Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon

Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon
Motoru Performans Verileri
Dr. Ertuğrul AKBAŞ
[email protected]
[email protected]
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon
yetenekleri farklılık göstermektedir [1].
Aşağıda ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile gelişirilebilecek kurallara
örnekleri listelemeye çalışık.
1. Bir IP den tarama yapıldı ise ve sonrasında aynın IP den başarılı bir bağlanı kuruldu ise ve
ardından bağlanı kurulan IP den tarama yapılan IP ye geriye bağlanı kuruldu ise uyar.
2. Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adeten fazla bağlanı
oluşuyorsa uyar
3. Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlanı olursa uyar
4. Aynı kullanıcı, aynı makineye saate 3 den fazla başarısız oturum açmayı denerse uyar
5. Bir kullanıcı herhangi bir sunucuya login olamayıp authenicaion failure a sebep olduktan
sonra 2 saat içerisinde aynı kullanıcı aynı sunucuya başarılı oturum açmazsa uyar
6. Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall taraından bloklanıyor ise bir
defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saate milyonlarca
paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)
7. UnusualUDPTraic üreten kaynak IP yi bildir
8. IPReputaion [6] Listesindeki bir kaynaktan veya o kaynağa bir traik oluşursa uyar
9. Ulusal Siber Olaylara Müdahale (USOM) Merkezi taraından yayınlanan “Zararlı Bağlanılar”
listesindeki kaynaktan veya o kaynağa bir traik oluşursa uyar
10. Birisi Networkünüzde DHCP serverı açıysa ya da farklı bir gateway yayın yapıyorsa, bunu
bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya
yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir traik olursa uyar
11. Bir IP taraması olursa uyar
12. WEB üzerinden SQL atağı olursa uyar
13. Mesai saatleri dışında sunuculara ulaşan olursa uyar
14. Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum
açmayı denerse uyar
Yukarıdaki 1,7,11,12 numaralı kuralların taxonomy [5] özelliği gerekirdiğini de belirtelim. Dolayısı ile
her üründeki korelasyon yeteneği aynı değildir [1].
Bu tarz kuralları gelişirebilme; bir de bunları bir sihirbaz yardımı ile gelişirebilmek SIEM ürünlerinde
belirleyici bir özellik olmakla beraber, bu tarz kuralların sayısı korelasyon için ihiyaç duyulan CPU ve
RAM ihiyacı da önemli bir parametredir.[2]
Bu parametreler doğru bir şekilde tespit edilemezse projede log kaybı, alarmların doğru tespit
edilememesi veya alarmların üreilememesine sebep olur [3].
Örnek olarak Seninel 6.1 ürününü 20 adet korelasyon kuralı için önerdiği iziksel sunucu özellikleri 2
core 3 Ghz CPU ve 4 GB RAM idi [2]. Bu sunucu ne log toplama ne de normalizasyon işlemi
yapmaktadır. Sadece log korelasyon işlemi yapmak üzere kullanıla iziksel bir sunucudur [2]. Son
sürümünde üreici net 20 rakamı vermek yerine ihiyaç duydukça yeni bir iziksel korelasyon sunucusu
ekleyin demektedir. [3]
HP,IBM gibi üreiciler de net bir rakam vermek yerine duruma göre iziksel kaynak ekleyin tarzı öneri
ve uyarılarda bulunmaktadır.
Çalışırılacak korelasyon kuralı adedi ve EPS değerleri ile CPU, RAM, Disk hızı ve kaç adet iziksel veya
sanal korelasyon sunucusu olacağı arasında bir ilişki vardır. [7]
1. htp://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siemrn-ile-gvenlik-analiz-senaryolar
2. htp://www.slideshare.net/NOVL/how-to-architect-a-novell-seninel-implementaion
3. htp://www.slideshare.net/anetertugrul/log-yneimi-sisteminizin-log-karp-karmadn-testetmek-ister-misiniz
4. htps://www.neiq.com/documentaion/seninel73/s73_install/data/b19meos5.html#b12e1bcy
5. htp://www.slideshare.net/anetertugrul/sinilandirma-temell-korelasyon-yaklaimi
6. htp://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem
7. htp://www.slideshare.net/anetertugrul/siem-sure-log-arcsight-qradar-alienvault-solarwindsperformans-verileri
Please download full document at
www.DOCFOC.com
Thanks