SecurityOnion ile Ağ güvenliğini İzlemek

1. SecurityOnion ile Ağ Güvenliğini
İzlemek
Furkan Çalışkan, GCFA, CISA, CISM’

2.  Güvenlik İzleme & Olay Müdahale Yetkilisi @
 www.furkancaliskan.com
 GCFA, CISA, CISM, 27001 LA
 NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat
meraklısı
 Öncesi;
 TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri
 Ziraat Bankası – BT Müfettişi
 Netaş – Linux Sistem Programcısı
Hakkımda

3.  Giriş
 Neden güvende hissedemiyoruz?
 NSM nedir? Neden kaçınılmazdır?
 Security Onion
 Giriş
 Araçlar
 Demo
 Teşekkürler
İçerik

4.  Gelişen siber tehditler
 Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.
 False sense of security! (Cahillik, mutluluktur)
 SIEM vs. Visibility
 Durumsal farkındalık «SA» eksikliği. Büyük yapıların
getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.
 Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni
korur)
 «Prevention is ideal but detection is must» Eric Cole
Neden güvende hissed(em)iyoruz?

5.  Assume breach (Aksini kim iddia edebilir?  )
 Sistemlerine ait «normal»’i bil.
 Sistemlerden toplayabildiğin (ve analiz edebileceğin!)
kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)
 Bunları kaydet, zenginleştir, korele et.
 Otomatikleştir!
 Anormallikleri sapta
NSM Nedir? CM Nedir?

6. Vaka:
Kullanıcılarınızdan birisi Yandex’e ‘vergi hesaplama’
yazdı ve bir uygulama indirdi
Herşey yolunda?
% kaç ‘zararlı’?
Bir alarm gördüm sanki....

8.  232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)
 İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)
 Bu IP’yi Bro datası ile zenginleştirsen;
 www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe
 Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python  Virustotal )
 EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)
 EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)
 domain_stats ile zenginleştirsen;
 domain.com 3 gün önce kaydedilmiş
 geo_ip ile zenginleştirsen;
 Rusya’da shared hosting sağlayan bir firma
 İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10
Veri zenginleştirme?

9.  Eski Mandiant (Fireeye) çalışanlarından Doug Burks
 Şirket içi kullanım amaçlı (Mandiant)
 Temelde bir entagrasyon projesi
 IDS + Bro + PCAP kayıt + endpoint + loglama + analiz
ortamı vb.
 Ücretsiz, açık kaynak kodlu
 Kurulumu ve kullanımı kolay

10.  IDS (Saldırı Tespit Sistemi)
 Snort yada Suricata: Talos ruleset, ET ruleset
 PCAP kayıt
 netsniff_ng
 Bro
 Trafik analiz aracı ~ IDS
 Endpoint
 Sysmon + Autoruns + OSSEC
 Sguil/Squert
 Analiz konsolu
 Elsa
 Loglama modülü
  ELK
Temel Bileşenler

11.  3 mod
 Standalone
 Sensor
 Server
 Salt ile merkezi yönetim
 Donanım planlaması
 En az 2 network interface
 Disk
 Ram
 Daha çok ram ve disk! 
 ‘Production’ ve ‘evaluation’ kurulumlar
 Adım adım kurulum rehberi: http://tiny.cc/gazisecon
Kurulum
https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware

13. IDS (Snort / Suricata)
İmza formatı
Çıktı
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:"ET POLICY Pandora Usage"; flow:established,to_server; content:"POST";
http_method; content:"/radio/xmlrpc/"; http_uri; content:"pandora.com|0d 0a|";
http_header; threshold: type threshold, track by_src, count 1, seconds 3600;
reference:url,www.pandora.com; classtype:policy-violation; sid:2014997; rev:1;)

14. Bro
conn.log, dns.log, ftp.log, http.log, ssl.log, notice.log, intel.log vb.

15. Rob Joyce @ NSA//TAO Chief
‘en büyük
kabusumuz, tüm ağ
akışını loglayan ve o
veri içerisinde
anormallik arayan
birilerinin olması’
https://www.youtube.com/watch?v=bDJb8WOJYdA

16. PCAP kayıt

18. Loglama altyapısı (ELSA)
Diğer bileşenlerin loglamalarının merkezi olarak toplandığı yer

19.  OSSEC
 Sysmon
 Autoruns
Endpoint loglama

20. OSSEC (+Sysmon)
- Açık kaynak kodlu LIDS ürünü
- Uçnoktalarda görünürlük sağlıyor
- Geniş parser desteği
- WAZUH fork
- Agent kurulumu sıkıntılı
(auto-ossec, Puppet vs.)
- Sysmon entegrasyonu

21. Sguil

22. Büyük resim :)

23. Örnek zararlı trafik analizi

24. Analiz
Kaynak: malware-traffic-analysis.net

25.  Docker
 ELSA -> ElasticSearch + Logstash + Kibana
 domain_stats, freq_server, ElastAlert, Curator
 Kullanıma hazır! (Beta)
ELK?

26. ELK?

27. Kitap tavsiyesi

29. Teşekkürler
https://www.furkancaliskan.com
caliskanfurkan@gmail.com
https://twitter.com/caliskanfurkan_