Huzeyfe Önal'ın "Siem / Log Korelasyon " başlıklı NetSecTR sunumu

1. “Kurumlara Özel SIEM/Log
Korelasyon Kuralı Geliştirme”
Huzeyfe ÖNAL
Bilgi Güvenliği AKADEMİSİ

2. Huzeyfe ÖNAL
• Yönetici Ortak – BGA Bilgi Güvenliği A.Ş.
• Sektör tecrübesi :2002-…
• Siber Güvenlik İnsiyatifi Kurul Üyesi (UDHB Bünyesinde)
• Öğretim Görevlisi (Siber Güvenlik Yüksek Lisans Programı)
• Bilgi Üniversitesi (Bilişim hukuku Yüksek Lisans Programı)
• Bahçeşehir Üniversitesi (Siber Güvenlik Yüksek Lisans Programı)
• Şehir Üniversitesi (Siber Güvenlik Yüksek Lisans Programı)

3. Firma Hakkında: BGA Bilgi Güvenliği A.Ş.
• BGA markası ile 6 yıldır kurumlara stratejik siber
güvenlikdanışmanlığı sunmaktadır
• 45 teknik personel (Mühendisağırlıklı)
• 2016 itibariyle Ankara, İstanbul, Bakü ve
Virginia(USA) ofisleri
• Ağırlıklıçalışılan sektörler
• Finans (32 Banka)
• Enerji
• Telekom
• Savunma Sanayi
• Kamu
• Bilgi GüvenliğiAKADEMİSİ markası ile siber
güvenlikkonusundaüretim merkezi rolü

4. Sunum İçeriği:Ajanda
SIEM Dünyası Genel Kavramlar
Başarılı SIEM Projesi İçin Adımlar
SIEM Korelasyonu
1
2
3

5. Neden Kuruma Özel Çalışma…?

6. Internetten SOC SIEM Use Cases
• Unauthorized user access to confidential data.
• Unauthorized subnet access to confidential data.
• Unauthorized user on the network "Enable NAC".
• Unauthorized device on the network "Enable either NAC or ISE".
• Unauthorized server connection to the Internet.
• Suspicious traffic to known vulnerable host.
• Logging source stopped logging.
• …
• ...

7. Kavramlar Kavramlar…

8. Gerçekte SIEM

9. Neden

10. SIEM’den Beklenen

11. Gerçekte Olan

12. Başarılı bir SIEM Projesi için…
• Kapsama neler alınacak
(hangi sistemler vs)
• Uymakla yükümlü
olduğum
standartlar/kanunlar vs
var mı
• Günün sonundane elde
etmeyi umuyorum
– “Can alıcı soru”
1

13. Sahadaki SIEM Ürünleri
As of November 2014, Mosaic Security Research identified 73 SIEM and log-management products.[5]

14. SIEM Ürün Seçimi 2

15. Hatalı Seçim Durumu

16. Log Kaynaklarının Tespiti & Detaylandırma
• Log Kaynaklarının Tespiti
• Hangi log kaynağından
hangi detayda log
alınacağının belirlenmesi52 farklı kategoride 400 çeşit ürün,
ortalama 3.500 log çeşidi…
3

17. “Siber Tehdit İstihbaratı” Kullanımı

18. SIEM Korelasyonunda Zafiyet Bilgisi Etkisi

20. Log Anlamlandırma ve Seviyelendirme
Hangisi Daha Anlamlı Geliyor?

21. Örnek Log/Alarm İnceleme
IBM Qradar

22. Korelasyon Kavramı ve Çeşitleri
• Korelasyon,olasılık kuramı ve istatistikteiki rassal değişken arasındaki doğrusal
ilişkininyönünüve gücünü belirtir. Genel istatistiksel kullanımdakorelasyon,
bağımsızlık durumundanne kadar uzaklaşıldığınıgösterir.
•

23. Gelişmiş Korelasyon Kuralı Yazma
Kaynak:HP, proficio, Google

24. Korelasyon Kuralı Oluşturma Yöntemi

25. SOME Tatbikat/Siber Tehdit Simülasyonu
● Siber Güvenlik Tatbikat çalışması bir kurumun dış ve iç
siber saldırgan gözüyle kurumdaki tüm güvenlik
bileşenleri (çalışanlar dahil) gerçek hayattakine
benzer bir saldırı simulasyonuile ölçümüdür.
● Çalışma boyuncakurum icin yapılan tüm güvenlik
yatırımlarının(Loglama, Antivirüs, IPS, Firewall,
bilgilendirmevs) gerçek bir siber saldırı karşısındane
kadar işe yaradığı somut bulgularlaortaya çıkacaktır.

26. Cyber Kill Chain

27. Tatbikat Senaryoları İçerik
• Internete Açık Sistemler için Gerekli Senaryoların Denenmesi
• Web Sunuculara Yönelik Senaryoların Denenmesi ve Aksiyon Planı
• Endpoint Sistemlere (AV, APT, Mlwr) Yönelik Senaryo Denemeleri
• Veritabanı Sistemlerine Yönelik Senaryo Denemeleri
• LAN & DMZ Senaryolarının Denenmesi
• Windows Sistemlere Yönelik Senaryo Denemeleri
• Linux/UNIX/EmbeddesSistemlere Yönelik Senaryo Denemeleri
• Mail & SPAM & Exchange Sistemlere Yönelik Senaryo Denemeleri
• Network Altyapı Sistemlerine Yönelik Senaryo Denemeleri
• Firewall & IPS Sistemlere Yönelik Senaryo Denemeleri
• VPN & OWA Sistemlerine Yönelik Senaryo Denemeleri
• DLP & SIEM Sistemlerine Yönelik Senaryo Denemeleri

28. Örnek Kullanım Senaryoları(Use Cases)

29. VPN ve OWA Senaryoları

30. Güvenlik İhlallerinin Zamanlaması

31. 7X24 Güvenlik İzleme - SOC

32. İletişim Bilgileri
• www.lifeoverip.net
• Blog.bga.com.trBlog
• @bgasecurity
• @huzeyfeonalTwitter
• huzeyfe@lifeoverip.net
• Huzeyfe.onal@bga.com.trİletişim