SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
"Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz.
Bu yazıya devam etmeden önce iki kavramı açıklayalım
Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir.
Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil.
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
Yapılan bir ankette insanların %78 i SIEM ürününden memnun.
Bununla birlikte aynı anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır da denmekte. Bu çalışmada bunun sebepleri irdelenmektedir.
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
"Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz.
Bu yazıya devam etmeden önce iki kavramı açıklayalım
Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir.
Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil.
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
Yapılan bir ankette insanların %78 i SIEM ürününden memnun.
Bununla birlikte aynı anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır da denmekte. Bu çalışmada bunun sebepleri irdelenmektedir.
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. Korelsayon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pekçok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Standartlar ve güvenlik açısından veritabanı loglamanın önemi herkesçe malum. Veritabanına yönelik aktivitelerin görüntülenip, analiz edilerek, veriye hangi kullanıcının ve sistemin eriştiği bilgisinin detaylarını, hangi IP üzerinden, ne zaman erişildiğini ve veri üzerinde yapılan PL/SQL, T-SQL, SQL-T ve ANSI-SQL işlemlerini saklayarak raporlayabilmek hem kritik hem de standartlar ve uyumluluklar açısından gereklidir.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
There are relationships among the total correlation rule to be executed, complexity of the rules and EPS values together with CPU, RAM, Disk speed.
Also one other important issue is the easy of developing complex rules with wizards and executing them with high EPS values.
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Standartlar ve güvenlik açısından veritabanı loglamanın önemi herkesçe malum. Veritabanına yönelik aktivitelerin görüntülenip, analiz edilerek, veriye hangi kullanıcının ve sistemin eriştiği bilgisinin detaylarını, hangi IP üzerinden, ne zaman erişildiğini ve veri üzerinde yapılan PL/SQL, T-SQL, SQL-T ve ANSI-SQL işlemlerini saklayarak raporlayabilmek hem kritik hem de standartlar ve uyumluluklar açısından gereklidir.
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir.
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
There are relationships among the total correlation rule to be executed, complexity of the rules and EPS values together with CPU, RAM, Disk speed.
Also one other important issue is the easy of developing complex rules with wizards and executing them with high EPS values.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
Monitoring Privileged User Actions for Security and Compliance with SureLog: ...Ertugrul Akbas
Being able to audit and monitor user activity across a Windows Server based Network and heterogeneous network is key to knowing what is going on in your Windows environment and heterogeneous environment. Monitoring user activity is vital in helping mitigate increasing insider threats.
Kitabımızın son 4 bölümünü içermektedir.
BÖLÜM 4: MALWARE TEMEL DİNAMİK ANALİZ
• Backdoor Temel Dinamik Analiz
• Kalıcı Meterpreter Dinamik Analiz
• Keylogger Temel Dinamik Analiz
• Reverse Shell Temel Dinamik Analiz
• PMA Lab 03-01 Temel Dinamik Analiz
• PMA Lab 03-02 Temel Dinamik Analiz
• PMA Lab 03-03 Temel Dinamik Analiz
• PMA Lab 03-04 Temel Dinamik Analiz
BÖLÜM 5: ASSEMBLY
• Register Kod Yapısı
• Veri Aktarım Komutları
• Adresleme Modları
• Veri Tanımlamaları
• Kontrol Yapıları ve Döngüler
• String İşlemleri
• Aritmetik Mantık Komutları
• İşletim Sistemi ve BIOS İlişkisi
• Ekran ve Klavye İşlemleri
• Temel Giriş ve Çıkış Teknikleri
• Alt Programlarla Bağlantı Kurma
• Kaydırma ve Yönlendirme İşlemleri
• Aritmetik İşlemler
• Diziler
• Klasör ve Dosya İşlemleri
BÖLÜM 6: İLERİ SEVİYE MALWARE ANALİZ
• IDA ile Disassembly
• Backdoor İleri Seviye Malware Analiz
• IDA Pro ile Keylogger Analiz
• PMA Lab 07-01 Analiz
• PMA Lab 07-02 Analiz
• PMA Lab 07-03 Analiz
• PMA Lab 09-01 Analiz
• PMA Lab 09-02 Analiz
• PMA Lab 09-03 Analiz
BÖLÜM 7: BELLEK DÖKÜM ANALİZİ
• PMA Lab 03-01 Bellek Döküm Analizi
• PMA Lab 03-03 Bellek Döküm Analizi
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomously define rules on the data, to discover security events that require investigation. Behavior analysis and profiling relies on statistical modeling and data science in SureLog in order to identify patterns of behavior and compare them against other human or machine activities. The Profiler is a feature extraction mechanism that can generate a profile describing the behavior of an entity. An entity might be an any field of message like protocol used in communication as well as a server, user, subnet or application. Once a profile has been generated defining what normal behavior looks-like, models can be built that identify anomalous behavior.
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT EDECEĞİZ?
1. SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG
YÖNETİMİ ÇÖZÜMÜ OLUP DA SİEM DİYEN DE ÇOK. NASIL AYIRT
EDECEĞİZ?
SIEM ürünleri görünüşte birbirine benziyor. Hatta Log yönetimi yapıp da SIEM olduğunu söyleyen ve
korelasyon vurgusu yapan ürün de çok. Nasıl ayırt edeceği. Bu kafa karışıklığının sebebi ne?
Açık kaynaklogürünleri çokpopülerolmaklabirlikte ne kadarderde devaolduğu tartışılır.Herkesinde
bildiği gibi neredeyse yüzlerce açık kaynak log yönetimi çözümü mevcut. ELK/Solr/Lucene ve
Spark/Storm zatenartık standartolupbunlarınüzerinebiriki regexve birarayüz(GUI) giydiripyenibir
teknoloji imiş gibi sunmak sadece gerçek SIEM algısına balta vurmak ve bu SIEM den fayda ummak
boşmuş, bu teknolojiden fayda gelemez dedirtmekten başka bir şeye yaramaz.
Bir log arama motoru yapmak artık çok kolay. Parçaları birleştirerek bile aşağıdaki ekranları
oluşturabilirsiniz. https://www.elastic.co/blog/kibana-3-0-0-ga-now-available
Bunun için
ELK
Apache Spark/Storm
Kafka/Zeromq/Redis
Ürünlerini birlikte kullanmak yeterli.
Genelde ürünler seçilirken aslında belli bir seviyede log yönetimi yapabilecek ürünler SIEM olarak
alınıyor. Daha sonrasında ise SIEMolarak alınan bu yazılım sadece iki şey için kullanılıyor:
Log Arama Motoru
En Çok Analizleri
2. dolayısı ile ürünün güvenlik analizleri açısından hiçbir faydası olmamaktadır.
Burada ürünleri üç gruba ayırabiliriz.
Açık kaynak üzerine kurulu servis olarak sunulan ürünler
Açık kaynak yazılımın kopyasını yeni bir teknoloji olarak sunup YENİ BİR ARAYÜZ İLE
DÜNYANIN EN İYİ SIEM İNİ BİZ YAPTIK DİYEN ürünler.
Aslında Log Yönetimi olarak tasarlanıp SIEM olarak pazarlanan ürünler.
Log Analiz (Parser) Kütüphanesi
Yukarıdaki ürünler log analiz(parser) yeteneği olarak etrafta bulunan kaynaklardan ve firma kendi
yetenekleriilene geliştirdi iseondanoluşanbir loganaliz(parser) listesioluşturmayaçalışmaklabirlikte
genelde
Log kaynağını 1 hafta dinleyelim ona göre log analiz(parser) yazalım
Sistem çalışırken bakarız ona göre eksikleri ekleriz
gibi yöntemleri de kullanarak loganaliz(parser) kütüphanesi oluştururlar.Buyönteminne kadareksik
olduğunugösterebilmekadına TippingPointiçinANETSureLogSIEMloganaliz(parser) dosyasıörneğini
verirsek
Regex sayısı yaklaşık 11 bin adet
İmza(Signature) adedi yaklaşık 10 000 adet (Zaten pek çok yazılımda karşılığı yok!!)
Veyabenzerşekilde “dünyadaeniyi SIEMçözümübiziz”benzeri sloganlara Elastic/Sparktemelli ticari
bir ürünün Fortigate Firewall ile ilgili log analiz(parser) kütüphanesi (regex dosyası+parser kodu)
toplamda yaklaşık 5000 satırdır. ANET SureLog SIEM in sadece parser dosyası ise 100000 satırın
üstündedir evet yanlış okumadınız yüzbin satırdan büyük bir dosya ve yüzlerce regex ve on binlerce
imza(signature) dan oluşmaktadır. Peki fark ne!!!
Fortigate için farkı anlatmak gerekirse fortigate logları içindeki log_id, attack_id, SN gibi alanların
kombinasyonlarına göre SureLog SIEM bu logu
Malicious.PasswordCracking
Malicious.Virus
Malicious.Worm
Malicious.Bot
Malicious.Web.Injection
Veya
Compromised.Trojan
Compromised.Trojan.Response
gibi 1500 e yakın tiptenbiri olaraktespiteder(Taxonomy).Loganaliz(parser) işlemleri pek çokaçıdan
daha detaylıincelenebilir.Bunlardanbiri de logzenginleştirme verilerinindoğruluğudur.Aşağıdayine
yukarıda bahsedilen yazılımın log zenginleştirme verisi ile Fortigate kullanıcı kılavuzunun
3. karşılaştırması görülmektedir. Hata çok barizdir. Üretici tarafından Error olarak kategorize edilen
olay üründe Info olarak gösterilmiştir.
Benzer bir analizi de TrendMicro DeepSecurity için yaparsak
"378": {
"SubType":"Info",
"Type":"Operation",
"Context":"System"
}
https://help.deepsecurity.trendmicro.com/Events-Alerts/ref-events-
system.html
Hata yine çokbarizdir. Üreteci tarafından Warning olarak ifade edilen bir event info olarak parse
edilmiştir.
Bir SIEM ürününün amacı logu kaynak IP, Hedef IP, URL, kaynak port, hedef port, kullanıcı, action,
gönderilen paket boyutu, alınan paket boyutu vb.. alanlara ayırıp sonra
Log Arama Motoru
En Çok Analizleri
Yapmak DEĞİLDİR!. Zaten bunlar en basit bir ürün için bile olmazsa olmaz temel özelliklerdir. Logu
analiz etmekten kasıt onu anlamlandırmaktır.
Bu Log ne için oluşmuş?
Hangi olayın bir parçası?
Dikkat etmemiz gereken bir durum oluşmuş mu? Şüpheli bir aktivite logu mu?
Diğer hangi loglarla ilişkili?
Gibi bilgilerin logunanaliz edilmiş halinde kullanıcı tarafından bulunabilmesi ve bütün log tipleri için
aynı gruplandırmanın uygulanmasıdır (Taxonomy)
Gruplandırma(Taxonomy)
Karşılaştırmasınıokuyucuyabırakarakdiğerbir konuolangruplandırma(taxonomy)konusunageçelim.
Raporlama ve de daha önemlisi korelasyon için taxonomy kritiktir. Kısaca taxonomy yi anlatmak
gerekirse
Aruba Wireless
Fortinate Firewall
Windows Sunucu
Linux Server
McAffe IPS
4. den gelen yeni bir kullanıcı oluşturuldu olayı “Informational.Account.Created” taxonomy grubuna
eklenmeli ki hem raporda hem de korelasyonda kullanabilelim. Şöyle ki:
Oluşturulan kullanıcıların raporlarını oluştur
Yeni bir kullanıcı oluşturulursa uyar
gibi raporve korelasyonlaroluşturulabilmeli.Bunuyapabilmekiçinbütünloglarıbilenmodatabirle bir
üst akıl yani her bir loguparça parça parse etmekyerine diğerleri ile ilişkisini bilerekparse edebilecek
bütünleşikbir parser motoruna sahip olmalı. Açık kaynak dünyası pek çok log tipini parse etmekiçin
regex,kod,scripte sahipolsabile hiçbiri aynıtiplogiçinaynı/ortak birtaxonomy oluşturamamakta!.
Dolayısı ile yeni bir kullanıcı oluşturuldu raporunu çekmek için en iyi durumda ayrı ayrı
Aruba Wireless
Fortinate Firewall
Windows Sunucu
Linux Server
McAffe IPS
loglarından5 farklırapor çekmenizgerekmektedir.Eğerbirde bu loglarkullanıcıoluşturuldu şeklinde
parse edilmiyorsa işin içinden çıkmak iyice zorlaşır.
Aynı şekilde taxonomy özelliği olan bir ürünlerle
“Yeni bir kullanıcı oluşursa uyar” diyebilecekken
Aruba Wireless da yeni bir kullanıcı oluşursa uyar VEYA
Fortinate Firewall da yeni bir kullanıcı oluşursa uyar VEYA
Windows Sunucu da yeni bir kullanıcı oluşursa uyar VEYA
Linux Server da yeni bir kullanıcı oluşursa uyar VEYA
McAffe IPS da yeni bir kullanıcı oluşursa uyar
Gibi yazmakgerekir.Hele birde eğer bir de bu loglarkullanıcı oluşturulduşeklinde parse edilmiyorsa
işin içinden çıkmak iyice zorlaşır.
Başka bir örnek vermek gerekirse Fortigate logları içinde Virüsün başarı bir şekilde karantinaya
alınması ile ilgili loglarilerTrendmicroOficeScanloglarıiçindeki Virüsünbaşarıbirşekilde karantinaya
alınması loglarını aynı gruba ayırmalı (Taxonmy) ki hem raporlarda hem de korelasyonda karantinaya
alınan virüsile ilgili raporve korelasyonlarıkonuşurgibi yazabilelimve oluşturabilelim.Diğertürlüher
üreticinin loğunu son kullanıcı olarak bizim bilmemiz ve normalize edilmiş alanlarda ID,mesaj vb..
alanlara göre arama yaparak bizim bir şeyler yapmamız gerekir.
Diğer bir anlatımla son 1 günde kötü niyetli (Malicious) bütün olayları raporla veya kötü niyetli
(Malicious) bir olay olursa uyar gibi istekler eğer Taxonomy modülü olmazsa bütün log tiplerinin
(Örnek: Aruba Wireless, Fortinate Firewall, Windows Sunucu, Linux Server, McAffe IPS, Fortigate)
tanınması ve kötü niyetli olaylar için logun içindeki alanların kullanıcı tarafından bilinmesini vs..
gerektirir ki bu da ürünü çöpe atmak demek. Taxonomy ile ilgili detay bilgi için
http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
Korelasyon
5. Son olarak da korelasyon yeteneğini değerlendirirsek bu tarz yazılımlarda gerçek manada bir
korelasyonmotoruyoktur.Dolayısıile gerçekmanada bir korelasyon yeteneğindensözedilemez.Bu
tarz yazılımların genelde uyguladığı
Elastic temelli elastalert https://github.com/Yelp/elastalert
Ekrandaki text alanlarına sorgu girilmesi
Ekrandaki text alanlarına arama dili ile cümlecik girilmesi
Ekrandaki text alanlarına özel notasyonlu cümlecik yazmak
Script
Yazılım dili
Arama dili
ile sağlanması gibi kısıtlı ve hiç de kullanıcı dostu olmayan yöntemlerle çözmeye çalışmaktadır. Bu
yöntemlerin dezavantajlarının detayları için http://www.slideshare.net/anetertugrul/log-yonetimi-
korelasyon-ve-siem , http://www.slideshare.net/anetertugrul/surelog-siem-ve-log-ynetimi-zm-
stnlkleri
ANET SureLog SIEM Korelasyon özelliği ile bu yöntemleri kıyaslarsak; aşağıda görüleceği gibi her şey
görsel ve sihirbaz temellidir.
Gelişmiş kurallarıbusihirbazvasıtasıile yazabilirsiniz.
1. Bir kullanıcı15 dakikadaaynı makinada3 başarısız oturumdenediktensonra,2saat
içerisinde başkabirmakinada(önceki başarısızoturumaçtığı makine dışında) da başarısız
oturumaçarsa uyar
2. Bir kullanıcı15 dakikadaaynı makinada3 başarısız oturumdenediktensonra,2 saat içerisinde
bu makinadankendi makinasınaoturumaçarsauyar
6. 3. Bir kullanıcıherhangi birsunucuyaloginolamayıpauthenticationfailureasebepolduktan
sonra 2 saat içerisinde aynıkullanıcının aynısunucuyabaşarılı oturumaçmadığı takdirde uyar,
4. Ertuğrul kullanıcısının(Herhangi birX Kullanıcısı) son1 aydır hiçgitmediği birsiteyegitmesi
durumundauyar,
5. UnusualUDPTrafficüretenkaynakIPyi bildir,
Gibi kurallar hazır olarak gelmekte ve benzeri veya daha karmaşık kurallar kolay ara yüzlerle
oluşturulabilmektedir.
Özetlersek:
Parser listesinin genişliği ve doğruluğu
Taxonomy
Korelasyon
Belirleyicidir.