ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Dökümanın Genişletilmiş Hali : https://drive.google.com/file/d/0ByE2shCr5pUQblJNanctQ29HT3c/view
Network Pentest'e Giriş Dökümanı | Ahmet Gürel
www.gurelahmet.com
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Dökümanın Genişletilmiş Hali : https://drive.google.com/file/d/0ByE2shCr5pUQblJNanctQ29HT3c/view
Network Pentest'e Giriş Dökümanı | Ahmet Gürel
www.gurelahmet.com
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Ertugrul Akbas
VPN access is commonly used but difficult to monitor and control. SureLog is a SIEM solution that can automatically monitor and correlate VPN user activity like VPN logins, RDP connections, processes run, files accessed and network connections made. It generates reports on these activities and their relationships to provide visibility into what users are doing after establishing a VPN connection. SureLog also includes alarms that can be triggered if certain conditions are met, such as a VPN user accessing restricted servers or running suspicious processes, to detect potential malicious insider activity or data exfiltration.
This job posting is for a SureLog Engineer - SIEM position. The role involves driving complex deployments of the SureLog security incident and event management (SIEM) solution, supporting customer implementations end-to-end, and providing expertise on malware, infection vectors, and security risks. Key requirements include a computer science or engineering degree, 5+ years of network security consulting experience, expertise in SIEM products and SureLog, and security industry certifications.
The correlation systems consist of two parts.
1. Detection
2. Response
The response part is divided in two sub-parts as alarm and taking action.
The detection module, the response module if it detects an event.
• Sending email
• Executing a script
o Visual basic
o Batch file
o Perlscript
o Phytonscript
• Executing java code
• Running application
• Updating dynamic list. For example adding or removing IP address in forbidden IP address list. Dynamically updating this list for those who try more than 3 failed logon accesses in last week, or adding a benign IP or URL that triggered an alarm to a Whitelist so that false positives aren’t generated in the future
SureLog is an integrated next-generation SIEM and log management solution that provides security monitoring, log collection, analysis, and reporting. It collects logs from over 155 brands and 350 device types and categorizes logs into over 1,500 groups. SureLog offers comprehensive log management, real-time security monitoring, advanced correlation rules, and reports to help detect threats and ensure compliance.
The correlation advantages of ANET SURELOG International Edition SIEM product Ertugrul Akbas
ANET SURELOG International Edition has many advantages compared to its rivals in terms of the speed of log collection, big data infrastructure, compliance reports, its speed, ease of use, user interface, the number of devices supported, distributed architecture, taxonomy and correlation features.
The most important feature of SIEM products is correlation. It analyzes too many different logs and makes correlation to get the exact result.
Standartlar ve güvenlik açısından veritabanı loglamanın önemi herkesçe malum. Veritabanına yönelik aktivitelerin görüntülenip, analiz edilerek, veriye hangi kullanıcının ve sistemin eriştiği bilgisinin detaylarını, hangi IP üzerinden, ne zaman erişildiğini ve veri üzerinde yapılan PL/SQL, T-SQL, SQL-T ve ANSI-SQL işlemlerini saklayarak raporlayabilmek hem kritik hem de standartlar ve uyumluluklar açısından gereklidir.
3 Yıl önce ABD de teknolojik kalkınma modelleri konusunda uzman olan ve ABD de iyi bir üniversitede profesör olan bir tanıdığım uzunca bir aradan sonra Türkiye’ye anne ve babasını ziyarete gelmişti. Birlikte bir kahve içtik. Arkadaşımın uzmanlığı ile ilgili bazı tespitleri oldu. Profesör olan arkadaşımın 3 yıl önceki tespitleri:
There are relationships among the total correlation rule to be executed, complexity of the rules and EPS values together with CPU, RAM, Disk speed.
Also one other important issue is the easy of developing complex rules with wizards and executing them with high EPS values.
The SIEM products and the performance analyses of these products are very important in terms of evaluation.
The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
SureLog is an integrated log management and next-generation SIEM solution that provides advanced correlation rules, risk calculation, taxonomy, data management, user management, threat intelligence, vulnerability assessment, and statistical reporting. It features an intuitive browser-based UI and supports custom parsers, tagging, and a distributed architecture.
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
"Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz.
Bu yazıya devam etmeden önce iki kavramı açıklayalım
Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir.
Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Kitabımızın son 4 bölümünü içermektedir.
BÖLÜM 4: MALWARE TEMEL DİNAMİK ANALİZ
• Backdoor Temel Dinamik Analiz
• Kalıcı Meterpreter Dinamik Analiz
• Keylogger Temel Dinamik Analiz
• Reverse Shell Temel Dinamik Analiz
• PMA Lab 03-01 Temel Dinamik Analiz
• PMA Lab 03-02 Temel Dinamik Analiz
• PMA Lab 03-03 Temel Dinamik Analiz
• PMA Lab 03-04 Temel Dinamik Analiz
BÖLÜM 5: ASSEMBLY
• Register Kod Yapısı
• Veri Aktarım Komutları
• Adresleme Modları
• Veri Tanımlamaları
• Kontrol Yapıları ve Döngüler
• String İşlemleri
• Aritmetik Mantık Komutları
• İşletim Sistemi ve BIOS İlişkisi
• Ekran ve Klavye İşlemleri
• Temel Giriş ve Çıkış Teknikleri
• Alt Programlarla Bağlantı Kurma
• Kaydırma ve Yönlendirme İşlemleri
• Aritmetik İşlemler
• Diziler
• Klasör ve Dosya İşlemleri
BÖLÜM 6: İLERİ SEVİYE MALWARE ANALİZ
• IDA ile Disassembly
• Backdoor İleri Seviye Malware Analiz
• IDA Pro ile Keylogger Analiz
• PMA Lab 07-01 Analiz
• PMA Lab 07-02 Analiz
• PMA Lab 07-03 Analiz
• PMA Lab 09-01 Analiz
• PMA Lab 09-02 Analiz
• PMA Lab 09-03 Analiz
BÖLÜM 7: BELLEK DÖKÜM ANALİZİ
• PMA Lab 03-01 Bellek Döküm Analizi
• PMA Lab 03-03 Bellek Döküm Analizi
System Monitor (Sysmon), aktif olarak kullanılan bir sistemde oluşan hareketleri ve olayları kayıt altına alabilen araçtır. Sysmon, bu kayıtları Windows işletim sistemleri için Olay Görüntüleyicisi (Event Log) aracılığıyla yapan sistem servisi ve aygıt sürücüsüdür. İşlemler, ağ bağlantıları ve bir dosyanın oluşturulma detayıyla ilgili bilgileri sunar.
Sysmon aracı sistemde log analizi yapmaz ya da siber saldırılara karşı koruma sağlamaz.
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
This document provides steps for a security service, with the first step being the longest live log, the second step detecting very powerful attacks, the third step having a very affordable cost, and the fourth step having high performance.
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
The document discusses the key features and advantages of the SureLog next-generation security information and event management (SIEM) solution. It highlights SureLog's sophisticated correlation engine, machine learning capabilities, extensive dashboards, compliance reporting, scalability, log compatibility with over 500 supported devices, and strong performance. The document also summarizes SureLog's forensic analysis capabilities, threat intelligence integration, incident response support, and ability to customize rules and reports.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
2. İçindekiler
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN ÜSTÜNLÜKLERİ.................................... 1
Korelasyon Avantajları............................................................................................................................. 3
Taxonomy ............................................................................................................................................ 3
Senaryo kuralları................................................................................................................................. 7
Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme ................................................................ 8
Mantıksal Bağımsızlık .................................................................................................................... 11
Thrashold kuralları......................................................................................................................... 11
Threat Intelligence............................................................................................................................. 12
Örnek Kurallar ................................................................................................................................... 12
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları,
hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve
korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false
positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a
bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
ANET SURELOG International Edition ürününün korelasyon tarafının üstünlüklerine
geçmeden önce temel korelasyon özelliklerini açıklamak gerekirse:
Korelasyon gerçek zamanlıdır,
Korelasyon kuralı geliştirme editörü sorgu (SQL ,NoSQL, Flat File) temelli değildir. Özel bir
kural geliştirme sihirbazına sahiptir,
Korelasyon motoru her zaman aktif tir. Bazı ürünlerdeki gibi periyodik çalışma handikabına
sahip değildir.
Korelasyon motoru veri tabanı (SQL ,NoSQL, Flat File) üzerinden çalışmaz ve veri tabanı
kapatılsa bile korelasyon yapabilir.
Bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman
pencereli (time window) korelasyon yapabilir,
Korelasyon kurallarının yazılması için ürün görsel bir ara yüze sahiptir,
Kuralların belirli bir süre alarm üretmesinin durdurulması (Alarm Suspend),
Kuralların sadece belirlenen zaman dilimlerinde çalışması,
Birden fazla değişik olayın gerçekleşmesi (birleşik korelasyon) şeklindeki korelasyonları
destekler,
Pek çok global üründe dahi olmayan TAG (Kullanıcı tarafından otomatik veya manuel alan
ekleme),
Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,
Hafızada korelasyon yapabilmeyi destekler,
3. Tek kaynak korelasyon kurallarını destekler,
Çoklu kaynak korelasyon kurallarını destekler,
Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,
Pek çok global üründe dahi olmayan Context base korelasyonu destekler,
Pek çok global üründe dahi olmayan Hiyerarşik korelasyonu destekler,
Pek çok global üründe dahi olmayan Dinamik liste içerisinde kontrolü destekler,
Kuralları yazarken çok geniş operatör desteğine sahiptir. Örnek:
SureLog Korelasyon Avantajları
Bu bolümde SureLog ürününün mevcut SIEM ürünlerinin korelsayon yeteneklerine göre avantajları
açıklanacaktır. Bu avantajlar 3 ana grupta toplanabilir.
Taxonomy
Senaryo Kuralları
Threat Intelligence
Taxonomy
Taxonomy en basit şekilde gruplandırma olarak açıklanabilir. Örnek vermek gerekirse
Bir router login işlemi
Bir switch login işlemi
Bir Firewall login işlemi
Bir Windows server login işlemi
Bir Linux login işlemi
Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hem raporlarken
tek bir hareketle “Networkumdeki bütün login işlemlerini raporla” hem de korelasyonda “UTM
cihazım aynı IP den dakikada 15 tane paketi virüslü olarak blokladıktan sonraki 5 dakika içerisinde
networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi
kurallar yazılmasına imkân tanır.
4. Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki
işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int
untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga
eklenmesi işlemidir.
SureLog da mevcut 1537 gruptan bazıları
Reconnaissance->Scan->Host
• TCPTrafficAudit->TCP SYN Flag
• ICMPTrafficAudit
• NamingTrafficAudit
• Malicious->Web->SQL
• Flow->Fragmentation
• httpproxy->TrafficAudit accept
• HTTPDynamicContentAccess
• WebTrafficAudit.Web Content
• HealthStatus.Informational.Traffic.Start
• Malicious.BufferOverflow
• Malicious.Trojan
• PolicyViolation
• Malicious.Web.Attack
Loglar ve Tespit Edilen Taxonomy Örnekleri
Fortigate
o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686
logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root"
severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3"
policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1
attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024
sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024"
incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner,"
o Taxonamy :HTTPDynamicContentAccess
Netscreen
o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20:
NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic):
start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src
zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200
dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst-
xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000>
o Taxonamy :TCPTrafficAudit.
5. Paloalto
o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06
18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfreshmun001tr,,web-
browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06
18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat
is.aspx",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0-
10.255.255.255,Turkey,0,text/html
o Taxonamy :WebTrafficAudit.Web Content
Sonicwall
o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237
pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1:
dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414
o Taxonamy :NamingTrafficAudit
Cisco Pix
o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection
2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to
inside:192.168.147.2/80 (212.109.105.3/80}
o Taxonamy :HealthStatus.Informational.Traffic.Start
Snort
o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 ->
192.168.3.65:1035
o Taxonamy : Malicious.BufferOverflow
o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC -
URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}
192.168.3.65:1036 -> 188.72.243.72:80
o Taxonamy : Malicious.Trojan
o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**]
[Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033
o Taxonamy : PolicyViolation
o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary
file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -
> 192.168.3.65:1033
o Taxonamy : Malicious.Web.Attack
Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.
6. SureLog Int. Ed. yaklaşık 350 farklı log tipi için yaklaşık 3 milyon imza (signature) taraması yapabilir.
SureLog tarafından yapılan sınıflandırmalara örnek:
“Successful Login”
“Malicious DNS Attack”
“Compromised Virus Attachment NotCleaned”
“Informational VPN Tunnel Failed”
“Informational.Traffic.Start”
Sınıflandırma işlemi
Kelime bazlı, Kalime(ler), servis kombinasyonları,
Verinin toplandığı sistem imzaları (signatures)
Operasyonel parmak izleri (fingerprints)
Vb..
Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır.
Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri
sonucu yapılır.
Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir.
Örnek olarak:
Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma
prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından
birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific)
hale getirilmesi çok başarılı sonuçlar elde edilir.
İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği
kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında
tarama yapılır.
7. Bu tarama basit bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki
adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza
(signature) örneği:
ERROR<vrrp>transmit-cannot-receive
Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere
(src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur.
Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve
oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta
Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp
“HealthStatus Abnormal”
Damgası vurularak korelasyona dâhil edilir.
ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit
gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir.
Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit
sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir
bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan
aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da
tamamlamış oluyoruz.
Örnek Kural
Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden
(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme
oturum açar ise haber ver.
Sistem kendisi saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel
sistemlerin verilerini analiz eder ve sonuçlarını korelasyona tabi tutar.
Taxonomy ile ilgili daha detaylı bilgiler için :
https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html
http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution
http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
Senaryo kuralları
Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.
Örnek kural:
8. 1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyar.
Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz.
http://www.youtube.com/watch?v=pCSMezPxRhY
Senaryo temelli kural geliştirebilmek için:
Rule Severity: Birden fazla kuralı sıra veya aralarındaki zaman ilişkisine göre işletebilmelidir.
Birden çok korelasyondan başka bir korelasyon yazılabilmeli
Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi,
diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilmeli
Birden fazla değişik olayın belirli süre zarfında sıralı olarak gerçekleşmesi ( X ' Y) (sıralı
(sequential) korelasyon) kuralı yazılabilmeli
Her bir korelasyon kuralı için öncelik değeri verilebilmeli
Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme
Herhangi bir çıkarımı birden fazla kuralın kaynak IP, Hedef IP, Kullanıcı, Bilgisayar adı, kaynak ve
hedef portlarının aynı olması veya olmaması ilişkisi ile sıra veya zaman ilişkisi ile ilişkilendirip
sonuçlandırmak mümkündür.
Örnek:
Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar
Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa
uyar
9. Benzer şekilde yukarıdaki mantık ile birden fazla değişik olayın belirli süre zarfında sıralı olarak bir
kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilir.
10. Yukarıdaki editörden görüldüğü gibi
Önce Part_1 kuralı, sonra not_port kuralının oluşmaması ve ardından part_3 kuralının oluşması
seklinde kurallardan oluşan alarm oluşturmak mümkündür.
11. Mantıksal Bağımsızlık
Senaryo temelli bir kural geliştirebilmek için loglar arasında ilişkileri kurarken tam esneklik gerekir.
Normalize edilmiş herhangi bir logun herhangi bir özelliği (örnek: Kaynak IP) ile diğer bir logun
özelliği ilişkilendirilebilmeli ve daha sonra da loglar arası mantıksal işlemler yapılabilmelidir. SureLog
Int. Edt. Bunu sağlar.
Örnek: A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar.
Yukarıdaki kuralda görüldüğü gibi her 2 logda da kullanıcının (A) ı ve sunucunun (X) ayanı olması
bekleniyor. Ayrıca senaryonun 2. Adımında da 2. Olayın belirtilen süre zarfında olmamış olması
bekleniyor
Thrashold kuralları
Thrashold kuralları bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi
(zaman pencereli (time window) durumunun tespiti için kullanılır. Aşağıda bu kural geliştirme
sihirbazı görülmektedir. Bu tür kuralların yazıldığı benzer ürünlere göre Same Events ve Different
Events ayarları bir üstün özelliktir. Ayrıca bu sayma özelliği sonucunda çıkan sonuç diğer bir kurala
bağlanabilir.
Örnek: Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika
içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
12. Threat Intelligence
Threat Intelligence global değişik kaynaklara (IP Block List, Spammers etc.. ) entegrasyonu
olarak oralardan kara listeleri çekip bunlarla ilgili uyarı sistemi oluşturmaya verilen addır.
Örnek Kurallar
Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi
bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme
oturum açar ise tespit et,
Port/Network Tarama Tespiti için örnek Log Korelasyon/SIEM kuralı:Bir saat içerisinde , aynı
kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi
yapılıyorsa alarm üret
Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde
3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7
gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.
13. Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar,
Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar
Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi
tespit et.
Fraud Tespiti için örnek Log Korelasyon/SIEM kuralı:Sisteminize, bir gün içerisinde , aynı
kullanıcı farklı ülkelerden geliyorsa, muhtemelen fraud işlemi yapılıyordur.
Birisi Networkünüzde DHCP server açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu
bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya
yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar
RDP taraması yapan var mı? Tespiti için örnek Log Korelasyon/SIEM kuralı: Aynı IP den
birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.
Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum
denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.
Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login
olunduysa uyar
Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika
içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız
olunursa uyar,
Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum
açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.
Danışmanlarınız uzaktan RDP ile şirketinize bağlanıyor ve bir portal üzerinden veya bir client
kullanarak danışmanlıklarını verdikleri sisteme bağlanıyorlar. Böyle durumlarda
kullabileceğiniz özel bir log korelasyon kuralı:
Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e
ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar.
Brute-force deneme tespiti için kullanılabilecek bir kural örneği:Eğer aynı IP’den, kısa
zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa, bu loglar bir
brute-force denemesine işaret ediyor olabilir.
Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika
içerisinde başka saldırının hedefi olmuş ise uyar,
Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu
kullanıcı ve bunu bloklayan kuralı tespit et,
A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyarı almak veya aksiyon gerçekleştir,
Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı ve sonrasında D olayı olursa uyar.
Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı olmazsa ve sonrasında D olayı
olursa uyar.
Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan
işletilmek üzere gönderilirse uyar
W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı
login logu gelirse uyar
Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat
içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından
mail gönderildi ise uyar,
14. Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum
denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.
Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve
ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar.
Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı
oluşuyorsa uyar
Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar
Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar
Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir
defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca
paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)
UnusualUDPTraffic üreten kaynak IP yi bildir
IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar
Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar”
listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar
Bir IP taraması olursa uyar
WEB üzerinden SQL atağı olursa uyar
Mesai saatleri dışında sunuculara ulaşan olursa uyar
Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum
açmayı denerse uyar