulamaları için uygun raporlama olanakları.  USOM tarafından yayınlanan zararlı bağlantı listeleri ile “online” entegrasyonlar ve sistemleriniz için denetleme olanakları.  Threat Intelligence özelliği ile dinamik olarak zararlı IP ve Domain listelerine erişim yapılınca otomatik uyarının sağlanması Referanslar: 1. http://www.slideshare.net/anetertugrul/file-server-iinde-silinen-dosyalarn-loglarna- ulamak-mmkn-m 2. http://www.slideshare.net/anetertugrul/baka-birinin-hesabn-ele-geirerek-silinen- dosyalarn-loglarna-ve-silen-makineye-ulamak-mmkn-m 3. http://www.slideshare.net/anetertugrul/log-ynetimi-yazlm-kullanarak-saldr-tespiti- zaafiyet-analize-ve-gvenlik-ynetimi 4. http://www.slideshare.net/anetertugrul/log-yonetiminde-cihaz-sayilari-ile-eps- degerleri-arasindaki-iliski 5. http://www.slideshare.net/anetertugrul/normal-artlarda-200-250-eps-logum-anca- oluyor-yksek-performansa-neden-ihtiya-duyaym 6. http://www.slideshare.net/anetertugrul/log-korelasyon-siem-kural-ornekleri-ve- korelasyon-motoru-performans-verileri 7. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek- siem-rn-ile-gvenlik-analiz-senaryolar 8. http://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem 9. http://www.ciol.com/why-siem-is-essential-for-a-successful-security-strategy/ 10. http://searchsecurity.techtarget.com/feature/Three-enterprise-benefits-of-SIEM- products

×