Yapılan bir ankette insanların %78 i SIEM ürününden memnun. Bununla birlikte aynı anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır da denmekte. Bu çalışmada bunun sebepleri irdelenmektedir.

1. TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
ertugrul.akbas@anetyazilim.com.tr
SIEM ürünleri ne kadar faydalı?. Yapılan bir ankette [1] insanların %78 i SIEM ürününden
memnun
Bununla birlikte aynı anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve
default kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır[1] da
denmekte.
Buradan da görüleceği üzere memnuniyet ve fayda arasında bir ters ilişki var. Peki nedir
bu fayda? Siber saldırıları zamanında tespit etmek ve önlem almak.
Herhangi bir teknolojiyi kötülemeden önce ben onu olması gerektiği gibi kullanıyor muyum
diye bakmak lazım. SIEM çözümlerinden kurumlar neden tam verim alamıyor olabilir?
İnsanların memnunum ama fayda sağlamıyorum demesinin nedenleri ne olabilir?
Memnunum ama tam fayda sağlayamıyorum cevabını görünce aklıma önce Ford'un sonrasında
ise Chrysler 'in efsanevi yöneticisi Lee Iacocca [2] ve uyguladığı bir satış taktiği geldi. Iacocca
bir araba satınca 6 ay içerisinde arabayı sattığı kişinin tanıdığı ne kadar insan varsa arar ve şu
kişiye şu arabayı sattım çok memnun deyip araba sattığı kişiyi referans gösterirmiş. Arabayı
satın alan adam memnun olmasa bile ilk 6 ay içinde ben kötü bir karar verdim diyemezmiş ve
referans olurmuş. Bu taktikle çok başarılı bir satış grafiği yakalamış [3]. Satış benim uzmanlık
alanım olmadığı için bunun değerlendirmesini satış konusunda uzmanlara bırakıyorum.
Fayda elde edememe etkenlerini incelersek
1. Ürün yetersizliği: Bal bal demekle ağız tatlanmaz. Size ne kadar SIEM, SIEM dense
de ürün SIEM yeteneklerine sahip değilse faydası olmaz

2. 2. Demo/PoC süreçlerinde son kullanıcının farkındalığının azlığı: Eğer SIEM iniz ile
hala kural yazmadıysanız SIEM ı alıp asfalt silindiri ile ütü yapıyorsunuz demektir.
SIEM çözümünün verimliliğini kontrol etmek için periyodik olarak kontrollü bir şekilde
aktif networkde (production network) saldırı simülasyonu yapılmalı ve aktif savunma
sistemleri ve SIEM in bu saldırıları tespit edip/edemediği kontrol edilmeli. Ayrıca
çoğunluk olayı korelasyon=alarm=event şeklinde düşünüyor. Suç müşteride değil,
firmalarda maalesef.
3. Proje süreçlerindeki eksiklikler: Ürün bilmekle güvenlik bilmek aynı şey değil.
Şeklinde sıralayabiliriz.
Ürün Yetersizliği
Ürünün SIEM özellikleri sınırlı olduğu için faydası az olabiliyor. SIEM Log Yönetimi demek
değildir. Dolayısı ile log toplama ve raporlama ürünleri ile SIEM yapamazsınız.
Ayrıca Alarm ile korelasyon aynı şey demek değildir. Örnek vermek gerekirse
ALARM: Aynı kullanıcı 15 dakika içerisinde 3 kere başarısız oturum açarsa uyar,
KORELASYON: Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen
aynı dosyalar 20 dakika içerisinde 1 den fazla makinada aynı process ve aynı dosya şeklinde ve
aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar. Daha
detaylı korelasyon örnekleri için bu çalışmanın sonundaki SENARYOLAR kısmına bakınız.
Burada ürünün yeteneklerinin ne seviye olduğunu anlamak ne yazık ki son kullanıcıya
kalıyor. Ürün:
 Log Yönetimi
 Log Yönetimi ve Alarm
 Log Yönetimi, Alarm ve Korelasyon
Kategorilerden birine giriyordur.

3. Ünün Alarm mı korelasyon mu olduğunu anlamak için çalışmanın sondaki SENARYOLAR
kısmındaki senaryolar ve benzerlerini geliştirmek mümkün mü diye bakmak lazım.
Korelasyon yapabilen ürünleri de kendi aralarında korelasyon kabiliyetlerine göre kıyaslamak
mümkün. Örnek olarak
 Birden fazla Kural arasında ilişki kurmak isterseniz sadece source, destination,
source port, destination port üzerinden yapabileceğiniz şekilde kısıtları olan
ürünler.
 Kullanıcı adı, MAC Adresi, ülke kodu vb.. başka parametrelerde ise hiçbir
korelasyon şansınızın olmadığı ürünler,
 Alarm oluşması için herhangi bir sihirbaz kullanmadan bir text alanına sorgu
yazmanızı bekleyen ürünler,
 Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının
gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) tarzı kurallar
yazılamayan ürünler
 Cross-Correlation sadece IPS ve Vulnerability Scanner logları arasında
yapıldığı gibi sadece IP adresi üzerinde birleştirme yapılabilen ürünler.
 Kurallara periyod veya zaman kısıtı uygulayamayan ürünler
 Senaryolar arasında zaman bağlantısı kuramayan ürünler. Örnek X olayından
sonra 15 ile 30 dakika arasında Y olayı olursa gibi
 Pattern tespiti yapamayan ürünler
Bununla birlikte UEBA gibi ek modüllerin de ne kadar işe yaradığını test etmek lazım. UEBA
SIEM in tamamlayıcısı olarak çok popüler bir konu ama market lideri ürünlerde bile başarısız
olup kapatılan UEBA modülleri olduğunu görünce test etmeden varmış dememek lazım
Proje Süreçlerindeki Eksiklikler
Verizon firmasının raporuna göre günümüz siber tehditleri karşısında SIEM çözümlerinin
yapılandırılmasında yapılan çeşitli hatalar veya yapılması gereken adımların uygulanmaması
nedeniyle saldırıyı tespit etme ihtimali %1’dir. SIEM gerçekten bütün bu işleri yapıyor yani
siz yaptırabilirseniz yapıyor demek daha doğru [5]. Proje süreçleri ile ilgili aşağıdaki tespitlere
dikkat edilmeli:
 SIEM bir ürün değil proje. Başarısı uygulamasına bağlı.
 Türkiye’deki SIEM projelerinin %80 i korelasyon a geçemeden kalıyor.
Bunlardan bir kısmı Alarm seviyesinde kalırken çoğu log arama motoru
seviyesinde kalmakta. Dolayısı ile savunma geliştirilemediği için SIEM faydaları
sonuna kadar kullanılamıyor.
 SIEM bir ürün değil çözüm. Çözümü uygulayan ekibin tecrübe ve bilgi birikimi çok
önemli. Konunun popülerliği doğrultusunda pazar çeşitleniyor. Global literatürü takip
etmek ve SIEM uygulayacak ekibin copy&paste ötesine geçip geçemediğine bakmak
önemli
 Eğer log kaynağı çeşitliliği yok ise çok kapsamlı kurallar yazamazsınız. Bunun için de
proje aşamasında log kaynaklarının mümkün olduğunca çeşitlendirilmesi lazım.

4. Sıradan bir SIEM projesinde eğerson kullanıcı süreci yönetmez ve SIEM çözüm ortağına
bırakırsa %85 log toplama ve raporlama safhasında proje bitiyor. Çok az proje Alarm
kısmına geçiyor ve çok çok az firma korelasyon adımını devreye alıyor.
Çoğu zaman çalıştığınız iş ortağının SIEM ve yazılım geliştirme konularındaki bilgi ve
deneyimi ürünün markasından çok daha önemlidir.
Son Kullanıcının Farkındalığının Azlığı
Araştırmalar gösteriyor ki global ve çeşitli listelerde lider olarak gösterilen ürünlerde bile hazır
gelen kuralların olduğu gibi kullanılması oranı sadece %3. Dolayısı ile son kullanıcıların elinde
senaryolar kısmında verdiğimize benzer olabildiğince çok sayıda senaryo olmalı ve bunları
canlı olarak demoda test etmeli. SIEM çözümlerinden tam verim almada iş biraz da son
kullanıcıya düşüyor. Doğru soruları sorabilmesi lazım. Bunun için de literatürü taraması
gerekiyor. SIEM, SOC, SOME konularında literatür çok geniş. Buna vakit ayırmak lazım. Bir
word programı kullanmıyorsunuz, dolayısı ile kur ve unut u unutun. Ülkemizde kritik siber
güvenlik ürünleri uygulamalarında itibar edilen yöntemlerden biri olan şu listede var mı, şurada
çok satmış mı yöntemi sonunda o listelerde olan veya çok satanlar listesinde olan çözümlere
milyonlarca (belki on milyonlarca) para harcamış ve onlarca/yüzlerce IT ekibi olan
banka/holding vb.. de bile fayda üretemiyor. Önemli olan uygulamanın getireceği fayda. O da
hem uygulayan hem de yöneten ekibe(Son kullanıcı) bağlı. Bazı SIEM ürünleri Türkiye'de
bayileri adına OEM lisanslar ile müşterilere teklif ediliyor; bu durumda ürün size değil bayiye
lisanslanmış oluyor. Yıllar boyunca ürün desteğini ve yenilemesini sadece ilk alımı yaptığınız
bu bayiden satın alabiliyorsunuz, üreticiye çağrı açmaya kalksanız üretici sizi tanımıyor (OEM
lisans verdiği bayiyi biliyor sadece). Alırken mutlaka lisansın kalıcı (perpetual) lisans
olduğundan ve firmanız/kuruluşunuz adına olduğundan emin olmalısınız.[6]. SIEM
projelerinin büyük çoğunluğu neden fail ediyor? Cevap basit: Kimse ne yaptığını aslında
bilmiyor... Herkes 'diğerleri' alıyor diye SIEM alıyor. [7]
Demo/PoC süreçleri
Maalesef son kullanıcının çok fazla vakti olmuyor dolayısı ile bazen 2-3 ay süren bir
PoC/Demo sürecinde toplasan 1 hafta bile ürüne tam konsantre olamıyor. Genelde ben şunları
istiyorum demek yerine bana ne anlatıyorsun bir dinleyeyim şeklinde demo şekilleniyor.
Böylece de herkes bir şeyler anlatıyor ve kafa karışıyor.
Hızlıca ürünün yeteneklerini anlaması için kestirme yöntemler geliştirmesi lazım. Bunun için
önerilecek adımlar.
 Ürün dokümanları
 Global teknolojilerle paralellik
 Demoda canlı alarm/korelasyon denemeleri

5. Ürün dokümanları
Ürünün alarm ve/veya korelasyon özelliklerini anlamak için ilk bakılacak yer ürün
dokümanlarıdır. Dokümanlarında Alarm ve/veya korelasyonla ilgili vurgu ne seviyede
bakılması lazım.
Öyle ürünler var ki Web sayfasındaki ürün dokümanında raporlama, log arama motoru
kısımları devamlı güncellenirken alarm modülü kısmı güncellenmiyor ve ürünün aktif
ara yüzleri ile dokümandaki ara yüzler arasında sürüm farkı var. Ara yüzler bile farklı
(Demek ki aktif kullanıcılarının Alarm talebi olmuyor).
Global teknolojilerle paralellik
Ürünün global standart/yöntem ve buluşlarla ne kadar uyumlu (Buna yoğurt yiyiş demek
lazım) olduğunu tespit etmek lazım. Aslında sadece log arama motoru olup SIEM yeteneklerine
sahibim diyen çok çeşitli ürünler var.
Global trendler dışında fayda ve avantajlarını ispat etmeden hatta açıklama bile gereği
duymadan sadece kendi kullandığı operatörleri siber güvenlikle ilgili popüler kelimelerden
seçerek kullanan ve bunu yaparken daha ziyade pazarlama motivasyonu ön plana çıkan ürünler
var. Örnek olarak belirli bir zaman dilimi içerisinde belirli bir sayıdan fazla bir olayın
meydana gelmesine davranışsal analiz (BEHAVIOR) diyenler, PREDICT adlı bir
operatör ile ML veya UEBA kelimelerine benzerlik yakalamaya çalışanlar gibi, herhangi
bir nosql/elastic sorgusu yapabilmeye security analiytcs diyenler gibi.
Demoda canlı alarm/korelasyon denemeleri
Üreticinin demodaki yaklaşımı aslında ürünün yeteneklerini anlama açısından kolaylık sağlar.
Üretici demoyu log toplama ve raporlama üzerine bina ediyor ve alarm/korelasyon konusuna
yüzeysel giriş yapıp demoyu sonlandırıyor ise tespit odaklı bir proje olmayacaktır.
Aynı ankette kullanıcıların %80 den fazlasının SIEM ürününü Log toplama için
kullandığını söylüyor. Beklenti azaltılırsa memnuniyetin arttığını gösteren bir ilişki.
SIEM satın alıp mutlu olduğunu söyleyenbirçok firma var ama çoğu SIEM'i SIEM gibi
kullanmıyor
Ayrıca son kullanıcı tehdit istihbaratı gibi önemli konulara da vakit ayrılmalı:
1- İstihbarat kaynakları ne kadar çeşitli, kaç adet farklı veri kaynağı var?,
2- Toplamda ne kadar IP, Domain takipte, bunları şeffaf olarak görebilmek,
listeleyebilmek, yönetebilmek ve gerektiğinde kontrol edebilmek hem şeffaflık hem de
kontrol açısından önemli
3- Gerçek zamanlı olarak bu veriler kullanılabiliyor mu? Yoksa sadece raporlama amaçlı
mı? Burada da kritik olan anında aksiyon alabilmek. Örnek olarak Cryptolocker saldırısı
yapan site olarak etiketlenmiş bir site ile ilgili trafikten hemen haberdar olmakla 5

6. dakika sonra olmak arasındaki fark verileri şifreletmekle kurtarmak arasındaki fark
aslında
SENARYOLAR
 Bir kullanıcı 80 portundan X adresine erişim yaptıktan sonra 15 dakika içerisinde aynı
kullanıcı Y mail adresine mail atarsa ve bu pattern 30 dakika içerisinde 1 den fazla
kullanıcıda görülürse uyar,
 Kullanıcıların son 1 ay içinde başarısız oturum açma profilini çıkarın. Örnek
Ertugrul.Akbas A makinasından x,y,z makinalarına ve B makinasından s,t,u makinasına
gibi ve bunu referans noktası olarak alın ve bu makinalar dışında bir makinadan-
>makinaya başarısız oturum oluştururlarsa uyar şeklinde bir alarm oluşturun. Ama eger
SuspiciousUserActivities listesinde veri varsa bunu normalden profilden çıkararak
profili güncelleyin.
 VPN yapan bir kullanıcı eğer son 1 ayda hiç bulunmadığı bir lokasyondan VPN yaptıysa
ve bu VPN kullanıcısı VPN yaptıktan sonra 20 dakika içinde 100 MB dan fazla upload
yaptı ise ve 3 gün boyunca veya daha fazla bu işlemleri tekrar etti ise uyar
 Son 10-15 gün, her saat dilimi için trafiğin boyutu hesaplanıp bir normal/baseline
çıkarılıp, belli zamanlarda o zaman dilimlerinin karakteristiğine uygun olmayan(i.e.,+/-
%30) trafik oluşursa uyar,
 Mesai saatleri içerisinde hiç login olmadığı bir sunucuya sadece mesai sonrası login
olan olursa ve bunu 3 gün veya daha fazla arka arkaya tekrarlarsa uyar,
 Peer to peer detection için sabit bir kaynak IP ve sabit bir kaynak porttan farklı hedef ip
ve portlara UDP ile 1 dakikada 5 den fazla SENT/RECEIVED verisi 0 dan büyük
(Genelde paket boyutu da aynı olur) trafik olursa uyar,
 Eğer sisteme yeni bir kullanıcı eklendikten sonra 15 dk içerisinde xp_cmdshell stored
procedure u devreye alınırsa uyar,
 Conficker solucan aktivitelerinin tespiti için aynı kullanıcı için "A user account was
locked out." mesajı aldıktan sonra aynı kullanıcı için 5 dakikada 50 tane "Kerberos pre-
authentication failed" mesajı oluşursa uyar,
 Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen aynı
dosyalar 20 dakika içerisinde 1 den fazla makinada aynı process ve aynı dosya şeklinde
ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa
uyar.
 net.exe, ipconfig.exe, whoami.exe, nbtstat.exe programlarının 15 dakikada 5 den fazla
çalışması durumunda bu processlerin parent processine bak ve
iexplorer.exe,notepad.exe gibi anormal ise uyar,
 VPN yapan bir kullanıcının erişim yaptığı bir dosyaya VPN bağlantısı açık kaldığı süre
içerisinde aynı kullanıcı adı ile iç ağdan da bir erişim olursa uyar,
 Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe,
explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe,
smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından
aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler
izin verilen processler içerisinde değil ise uyar,

7.  Tehdit İstihbaratı tarafından tehlikeli olarak listelenen bir domainden bir trafik oluşmuş
ve daha sonra başka bir makinadan bu makinaya başarılı oturum açılırsa uyar,
 Birisi Networkünüzde DHCP serverı açtıysa ya da farklı bir gateway yayın yapıyorsa,
bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya
içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir
trafik olursa uyar,
 Creation / deletion of the same account in a short time period
 Birisi VPN yapınca uyar,
 VPN yapan kullanıcı 15 dakikadır RDP yapmadı ise uyar,
 Aynı dış IP den birbirinden farklı iç IP lere ve birbirinden farklı portlara 15 dakikada
100 den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP lerin
TAMAMINDA yeni bir process ayağa kalkıyorsa uyar,
 Office macro malware yakalama korelasyonu: EventCode=1 (Process create), Image
değeri explorer.exe veya svchost.exe ile biterken ParentProcess excel.exe yada
winword.exe'ise (Office belgesinden explorer.exe yada svchost.exe ismiyle child
process oluşması durumunda uyar.
FALSE POZİTİFLER SIEM IN GERÇEKLERİ
SIEM çözümünün faydalarını azaltan önemli bir etken false pozitifler. Sistem yöneticileri bu
false pozitiflerden bıktığı için ürünü Log yönetimi şekline indirgeyip kullanmaktalar. Bu
handikapı elemine edebilmek için yine ürünün teknik kabiliyetleri önem kazanmakta. SIEM
ürününü ürettiği false pozitifleri azaltmak için örnek bir senaryo:
Genelde 15 dakikada 3 veya daha fazla başarısız oturum açan olursa bayrak kaldır şeklindeki
klasik bir alarm vardır. Bunun gerçekten şifreyi unutup arka arkaya yanlış şifre girilmesini
yakalama ihtimali de mevcuttur. Bunu korelasyona çevirerek false pozitifleri azaltabiliriz.
Şöyle: Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu
tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5-10
dakika bekledi ve sonra tekrar oluşturdu. Ayrıca senaryonun karakteristiği itibari ile de şüpheli
bir işlemdir.
Referanslar
1. https://www.bgasecurity.com/2017/02/siem-urunleri-arastirma-anketi-sonuclari/
2. https://tr.wikipedia.org/wiki/Lee_Iacocca
3. Iacocca, Lee A., 1984. Iacocca, An Autobiography. New York, NY: Bantam Books.
4. https://solutionsreview.com/security-information-event-management/siem-market-
growth-technavio/
5. https://tr.linkedin.com/pulse/1-siem-nedir-2-neden-al%C4%B1n%C4%B1r-episode-1-
evren-pazoglu
6. https://groups.google.com/forum/#!msg/lifeoverip-
netsec/d4VBV3Sj_II/cmepShdWCAAJ
7. https://www.furkancaliskan.com/saldiri-tespit-sistemi-kurmak/