Log yönetimi, siem ve korelasyon nedir? nasıldır? faydaları nedir?

1. Neden Loglarız ve Loglara neden ihtiyacımız var?
 Korelasyon
 Uyumluluk ve teftiş talepleri (BDDK, 5651, SOX, PCI,
zaman damgası vurma, değişmezliğini garanti etme
vs )
 Yasal Zorunluluklar (5651)
 Düzenli veya anlık raporlama
 Güvenlik polikalarının belirlenmesi
Neleri Loglamalıyız?
 Dosya ve Dizin değişimleri,
 Registry erişimleri (ekleme, değiştirme ve silme),

2.  Kullanıcı hesap değişiklikleri ve yönetici hak
tanımlamaları,
 Active Directory erişim ve değişimleri,
 Grup değişimleri; ekleme, değiştirme veya silme,
 Başarılı/Başarısız Windows ve SSH oturum açma
girişimleri,
 Sistem olayları; işlem başlama ve kapanma,
 Uygulama hataları, başlama ve kapanma,
 IDS ve Antivirüs Log’ları,
 Ağ arayüzlerinde, TCP ve UDP yüksek bağlantı
oluşturan noktalar,
 Sunucu kapama, açma ve yeniden başlama
durumları,
 Ağ altyapısına erişimler,
 Anahtarlar, Yönlendiriciler veya Güvenlik Duvarları
kural değişiklikleri,
 DNS değişikleri,
 Web Sunucu erişimleri ve erişim değişiklikleri,
 HTTP 404 hataları,
 FTP sunucu erişimleri ve dosya transferleri,
 Sunucu ve İş İstasyonu, saldırı olayları ve kural
değişiklikleri,
 Finans, Müşteri, Yasal belgeleri içeren; Dosya, Dizin
ve Nesnelere erişim ve izin değişimleri
Ne Tür Kurallar Olmalı?
 Eğer, içerideki bir PC potansiyel zararlı alan adına
DNS sorgusu yaparsa, daha sonra aynı PC sonraki
24 saat içinde internete 1024’ten büyük TCP
portlarından çıkmaya çalışıyorsa ve/veya sonraki 1
hafta içerisinde aynı PC mesai saatleri dışında
internet istekleri yapıyorsa uyar,

3.  Güvenlik cihazı aynı kaynaktan 15 adet paketi
blokladıktan sonra 5 dakika içerisinde herhangi bir
noktadan (Sunucu (Linux,Windows) ,router, switch,
firewall, modem vb..) birileri sisteme oturum açar ise
tespit et,
 Bir saat içerisinde, aynı kaynak IP’den, aynı hedef
IP’ye doğru 100 adet birbirinden farklı porta erişim
denemesi yapılıyorsa alarm üret,
 Herhangi bir kullanıcı herhangi bir sisteme
(Firewall,Windows,Linux,Switch..) 1 saat içerisinde 3
veya daha fazla başarısız oturum denemesi yaptıktan
sonra o kullanıcının önümüzdeki 7 gün (X gün)
boyunca oluşturacağı tüm başarısız oturum açma
olaylarını bildir.
 Birbirinden farklı kaynaklardan aynı IP ve aynı Port a
dakikada 60 adet bağlantı olursa uyar,
 Dakikada 15 tane paket aynı IP den bloklandıktan
sonra O IP ye login olunduysa uyar,
 Aynı IP den birbirinden farklı IP lerin TCP 22 portuna
1 saat içerisinde 100 istek oluşturan IP yi tespit et,
 Sisteminize bir gün içerisinde, aynı kullanıcı farklı
ülkelerden geliyorsa uyar,
 Protokolü UDP olan hedef portu 67 olan içeriden
dışarıya veya içeriden dışarıya yönelen ve hedef IP si
kayıtlı DHCP sunucular listesinde olmayan bir trafik
olursa uyar,
 Aynı IP den birbirinden farklı IP lerin TCP 3389
portuna 1 saat içerisinde 100 istek oluşturan IP yi
tespit et,
 Aynı IP den farklı kullanıcı adları ile aynı bilgisayara
15 dakikada 5 adet başarısız oturum denemesi
yapıldıktan sonra aynı IP den herhangi bir makinaya
oturum açıldı ise uyar,

4.  Dakikada 15 tane paket aynı IP den bloklandıktan
sonra 5 dakika içerisinde O IP ye login olunduysa
uyar,
 Sistemdeki aynı kaynaktan dakikada 15 paket virüslü
sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı
kaynağa bir oturum açılmışsa bu oturumu açan
makinayı tespit et,
 Yeni bir kullanıcı oluşturulur ve bu oluşturulan
kullanıcı ile erişim yapılmaya çalışılıp başarısız
olunursa uyar,
 Aynı kullanıcı önce Linux sunucuda oturum açıyor
daha sonra da windows sunucuda oturum açıyor ve
ardından bu iki sunucudan birinde servis kapatılıyor
ise bildir,
 Bir kullanıcı sistemde oturum açıyor ve ardından 10
dakika içerisinde portaldan login.html e ulaşılmadı
veya saplogon.exe yi çalıştırmadı ise uyar,
 Eğer aynı IP’den, kısa zamanda, çok sayıda, aynı ya
da farklı kullanıcılar için hatalı giriş logu oluşuyorsa
uyar,
 Eğer bir UTM/IDS/IPS sistemi tarafından atak
kaynağı olarak raporlanan bir IP son 15 dakika
içerisinde başka saldırının hedefi olmuş ise uyar,
 Herhangi bir kullanıcının trafiği bir firewall kuralı
tarafından saniyede X adet bloklanıyorsa bu kullanıcı
ve bunu bloklayan kuralı tespit et,
 Herhangi bir kullanıcı bir sunucuya login olamayıp
authentication failure a sebep olduktan sonra 2 saat
içerisinde aynı kullanıcının aynı sunucuya başarılı
oturum açmadığı takdirde uyar,
 Web sunucuya cgi, asp, aspx, jar, php, exe, com,
cmd, sh, bat dosyaları uzak lokasyondan işletilmek
üzere gönderilirse uyar,

5.  Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı
adı olmayan başarılı login logu gelirse uyar,
 Bir kullanıcı sisteme login olamayıp authentication
failure a sebep olduktan sonra 2 saat içerisinde aynı
kullanıcının sisteme başarılı oturum açmadığı halde
onun mail hesabından mail gönderildi ise uyar,
 Aynı IP den farklı kullanıcı adları ile aynı bilgisayara
15 dakikada 5 adet başarısız oturum denemesi
yapıldıktan sonra aynı IP den herhangi bir makinaya
oturum açıldı ise uyar,
 Bir IP den tarama yapıldı ise ve sonrasında aynı IP
den başarılı bir bağlantı kuruldu ise ve ardından
bağlantı kurulan IP den tarama yapılan IP ye geriye
bağlantı kuruldu ise uyar,
 Birbirinden tamamen farklı dış IP lerden aynı hedef IP
ye dakikada 100 adetten fazla bağlantı oluşuyorsa
uyar,
 Aynı Dış IP ve farklı portlardan aynı hedef IP ye
dakikada 100 adet bağlantı olursa uyar,
 Aynı kullanıcı, aynı makineye saatte 3 den fazla
başarısız oturum açmayı denerse uyar,
 Aynı kaynak IP den 1 dakikada 100 adet paket
UTM/FireWall tarafından bloklanıyor ise bir defa uyar
ve bir saat içerisinde tekrar uyarma. (DDOS atağı
oluştu ise saatte milyonlarca paket bloklanır. Hepsi
için mail gönderirse kendi kendinizi DDOS a maruz
bırakmış olursunuz),
 UnusualUDPTraffic üreten kaynak IP yi bildir,
 IPReputation Listesindeki bir kaynaktan veya o
kaynağa bir trafik oluşursa uyar,
 Ulusal Siber Olaylara Müdahale (USOM) Merkezi
tarafından yayınlanan “Zararlı Bağlantılar” listesindeki
kaynaktan veya o kaynağa bir trafik oluşursa uyar,
 Bir IP taraması olursa uyar,

6.  WEB üzerinden SQL atağı olursa uyar,
 Mesai saatleri dışında sunuculara ulaşan olursa uyar,
 Aynı kullanıcı, birbirinden tamamen farklı makinelere
dakikada 3 den fazla başarısız oturum açmayı
denerse uyar.
ANET SURELOG International Edition :
http://www.slideshare.net/anetertugrul/surelog-
international-edition