Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
Yapılan bir ankette insanların %78 i SIEM ürününden memnun.
Bununla birlikte aynı anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır da denmekte. Bu çalışmada bunun sebepleri irdelenmektedir.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
Yapılan bir ankette insanların %78 i SIEM ürününden memnun.
Bununla birlikte aynı anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır da denmekte. Bu çalışmada bunun sebepleri irdelenmektedir.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Laravel 4 - Events and Queues - 2013.12.21Arda Kılıçdağı
İTÜ Ayazağa kampüsünde 21 aralık 2013 tarihinde sunmuş olduğum Laravel 4: Events & Queues sunumu
Sunum boyunca verilen örneklerin kaynak kodlarına buradan erişebilirsiniz:
https://github.com/Ardakilic/laravel-4-workshop-sunum
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaKemal Yiğit Özdemir
Network evrimi, sanallaştırma teknolojisini, SDN'in çalışma konseptini ve kullandığı teknolojiler ve protokolleri içeren sunumdur. Tek seferde anlaşılabilecek ve öğrenilebilecek konseptte hazırlanmıştır. Anlatımı açıktır.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
Laravel 4 - Events and Queues - 2013.12.21Arda Kılıçdağı
İTÜ Ayazağa kampüsünde 21 aralık 2013 tarihinde sunmuş olduğum Laravel 4: Events & Queues sunumu
Sunum boyunca verilen örneklerin kaynak kodlarına buradan erişebilirsiniz:
https://github.com/Ardakilic/laravel-4-workshop-sunum
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaKemal Yiğit Özdemir
Network evrimi, sanallaştırma teknolojisini, SDN'in çalışma konseptini ve kullandığı teknolojiler ve protokolleri içeren sunumdur. Tek seferde anlaşılabilecek ve öğrenilebilecek konseptte hazırlanmıştır. Anlatımı açıktır.
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
1. SOC ve SIEM Çözümlerinde Korelasyon
Dr. Ertuğrul AKBAŞ
2. Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin
en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri
öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine
öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit
işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon
özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama
yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo
kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM
de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
En Basit Kalıp
X logu gelirse tespit et
Bu kalıpta karar verme veya arama gelen tek bir loğa bakılarak yapılıyor. Ne geçmiş ne de gelecekle
ilişkilendirme yok.
Örnek Senaryolar:
• Domain admin grubuna bir kullanıcı eklenirse
• Mesai saati dışında VPN yapan olursa
• Yeni bir kullanıcı eklenirse
Sayma Kalıbı (Threshold)
Belirli bir süre içinde belirli bir sayıda olay olursa
Örnek Senaryolar:
• 5 dakikada 50 tane yanlış şifre denemsi olursa
• Aynı kullanıcı 10 dakika içinde 5 farklı makinede yanlış şifre girerse
• Aynı IP den farklı portlara 5 dakika içinde 100 tane bağlantı kurulursa
Çapraz Bağlama
Önceki olaylarla sonraki olayları ilişkilendirme
3. Örnek Senaryolar:
• Antivirüs bir makinada virüs tespit ettikten sonra, virüs tespit edilen makinaya RPD yapan
veya deneyen olursa
• Bir kullanıcı oluşturulur, daha sonra o kullanıcı ile işlem yapılır ve aynı gün içinde o kullanıcı
silinirse
• VPN yapan bir kullanıcı RDP yapmaması gereken bir makinaya RDP yapar veya denerse tespit
et
• VPN yapan bir kullanıcı çalıştırmaması gereken bir uygulamayı çalıştırır veya çalıştırmayı
denerse tespit et
Yukarıdaki iki senaryo tipini en basit ve ücretsiz bir SIEM ürününden beklememiz gereken özellikler. Bu
özelliklere sahip olmayan bir üründen uzak durulması gerekir. Bu temel özelliklerin üzerine aşağıdaki gibi
daha gelişmiş korelasyon yeteneklerine günümüz dünyasında saldırganlara karşı ihtiyaç duyulduğu
aşikârdır.
Gelişmiş Senaryolar
Gelişmiş senaryolar yukarıdaki senaryoların yetersiz kalacağı saldırı ve şüpheli aktivite tespitini sağlar
Gelişmiş Çapraz Bağlama
Önceki olaylarla sonraki olayları ilişkilendirme yaparken ayrıca şart eklenerek yazılan kurallar
Örnek Senaryolar:
• Bir kullanıcı oluşturulur, ve hiç kullanılmadan 10 dakika içinde silinirse alarm üretme çünkü bu
admin kullanıcısının yaptığı bu harf hatası, veya büyük harf küçük harf yada Türkçe karakter
hatasıdır ama daha sonra o kullanıcı ile işlem yapılır ve aynı gün içinde o kullanıcı silinirse
veya hiç işlem yapılmasa bile gün sonunda silinirse tespit et
•
Gelişmiş Çapraz Bağlama ve Sayma Bir arada
Önceki olaylarla sonraki olayları ilişkilendirme yaparken ayrıca şart eklenerek yazılan kuralların daha
sonra sayıya bağlı olaylarla bağlanması
4. Örnek Senaryolar:
• Yeni bir kullanıcı oluşturduktan sonra bu oluşturulan kullanıcı ile 30 dakika içinde 5 den fazla
ve arada bu yeni oluşturtulan kullanıcı ile hiç başarılı oturum açmadan yanlış şifre denesi
olursa tespit et
Listeler:
Listeler korelasyonu destekleyen önemli özelliklerden biridir. Her ürünün liste kullanma kapasitesi
incelenmelidir. SureLog SIEM [10], Qradar, Exabeam gibi ürünlerin dokümanları incelenebilir.
Tek Boyutlu Listelerin Kullanılması:
Herhangi bir olayın bir listede olup olmadığının kontrolü
Örnek Senaryolar:
• VPN yapan bir kullanıcı VPN devam ederken lokal olarak da login yaparsa tespit et
• Disable edilen bir kullanıcı hesabı enable edilmeden kullanılmaya çalışılırsa tespit et ama
enable edildikten sonra kullanılırsa uyarma
•
Çok Boyutlu Listelerin Kullanılması:
Herhangi bir olayın çok boyutlu bir listede olup olmadığının kontrolü
Örnek Senaryolar:
• Bir kullanıcı, izin verilen IP sadece izin verilen domaine erişim yapabilir. Bunun dışında bir
deneme olursa tespit et.
Listelerle birlikte listelerde yapılabilecek işlemler ve liste operatörleri de çok önemli korelasyon
yeteneklerindendir [10].
Özel korelasyon algoritmaları:
Yukarıdaki yöntemlerin dışında özel tespit yöntemleri. Mesela sayma kurallarında bütün ürünlerde
zaman üst limiti tanımlanır, 5 dakika içinde gibi ama bazen de alt limit tanımlamak gerekir.
5. Örnek Senaryolar:
• Ağda en az 30 gün veya daha uzun süre (40 gün, 90 gün, 360 gün vb..) ses çıkarmayan,
görünmeyen cihaz veya ,kullanıcılar tekrar ağda belirir, görünürse otomatik olarak bu kullancı
ve cihazları disable et veya blokla.
• Son 30 gündür kullanılmayan standart proxy target portları harici bir port yeniden
kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip
adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm
trigger etsin!
• En az 15 gündür (20,30,40…265 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den
fazla workstationda Remote interactive logon olmuşsa uyar.
• Bir kullanıcı en az bir aydır bağlantı kurulmadığı bir ülke ile tekrar bağlantı kurarsa( gelen-
giden trafik) uyar
• En azından son 30 gündür kullanılmayan bir port yeniden kullanılmaya başlarsa uyar
Yukarıdaki gelişmiş korelasyon yöntemleri çok kritik özelliklerdir. Bu teknolojiye UEBA, istatistiksel ve
matematiksel yöntemler ve Rule As Code [11] gibi yeni teknolojiler gelişen saldırıların bir sonucu olarak
geliştirilerek eklenmiştir.
UEBA, İstatistiksel ve Matematiksel Yöntemler ve Rule As Code
Burada çok çeşitli senaryo tipleri mevcuttur. Okuyucunun kafasında canlanması açısından çok önemli
gördüklerimle ilgili örnekler vereceğim
Geçmişle Karşılaştırma:
Aynı olayın geçen saat, geçen gün, geçen hafta, geçen ay ile karşılaştırılması
Örnek Senaryolar:
• Son 1 saatte gönderilen ve alınan toplam e-posta sayısı, geçen hafta aynı saatle
karşılaştırıldığında %30 daha fazlaysa tespit et
• Bir web sunucuya son saat içinde gelen toplam istek sayısı, geçen hafta aynı gün aynı
saattekine göre %30 yukarıda ise uyar
Anormalliklerin Tespiti:
Bir olayın anormal olup olmadığının tespiti
6. Örnek Senaryolar:
• Bir kullanıcı daha önce hiç yapmadığı bir şey yaparsa tespit et
• Bir kullanıcı daha önce hiç yapmadığı makinada bir şey yaparsa tespit et. (Başka makinalarda
yapmış ama bunda hiç yapmamış)
• Bir kullanıcı daha önce hiç vpn yapmadığı bir ülkeden VPN yaparsa tespit et
• Bir kullanıcının login saati anormal ise tespit et
• Ağdaki failed login sayısı anormal ise tespit et
Matematiksel ve İstatistiksel Yöntemler:
Bir senaryonun tespiti için matematik ve istatistik algoritmaların kullanılması
Örnek Senaryolar:
• Bir kullanıcının son saat içinde toplam oluşturduğu trafik, son haftaki toplam trafik
kullanımının yüzdebirlik (percentile) kısmından %10 fazla ise uyar
• Bir kullanıcının varlık sayısının (asset) yüzde 95'lik diliminden daha fazlasına erişim yaptığı
günü tespit et
• Son dört hafta oranına göre haftanın dördüncü gününde diğer kullanıcıların %95'inden %300
daha fazla HTTP ile DNS protokolü oranına sahip bir kullanıcı varsa tespit et.
Nadirlik Tespiti (Rarity Detection) :
Bir olayın nadir olması şüphe çeken bir durumdur. Bunun tespiti
Örnek Senaryolar:
• Herhangi bir portun kullanımı nadir ise tespit et
• Herhangi bir uygulamanın kullanımı nadir ise tespit et
Rule As code:
Kuralların kod şeklinde geliştirilmesi [11]
Örnek Senaryolar:
• Bir ağda son bir saat içindeki başarısız login sayılarının toplamının başarılı login sayılarının
toplamına oranı %5 i geçerse uyar Ağdaki failed login sayısı anormal ise tespit et
• En az 50 benzersiz IP'den gelen 15.000'den fazla olayın, bu olayların en fazla 10 farklı
kategoriye ait olduğu 3 dakika içinde mevcut ise bildirim gönder.
• Günlüklerdeki ekleme sayısı ile izlenen kritik tabloya eklenen satır sayısı arasında anormallikleri
tespit et.
7. • Veri kaybı tespiti: Bir veritabanı tablosunun günlüklerini veri eklemeleri ile karşılaştırarak
herhangi bir anormallik için izle. Eğer günlüklerdeki ekleme sayısı tabloya eklenen satır
sayısından önemli ölçüde daha düşükse, bu potansiyel veri kaybı veya silinme işaret edebilir.
• Veritabanı performans sorunlarının tespiti: Bir veritabanı tablosunun günlüklerini veri eklemeleri
ile karşılaştırarak herhangi bir tutarsızlık için izle. Eğer günlüklerdeki ekleme sayısı tabloya
eklenen satır sayısından önemli ölçüde daha yüksekse, bu yavaş veya başarısız sorgular gibi
veritabanı performans sorunlarını işaret edebilir.
• Yetkisiz veri erişiminin tespiti: Hassas bir veritabanı tablosuna erişimi günlükler üzerinden takip
et ve günlüklerdeki ekleme sayısını tabloya eklenen satır sayısıyla karşılaştır. İki sayı arasında
önemli bir fark varsa, bu, verilere yetkisiz erişim olabileceğini bildirmek için bir uyarı oluştur.
• Veri manipülasyonunun tespiti: Bir veritabanı tablosunun günlüklerini gerçek veri eklemeleri ile
karşılaştır
Yukarıdaki senaryolara benzer yüzlerce senaryoyu [12] referansta bulabilirsiniz.
Referanslar
1. https://community.splunk.com/t5/Splunk-Search/Real-Time-Search-Issues/m-p/423805
2. https://answers.splunk.com/answers/433872/why-are-real-time-searches-not-running-and-
getting.html
3. https://docs.splunk.com/Documentation/Splunk/latest/Search/Realtimeperformanceandlimitati
ons
4. https://answers.splunk.com/answers/671819/real-time-alert-1.html
5. https://docs.microsoft.com/en-us/azure/sentinel/near-real-time-rules
6. https://www.peerspot.com/articles/the-math-of-siem-comparison
7. https://www.peerspot.com/articles/how-to-select-the-right-siem-solution
8. https://www.peerspot.com/articles/what-really-matters-when-selecting-a-siem-and-how-to-
choose-a-siem-looking-into-the-correlation
9. https://medium.com/@surelog/surelog-lists-b952aca0a047
10. https://www.researchgate.net/publication/351905003_The_Math_of_SIEM_Comparison
11. https://www.researchgate.net/publication/328874259_Rule_as_a_Code-
SureLog_Correlation_Engine_and_Beyond
12. https://www.researchgate.net/publication/372458912_Extraordinary_SOC_SIEM_Use_Cases