Downloaded 149 times
![Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru
Performans Verileri
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
ertugrul.akbas@anetyazilim.com.tr
Korelasyonyeteneği birSIEMürünününenönemli özelliklerinden biridir. Ürünlerinkorelasyon
yeteneklerifarklılıkgöstermektedir [1].
Aşağıda ortalamabirkorelasyonyeteneğine sahipbirSIEMürünü ile geliştirilebilecekkurallara
örnekleri listelemeye çalıştık.
1. Bir IP dentarama yapıldıise ve sonrasındaaynın IP denbaşarılı birbağlantı kurulduise ve
ardından bağlantıkurulanIP dentarama yapılan IPye geriye bağlantıkurulduise uyar.
2. BirbirindentamamenfarklıdışIP lerden aynıhedef IPye dakikada100 adettenfazlabağlantı
oluşuyorsauyar
3. Aynı Dış IP ve farklıportlardanaynı hedef IPye dakikada100 adetbağlantıolursauyar
4. Aynı kullanıcı,aynımakineye saatte 3denfazlabaşarısız oturumaçmayı denerse uyar
5. Bir kullanıcıherhangi birsunucuyalogin olamayıpauthenticationfailureasebepolduktan
sonra 2 saat içerisinde aynıkullanıcıaynısunucuyabaşarılı oturumaçmazsa uyar
6. Aynı kaynakIPden 1 dakikada100 adet paketUTM/FireWall tarafından bloklanıyorise bir
defa uyar ve bir saat içerisindetekraruyarma.(DDOS atağı oluştuise saatte milyonlarca
paketbloklanır.Hepsi içinmail gönderirse kendi kendinizi DDOSamaruz bırakmış olursunuz)
7. UnusualUDPTrafficüretenkaynakIPyi bildir
8. IPReputation [6] Listesindekibirkaynaktanveyaokaynağabirtrafikoluşursauyar
9. Ulusal SiberOlaylaraMüdahale (USOM) Merkezi tarafındanyayınlanan“ZararlıBağlantılar”
listesindeki kaynaktanveyaokaynağabirtrafikoluşursauyar
10. Birisi NetworkünüzdeDHCP serverıaçtıysaya da farklı birgatewayyayınyapıyorsa,bunu
bulmak için:protokolüUDP olanhedef portu67 olan içeridendışarıyaveyaiçeridendışarıya
yönelenve hedef IPsi kayıtlıDHCP sunucularlistesindeolmayanbirtrafikolursauyar
11. Bir IPtaraması olursauyar
12. WEB üzerindenSQLatağıolursauyar
13. Mesai saatleri dışındasunucularaulaşanolursauyar
14. Aynı kullanıcı,birbirindentamamen farklımakinelere dakikada3denfazlabaşarısız oturum
açmayı denerse uyar
Yukarıdaki 1,7,11,12 numaralıkuralların taxonomy[5] özelliği gerektirdiğini de belirtelim.Dolayısıile
herüründeki korelasyonyeteneği aynıdeğildir[1].](https://image.slidesharecdn.com/logkorelasyonsiemkuralorneklerivekorelasyonmotoruperformansverileri-150727080349-lva1-app6891/75/Log-Korelasyon-SIEM-Kural-Ornekleri-ve-Korelasyon-Motoru-Performans-Verileri-1-2048.jpg)
![Bu tarz kurallarıgeliştirebilme;birde bunlarıbirsihirbazyardımıile geliştirebilmekSIEMürünlerinde
belirleyicibirözellik olmaklaberaber, butarz kurallarınsayısı korelasyon içinihtiyaçduyulanCPUve
RAMihtiyacıda önemli birparametredir.[2]
Bu parametrelerdoğrubirşekildetespitedilemezse projedelogkaybı,alarmlarındoğrutespit
edilememesi veyaalarmların üretilememesinesebepolur[3].
Örnekolarak Sentinel 6.1ürününü20 adetkorelasyonkuralıiçinönerdiği fiziksel sunucuözellikleri 2
core 3 Ghz CPU ve 4 GB RAM idi [2].Bu sunucune log toplamane de normalizasyonişlemi
yapmaktadır.Sadece logkorelasyonişlemiyapmaküzere kullanılafizikselbirsunucudur [2].Son
sürümünde üretici net20rakamı vermekyerine ihtiyaçduydukçayeni birfiziksel korelasyon
sunucusuekleyindemektedir.[3]
HP,IBMgibi üreticilerde netbirrakam vermekyerinedurumagöre fiziksel kaynakekleyintarzıöneri
ve uyarılarda bulunmaktadır.
Çalıştırılacak korelasyonkuralıadedi ve EPSdeğerleri ileCPU, RAM, Diskhızı ve kaç adetfiziksel veya
sanal korelasyonsunucusuolacağıarasındabir ilişki vardır. [7]
1. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-
rn-ile-gvenlik-analiz-senaryolar
2. http://www.slideshare.net/NOVL/how-to-architect-a-novell-sentinel-implementation
3. http://www.slideshare.net/anetertugrul/log-ynetimi-sisteminizin-log-karp-karmadn-test-
etmek-ister-misiniz
4. https://www.netiq.com/documentation/sentinel-
73/s73_install/data/b19meos5.html#b12e1bcy
5. http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
6. http://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem
7. http://www.slideshare.net/anetertugrul/siem-sure-log-arcsight-qradar-alienvault-
solarwinds-performans-verileri](https://image.slidesharecdn.com/logkorelasyonsiemkuralorneklerivekorelasyonmotoruperformansverileri-150727080349-lva1-app6891/75/Log-Korelasyon-SIEM-Kural-Ornekleri-ve-Korelasyon-Motoru-Performans-Verileri-2-2048.jpg)
Uploaded byErtugrul Akbas
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir. Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
More Related Content
Similar to Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
- 1. Log Korelasyon/SIEM KuralÖrnekleri ve Korelasyon Motoru Performans Verileri Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Korelasyonyeteneği birSIEMürünününenönemli özelliklerinden biridir. Ürünlerinkorelasyon yeteneklerifarklılıkgöstermektedir [1]. Aşağıda ortalamabirkorelasyonyeteneğine sahipbirSIEMürünü ile geliştirilebilecekkurallara örnekleri listelemeye çalıştık. 1. Bir IP dentarama yapıldıise ve sonrasındaaynın IP denbaşarılı birbağlantı kurulduise ve ardından bağlantıkurulanIP dentarama yapılan IPye geriye bağlantıkurulduise uyar. 2. BirbirindentamamenfarklıdışIP lerden aynıhedef IPye dakikada100 adettenfazlabağlantı oluşuyorsauyar 3. Aynı Dış IP ve farklıportlardanaynı hedef IPye dakikada100 adetbağlantıolursauyar 4. Aynı kullanıcı,aynımakineye saatte 3denfazlabaşarısız oturumaçmayı denerse uyar 5. Bir kullanıcıherhangi birsunucuyalogin olamayıpauthenticationfailureasebepolduktan sonra 2 saat içerisinde aynıkullanıcıaynısunucuyabaşarılı oturumaçmazsa uyar 6. Aynı kaynakIPden 1 dakikada100 adet paketUTM/FireWall tarafından bloklanıyorise bir defa uyar ve bir saat içerisindetekraruyarma.(DDOS atağı oluştuise saatte milyonlarca paketbloklanır.Hepsi içinmail gönderirse kendi kendinizi DDOSamaruz bırakmış olursunuz) 7. UnusualUDPTrafficüretenkaynakIPyi bildir 8. IPReputation [6] Listesindekibirkaynaktanveyaokaynağabirtrafikoluşursauyar 9. Ulusal SiberOlaylaraMüdahale (USOM) Merkezi tarafındanyayınlanan“ZararlıBağlantılar” listesindeki kaynaktanveyaokaynağabirtrafikoluşursauyar 10. Birisi NetworkünüzdeDHCP serverıaçtıysaya da farklı birgatewayyayınyapıyorsa,bunu bulmak için:protokolüUDP olanhedef portu67 olan içeridendışarıyaveyaiçeridendışarıya yönelenve hedef IPsi kayıtlıDHCP sunucularlistesindeolmayanbirtrafikolursauyar 11. Bir IPtaraması olursauyar 12. WEB üzerindenSQLatağıolursauyar 13. Mesai saatleri dışındasunucularaulaşanolursauyar 14. Aynı kullanıcı,birbirindentamamen farklımakinelere dakikada3denfazlabaşarısız oturum açmayı denerse uyar Yukarıdaki 1,7,11,12 numaralıkuralların taxonomy[5] özelliği gerektirdiğini de belirtelim.Dolayısıile herüründeki korelasyonyeteneği aynıdeğildir[1].
- 2. Bu tarz kurallarıgeliştirebilme;birdebunlarıbirsihirbazyardımıile geliştirebilmekSIEMürünlerinde belirleyicibirözellik olmaklaberaber, butarz kurallarınsayısı korelasyon içinihtiyaçduyulanCPUve RAMihtiyacıda önemli birparametredir.[2] Bu parametrelerdoğrubirşekildetespitedilemezse projedelogkaybı,alarmlarındoğrutespit edilememesi veyaalarmların üretilememesinesebepolur[3]. Örnekolarak Sentinel 6.1ürününü20 adetkorelasyonkuralıiçinönerdiği fiziksel sunucuözellikleri 2 core 3 Ghz CPU ve 4 GB RAM idi [2].Bu sunucune log toplamane de normalizasyonişlemi yapmaktadır.Sadece logkorelasyonişlemiyapmaküzere kullanılafizikselbirsunucudur [2].Son sürümünde üretici net20rakamı vermekyerine ihtiyaçduydukçayeni birfiziksel korelasyon sunucusuekleyindemektedir.[3] HP,IBMgibi üreticilerde netbirrakam vermekyerinedurumagöre fiziksel kaynakekleyintarzıöneri ve uyarılarda bulunmaktadır. Çalıştırılacak korelasyonkuralıadedi ve EPSdeğerleri ileCPU, RAM, Diskhızı ve kaç adetfiziksel veya sanal korelasyonsunucusuolacağıarasındabir ilişki vardır. [7] 1. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem- rn-ile-gvenlik-analiz-senaryolar 2. http://www.slideshare.net/NOVL/how-to-architect-a-novell-sentinel-implementation 3. http://www.slideshare.net/anetertugrul/log-ynetimi-sisteminizin-log-karp-karmadn-test- etmek-ister-misiniz 4. https://www.netiq.com/documentation/sentinel- 73/s73_install/data/b19meos5.html#b12e1bcy 5. http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi 6. http://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem 7. http://www.slideshare.net/anetertugrul/siem-sure-log-arcsight-qradar-alienvault- solarwinds-performans-verileri