Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
SIEM KORELASYON MOTORU DEĞERLENDİRME KRİTERLERİErtugrul Akbas
SIEM ürünlerinin korelasyon yeteneğinin detaylı teknik analizi için kullandığımız parametreler. Bu parametreleri kullanarak bilinen SIEM ürünlerine baktığımız bir İngilizce çalışmamız da mevcut. Rekabet şartları gereği isimleri açıklamamakla beraber, açıklanmasında sıkıntı olmayan verileri bize ulaşan konu ile ilgili kişi ve kuruluşlarla da uygun gördüğümüz ortamda paylaşabiliriz.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
SIEM KORELASYON MOTORU DEĞERLENDİRME KRİTERLERİErtugrul Akbas
SIEM ürünlerinin korelasyon yeteneğinin detaylı teknik analizi için kullandığımız parametreler. Bu parametreleri kullanarak bilinen SIEM ürünlerine baktığımız bir İngilizce çalışmamız da mevcut. Rekabet şartları gereği isimleri açıklamamakla beraber, açıklanmasında sıkıntı olmayan verileri bize ulaşan konu ile ilgili kişi ve kuruluşlarla da uygun gördüğümüz ortamda paylaşabiliriz.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Log siem korelasyon
1. Neden Loglarız ve Loglara neden ihtiyacımız var?
Korelasyon
Uyumluluk ve teftiş talepleri (BDDK, 5651, SOX, PCI,
zaman damgası vurma, değişmezliğini garanti etme
vs )
Yasal Zorunluluklar (5651)
Düzenli veya anlık raporlama
Güvenlik polikalarının belirlenmesi
Neleri Loglamalıyız?
Dosya ve Dizin değişimleri,
Registry erişimleri (ekleme, değiştirme ve silme),
2. Kullanıcı hesap değişiklikleri ve yönetici hak
tanımlamaları,
Active Directory erişim ve değişimleri,
Grup değişimleri; ekleme, değiştirme veya silme,
Başarılı/Başarısız Windows ve SSH oturum açma
girişimleri,
Sistem olayları; işlem başlama ve kapanma,
Uygulama hataları, başlama ve kapanma,
IDS ve Antivirüs Log’ları,
Ağ arayüzlerinde, TCP ve UDP yüksek bağlantı
oluşturan noktalar,
Sunucu kapama, açma ve yeniden başlama
durumları,
Ağ altyapısına erişimler,
Anahtarlar, Yönlendiriciler veya Güvenlik Duvarları
kural değişiklikleri,
DNS değişikleri,
Web Sunucu erişimleri ve erişim değişiklikleri,
HTTP 404 hataları,
FTP sunucu erişimleri ve dosya transferleri,
Sunucu ve İş İstasyonu, saldırı olayları ve kural
değişiklikleri,
Finans, Müşteri, Yasal belgeleri içeren; Dosya, Dizin
ve Nesnelere erişim ve izin değişimleri
Ne Tür Kurallar Olmalı?
Eğer, içerideki bir PC potansiyel zararlı alan adına
DNS sorgusu yaparsa, daha sonra aynı PC sonraki
24 saat içinde internete 1024’ten büyük TCP
portlarından çıkmaya çalışıyorsa ve/veya sonraki 1
hafta içerisinde aynı PC mesai saatleri dışında
internet istekleri yapıyorsa uyar,
3. Güvenlik cihazı aynı kaynaktan 15 adet paketi
blokladıktan sonra 5 dakika içerisinde herhangi bir
noktadan (Sunucu (Linux,Windows) ,router, switch,
firewall, modem vb..) birileri sisteme oturum açar ise
tespit et,
Bir saat içerisinde, aynı kaynak IP’den, aynı hedef
IP’ye doğru 100 adet birbirinden farklı porta erişim
denemesi yapılıyorsa alarm üret,
Herhangi bir kullanıcı herhangi bir sisteme
(Firewall,Windows,Linux,Switch..) 1 saat içerisinde 3
veya daha fazla başarısız oturum denemesi yaptıktan
sonra o kullanıcının önümüzdeki 7 gün (X gün)
boyunca oluşturacağı tüm başarısız oturum açma
olaylarını bildir.
Birbirinden farklı kaynaklardan aynı IP ve aynı Port a
dakikada 60 adet bağlantı olursa uyar,
Dakikada 15 tane paket aynı IP den bloklandıktan
sonra O IP ye login olunduysa uyar,
Aynı IP den birbirinden farklı IP lerin TCP 22 portuna
1 saat içerisinde 100 istek oluşturan IP yi tespit et,
Sisteminize bir gün içerisinde, aynı kullanıcı farklı
ülkelerden geliyorsa uyar,
Protokolü UDP olan hedef portu 67 olan içeriden
dışarıya veya içeriden dışarıya yönelen ve hedef IP si
kayıtlı DHCP sunucular listesinde olmayan bir trafik
olursa uyar,
Aynı IP den birbirinden farklı IP lerin TCP 3389
portuna 1 saat içerisinde 100 istek oluşturan IP yi
tespit et,
Aynı IP den farklı kullanıcı adları ile aynı bilgisayara
15 dakikada 5 adet başarısız oturum denemesi
yapıldıktan sonra aynı IP den herhangi bir makinaya
oturum açıldı ise uyar,
4. Dakikada 15 tane paket aynı IP den bloklandıktan
sonra 5 dakika içerisinde O IP ye login olunduysa
uyar,
Sistemdeki aynı kaynaktan dakikada 15 paket virüslü
sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı
kaynağa bir oturum açılmışsa bu oturumu açan
makinayı tespit et,
Yeni bir kullanıcı oluşturulur ve bu oluşturulan
kullanıcı ile erişim yapılmaya çalışılıp başarısız
olunursa uyar,
Aynı kullanıcı önce Linux sunucuda oturum açıyor
daha sonra da windows sunucuda oturum açıyor ve
ardından bu iki sunucudan birinde servis kapatılıyor
ise bildir,
Bir kullanıcı sistemde oturum açıyor ve ardından 10
dakika içerisinde portaldan login.html e ulaşılmadı
veya saplogon.exe yi çalıştırmadı ise uyar,
Eğer aynı IP’den, kısa zamanda, çok sayıda, aynı ya
da farklı kullanıcılar için hatalı giriş logu oluşuyorsa
uyar,
Eğer bir UTM/IDS/IPS sistemi tarafından atak
kaynağı olarak raporlanan bir IP son 15 dakika
içerisinde başka saldırının hedefi olmuş ise uyar,
Herhangi bir kullanıcının trafiği bir firewall kuralı
tarafından saniyede X adet bloklanıyorsa bu kullanıcı
ve bunu bloklayan kuralı tespit et,
Herhangi bir kullanıcı bir sunucuya login olamayıp
authentication failure a sebep olduktan sonra 2 saat
içerisinde aynı kullanıcının aynı sunucuya başarılı
oturum açmadığı takdirde uyar,
Web sunucuya cgi, asp, aspx, jar, php, exe, com,
cmd, sh, bat dosyaları uzak lokasyondan işletilmek
üzere gönderilirse uyar,
5. Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı
adı olmayan başarılı login logu gelirse uyar,
Bir kullanıcı sisteme login olamayıp authentication
failure a sebep olduktan sonra 2 saat içerisinde aynı
kullanıcının sisteme başarılı oturum açmadığı halde
onun mail hesabından mail gönderildi ise uyar,
Aynı IP den farklı kullanıcı adları ile aynı bilgisayara
15 dakikada 5 adet başarısız oturum denemesi
yapıldıktan sonra aynı IP den herhangi bir makinaya
oturum açıldı ise uyar,
Bir IP den tarama yapıldı ise ve sonrasında aynı IP
den başarılı bir bağlantı kuruldu ise ve ardından
bağlantı kurulan IP den tarama yapılan IP ye geriye
bağlantı kuruldu ise uyar,
Birbirinden tamamen farklı dış IP lerden aynı hedef IP
ye dakikada 100 adetten fazla bağlantı oluşuyorsa
uyar,
Aynı Dış IP ve farklı portlardan aynı hedef IP ye
dakikada 100 adet bağlantı olursa uyar,
Aynı kullanıcı, aynı makineye saatte 3 den fazla
başarısız oturum açmayı denerse uyar,
Aynı kaynak IP den 1 dakikada 100 adet paket
UTM/FireWall tarafından bloklanıyor ise bir defa uyar
ve bir saat içerisinde tekrar uyarma. (DDOS atağı
oluştu ise saatte milyonlarca paket bloklanır. Hepsi
için mail gönderirse kendi kendinizi DDOS a maruz
bırakmış olursunuz),
UnusualUDPTraffic üreten kaynak IP yi bildir,
IPReputation Listesindeki bir kaynaktan veya o
kaynağa bir trafik oluşursa uyar,
Ulusal Siber Olaylara Müdahale (USOM) Merkezi
tarafından yayınlanan “Zararlı Bağlantılar” listesindeki
kaynaktan veya o kaynağa bir trafik oluşursa uyar,
Bir IP taraması olursa uyar,
6. WEB üzerinden SQL atağı olursa uyar,
Mesai saatleri dışında sunuculara ulaşan olursa uyar,
Aynı kullanıcı, birbirinden tamamen farklı makinelere
dakikada 3 den fazla başarısız oturum açmayı
denerse uyar.
ANET SURELOG International Edition :
http://www.slideshare.net/anetertugrul/surelog-
international-edition