Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
Enhancing SIEM Correlation Rules Through BaseliningErtugrul Akbas
Enterprise grade software has been updated with a capability that identifies anomalous events based on baselines as well as rule based correlation engine, and alerts administrators when such events are identified. To reduce the number of false positive alerts we have investigated the use of different baseline training techniques and introduce the use of 3 different training approaches for baseline detection and updating lifecycle
3 Yıl önce ABD de teknolojik kalkınma modelleri konusunda uzman olan ve ABD de iyi bir üniversitede profesör olan bir tanıdığım uzunca bir aradan sonra Türkiye’ye anne ve babasını ziyarete gelmişti. Birlikte bir kahve içtik. Arkadaşımın uzmanlığı ile ilgili bazı tespitleri oldu. Profesör olan arkadaşımın 3 yıl önceki tespitleri:
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomously define rules on the data, to discover security events that require investigation. Behavior analysis and profiling relies on statistical modeling and data science in SureLog in order to identify patterns of behavior and compare them against other human or machine activities. The Profiler is a feature extraction mechanism that can generate a profile describing the behavior of an entity. An entity might be an any field of message like protocol used in communication as well as a server, user, subnet or application. Once a profile has been generated defining what normal behavior looks-like, models can be built that identify anomalous behavior.
1. Log Yönetimi Tecrübeleri
eakbas@gmail.com
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde
elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla
birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Log yönetimi projelerinde genelde karşılaşılan problemleri özetlemek gerekirse:
o
o
o
Sistemin ürettiği verinin Log Yönetim yazılımı tarafından karşılanamaması
Log Yönetim Sisteminin EPS değerlerinin yeterli olmaması ve kullanıcının bunun farkında
olmaması
o Veri kaybı
o Aranılan verinin bulunamaması
o Yedeklerden geri dönememe
o Arama kriterlerinin beklenen seviyede olmaması
o Raporlama yeteneklerinin ileride çıkacak ihtiyaçlara göre planlanmamış olması
o Logların eksik alınması
o Mail Server
o WEB Server
o FTP Server
o DC ve diğer Serverlar vb..
Logların kısa süreli kaydedilmesi.
o Satın almaya kadar ortam ölçeklendirmesini ertelemek (EPS değerleri)
o Sadece fiyatına bakıp seçim yapmak (En çok rastlana durumlardan biri)
o Neleri log'lamanız gerektiğini üretici firmanın size söylemesini beklemek
o Hukuk ekibini gözardı etmek
o Arayüz çok kullanışlı o yüzden desteğe ihtiyaç yok vb..
Son 5 madde ayrıca Anton Chuvakin'in Six MIstakes of Log Management makalesinde de ifade
edilmiştir.
http://www.slideshare.net/anton_chuvakin/csi-netsec-2007-six-mistakes-of-log-management-byanton-chuvakin
2. 1
Log Yakalama veya Log Kaçırmama Özelliği
Bir log yönetim sisteminin en önemli özelliği gelen bütün logları yakalamak ve işlemektir. Sistemin bu
özelliği bir proje yapılırken neredeyse hiç göz önünde bulundurulmamaktadır. Saniyede 100 lerce 1000
lerce log oluştuğu ve bu loglar ekrandan çok hızlıca aktığı için gözle oluşan logların kontrolü mümkün
değildir. Dolayısı ile gözle kontrol çok yanıltıcıdır.
SYSLOG Simulator
Sistemlerin gönderilen bütün logları karşılayıp karşılayamadıklarını ölçmenin pek çok yöntemi mevcuttur.
En kolay yöntemi bir SYSLOG Simulator kullanıp saniyede belirlenen adette log göndermek ve bunun
sistem tarafından yakalanıp yakalanmadığına bakmaktır. Bunu yaparken sistemin ortalamanın 2-3 katına
belli tepe ( peak) zamanlarında çıkabileceğini de hesaba katıp ona göre log göndermektir.
Log Yönetimi projelerinin demo aşamalarında en önemli parametrenin atlandığı ve bundan dolayı aslında
amaca hizmet etmeyen ya da lazım olduğunda işe yaramayan, aranan verinin bulunamadığı bir kurulum
ortaya çıkmış olur. Bu parametre kurulan sistemlerin vaat edilen EPS değerlerini sağlayabilmeleridir.
Sistemlerin gönderilen bütün logları karşılayıp karşılayamadıklarını ölçmenin pek çok yöntemi mevcuttur.
En kolay yöntemi bir SYSLOG Simulator kullanıp saniyede belirlenen adette log göndermek ve bunun
sistem tarafından yakalanıp yakalanmadığına bakmaktır. Bunu yaparken sistemin ortalamanın 2-3 katına
belli tepe ( peak) zamanlarında çıkabileceğini de hesaba katıp ona göre log göndermektir.
Örnek SYSLOG Simulatorler:
http://www.theonesoftware.com/syslog_sender.php
http://sourceforge.net/projects/nxlog-ce/?source=directory
http://sourceforge.net/projects/syslog-slogger/
ayrıca profesyonel ürünün üreticilerinin tamamı bu testleri hem kendi ürünleri hem de müşteri talebi ile
herhangi bir ürün üzerinde yapabilmektedir.
3. 2
ANET yazılım olarak 100 K EPS değerlerine erişmemizi sağlayacak bir altyapıyı test etmek için özel olarak
geliştirdiğimiz SYSLOG simülatörümüzü kullanmaktayız.
Bu aracın konfigürasyon dosyasında log üretme hızı vs.. ayarlanabilmektedir
logsize=10000
totallogs=50000000
sleeptime=1000
fast=true
logsize parametresi EPS değerini totlalogs ise toplamda kaç log gönderileceğini belirtmektedir.
Ayrıca projelerde geliştirdiğimiz bu ve benzeri araçlarda danışmanlık desteği de sunmaktayız.
Testler yapılırkan normal şartlar için değil Peak EPS değerleri için test edilmelidir. Burada en önemli kriter
1. Belirli bir sayıdaki logu belirli sürede gönderebilmek
2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır.
Kiwi veya yukarıda linki verilen yazılımlar ile 30-40 EPS i aşmak mümkün değildir.
Bunun için ANET yazılımdan destek alınabilir info@anetyazilim.com.tr
Ya da üçüncü bir parti yazılım kullanılmak istenirse aşağıdaki linkteki ürün kullanılabilir
4. 3
http://sourceforge.net/projects/syslog-slogger/
bu linkten Slogger-v0.6.zip dosyası indirilip açıldıktan sonra aşağıdaki gibi bir dosya yapısı ile
karşılaşılacaktır
Burada sadece run.bat dosyası kullanıcı tarafından oluşturulmalıdır. Bu dosyanın içeriği ise
“java -cp .bin;.3rdPartySyslog.jar org.slogger.Slogger” şeklindedir. Tabi sistemde java yüklü
olduğundan emin olun. Bunu için komut satırında aşağıdaki komut “java -version” çalıştırılır
Yazılım çalıştıktan sonra aşağıdaki gibi bir sonuç üretir.
5. 4
Burada EPS değerini 977 olarak görürsünüz. Bu parametreler ise slogger.properties dosyasından
ayarlanmaktadır. Örneğin 1000 EPS hız ile 200 000 log göndermek için aşağıdaki parametreleri
kullanabilirsiniz.
## slogger Properties file
## configure slogger options.
## program options.
syslogProvider=org.slogger.provider.randomMessageProvider.RandomSyslogProvider
#syslogPublisher=org.slogger.publisher.FilePublisher
syslogPublisher=org.slogger.publisher.NetworkPublisher
## Control the rate at which messages are sent.
##Delay added between messages in millis. 0 means no delay.
## If maxEpsRate is specfied, this value is ignored.
#delayBetweenMessages=0
maxEpsRate=1000
promptForStart=FALSE
displayCounters=TRUE
displaySentMessages=TRUE
## FileTarget Options
FilePublisher.file=syslog.log
## Network publisher options
NetworkPublisher.host=localhost
NetworkPublisher.port=514
NetworkPublisher.sourceAddressEncapString=
NetworkPublisher.keepMessageCounters=FALSE
## RandomMessageProvider options.
## Global message options
## Message Count
rmp.messageCount=200000
rmp.useEmblem=true
rmp.sources=10.1.1.1,10.1.1.2,10.1.1.3
rmp.levels=3
rmp.facility=ASA
rmp.sourcePort=5555
6. 5
rmp.targetHost=2.2.2.2
rmp.targetPort=targetPort
rmp.timeStamp=timeStamps
rmp.inputSyslogFile=input_syslogs.log
###Messages to be generated
rmp.message.1.multiplier=1
rmp.message.1.messageText=302013: Built <<inbound,outbound>> TCP connection <<1-100000>> for
inside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> (<<10.10.10.0,10.10.10.255>>/<<10000-50000>>) to outside:<<128.1.1.1-200.1.1.2>>/<<11024>> (<<21.1.1.1,21.1.1.255>>/<<1-1024>>)
rmp.message.2.multiplier=1
rmp.message.2.messageText=302014: Teardown TCP connection <<1-100000>> for
<<inside,outside,dmz>>:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> to <<inside,outside,dmz>>:<<128.1.1.1-200.1.1.2>>/<<1-1030>> duration
<<100,200,300>> bytes <<100,200,300>> Richa (Ric)
rmp.message.3.multiplier=1
rmp.message.3.messageText=302015: Built <<inbound,outbound>> UDP connection <<1-100000>> for
inside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> (<<10.10.10.0,10.10.10.255>>/<<10000-50000>>) to outside:<<128.1.1.1-200.1.1.2>>/<<11024>> (<<21.1.1.1,21.1.1.255>>/<<1-1024>>)
rmp.message.4.multiplier=1
rmp.message.4.messageText=302016: Teardown UDP connection <<1-100000>> for
<<inside,outside,dmz>>:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> to <<inside,outside,dmz>>:<<128.1.1.1-200.1.1.2>>/<<1-1030>> duration
<<100,200,300>> bytes <<100,200,300>>
rmp.message.5.multiplier=1
rmp.message.5.messageText=106100: access-list <<acl1,acl2,acl3>> permitted <<TCP,UDP>> outside/<<1.1.0.0,1.1.255.255>>(<<1000050000>>) -> inside/<<128.1.0.0,128.1.255.255>>(<<10000-50000>>) hit-cnt 10 Something [0x1001, 0x1000]
rmp.message.6.multiplier=1
rmp.message.6.messageText=106023: Deny tcp src outside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> dst inside:<<192.168.131.10192.168.135.10>>/<<5060-17000>> by access-group "TRANSIT" [0x298f38e5, 0x0]
rmp.message.7.messageText=302020: Built outbound ICMP connection for faddr <<10.20.14.141-10.20.255.255>>/<<0-7>> gaddr
<<192.168.5.21-192.168.6.255>>/512 laddr <<192.168.5.21-192.168.6.255>>/512
Yukarıdaki programı kullanarak
1. Belirli bir sayıdaki logu belirli sürede gönderebilmeyi sağlayabiliriz. Burada 200 000 log
2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır. Bu da
mümkün yaklaşık 1000 EPS değeri (997) sağlanabilmektedir.
Ve tabi en önemlisi gönderilen toplam log sayısı ve süresi gözükmektedir.
Log Yönetimi Sistemlerinin Log Yakalama (Toplama) Hızı
Bir log yönetim sisteminin en önemli özelliği gelen bütün logları yakalamak ve işlemektir. Sistemin bu
özelliği bir proje yapılırken neredeyse hiç göz önünde bulundurulmamaktadır. Maalesef görsel unsurlar
bu özelliği perdelemektedir.
7. 6
EPS Nedir?
Bazı sistemler kullanıcı ve bilgisayar sayısına göre kurgulama ve fiyatlandırma yapmaktadır. Bu doğru bir
yaklaşım olmadığı gibi sektörce bilinen yazılımlar EPS değeri kullanmaktadır.
Yukarıdaki verilen örnekleri kullanarak bir ölçekleme yaparsak:
100 Cihazlık bir ağ için
Ortalama EPS : 40
Peak EPS : 2500
Ortalama Peak EPS: 1500
250 Cihazlık bir ağ için
Ortalama EPS : 100
Peak EPS : 6000
Ortalama Peak EPS: 4000
500 Cihazlık bir ağ için
Ortalama EPS : 200
Peak EPS : 12500
Ortalama Peak EPS: 7500
8. 7
1000 Cihazlık bir ağ için
Ortalama EPS : 400
Peak EPS : 25000
Ortalama Peak EPS: 15000
Önemli olan sistemin Peak EPS değerlerini karşılayabilmesidir. Ortalama EPS ve Ortalama Peak EPS
sadece storage ihtiyacı için hesaplamada kullanılacak parametrelerdir.
9. 8
Arama Hızı
Diğer önemli bir husus da bu loğların ne hızla raporlara yansıdığıdır. Aşağıda pek çok raporda Big Data ve
Veri arama (Search) için önerilen ve milyonlarca dolar ciro yapan firmaların search hızları ile ilgili bir fikir
oluşturması açısından alınan örnekleri görebilirsiniz. Herhangi biri daha hızlıdır diye bir görüş ortaya
atmak bu çalışmanın konusu değildir.
Ticari Ürünlerden Örnek Arama Senaryoları ve süreleri
Aşağıdaki örnekler sadece bir fikir oluşturması açısından verilmiştir. Fikir oluşturması açısından
Bir fortinate firewalldan gelen SYSLOG paketleri dosyaya yazılırsa ortalama :
1 000 000 (bir milyon) satır 1 GB lık bir text (ASCII) dosya oluşturmaktadır.
Örnek Arama Hızları:
http://splunk-base.splunk.com/answers/5987/is-there-any-way-to-speed-up-searches
http://splunk-base.splunk.com/answers/50503/reducing-time-taken-for-search-in-splunk-query
12. 11
Örnek Bir Arama Kriteri:
EPS : 5000
Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin)
Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon)
10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon)
Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180
milyon log oluştuğu ve dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon
kayıt arasından olacağı unutulmamalı.
Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve
sıralaması istendiğinde
Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa
18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde
arama , sayma ve sıralama yapılmak zorunda olduğu unutulmamalı
Eğer seçilen sistem günlük birkaç milyon log biriktirebiliyorsa (yukarıdaki
rakamlarla kıyaslanırsa ne kadar küçük bir rakam olduğu görülür) log arama
handikapları gözle tespit edilemez. Sistemlerin kapasiteleri milyarlarca log
oluştuğunda ortaya çıkar
13. 12
Kendi Geliştirdiğimiz Sistemlerdeki Durum Nedir?
Benzer arama hızı testlerini ANET yazılım tarafından geliştirilen ürünlerle yapınca
ortaya çıkan durum:
487 milyon kayıt oluşturuldu. Bu kayıtlar içerisinde KAYNAK IP si diğerlerindne
farklı farklı olan logu ilk once ve de en sonra göndererek (Zaman olarak) yaptığıız
aşağıdaki fiziksel özelliklere sahip bir sistemdeki testlerde
487 milyon kayıt içerisinde aranan o iki logu bulma süresi 60 saniyedir. Bu arama
system 6500 EPS log işlemeye devam ederken yapılan bir testtir
ANET yazılım ürün detayları için
http://www.anetyazilim.com.tr/Downloads/doc/tr/log_management_compare/ANE
T_Log_Compare.pdf
14. 13
Örnek Bir Arama Kriteri:
EPS : 5000
Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin)
Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon)
10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon)
Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180
milyon log oluştuğu ve dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon
kayıt arasından olacağı unutulmamalı.
Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve
sıralaması istendiğinde
Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa
18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde
arama , sayma ve sıralama yapılmak zorunda olduğu unutulmamalı