SIEM den Maksimum Fayda Almak

https://www.surelogsiem.com
SIEM’den Maksimum Fayda Almak
Dr. Ertuğrul AKBAŞ
SureLog SIEM
Esenyurt Üniversitesi Öğretim Üyesi

Ajanda
• SIEM Çözümlerinde Stabilite Nasıl Sağlanır?
• Kanun ve Regülasyonlara Göre Canlı Log Süreleri
• Siber Güvenlik Pratikleri Açısından Önerilen Canlı Log Süreleri
• Loglar En Az 6 Ay, İdealde 1+ Yıl Canlıda Durmazsa Neleri Gözden Kaçırmış
Oluruz?
• Kanun ve Regülasyonlara Göre Arşiv Log Süreleri
• Firmaya Özel Korelasyon Kuralı Geliştirme ve Optimizasyon Çalışması
Yapılmazsa Neleri Gözden Kaçırmış Oluruz?
• İşe Yarar Korelasyonlar ile Gereksiz Korelasyonlar Nasıl Ayıklanır?
• SIEM Çözümlerini Kullanarak Sigma Kural Tabanlı Gerçek Zamanlı
Korelasyonlar İle Tehditlerin Gerçek Zamanlı Tespiti (Threat Detection) ve
Tehdit Avcılığı (Threat Hunting)

Stabilite
• Çok duyduğumuz problemler
– Sık sık sistemin log toplamayı durdurması- Log kaçırma demek
– Sık sık sistemin restart etmesi / durması
– Geç işleme alma. Sahadan örnek: 15000 EPS de firewall logları ekranı 5 saat
geç yansıyor
– 10000 + EPS ile stabilite kaybı
– Korelasyonların yetersizliği
– Tehdit avcılığı ile ilgili yetersizlikler

Stabilite
• Çözüm
– Stabil bir ürün seçmek
– Doğru Sistem kaynağı (CPU, RAM, Disk hesaplaması)
• Örnek: Elasticsearch ve Elasticsearch temelli ürünler disk
canavarıdır ve doğru CPU ve RAM hesaplaması yapılmazsa da log
kaçırır. Siz bunu taa ki aradığınız logu bulamayınca belki de yıllar
sonra fark edersiniz.

Kanun ve Regülasyonlara
Göre Canlı Log Süreleri
– PCI uyumluluğu için en az 90 gün canlıda tutmalısınız (10.7.c). 1 Yıla
kadar da ister canlı, ister arşivde tutun da nasıl tutarsanız tutun
– Treasury Board of Canada Secretariat Event Logging Guidance,
Secretariat Event Logging Guidance dokümanına göre en az 90 gün
canlıda tutmalısınız.

Göre Canlı Log Süreleri
– Executive Office of the President Office of Management and Budget -
Improving the Federal Government’s Investigative and Remediation
Capabilities Related to Cybersecurity Incidents dokümanına göre en az
12 ay canlıda tutmalısınız.

Siber Güvenlik Pratikleri
Açısından Önerilen Canlı Log
Süreleri
Dünyada yaşanan binlerce saldırı 1, 15 yıl geçmişe gitmeye gerektiren
tarzda saldırılardı. Örnek Solarwinds:

Süreleri
Dünyada yaşanan binlerce saldırı 1, 1,5 yıl geçmişe gitmeye gerektiren
tarzda saldırılardı. Örnek LAPSUS$:

Süreleri
Mitre’nin yayınladığı bir kitap var.
Burada SOC’ler
için tavsiye edilen canlı
Log süreleri 6 ay ile 2 yıl
arasıdır.

Süreleri
IBM tarafından hazırlanan
Rapordaki verilere
göre logları canlıda
en az 287 gün tutmak gerekir

göre Arşiv Log Süreleri
Bu süreler 2 yıl ile 10 yıl arasında değişmektedir.
• PCI – 1 Yıl
• The Basel II – 3 ile 7 Yıl
• The Health Insurance Probability and Accountability Act (HIPAA) – 6 Yıla kadar
• National Industrial Security Program Operating Manual (NISPOM) – 1 Yıl
• The Sarbanes-Oxley Act (SOX) – 7 Yıl
• VISA Cardholder Information Security Program (CISP) – 6 ay
• EPDK – 7 Yıl

İşe Yarar Korelasyonlar ile
Gereksiz Korelasyonlar Nasıl
Ayıklanır?

Korelasyon
Korelasyonların planlanan EPS değerlerinde beklendiği performansta
çalışabiliyor ve lazım olan senaryoların gerçekleştirilebiliyor olması
gerekir.
Ayrıca 3000, 5000 EPS gibi değerlerle çalışan korelasyonlar 10 K, 30 K, 80
K gibi değerlerde çalışmamaya başlayabilir. Bu gibi stabilite problemlerine
dikkat etmek gerekir

SIEM Çözümleri ile Tehdit
Avcılığı (Threat Hunting)
Burada en popüler yöntem şu anda Sigma kuralları
Binlerce Sigma kuralı mevcut
SOC Prime, Picus gibi yüzlerce firma test edilmiş onaylanmış kural
yayınlıyor.

SIEM Çözümleri ile Tehdit
Avcılığı (Threat Hunting)
Şu anda IBM Qradar ve Splunk da dahil bütün SIEM’ler bu kuralları kendi
sorgu dillerine çevirip kullanmaya çalışıyor. Alternatif ve daha verimli
çözümler uygulamak gerekir.

SIEM den Maksimum Fayda Almak

More Related Content

Similar to SIEM den Maksimum Fayda Almak

More from Ertugrul Akbas

SIEM den Maksimum Fayda Almak