BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
Toplanan logların denetim, yönetmelik ve kanunlar açısından ve özellikle de BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır
• Gerçek zamanlı korelasyon yapabilenler
• Periyodik sorgu ile korelasyon yapanlar
Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır
• Hiç gerçek zamanlı sorgu çalıştıramayanlar
• Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5]
Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım
SureLog birden fazla teknolojik alanda avantajları olan bir SIEM çözümüdür. SureLog SIEM Dünya'da logları en az disk kullanarak en uzun süre tutabilen SIEM çözümüdür. Korelasyon yeteneği dünyadaki en kuvvetli ürünler arasındadır. Kullanım kolaylığı, raporlama yetenekleri ve fiyatı da ayrıca diğer avantajlarıdır.
SureLog SIEM canlı logları (indeksler) en fazla sıkıştırabilen yazılımdır. Yerli ve yabancı tüm rakiplerine göre 10 ile 40 kat arası daha fazla sıkıştırır. Bu da aynı disk miktarı ile 10 - 40 kat daha uzun süre canlıda tutabilmesi demektir. Ayrıca SureLog SIEM dünyadaki en yetenekli korelasyon motorlarından birine sahiptir
SIEM çözümleri son otuz yıldır piyasada ve her geçen gün SIEM çözümlerine olan ihtiyaç artarak devam etmekte. Ayrıca KVKK, GDPR, ISO27001, PCIDSS, BDDK, 5651 gibi uyumluluklar her ölçekte firmanın SIEM gereksinimi ortaya çıkarmaktadır. Bu son 30 yıl içerisinde BT organizasyonlarındaki değişiklikler ve ihtiyaçlar artarken özellikle küçük ve orta ölçekli firmalarda SIEM ile ilgili öne çıkan en önemli ihtiyaç ürün maliyeti olmuştur. Bu noktada SureLog SIEM Fast Edition Dünya’nın en ekonomik SIEM çözümü olarak rakipsiz bir avantaj ve imkan sunabilmektedir. Gelişen ve değişen BT altyapıları ile birlikte ortaya çıkan ikinci kritik özellik veriye her an erişim ihtiyacıdır. Özellikle Solarwinds hack olayı logların yıllarca canlı durmasının gerekliliğini ortaya koydu. Ayrıca IBM tarafından hazırlanan “Bir Veri İhlalinin Maliyeti Raporu 2020” ye göre de bir ihlalin tespit edilip kontrol altına alınması için gerekli minimum süre 280 gün. Bu noktada da SureLog SIEM ürün ailesi dünyadaki en iyi canlı log sıkıştırma yeteneği ile çok çok düşük disk miktarları ile logları yıllarca canlıda ve on yıllarca arşivde tutabilmektedir.
SureLog SIEM ailesinin diğer bir kuvvetli özelliği korelasyondur ve Fast edition bu noktada fiyat performans olarak bakılırsa yine Dünya’daki en avantajlı üründür.
SureLog SIEM Fast Edition, ANET SureLog SIEM ürün ailesinin en yeni ürünüdür ve ANET SureLog ürün ailesinin diğer üyeleri olan SureLog SIEM KVKK Edition ve SureLog SIEM Standart Edition ile aynı platform üzerinde geliştirilmiş olup aynı teknolojik avantajları son kullanıcılara ilgili lisanslar dâhilinde sunmaktadır
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomously define rules on the data, to discover security events that require investigation. Behavior analysis and profiling relies on statistical modeling and data science in SureLog in order to identify patterns of behavior and compare them against other human or machine activities. The Profiler is a feature extraction mechanism that can generate a profile describing the behavior of an entity. An entity might be an any field of message like protocol used in communication as well as a server, user, subnet or application. Once a profile has been generated defining what normal behavior looks-like, models can be built that identify anomalous behavior.
There are many SIEM solutions available. And some ML or AI modules/tools/Add-ons available on the market. Some of those ML/AI tools available are using pure statistics for outlier detection apart from current hot topic ML, AI algorithms.
What is tactical SIEM? if you are spending 80 percent of your time within a SIEM tool doing alert review and analysis, then you are on the right track. If you are an organization that is instead focusing heavily on collecting more data sources, applying patches, or running compliance reports, then your SIEM implementation may not be tactical. [2]
So correlation/alert is the heart of SIEM.
Some SIEM solutions have strong correlation engine and some others are weak relatively.
Some SIEM correlation engines are just filters and some of them are no more than Esper CEP query.
Correlation is the key factor for SIEM success. So the emphasis is correlation engine.
How come SureLog detects things like a failed login from all brands and types of devices. The answer is in the taxonomy it uses.
A taxonomy aids in pattern recognition and also improves the scope and stability of correlation rules. When events from heterogeneous sources are normalized they can be analyzed by a smaller number of correlation rules, which reduces deployment and support labor. In addition, normalized events are easier to work with when developing reports and dashboards
Using normalized events and taxonomy categories is highly recommended in correlation because they make the rule easier to modify, maintain and apply to additional log sources.
With the ability to translates all log types into a single taxonomy, Sureog provides immediate time-to-value in the application of SIEM, meaning customers are empowered to build, manage and effectively transform their businesses through a unified cybersecurity solution
Taxonomy or event categorization is common in SIEM solution. The question is how strong, deep and powerful is your SIEM taxonomy capability?
SureLog SIEM altyapı, teknoloji ve teknik detayları içeren dokümanlar listesi. Aynı zamanda korelasyonla ilgili temel ve ileri düzey analizler içeren makaleler de bu listede mevcuttur.
SIEM KORELASYON MOTORU DEĞERLENDİRME KRİTERLERİErtugrul Akbas
SIEM ürünlerinin korelasyon yeteneğinin detaylı teknik analizi için kullandığımız parametreler. Bu parametreleri kullanarak bilinen SIEM ürünlerine baktığımız bir İngilizce çalışmamız da mevcut. Rekabet şartları gereği isimleri açıklamamakla beraber, açıklanmasında sıkıntı olmayan verileri bize ulaşan konu ile ilgili kişi ve kuruluşlarla da uygun gördüğümüz ortamda paylaşabiliriz.
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
"Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz.
Bu yazıya devam etmeden önce iki kavramı açıklayalım
Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir.
Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil.
SureLog is a next-generation SIEM solution with a powerful correlation engine. Its rule based correlation engine with taxonomy has a superior detection capability. Additionally, SureLog has a Machine Learning detection module. What machine learning offers is the ‘many-eyes' option. With the experienced scientist point of view SureLog has placed its bets on the combination of rule based correlation, human and machine intelligence in its most recent cybersecurity efforts, which reduces the time it takes to detect and respond to cyberattacks. A key differentiator is our unique approach to use machine learning, rule based correlation and human intelligence in parallel.
SureLog was designed as a full scope tool that uses machine learning, rule based correlation algorithms and correlation framework for the security specialists to detect emerging threats.
PHP Software Developer
Join our team of cyber pioneers with expertise. Through implementation of effective cybersecurity solutions, ANET supports security awareness, readiness, resilience and response to cyber incidents. Our extensive customer base has benefited from the leading-edge work our security engineers and data scientists perform in maintaining and advancing situational awareness of the current cyber threat landscape.
SureLog SIEM avantaj ve farkları
1-SureLog SIEM avantajlarından ilki logların canlıda yıllarca tutulabilmesidir.
SureLog SIEM piyasadaki bütün yerli ve yabancı SIEM ürünleri arasında logları en az disk kullanarak en uzun süre canlıda tutabilen yazılımdır.
SureLog SIEM logları yıllarca canlıda tutabilirken rakipleri ancak arşivde tutabilir.
Canlı ile arşiv farkı nedir derseniz aşağıdaki makaleleri inceleyebilirsiniz.
https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
https://drertugrulakbas.medium.com/siem-ve-loglar%C4%B1-%C3%A7ok-uzun-s%C3%BCre-canl%C4%B1da-tutman%C4%B1n-kritikli%C4%9Fi-sahadan-tecr%C3%BCbeler-e92c06588c77
https://drertugrulakbas.medium.com/loglar%C4%B1n-ar%C5%9Fivden-d%C3%B6n%C3%BClmesi-mi-a82182741efd
2- Performans
Log kaçırma yapmaz ve yüksek log trafiği altında çok performanslı çalışır
3-Kullanım kolaylığı
SureLog SIEM i biz tasarlarken kullanıcını ofis uygulaması kullanacağı kolaylıkta olmasını istedik. Kullanım kolaylığı ile ilgili olarak SureLog SIEM youtube kanalımızdaki videoları inceleyerek fikir sahibi olabilirsiniz.
https://www.youtube.com/channel/UCtNQ4ArSPXTYhyzfz4WYqdg
4-Taxonomy
Son kullanıcın logun içindeki binlerce ID, kelime veya formatı bilmesi imkansız derecesinde zordur. Kullanıcıların log formatı, logun içindeki kelime veya kelime kombinasyonlarını bilmesine gerek kalmadan güvenlik yönetimi yapabilmesini sağlayan taxonomy modülü SureLogun diğer bir avantajıdır. SureLog Taxonomy modülü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
https://drertugrulakbas.medium.com/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-taxonomy-%C3%B6zelliklerinin-fark%C4%B1-8b31c91f80ad
https://drertugrulakbas.medium.com/taxonomy-makes-raw-data-human-understandable-fbf92370139d
https://drertugrulakbas.medium.com/surelog-siem-taxonomy-ile-dikkatimizden-ka%C3%A7an-olaylar%C4%B1-yakalamak-1a7716ff8d92
5-Korelasyon
SureLog dünyada en iyi korelasyon yeteneğine sahip ilk 5 ürün arasındadır. SureLog korelasyon özelliğinin gücü ile ilgili aşağıdaki makalelere bakabilirsiniz.
https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
SIEM solutions are responsible for the automated analysis of
events, which sends alerts to the concerned security team for
notifying them about the immediate issues and taking automated actions in parallel. SureLog SIEM response actions are intelligent.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
KVKK ve GDPR kapsamında veri bulma ve sınıflandırma çözümü Siperium.
Veri Arama ve Sınıflandırma Sadece Arama Demek Değildir. Kişisel veri ararken aynı zamanda güvenlik ve sistem kaynaklarını verimli kullanmayı sağlamak avantaj olur
Kişisel veri arama
TC Kimlik
Ad
Kredi Kartı
Telefon
E-mail
İsteğe bağlı kelimeler
İsteğe bağlı regex
Güvenlik
Bu dosyayı kim oluşturmuş?
Ne zaman oluşmuş?
En son ne zaman erişilmiş?
Bu arada kimler erişmiş? (SureLog entegrasyonu gerektirir)
Sistem Kaynakları
Bu dosyaya kaç yıldır dokunulmamış?
En son kaç yıl önce erişilmiş?
Disk Kullanım Raporları
Dosyanın boyutu
Dosyanın yaşı
Dosyanın tipi
Dosyayı Kim oluşturmuş
SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomously define rules on the data, to discover security events that require investigation. Behavior analysis and profiling relies on statistical modeling and data science in SureLog in order to identify patterns of behavior and compare them against other human or machine activities. The Profiler is a feature extraction mechanism that can generate a profile describing the behavior of an entity. An entity might be an any field of message like protocol used in communication as well as a server, user, subnet or application. Once a profile has been generated defining what normal behavior looks-like, models can be built that identify anomalous behavior.
There are many SIEM solutions available. And some ML or AI modules/tools/Add-ons available on the market. Some of those ML/AI tools available are using pure statistics for outlier detection apart from current hot topic ML, AI algorithms.
What is tactical SIEM? if you are spending 80 percent of your time within a SIEM tool doing alert review and analysis, then you are on the right track. If you are an organization that is instead focusing heavily on collecting more data sources, applying patches, or running compliance reports, then your SIEM implementation may not be tactical. [2]
So correlation/alert is the heart of SIEM.
Some SIEM solutions have strong correlation engine and some others are weak relatively.
Some SIEM correlation engines are just filters and some of them are no more than Esper CEP query.
Correlation is the key factor for SIEM success. So the emphasis is correlation engine.
How come SureLog detects things like a failed login from all brands and types of devices. The answer is in the taxonomy it uses.
A taxonomy aids in pattern recognition and also improves the scope and stability of correlation rules. When events from heterogeneous sources are normalized they can be analyzed by a smaller number of correlation rules, which reduces deployment and support labor. In addition, normalized events are easier to work with when developing reports and dashboards
Using normalized events and taxonomy categories is highly recommended in correlation because they make the rule easier to modify, maintain and apply to additional log sources.
With the ability to translates all log types into a single taxonomy, Sureog provides immediate time-to-value in the application of SIEM, meaning customers are empowered to build, manage and effectively transform their businesses through a unified cybersecurity solution
Taxonomy or event categorization is common in SIEM solution. The question is how strong, deep and powerful is your SIEM taxonomy capability?
SureLog SIEM altyapı, teknoloji ve teknik detayları içeren dokümanlar listesi. Aynı zamanda korelasyonla ilgili temel ve ileri düzey analizler içeren makaleler de bu listede mevcuttur.
SIEM KORELASYON MOTORU DEĞERLENDİRME KRİTERLERİErtugrul Akbas
SIEM ürünlerinin korelasyon yeteneğinin detaylı teknik analizi için kullandığımız parametreler. Bu parametreleri kullanarak bilinen SIEM ürünlerine baktığımız bir İngilizce çalışmamız da mevcut. Rekabet şartları gereği isimleri açıklamamakla beraber, açıklanmasında sıkıntı olmayan verileri bize ulaşan konu ile ilgili kişi ve kuruluşlarla da uygun gördüğümüz ortamda paylaşabiliriz.
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
"Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz.
Bu yazıya devam etmeden önce iki kavramı açıklayalım
Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir.
Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil.
SureLog is a next-generation SIEM solution with a powerful correlation engine. Its rule based correlation engine with taxonomy has a superior detection capability. Additionally, SureLog has a Machine Learning detection module. What machine learning offers is the ‘many-eyes' option. With the experienced scientist point of view SureLog has placed its bets on the combination of rule based correlation, human and machine intelligence in its most recent cybersecurity efforts, which reduces the time it takes to detect and respond to cyberattacks. A key differentiator is our unique approach to use machine learning, rule based correlation and human intelligence in parallel.
SureLog was designed as a full scope tool that uses machine learning, rule based correlation algorithms and correlation framework for the security specialists to detect emerging threats.
PHP Software Developer
Join our team of cyber pioneers with expertise. Through implementation of effective cybersecurity solutions, ANET supports security awareness, readiness, resilience and response to cyber incidents. Our extensive customer base has benefited from the leading-edge work our security engineers and data scientists perform in maintaining and advancing situational awareness of the current cyber threat landscape.
Neuro-symbolic is not enough, we need neuro-*semantic*Frank van Harmelen
Neuro-symbolic (NeSy) AI is on the rise. However, simply machine learning on just any symbolic structure is not sufficient to really harvest the gains of NeSy. These will only be gained when the symbolic structures have an actual semantics. I give an operational definition of semantics as “predictable inference”.
All of this illustrated with link prediction over knowledge graphs, but the argument is general.
GraphRAG is All You need? LLM & Knowledge GraphGuy Korland
Guy Korland, CEO and Co-founder of FalkorDB, will review two articles on the integration of language models with knowledge graphs.
1. Unifying Large Language Models and Knowledge Graphs: A Roadmap.
https://arxiv.org/abs/2306.08302
2. Microsoft Research's GraphRAG paper and a review paper on various uses of knowledge graphs:
https://www.microsoft.com/en-us/research/blog/graphrag-unlocking-llm-discovery-on-narrative-private-data/
Software Delivery At the Speed of AI: Inflectra Invests In AI-Powered QualityInflectra
In this insightful webinar, Inflectra explores how artificial intelligence (AI) is transforming software development and testing. Discover how AI-powered tools are revolutionizing every stage of the software development lifecycle (SDLC), from design and prototyping to testing, deployment, and monitoring.
Learn about:
• The Future of Testing: How AI is shifting testing towards verification, analysis, and higher-level skills, while reducing repetitive tasks.
• Test Automation: How AI-powered test case generation, optimization, and self-healing tests are making testing more efficient and effective.
• Visual Testing: Explore the emerging capabilities of AI in visual testing and how it's set to revolutionize UI verification.
• Inflectra's AI Solutions: See demonstrations of Inflectra's cutting-edge AI tools like the ChatGPT plugin and Azure Open AI platform, designed to streamline your testing process.
Whether you're a developer, tester, or QA professional, this webinar will give you valuable insights into how AI is shaping the future of software delivery.
Epistemic Interaction - tuning interfaces to provide information for AI supportAlan Dix
Paper presented at SYNERGY workshop at AVI 2024, Genoa, Italy. 3rd June 2024
https://alandix.com/academic/papers/synergy2024-epistemic/
As machine learning integrates deeper into human-computer interactions, the concept of epistemic interaction emerges, aiming to refine these interactions to enhance system adaptability. This approach encourages minor, intentional adjustments in user behaviour to enrich the data available for system learning. This paper introduces epistemic interaction within the context of human-system communication, illustrating how deliberate interaction design can improve system understanding and adaptation. Through concrete examples, we demonstrate the potential of epistemic interaction to significantly advance human-computer interaction by leveraging intuitive human communication strategies to inform system design and functionality, offering a novel pathway for enriching user-system engagements.
Elevating Tactical DDD Patterns Through Object CalisthenicsDorra BARTAGUIZ
After immersing yourself in the blue book and its red counterpart, attending DDD-focused conferences, and applying tactical patterns, you're left with a crucial question: How do I ensure my design is effective? Tactical patterns within Domain-Driven Design (DDD) serve as guiding principles for creating clear and manageable domain models. However, achieving success with these patterns requires additional guidance. Interestingly, we've observed that a set of constraints initially designed for training purposes remarkably aligns with effective pattern implementation, offering a more ‘mechanical’ approach. Let's explore together how Object Calisthenics can elevate the design of your tactical DDD patterns, offering concrete help for those venturing into DDD for the first time!
Slack (or Teams) Automation for Bonterra Impact Management (fka Social Soluti...Jeffrey Haguewood
Sidekick Solutions uses Bonterra Impact Management (fka Social Solutions Apricot) and automation solutions to integrate data for business workflows.
We believe integration and automation are essential to user experience and the promise of efficient work through technology. Automation is the critical ingredient to realizing that full vision. We develop integration products and services for Bonterra Case Management software to support the deployment of automations for a variety of use cases.
This video focuses on the notifications, alerts, and approval requests using Slack for Bonterra Impact Management. The solutions covered in this webinar can also be deployed for Microsoft Teams.
Interested in deploying notification automations for Bonterra Impact Management? Contact us at sales@sidekicksolutionsllc.com to discuss next steps.
UiPath Test Automation using UiPath Test Suite series, part 3DianaGray10
Welcome to UiPath Test Automation using UiPath Test Suite series part 3. In this session, we will cover desktop automation along with UI automation.
Topics covered:
UI automation Introduction,
UI automation Sample
Desktop automation flow
Pradeep Chinnala, Senior Consultant Automation Developer @WonderBotz and UiPath MVP
Deepak Rai, Automation Practice Lead, Boundaryless Group and UiPath MVP
State of ICS and IoT Cyber Threat Landscape Report 2024 previewPrayukth K V
The IoT and OT threat landscape report has been prepared by the Threat Research Team at Sectrio using data from Sectrio, cyber threat intelligence farming facilities spread across over 85 cities around the world. In addition, Sectrio also runs AI-based advanced threat and payload engagement facilities that serve as sinks to attract and engage sophisticated threat actors, and newer malware including new variants and latent threats that are at an earlier stage of development.
The latest edition of the OT/ICS and IoT security Threat Landscape Report 2024 also covers:
State of global ICS asset and network exposure
Sectoral targets and attacks as well as the cost of ransom
Global APT activity, AI usage, actor and tactic profiles, and implications
Rise in volumes of AI-powered cyberattacks
Major cyber events in 2024
Malware and malicious payload trends
Cyberattack types and targets
Vulnerability exploit attempts on CVEs
Attacks on counties – USA
Expansion of bot farms – how, where, and why
In-depth analysis of the cyber threat landscape across North America, South America, Europe, APAC, and the Middle East
Why are attacks on smart factories rising?
Cyber risk predictions
Axis of attacks – Europe
Systemic attacks in the Middle East
Download the full report from here:
https://sectrio.com/resources/ot-threat-landscape-reports/sectrio-releases-ot-ics-and-iot-security-threat-landscape-report-2024/
LF Energy Webinar: Electrical Grid Modelling and Simulation Through PowSyBl -...DanBrown980551
Do you want to learn how to model and simulate an electrical network from scratch in under an hour?
Then welcome to this PowSyBl workshop, hosted by Rte, the French Transmission System Operator (TSO)!
During the webinar, you will discover the PowSyBl ecosystem as well as handle and study an electrical network through an interactive Python notebook.
PowSyBl is an open source project hosted by LF Energy, which offers a comprehensive set of features for electrical grid modelling and simulation. Among other advanced features, PowSyBl provides:
- A fully editable and extendable library for grid component modelling;
- Visualization tools to display your network;
- Grid simulation tools, such as power flows, security analyses (with or without remedial actions) and sensitivity analyses;
The framework is mostly written in Java, with a Python binding so that Python developers can access PowSyBl functionalities as well.
What you will learn during the webinar:
- For beginners: discover PowSyBl's functionalities through a quick general presentation and the notebook, without needing any expert coding skills;
- For advanced developers: master the skills to efficiently apply PowSyBl functionalities to your real-world scenarios.
The Art of the Pitch: WordPress Relationships and SalesLaura Byrne
Clients don’t know what they don’t know. What web solutions are right for them? How does WordPress come into the picture? How do you make sure you understand scope and timeline? What do you do if sometime changes?
All these questions and more will be explored as we talk about matching clients’ needs with what your agency offers without pulling teeth or pulling your hair out. Practical tips, and strategies for successful relationship building that leads to closing the deal.
Kubernetes & AI - Beauty and the Beast !?! @KCD Istanbul 2024Tobias Schneck
As AI technology is pushing into IT I was wondering myself, as an “infrastructure container kubernetes guy”, how get this fancy AI technology get managed from an infrastructure operational view? Is it possible to apply our lovely cloud native principals as well? What benefit’s both technologies could bring to each other?
Let me take this questions and provide you a short journey through existing deployment models and use cases for AI software. On practical examples, we discuss what cloud/on-premise strategy we may need for applying it to our own infrastructure to get it to work from an enterprise perspective. I want to give an overview about infrastructure requirements and technologies, what could be beneficial or limiting your AI use cases in an enterprise environment. An interactive Demo will give you some insides, what approaches I got already working for real.