SlideShare a Scribd company logo

ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ

Ertugrul Akbas
Ertugrul Akbas

ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır. SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.

Technology
1 of 14
Download to read offline
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ
İçindekiler ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN ÜSTÜNLÜKLERİ.................................... 1 Korelasyon Avantajları............................................................................................................................. 3 Taxonomy ............................................................................................................................................ 3 Senaryo kuralları................................................................................................................................. 7 Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme ................................................................ 8 Mantıksal Bağımsızlık .................................................................................................................... 11 Thrashold kuralları......................................................................................................................... 11 Threat Intelligence............................................................................................................................. 12 Örnek Kurallar ................................................................................................................................... 12 ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır. SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır. ANET SURELOG International Edition ürününün korelasyon tarafının üstünlüklerine geçmeden önce temel korelasyon özelliklerini açıklamak gerekirse:  Korelasyon gerçek zamanlıdır,  Korelasyon kuralı geliştirme editörü sorgu (SQL ,NoSQL, Flat File) temelli değildir. Özel bir kural geliştirme sihirbazına sahiptir,  Korelasyon motoru her zaman aktif tir. Bazı ürünlerdeki gibi periyodik çalışma handikabına sahip değildir.  Korelasyon motoru veri tabanı (SQL ,NoSQL, Flat File) üzerinden çalışmaz ve veri tabanı kapatılsa bile korelasyon yapabilir.  Bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman pencereli (time window) korelasyon yapabilir,  Korelasyon kurallarının yazılması için ürün görsel bir ara yüze sahiptir,  Kuralların belirli bir süre alarm üretmesinin durdurulması (Alarm Suspend),  Kuralların sadece belirlenen zaman dilimlerinde çalışması,  Birden fazla değişik olayın gerçekleşmesi (birleşik korelasyon) şeklindeki korelasyonları destekler,  Pek çok global üründe dahi olmayan TAG (Kullanıcı tarafından otomatik veya manuel alan ekleme),  Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,  Hafızada korelasyon yapabilmeyi destekler,
 Tek kaynak korelasyon kurallarını destekler,  Çoklu kaynak korelasyon kurallarını destekler,  Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,  Pek çok global üründe dahi olmayan Context base korelasyonu destekler,  Pek çok global üründe dahi olmayan Hiyerarşik korelasyonu destekler,  Pek çok global üründe dahi olmayan Dinamik liste içerisinde kontrolü destekler,  Kuralları yazarken çok geniş operatör desteğine sahiptir. Örnek: SureLog Korelasyon Avantajları Bu bolümde SureLog ürününün mevcut SIEM ürünlerinin korelsayon yeteneklerine göre avantajları açıklanacaktır. Bu avantajlar 3 ana grupta toplanabilir.  Taxonomy  Senaryo Kuralları  Threat Intelligence Taxonomy Taxonomy en basit şekilde gruplandırma olarak açıklanabilir. Örnek vermek gerekirse  Bir router login işlemi  Bir switch login işlemi  Bir Firewall login işlemi  Bir Windows server login işlemi  Bir Linux login işlemi Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hem raporlarken tek bir hareketle “Networkumdeki bütün login işlemlerini raporla” hem de korelasyonda “UTM cihazım aynı IP den dakikada 15 tane paketi virüslü olarak blokladıktan sonraki 5 dakika içerisinde networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi kurallar yazılmasına imkân tanır.
Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga eklenmesi işlemidir. SureLog da mevcut 1537 gruptan bazıları Reconnaissance->Scan->Host • TCPTrafficAudit->TCP SYN Flag • ICMPTrafficAudit • NamingTrafficAudit • Malicious->Web->SQL • Flow->Fragmentation • httpproxy->TrafficAudit accept • HTTPDynamicContentAccess • WebTrafficAudit.Web Content • HealthStatus.Informational.Traffic.Start • Malicious.BufferOverflow • Malicious.Trojan • PolicyViolation • Malicious.Web.Attack Loglar ve Tespit Edilen Taxonomy Örnekleri Fortigate o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3" policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1 attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024 sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024" incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner," o Taxonamy :HTTPDynamicContentAccess Netscreen o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20: NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic): start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200 dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst- xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000> o Taxonamy :TCPTrafficAudit.
Paloalto o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06 18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfreshmun001tr,,web- browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06 18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat is.aspx",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0- 10.255.255.255,Turkey,0,text/html o Taxonamy :WebTrafficAudit.Web Content Sonicwall o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237 pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1: dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414 o Taxonamy :NamingTrafficAudit Cisco Pix o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection 2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to inside:192.168.147.2/80 (212.109.105.3/80} o Taxonamy :HealthStatus.Informational.Traffic.Start Snort o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 -> 192.168.3.65:1035 o Taxonamy : Malicious.BufferOverflow o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC - URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.3.65:1036 -> 188.72.243.72:80 o Taxonamy : Malicious.Trojan o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033 o Taxonamy : PolicyViolation o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 - > 192.168.3.65:1033 o Taxonamy : Malicious.Web.Attack Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.
SureLog Int. Ed. yaklaşık 350 farklı log tipi için yaklaşık 3 milyon imza (signature) taraması yapabilir. SureLog tarafından yapılan sınıflandırmalara örnek:  “Successful Login”  “Malicious DNS Attack”  “Compromised Virus Attachment NotCleaned”  “Informational VPN Tunnel Failed”  “Informational.Traffic.Start” Sınıflandırma işlemi  Kelime bazlı, Kalime(ler), servis kombinasyonları,  Verinin toplandığı sistem imzaları (signatures)  Operasyonel parmak izleri (fingerprints)  Vb.. Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır. Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri sonucu yapılır. Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir. Örnek olarak: Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific) hale getirilmesi çok başarılı sonuçlar elde edilir. İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında tarama yapılır.
Bu tarama basit bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza (signature) örneği: ERROR<vrrp>transmit-cannot-receive Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere (src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur. Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp “HealthStatus Abnormal” Damgası vurularak korelasyona dâhil edilir. ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir. Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da tamamlamış oluyoruz. Örnek Kural  Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver. Sistem kendisi saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel sistemlerin verilerini analiz eder ve sonuçlarını korelasyona tabi tutar. Taxonomy ile ilgili daha detaylı bilgiler için : https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Senaryo kuralları Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar. Örnek kural:
1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz. http://www.youtube.com/watch?v=pCSMezPxRhY Senaryo temelli kural geliştirebilmek için:  Rule Severity: Birden fazla kuralı sıra veya aralarındaki zaman ilişkisine göre işletebilmelidir.  Birden çok korelasyondan başka bir korelasyon yazılabilmeli  Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilmeli  Birden fazla değişik olayın belirli süre zarfında sıralı olarak gerçekleşmesi ( X ' Y) (sıralı (sequential) korelasyon) kuralı yazılabilmeli  Her bir korelasyon kuralı için öncelik değeri verilebilmeli Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme Herhangi bir çıkarımı birden fazla kuralın kaynak IP, Hedef IP, Kullanıcı, Bilgisayar adı, kaynak ve hedef portlarının aynı olması veya olmaması ilişkisi ile sıra veya zaman ilişkisi ile ilişkilendirip sonuçlandırmak mümkündür. Örnek: Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar
Benzer şekilde yukarıdaki mantık ile birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilir.
Yukarıdaki editörden görüldüğü gibi Önce Part_1 kuralı, sonra not_port kuralının oluşmaması ve ardından part_3 kuralının oluşması seklinde kurallardan oluşan alarm oluşturmak mümkündür.
Mantıksal Bağımsızlık Senaryo temelli bir kural geliştirebilmek için loglar arasında ilişkileri kurarken tam esneklik gerekir. Normalize edilmiş herhangi bir logun herhangi bir özelliği (örnek: Kaynak IP) ile diğer bir logun özelliği ilişkilendirilebilmeli ve daha sonra da loglar arası mantıksal işlemler yapılabilmelidir. SureLog Int. Edt. Bunu sağlar. Örnek: A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Yukarıdaki kuralda görüldüğü gibi her 2 logda da kullanıcının (A) ı ve sunucunun (X) ayanı olması bekleniyor. Ayrıca senaryonun 2. Adımında da 2. Olayın belirtilen süre zarfında olmamış olması bekleniyor Thrashold kuralları Thrashold kuralları bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman pencereli (time window) durumunun tespiti için kullanılır. Aşağıda bu kural geliştirme sihirbazı görülmektedir. Bu tür kuralların yazıldığı benzer ürünlere göre Same Events ve Different Events ayarları bir üstün özelliktir. Ayrıca bu sayma özelliği sonucunda çıkan sonuç diğer bir kurala bağlanabilir. Örnek: Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
Threat Intelligence  Threat Intelligence global değişik kaynaklara (IP Block List, Spammers etc.. ) entegrasyonu olarak oralardan kara listeleri çekip bunlarla ilgili uyarı sistemi oluşturmaya verilen addır. Örnek Kurallar  Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme oturum açar ise tespit et,  Port/Network Tarama Tespiti için örnek Log Korelasyon/SIEM kuralı:Bir saat içerisinde , aynı kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi yapılıyorsa alarm üret  Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde 3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7 gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.
 Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar,  Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar  Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.  Fraud Tespiti için örnek Log Korelasyon/SIEM kuralı:Sisteminize, bir gün içerisinde , aynı kullanıcı farklı ülkelerden geliyorsa, muhtemelen fraud işlemi yapılıyordur.  Birisi Networkünüzde DHCP server açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar  RDP taraması yapan var mı? Tespiti için örnek Log Korelasyon/SIEM kuralı: Aynı IP den birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.  Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.  Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar  Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,  Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar,  Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.  Danışmanlarınız uzaktan RDP ile şirketinize bağlanıyor ve bir portal üzerinden veya bir client kullanarak danışmanlıklarını verdikleri sisteme bağlanıyorlar. Böyle durumlarda kullabileceğiniz özel bir log korelasyon kuralı:  Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar.  Brute-force deneme tespiti için kullanılabilecek bir kural örneği:Eğer aynı IP’den, kısa zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa, bu loglar bir brute-force denemesine işaret ediyor olabilir.  Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika içerisinde başka saldırının hedefi olmuş ise uyar,  Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu kullanıcı ve bunu bloklayan kuralı tespit et,  A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyarı almak veya aksiyon gerçekleştir,  Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı ve sonrasında D olayı olursa uyar.  Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı olmazsa ve sonrasında D olayı olursa uyar.  Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan işletilmek üzere gönderilirse uyar  W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login logu gelirse uyar  Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından mail gönderildi ise uyar,
 Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.  Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar.  Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar  Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar  Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar  Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)  UnusualUDPTraffic üreten kaynak IP yi bildir  IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar  Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar  Bir IP taraması olursa uyar  WEB üzerinden SQL atağı olursa uyar  Mesai saatleri dışında sunuculara ulaşan olursa uyar  Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum açmayı denerse uyar

Recommended

Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 

Recommended

Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
Fuat Ulugay, CISSP
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Forti̇gate ayarlari
Forti̇gate ayarlariForti̇gate ayarlari
Forti̇gate ayarlari
huzeyfe
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
Ertugrul Akbas
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
BGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
BGA Cyber Security
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Ertugrul Akbas
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Ertugrul Akbas
 

More Related Content

What's hot

Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
Fuat Ulugay, CISSP
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Forti̇gate ayarlari
Forti̇gate ayarlariForti̇gate ayarlari
Forti̇gate ayarlari
huzeyfe
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
Ertugrul Akbas
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
BGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
BGA Cyber Security
 

What's hot (20)

Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Forti̇gate ayarlari
Forti̇gate ayarlariForti̇gate ayarlari
Forti̇gate ayarlari
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
 

Viewers also liked

Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Ertugrul Akbas
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Ertugrul Akbas
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
Ertugrul Akbas
 
ANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponseANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
Machine learning scientist
Machine learning scientistMachine learning scientist
Machine learning scientist
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
Ertugrul Akbas
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
Ertugrul Akbas
 
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Ertugrul Akbas
 
Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance data
Ertugrul Akbas
 
SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...
SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...
SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...
Ertugrul Akbas
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
Why SureLog?
Why SureLog?Why SureLog?
Why SureLog?
Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
Ertugrul Akbas
 

Viewers also liked (19)

Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
 
ANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponseANET SureLog SIEM IntelligentResponse
ANET SureLog SIEM IntelligentResponse
 
Machine learning scientist
Machine learning scientistMachine learning scientist
Machine learning scientist
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product The correlation advantages of ANET SURELOG International Edition SIEM product
The correlation advantages of ANET SURELOG International Edition SIEM product
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
 
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
 
Log correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance dataLog correlation SIEM rule examples and correlation engine performance data
Log correlation SIEM rule examples and correlation engine performance data
 
SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...
SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...
SIEM Surelog Arcsight Qradar LogRhythm Alienvault Solarwinds LEM Performance...
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
 
Why SureLog?
Why SureLog?Why SureLog?
Why SureLog?
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 

Similar to ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ

Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiFatih Ozavci
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
toyotanın tedarik zinciri
toyotanın tedarik zinciritoyotanın tedarik zinciri
toyotanın tedarik zinciri
Betul Kesimal
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
Ertugrul Akbas
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Cryptospot kullanım kılavuzu (v1.6.0)
Cryptospot kullanım kılavuzu (v1.6.0)Cryptospot kullanım kılavuzu (v1.6.0)
Cryptospot kullanım kılavuzu (v1.6.0)Neyasis Technology
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
Ertugrul Akbas
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage Kullanımı
BGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
BGA Cyber Security
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
Ertugrul Akbas
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]BGA Cyber Security
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
Turkhackteam Blue Team
 
Sysmon ile Log Toplama
Sysmon ile Log ToplamaSysmon ile Log Toplama
Sysmon ile Log Toplama
PRISMA CSI
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
Ertugrul Akbas
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
BGA Cyber Security
 

Similar to ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ (20)

Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
toyotanın tedarik zinciri
toyotanın tedarik zinciritoyotanın tedarik zinciri
toyotanın tedarik zinciri
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Cryptospot kullanım kılavuzu (v1.6.0)
Cryptospot kullanım kılavuzu (v1.6.0)Cryptospot kullanım kılavuzu (v1.6.0)
Cryptospot kullanım kılavuzu (v1.6.0)
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage Kullanımı
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
 
Sysmon ile Log Toplama
Sysmon ile Log ToplamaSysmon ile Log Toplama
Sysmon ile Log Toplama
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
 

More from Ertugrul Akbas

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
Ertugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
Ertugrul Akbas
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
Ertugrul Akbas
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
Ertugrul Akbas
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
Siem tools
Siem toolsSiem tools
Siem tools
Ertugrul Akbas
 
KVKK
KVKKKVKK
KVKK
Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 

ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ

  • 1. ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ
  • 2. İçindekiler ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN ÜSTÜNLÜKLERİ.................................... 1 Korelasyon Avantajları............................................................................................................................. 3 Taxonomy ............................................................................................................................................ 3 Senaryo kuralları................................................................................................................................. 7 Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme ................................................................ 8 Mantıksal Bağımsızlık .................................................................................................................... 11 Thrashold kuralları......................................................................................................................... 11 Threat Intelligence............................................................................................................................. 12 Örnek Kurallar ................................................................................................................................... 12 ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır. SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır. ANET SURELOG International Edition ürününün korelasyon tarafının üstünlüklerine geçmeden önce temel korelasyon özelliklerini açıklamak gerekirse:  Korelasyon gerçek zamanlıdır,  Korelasyon kuralı geliştirme editörü sorgu (SQL ,NoSQL, Flat File) temelli değildir. Özel bir kural geliştirme sihirbazına sahiptir,  Korelasyon motoru her zaman aktif tir. Bazı ürünlerdeki gibi periyodik çalışma handikabına sahip değildir.  Korelasyon motoru veri tabanı (SQL ,NoSQL, Flat File) üzerinden çalışmaz ve veri tabanı kapatılsa bile korelasyon yapabilir.  Bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman pencereli (time window) korelasyon yapabilir,  Korelasyon kurallarının yazılması için ürün görsel bir ara yüze sahiptir,  Kuralların belirli bir süre alarm üretmesinin durdurulması (Alarm Suspend),  Kuralların sadece belirlenen zaman dilimlerinde çalışması,  Birden fazla değişik olayın gerçekleşmesi (birleşik korelasyon) şeklindeki korelasyonları destekler,  Pek çok global üründe dahi olmayan TAG (Kullanıcı tarafından otomatik veya manuel alan ekleme),  Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,  Hafızada korelasyon yapabilmeyi destekler,
  • 3.  Tek kaynak korelasyon kurallarını destekler,  Çoklu kaynak korelasyon kurallarını destekler,  Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,  Pek çok global üründe dahi olmayan Context base korelasyonu destekler,  Pek çok global üründe dahi olmayan Hiyerarşik korelasyonu destekler,  Pek çok global üründe dahi olmayan Dinamik liste içerisinde kontrolü destekler,  Kuralları yazarken çok geniş operatör desteğine sahiptir. Örnek: SureLog Korelasyon Avantajları Bu bolümde SureLog ürününün mevcut SIEM ürünlerinin korelsayon yeteneklerine göre avantajları açıklanacaktır. Bu avantajlar 3 ana grupta toplanabilir.  Taxonomy  Senaryo Kuralları  Threat Intelligence Taxonomy Taxonomy en basit şekilde gruplandırma olarak açıklanabilir. Örnek vermek gerekirse  Bir router login işlemi  Bir switch login işlemi  Bir Firewall login işlemi  Bir Windows server login işlemi  Bir Linux login işlemi Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hem raporlarken tek bir hareketle “Networkumdeki bütün login işlemlerini raporla” hem de korelasyonda “UTM cihazım aynı IP den dakikada 15 tane paketi virüslü olarak blokladıktan sonraki 5 dakika içerisinde networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi kurallar yazılmasına imkân tanır.
  • 4. Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga eklenmesi işlemidir. SureLog da mevcut 1537 gruptan bazıları Reconnaissance->Scan->Host • TCPTrafficAudit->TCP SYN Flag • ICMPTrafficAudit • NamingTrafficAudit • Malicious->Web->SQL • Flow->Fragmentation • httpproxy->TrafficAudit accept • HTTPDynamicContentAccess • WebTrafficAudit.Web Content • HealthStatus.Informational.Traffic.Start • Malicious.BufferOverflow • Malicious.Trojan • PolicyViolation • Malicious.Web.Attack Loglar ve Tespit Edilen Taxonomy Örnekleri Fortigate o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3" policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1 attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024 sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024" incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner," o Taxonamy :HTTPDynamicContentAccess Netscreen o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20: NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic): start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200 dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst- xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000> o Taxonamy :TCPTrafficAudit.
  • 5. Paloalto o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06 18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfreshmun001tr,,web- browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06 18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat is.aspx",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0- 10.255.255.255,Turkey,0,text/html o Taxonamy :WebTrafficAudit.Web Content Sonicwall o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237 pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1: dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414 o Taxonamy :NamingTrafficAudit Cisco Pix o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection 2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to inside:192.168.147.2/80 (212.109.105.3/80} o Taxonamy :HealthStatus.Informational.Traffic.Start Snort o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 -> 192.168.3.65:1035 o Taxonamy : Malicious.BufferOverflow o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC - URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.3.65:1036 -> 188.72.243.72:80 o Taxonamy : Malicious.Trojan o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033 o Taxonamy : PolicyViolation o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 - > 192.168.3.65:1033 o Taxonamy : Malicious.Web.Attack Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.
  • 6. SureLog Int. Ed. yaklaşık 350 farklı log tipi için yaklaşık 3 milyon imza (signature) taraması yapabilir. SureLog tarafından yapılan sınıflandırmalara örnek:  “Successful Login”  “Malicious DNS Attack”  “Compromised Virus Attachment NotCleaned”  “Informational VPN Tunnel Failed”  “Informational.Traffic.Start” Sınıflandırma işlemi  Kelime bazlı, Kalime(ler), servis kombinasyonları,  Verinin toplandığı sistem imzaları (signatures)  Operasyonel parmak izleri (fingerprints)  Vb.. Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır. Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri sonucu yapılır. Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir. Örnek olarak: Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific) hale getirilmesi çok başarılı sonuçlar elde edilir. İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında tarama yapılır.
  • 7. Bu tarama basit bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza (signature) örneği: ERROR<vrrp>transmit-cannot-receive Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere (src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur. Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp “HealthStatus Abnormal” Damgası vurularak korelasyona dâhil edilir. ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir. Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da tamamlamış oluyoruz. Örnek Kural  Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver. Sistem kendisi saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel sistemlerin verilerini analiz eder ve sonuçlarını korelasyona tabi tutar. Taxonomy ile ilgili daha detaylı bilgiler için : https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Senaryo kuralları Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar. Örnek kural:
  • 8. 1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz. http://www.youtube.com/watch?v=pCSMezPxRhY Senaryo temelli kural geliştirebilmek için:  Rule Severity: Birden fazla kuralı sıra veya aralarındaki zaman ilişkisine göre işletebilmelidir.  Birden çok korelasyondan başka bir korelasyon yazılabilmeli  Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilmeli  Birden fazla değişik olayın belirli süre zarfında sıralı olarak gerçekleşmesi ( X ' Y) (sıralı (sequential) korelasyon) kuralı yazılabilmeli  Her bir korelasyon kuralı için öncelik değeri verilebilmeli Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme Herhangi bir çıkarımı birden fazla kuralın kaynak IP, Hedef IP, Kullanıcı, Bilgisayar adı, kaynak ve hedef portlarının aynı olması veya olmaması ilişkisi ile sıra veya zaman ilişkisi ile ilişkilendirip sonuçlandırmak mümkündür. Örnek: Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar
  • 9. Benzer şekilde yukarıdaki mantık ile birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilir.
  • 10. Yukarıdaki editörden görüldüğü gibi Önce Part_1 kuralı, sonra not_port kuralının oluşmaması ve ardından part_3 kuralının oluşması seklinde kurallardan oluşan alarm oluşturmak mümkündür.
  • 11. Mantıksal Bağımsızlık Senaryo temelli bir kural geliştirebilmek için loglar arasında ilişkileri kurarken tam esneklik gerekir. Normalize edilmiş herhangi bir logun herhangi bir özelliği (örnek: Kaynak IP) ile diğer bir logun özelliği ilişkilendirilebilmeli ve daha sonra da loglar arası mantıksal işlemler yapılabilmelidir. SureLog Int. Edt. Bunu sağlar. Örnek: A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Yukarıdaki kuralda görüldüğü gibi her 2 logda da kullanıcının (A) ı ve sunucunun (X) ayanı olması bekleniyor. Ayrıca senaryonun 2. Adımında da 2. Olayın belirtilen süre zarfında olmamış olması bekleniyor Thrashold kuralları Thrashold kuralları bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman pencereli (time window) durumunun tespiti için kullanılır. Aşağıda bu kural geliştirme sihirbazı görülmektedir. Bu tür kuralların yazıldığı benzer ürünlere göre Same Events ve Different Events ayarları bir üstün özelliktir. Ayrıca bu sayma özelliği sonucunda çıkan sonuç diğer bir kurala bağlanabilir. Örnek: Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
  • 12. Threat Intelligence  Threat Intelligence global değişik kaynaklara (IP Block List, Spammers etc.. ) entegrasyonu olarak oralardan kara listeleri çekip bunlarla ilgili uyarı sistemi oluşturmaya verilen addır. Örnek Kurallar  Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme oturum açar ise tespit et,  Port/Network Tarama Tespiti için örnek Log Korelasyon/SIEM kuralı:Bir saat içerisinde , aynı kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi yapılıyorsa alarm üret  Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde 3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7 gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.
  • 13.  Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar,  Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar  Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.  Fraud Tespiti için örnek Log Korelasyon/SIEM kuralı:Sisteminize, bir gün içerisinde , aynı kullanıcı farklı ülkelerden geliyorsa, muhtemelen fraud işlemi yapılıyordur.  Birisi Networkünüzde DHCP server açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar  RDP taraması yapan var mı? Tespiti için örnek Log Korelasyon/SIEM kuralı: Aynı IP den birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.  Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.  Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar  Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,  Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar,  Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.  Danışmanlarınız uzaktan RDP ile şirketinize bağlanıyor ve bir portal üzerinden veya bir client kullanarak danışmanlıklarını verdikleri sisteme bağlanıyorlar. Böyle durumlarda kullabileceğiniz özel bir log korelasyon kuralı:  Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar.  Brute-force deneme tespiti için kullanılabilecek bir kural örneği:Eğer aynı IP’den, kısa zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa, bu loglar bir brute-force denemesine işaret ediyor olabilir.  Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika içerisinde başka saldırının hedefi olmuş ise uyar,  Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu kullanıcı ve bunu bloklayan kuralı tespit et,  A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyarı almak veya aksiyon gerçekleştir,  Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı ve sonrasında D olayı olursa uyar.  Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı olmazsa ve sonrasında D olayı olursa uyar.  Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan işletilmek üzere gönderilirse uyar  W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login logu gelirse uyar  Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından mail gönderildi ise uyar,
  • 14.  Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.  Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar.  Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar  Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar  Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar  Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)  UnusualUDPTraffic üreten kaynak IP yi bildir  IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar  Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar  Bir IP taraması olursa uyar  WEB üzerinden SQL atağı olursa uyar  Mesai saatleri dışında sunuculara ulaşan olursa uyar  Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum açmayı denerse uyar