Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
SIEM KORELASYON MOTORU DEĞERLENDİRME KRİTERLERİErtugrul Akbas
SIEM ürünlerinin korelasyon yeteneğinin detaylı teknik analizi için kullandığımız parametreler. Bu parametreleri kullanarak bilinen SIEM ürünlerine baktığımız bir İngilizce çalışmamız da mevcut. Rekabet şartları gereği isimleri açıklamamakla beraber, açıklanmasında sıkıntı olmayan verileri bize ulaşan konu ile ilgili kişi ve kuruluşlarla da uygun gördüğümüz ortamda paylaşabiliriz.
There are relationships among the total correlation rule to be executed, complexity of the rules and EPS values together with CPU, RAM, Disk speed.
Also one other important issue is the easy of developing complex rules with wizards and executing them with high EPS values.
The SIEM products and the performance analyses of these products are very important in terms of evaluation.
The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
SIEM KORELASYON MOTORU DEĞERLENDİRME KRİTERLERİErtugrul Akbas
SIEM ürünlerinin korelasyon yeteneğinin detaylı teknik analizi için kullandığımız parametreler. Bu parametreleri kullanarak bilinen SIEM ürünlerine baktığımız bir İngilizce çalışmamız da mevcut. Rekabet şartları gereği isimleri açıklamamakla beraber, açıklanmasında sıkıntı olmayan verileri bize ulaşan konu ile ilgili kişi ve kuruluşlarla da uygun gördüğümüz ortamda paylaşabiliriz.
There are relationships among the total correlation rule to be executed, complexity of the rules and EPS values together with CPU, RAM, Disk speed.
Also one other important issue is the easy of developing complex rules with wizards and executing them with high EPS values.
The SIEM products and the performance analyses of these products are very important in terms of evaluation.
The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Security Event Analysis Through CorrelationAnton Chuvakin
This paper covers several of the security event correlation methods, utilized by Security Information Management (SIM) solutions for better attack and misuse detection. We describe these correlation methods, show their corresponding advantages and disadvantages and explain how they work together for maximum security.
Enhancing SIEM Correlation Rules Through BaseliningErtugrul Akbas
Enterprise grade software has been updated with a capability that identifies anomalous events based on baselines as well as rule based correlation engine, and alerts administrators when such events are identified. To reduce the number of false positive alerts we have investigated the use of different baseline training techniques and introduce the use of 3 different training approaches for baseline detection and updating lifecycle
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Laravel 4 - Events and Queues - 2013.12.21Arda Kılıçdağı
İTÜ Ayazağa kampüsünde 21 aralık 2013 tarihinde sunmuş olduğum Laravel 4: Events & Queues sunumu
Sunum boyunca verilen örneklerin kaynak kodlarına buradan erişebilirsiniz:
https://github.com/Ardakilic/laravel-4-workshop-sunum
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Modern log yönetimi sistemleri ve trafik analiziErtugrul Akbas
Modern Log Yönetim sistemlerinin sadece log arama ve log sayma (log search - log count) işlemlerinden çok daha gelişkin özelliklere sahip olması gerekir.Modern log yönetimi sistemlerinde olması gereken pek çok özellikten biri de trafik analizi yeteneğidir. Bu yetenek hem trafik, protokol ve güvenlik unsurlarını trafiğe etkisi hem de bu korelasyon kurallarına etkisi açısında çok önemlidir.
Similar to KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ (20)
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
1. KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG
YÖNETİMİ
Dr. Ertuğrul AKBAŞ
Kelimeler: Korelasyon, Korelasyon Motorları, Bilgi Çıkarımı, Bilgi Güvenliği, Log Yönetimi, Log
Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme,
SIEM, SYSLOG, SNMP, 5651 Sayılı Kanun, Karmaşık Olay İnceleme, Complex Event Processing, CEP,
Olaylar Akımı İnceleme, Event Stream Processing, ESP, RETE Algorithm, CEP, Event, ECA, Rules, İleri
Analitik ve Korelasyon Yetenekleri
OLAY VE KORELASYON TANIMI
Genellikle olay basitçe, zaman içerisinde herhangi bir anda olan herşey olarak tarif edilebilir
Örnek olarak:Bir telefonun zil çalması, bir trenin varışı, bir dosyaya erişilmesi veya olan herhangi birşey verilebilir.
Bilişim terminolojisi açısından bakarsak olay ne olduğu ve ne zaman olduğu ile ilgili bilgi içeren mesajdır.
Örnek vermek gerekirse: WEB sunucusuna yapılan isteğin sistem log dosyasına kaydı,network link down mesajı ya da
kullanıcı butona bastı olayları gibi
Korelasyon ise farklı olaylar arasındaki ilişkiyi ortaya çıkarma işlemine verilen addır.
Olay Korelasyonu (Event correlation) olaylardaki bilgilerden daha anlamlı ve yüksek seviye bilgi çıkarımına verilen
addır.
Örnek Senaryolar:
Olağanüstü durumları tespit etmek,
Bir sorunun kök nedenini (root cause) belirlemek,
veya gelecekle ilgili tahminler yapmak ve eğilimleri analiz etmek .
Korelasyon teknikleri pek çoktur.İleride bu tekniklerle ilgili bilgiler verilecektir. Uygulama alanları da çok çeşitlidir.
Piyasa ve işletme veri analizi (örneğin pazar eğilimleri tepiti),
Algoritmik alım satım (bir hisse senedi fiyatı gelişimi hakkında tahminler yapmak gibi),
Sahtekarlık algılama (örneğin bir kredi kartı kullanım alışkanlıklarındaki anormallik tespiti),
Sistem log analizi (örneğin benzer mesajları gruplama ve önemli olayları iletme)
veya ağ yönetimi ve hata analizi (örneğin bir ağ kök neden (root cause) tespit sorunu)
Log Yönetimindeki yeri ise ağ üzerindeki sayısız olay lar arasında birbiri ile bağlantılı olanları analiz ederek
yöneticiye daha anlamlı bilgiler sağlamaktır.
OLAY VE KORELASYON İLE İLGİLİ TERMİNOLOJİ
Her konuda olduğu gibi konunun daha iyi anlaşılabilmesi için terminolojinin bilinmesi gerekmektedir.
Geri plan yordamı (Deamon): Arka planda gelen isteklere cevap veren uygulama
Olumsuz olay (incident): Dikkat edilmesi gereken geçici anormal durum veya bilgi işleme sistemlerinde, gerçek ya
da potansiyel anlamda olumsuz etkisi olacak olay..Bir olumsuz olaydan birden fazla olay üretilebilir.
2. Yanlış kabul (False Positive) : Problem olmaması durumunu problem diye algılama. Sözlük anlamı ise: İstatistiksel
hipotez testinde boş varsayımı doğru iken boş varsayımının yadsınması hatası.
Yanlış Red Hatası (False Negative) : Problem olması durumunun problemsiz olarak algılanması. Sözlük anlamı ise:
İstatistiksel hipotez testinde boş varsayımı doğru değilken bunun kabul edilme hatası
Olay Kaynağı (Event Source) :
Olay Hedefi (Event Sink): Mesela veritabanı ve helpdesk sistemi
Ham olay (Raw Event) : Log sistemine yazıldığı format
Giriş Olayı (Input event) :Korelasyon safhasındaki olay
Çıkış olayı (Output event) :Olayın Korelasyon motorundan çıkan hali
Sonuç olayı (Derived event -Synthetic event)) : Korelasyon motoru tarafındna üretilen-Bir kurala bağlı olarak- olay
Sıkıştırılmış Olay (Compressed event) : Birden fazla aynı olayı temsil eden ama diğer olayları içermeyen olay
Komposit Olay (Composite event) :Korelasyon motoru tarafından üretilen ve ham olay,sonuç olayı vs.. içeren üst
seviye olay
Alarm (alarm - alert): Üretilen uyarı mesajları
Karmaşık Olay İnceleme (Complex Event Processing -CEP ) ve Olaylar Akımı İnceleme (Event
Stream Processing)
Karmaşık Olay İnceleme ve Olaylar Akımı İnceleme ayna manaye geliyormuş gibi algılanan ve birbirlerinin yerine
kullanılan iki farklı konsepttir.Ve konseptler korelasyon yöntemleri içeriisnd eönemli yer tutarlar
Karmaşık Olay İnceleme (Complex Event Processing -CEP )
Kurumsal olay inceleme büyük miktardaki olayları kontrol edecek, yönetecek ve gerçek zamanda optimize edecek
teknolojilere verilen addır. CEP metodları hep korelasyonun içerisinde karşılaşılan terimlerden biridir ve korelasyonla
ilintilidir.Pek çok ticari ve açık kaynak kodlu CEP motoru mevcuttur.[5]
Aurora (Brandeis University, Brown University and MIT)
Borealis (Brandeis University, Brown University and MIT)
Cayuga (Cornell University)
ETALIS (Forschungszentrum Informatik Karlsruhe and Stony Brook University)
Global Sensor Networks (EPFL)
NiagaraST (Portland State University)
PIPES (University of Marburg)
SASE (UC Berkeley/UMass Amherst)
STREAM (Stanford University)
Telegraph (UC Berkeley)
epZilla (University of Moratuwa)
ACAIA.org Acoustic Event Detection (AED) (Acoustic Computing for AI/AmI Applications)
http://www.streamcruncher.com/
Olaylar Akımı İnceleme (Event Stream Processing)
Olay Akımı İnceleme sürekli akışı halindeki verileri gerçek zamanlı işlemeye verilen addır
http://wiki.open-esb.java.net/Wiki.jsp?page=IEPSE
https://github.com/nathanmarz/storm
http://esper.codehaus.org/
3. Güvenlik Olayları Kayıt Sistemi (SIEM – SIM)
Olay Yönetim çözümü merkezi olarak kayıtların toplanması ve incelenmesini sağlayacak sistemin kurulamasını
hedefleyen yapıya verilen isimdir.En önemli bileşeni korelasyon motorudur.
Literatürde SEM, SIM, CSEM, CIEM, ve ESM kısaltmalarıyla ifade edilen çözümlerde aslında aynı amacı işarte
etmektedir.
Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan cihaz ve
yazılımlara ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. [6]
Mevcut Korelasyon Yöntemleri
Korelasyon Motoru Özellikleri
Bir korelasyon motorununu bilgi güvenliği ve log yönetimi açısından değerlendirirken öncelikle olarak bu alana
“Domain Awareness” özellşetirilmiş olup olmadığına bakmak gerekir.
Daha sonra kendi kendine öğrenebilen bir sistem mi yoksa mevcut sizin dışarıdan kural yazmak ya da benzeri
yöntemlere veri mi girmeniz gerekiyor “Self-Learning vs. External Knowledge” ona bakılır.
Sistemin gerçek zamanlı olarak mı çalıştığı yoksa kaydettiği veriler üzerinden mi işlem yaptığı son derece kritiktir.
Diğer çok önemli bir özellik durum bilgili (Stateful ) ya da durum bilgisiz (Stateless) olup olmadığı yani hafıza kullanıp
kullanmadığı çok çok önemlidir.
Sistemin aktif mi pasif mi olduğu çok önemlidir.Örnek olarak çıkarım kurallarına firewallda x sunucusunun çok trafik
olışturduğununtespit ediyorsan üzerindeki uygulamarın listesine de bak denebiliyor mu yoksa sadece gelen loglardan
mı işlem yapabilmektedir.
Sistem dağıtık mı merkezi mi çalışmaktadır?
Varsayılan politika (Default policy) destekliyor mu?.Mesela hiçbir kurala uymazsa logu sil gibi.
Veri kaybına sebep oluyor mu?
Transparan mı?. Kullanıcı aynı çıkarımı kendisi de oluşturamıyorsa (Benzer logları göndererek vs..) tek şansı motoro
güvenmektir ki bu da istenmeyen bir durumdur.
Gürbüzlük .Sistem daha önceden hiç karşılaşmadığı durumlarla karşılaşırsa bunu yönetebilmeli
Yönetilebilirlik.Sistemin açık bir yapıda olması, standart bir kural yazım ya da veri giriş formatının olması ve esnek bir
bir kural yazım ya da veri giriş formatının olması gerekir.
Bilgi Seviyesi. Korelasyon motorunun çok derin bir bilgiye ihtiyacının olup olmaması da önemlidir.
Korelasyon Motoru Operayonları
Sıkıştırma:Birden çok aynı olayaı teke indirme
Lojik Operatör Desteği:Korelasyon motorunun bütün lojik operatörleri desteklemesi büyük avantaj
Kurgulama: (Aggregation): Birden fazla olayı tek olay şeklinde ifade edebilme.
Filtreleme:Belli özelliklerdeki olayların korelasyona sokulmaması
4. Bastırma (Suppression): Bazı olaylar olduğunda diğer bazı olayları dikkate almama olarak açıklanabilir.
Maskeleme: Eğer router a ulaşılamıyorsa arkasındaki hosttan gelen unreachable olayını dikkate almama olarak
açıklanabilir.
Eşikleme:Belli bir sayıda olay olması yada olmaması durumunda olay üretebilme özelliği
Limitleme:
Artma: Olayın belirli parametrelerini arttırma.Mesela Önem derecesi
Zamansal İlişki (Temporal Relationship): Belli bir zaman dilimi içerisinde belli sayıda olayın oluşup oluşmadığının
takibi
Genelleştirme: Daha genel bir olaya dahil etme.Olayın skopunu genişletme
Özelleştirme: Geneleştirmenin tersi
Gruplandırma:karmaşık örüntülerden yeni olaylar oluşturma
Korelasyon Teknikleri
Sonlu Durumlu Makine (Finite State Machine-FSM): Sınırlı sayıda durumdan, durumlar arası geçişlerden ve
eylemlerin birleşmesiyle oluşan davranışların bir modelidir
Kural Tabanlı (Rule Based-RBR): Kural tabanlı sistemlerin genel amacı, belirlenen kurallar yoluyla yüksek
miktardaki verinin filtrelenmesi ve indirgenen verilere karar vericilerin erişimini sağlayarak aksiyon almalarının
sağlanmasıdır.
Durum Tabanlı Çıkarsama(CBR): Şu anki bir problemi çozmek için önceden karşılaşılan problemlerden
yararlanılan sistemdir.Diğer bir deyişle Geçmişte yaşanmış vey ayaşanmakta olan bir olayın verilecek kararlar için
kullanılmasıdır
Model Tabanlı Çıkarım (MBR):Sistemin yapısına ve davranışlarına göre
Kod Tablosu Tabanlı Çıkarım(Codebook Based Correlation): Problemin lokalizasyonu için gözlemlenebilir
belirtileri ve altında yatan problemlerin birbiriyle ilişkisi analiz edilir ve uygun bir belirtiler alt kümesi seçilir buna da
"codebook" denir [7]
Oylama Yaklaşımı (Voting Approaches) : Her eleman özel bir konuda görüş ifade etmelidir. Sonra, bir çoğunluk
kuralı (örneğin salt çoğunluk ya da k-çoğunluk) (yani oy) görüşleri bu sette uygulanır.
Belirgin Hata Lokalleştirme (Explicit Fault-localization): Alarmlar güvenilir ve ağda sadece tek bir hata olduğu
durumda arıza tespiti basittir: Hata her alarm tarafından belirtilen kümelerin kesiştiği yerde yatar. Böylece, sezgisel
olarak, ortak bir kesişim paylaşan alarmlar kore edilmelidir.
Bağımlılık Grafikleri: Bağımlılık grafiği yönetilen nesneler arasındaki bağımlılıkları modelleyen yönlendirilmiş
grafiklerdir.
Bayesian Network: Bir Bayesian ağ rasgele değişkenler tarafından temsil edilen şebeke elemanları arasındaki
olasılıksal ilişkilerin modeller yönlendirilmiş bir rastegele grafiktir
Yapay Sinir Ağları (ANN): Yapay sinir agi; insan beyninin sinir hücrelerinden olusmus katmanli ve paralel olan
yapisinin tüm fonksiyonlariyla beraber sayisal dünyada gerçeklenmeye çalisilan modellenmesidir. Sayisal dünya ile
belirtilmek istenen donanim ve yazilimdir. Bir baska ifadeyle yapay sinir agi hem donanimsal olarak hemde yazilim ile
modellenebilir. Bu baglamda, yapay sinir aglari ilk elektronik devreler yardimiyla kurulmaya çalisilmis ancak bu
5. girisim kendini yavas yavas yazilim sahasina birakmistir. Böylesi bir kisitlanmanin sebebi; elektronik devrelerin esnek
ve dinamik olarak degistirilememesi ve birbirinden farkli olan ünitelerin biraraya getirilememesi olarak ortaya
konmaktadir
Genetik Algoritmalar: Genetik algoritmalar, doğada gözlemlenen evrimsel sürece benzer bir şekilde çalışan arama ve
eniyileme yöntemidir. Karmaşık çok boyutlu arama uzayında en iyinin hayatta kalması ilkesine göre bütünsel en iyi
çözümü arar. Genetik algoritmalar, doğal seçim ilkelerine dayanan bir arama ve optimizasyon yöntemidir.
Bulanık Mantık: Bulanık mantığın temeli bulanık küme ve alt kümelere dayanır. Klasik yaklaşımda bir varlık ya
kümenin elemanıdır ya da değildir. Matematiksel olarak ifade edildiğinde varlık küme ile olan üyelik ilişkisi
bakımından kümenin elemanı olduğunda (1) kümenin elemanı olmadığı zaman (0) değerini alır. Bulanık mantık klasik
küme gösteriminin genişletilmesidir. Bulanık varlık kümesinde her bir varlığın üyelik derecesi vardır. Varlıkların üyelik
derecesi, [0,1] aralığında herhangi bir değer olabilir ve üyelik fonksiyonu M(x) ile gösterilir .
Yukarıdaki teknikleri bir arada kullanan teknikler vardır.Bu tekniklere hibrit teknikler denir.
Korelasyon Yöntemlerinin Karşılaştırması
FSM
Avantajlar: Basit bir sistem, anlaşılması ve modellenmesi ve uygulanması kolay
Dezavantajlar: Gerçekuygulamalar içi n çok basit, Kompleks problemleri adreslemekte zorlanır ve gürültüyü
gideremez.
RBR
Avantajlar: Bütün domainlere uygulanabilir,Doğal dile yakın bir dil, modüler ve problem modellemesi çok kolay
Dezavantajlar: Bakım tutumu zaman alır, eski tecrübelerden öğrenemez ve gürbüz değil
CBR
Avantajlar: eski tecrübelerden öğrenebilir
Dezavantajlar: Otomatik olarak çözüme adapte edilmesi ve yeniden kullanılması çok zor
MBR
Avantajlar: Çok derin bilgi ve tecrübe kullanır
Dezavantajlar: Yapının kurulması ve tanımlanması çok zor
Kod Tablosu Tabanlı Çıkarım -Codebook
Avantajlar: Hızlı,gürbüz ve topoloji değişiklikleirne kolay adapte olabilir
Dezavantajlar: Kullanıcı tarafından davranışların üretilmesi çok sıkıcı bir süreç ayrıca zaman mefhumu yok
Oylama-Voting
Avantajlar: Dağıtık sistemler için çok uygun
Dezavantajlar: Topolji ile ilgili bilgi gerektirir
Explicit Fault
Avantajlar: Kural tabanlıdan daha etkili ve genişletilebilir
Dezavantajlar: Çok ciddi bir ön bilgi gerektirir
Bağımlılık Grafikleri - Dependency Graphs
Avantajlar: Dinamik ve komplex sistemler için birebirdir.
Dezavantajlar: bir anda sadce bir olayla-problemle ilgilenebilir
Bayesian Networks
Avantajlar: En iyi teorik altyapı
6. Dezavantajlar: Olasılıksal çıkarımı NP-Zor (NP-hard)
Yapay Sinir Ağları -ANN
Avantajlar: İnsan beyni tarafından çözülen problemlere uygun
Dezavantajlar: Çok fazla işlem gücü gerektirir.Ayrıca davranışı anlamak zor
Yukarıdaki avantaj ve dezavantajlar analiz edilerek korelasyon motorundan beklenen özellikler:
Hafızada Korelasyon Yapabilme.
Tek Kaynak Korelasyon Kuralları.
Çoklu Kaynak Korelasyon Kuralları.
Negatif Condition Kuralları.
Context Base Korelasyon.
Hiyerarşik Korelasyon.
Çok esnek kural oluşturma yapısı.
Rule Base.
Complex Event Processing(CEP).
Forward Chaning.
Backward Chaining.
Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını hızlandırmak için
bellek içi korelasyon kullanır.
Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.
Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır.
Bütün bu özellikleri kapsaması en kolay olan ve Bilgi Güvenliği Sistemleri domainine uygulanabilecek olanı Kural
Tabanlı sistmlerdir.Aşağıdaki ticari uygulamaların çoğunluğu kural tabanlı sistemleri tercih etmişlerdir.
Açık Kaynak Kodlu Korelasyon Motorları ve Korelasyon Motorları İçeren Ürünler
Aşağıdaki ürünler açık kaynak kodlu olarak bulunabilecek ürünlerdir.
SWATCH[8]
LogSurfer[9]
SEC[10]
OSSEC[11]
Prelude[12]
OSSIM[13]
Drools[14]
Esper[15]
OpenSIMS[16]
Graylog[17]
LogStash[18]
Snare[19]
ProjectLasso[20]
Syslog-NG[21]
LogZilla[22]
LogWatch[23]
LogReport[24]
Log2TimeLine[25]
7. Ticari Korelasyon Motorları ve Korelasyon Motorları İçeren Ürünler
Aşağıdaki ticari ürünler korelasyon yeteneğine sahip ürünlerdir.
RuleCore:Kural Tabanlı bir sistem.[26]
IBM Tivoli Enterprise Console: Kural Tabanlı bir sistem ve prolog kullanıyor[27]
HP Event Correlation Services: Kural Tabanlı bir sistem olmakla birlikte Event Condition Action desteklemez
[28]
Splunk: SQL e benzer sadece kendisine özel bir yöntem uyguluyor.[29]
Novell Sentinel:Esper tabanlı CEP motoru. [30]
Q1Labs:Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.[31]
Trigeo. Kural tabanlı kendi patentini aldığı özel bir motor.[32]
NitroSecurity: Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır.
Tenable Log Correlation Engine.[33]
ArcSight SIEM Platform. lişkisel Olarak İyileştirilmiş Koruma ve Alma Motoru'nu (CORR-Engine) kullanan
ilk SIEM ürünüdür [34]
Symantec Security Information Manager. Kural Tabanlı bir sistem. [35]
RSA Envision. Kural Tabanlı bir sistem. [49]
Loglogic. Kural Tabanlı bir sistem. [52]
ANET Yazılım –FAUNA: Kural tabanlı RETE algoritmesının uygulaması. [36,50,51]
JSR 94 standardını da desteklemektedir[2,57]
Yukarıdaki listeye Türkiye’den sadece ANET Yazılım tarafından geliştirilen FAUNA ürünü girmiştir.Bunun sebebi
bu çalışma yapıldığında FAUNA hariç hiçbir yerli ürününü Korelasyon teknikleri ile ilgili uyduğu standartlar,
uygulanan algoritma(lar ) ve korelasyon motoru detaylarını internet ortamında veya genel ulaşılabilir şekilde
açıklamış olmamasıdır.Sadece ANET yazılım tarafından üretilen FAUNA nın detaylarına
ulaşılabilmektedir.[36,46,47]. ANET Yazılım 2003 yılından beri Fault Management konularında AR-GE
çalışmaları yapmakta olup[48] Kural Tabanlı RETE algoritmesının uygulamasını geliştirmişlerdir.
JAVA KORELASYON MOTORLARI
Java[38] dünyada en çok korelasyon motoru geliştirilen programlama dilidir.Aşağıda bazı java tabanlı uygulamaları
bulabilirsiniz.
Java based Rule Engine[39]
TermWare[40]
OpenRules[41]
SweetRules[42]
Mandarax[43]
Hammurapi[44]
DTRules[45]
Kaynakça
[1] http://en.wikipedia.org/wiki/Event_correlation
[2] http://en.wikipedia.org/wiki/JSR_94
[3] http://en.wikipedia.org/wiki/Complex_event_processing
[4] http://www.cs.brown.edu/research/aurora/
[5] http://www.complexevents.com/2008/08/31/event-processing-glossary-version-11/
[6] http://en.wikipedia.org/wiki/SIEM
[7] http://en.cnki.com.cn/Article_en/CJFDTOTAL-CCYD200904016.htm
[8] http://swatch.sourceforge.net/
[9] http://www.crypt.gen.nz/logsurfer/.
[10] http://kodu.neti.ee/~risto/sec/., http://simple-evcorr.sourceforge.net/
[11] http://www.ossec.net/main/supported-systems.
8. [12] http://www.prelude-technologies.com/en/development/documentation/compatibility/index.html
[13] http://www.alienvault.com/community
[14] http://www.jboss.org/drools/
[15] http://esper.codehaus.org.
[16] http://opensims.sourceforge.net/
[17] http://graylog2.org/
[18] http://logstash.net/
[19] intersectalliance.com/projects/index.html
[20] http://sourceforge.net/projects/lassolog/
[21] http://www.balabit.com/downloads/files/syslog-ng/sources/
[22] http://code.google.com/p/php-syslog-ng/
[23] http://sourceforge.net/projects/logwatch/files/
[24] http://www.logreport.org/
[25] http://log2timeline.net/
[26] http://www.rulecore.com/
[27] http://www-01.ibm.com/software/tivoli/products/enterprise-console/
[28] http://www.openview.hp.com/products/ecs/.
[29] http://www.splunk.com/
[30] http://www.novell.com/promo/slm/slm25.html
[31] www.q1labs.com/products
[32] http://www.trigeo.com/
[33] http://www.tenable.com/products/tenable-log-correlation-engine
[34] http://www.arcsight.com/products/
[35] www.symantec.com/business/security-information-manager
[36] http://www.anetyazilim.com.tr/Downloads/Fauna/Tr/Fauna_Datasheet_2.pdf
[37] http://www.softpanorama.org/Admin/Event_correlation/
[38] www.java.com
[39] http://www.jeops.org/ , http://sourceforge.net/projects/jeops/
[40] http://www.gradsoft.ua/prodprice_eng.html
[41] http://openrules.com/
[42] http://sweetrules.projects.semwebcentral.org/
[43] http://code.google.com/p/mandarax/
[44] http://www.hammurapi.biz/hammurapi-biz/ef/xmenu/hammurapi-group/index.html
[45] http://dtrules.com/wiki2/index.php?title=Downloads
[46] http://www.olympos.net/belgeler/siem/fauna-kural-motoru-29121322.html#axzz1mjfz81Qx
[47] http://www.docstoc.com/docs/112420968/FAUNA-Korelasyon
[48] E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and
Communications,30 June-3 July 2003, Antalya, Turkey., http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1214302
[49] http://www.rsa.com/node.aspx?id=3170
[50] http://www.anetyazilim.com.tr/fauna/4/286/1/1/
[51] http://en.wikipedia.org/wiki/Rete_algorithm
[52] www.loglogic.com
[53] Andreas Muller,Event Correlation Engine, Institut für Technische Informatik und Kommunikationsnetze,2009
[54] http://en.wikipedia.org/wiki/ILOG
[55] http://www.jessrules.com/
[56] http://www.oracle.com/technetwork/middleware/business-rules/overview/index.html
[57] http://jcp.org/en/jsr/detail?id=94
[58] Anatomy of a Security Operations Center, By John Wang, NASA SOC
[59] Afsaneh Madani, Saed Rezayi and Hossein Gharaee,Log Management comprehensive architecture in Security Operation Center(SOC)
[60] Jianqing Zhang,Outsourcing Security Analysis with Anonymized Logs