Ben SIEM’e güçlü SIEM demem SIEM KORELASYON yapmadıkça!

Hepimizin bildiği gibi bir SIEM ürününü Log Yönetimi ürününden ayıran en önemli fark korelasyon özelliğine sahip olmasıdır. Korelasyon yapmayan SIEM mi olur diyebilirsiniz. O zaman ben de bu soruya başka bir soruyla karşılık vereyim.

Her KORELASYONUM var diyen SIEM gerçek manada KORELASYON yapar mı?

SIEM ile ilgili yazılarımı takip edenler devamlı aynı korelasyon kurallarını örnek verdiğimi fark edeceklerdir. Bunu yapmamın nedeni korelasyon konusunda olabildiğince basit örnekler vererek bu işle ilgilenen kişileri ortak bir paydaya getirmek isteyişimdir.

Basit alarm (Bazıları korelasyon da demekte) örnekleri: (Belli bir süre içerisinde belli bir olay olması durumu)

- 15 dakika içerisinde 3 kere başarısız oturum açma isteği

- DDoS saldırısı

- Port taraması

Bunlar gibi basit alarmları bilinen tüm SIEM çözümleri ile alabilirsiniz.

Fakat SIEM konusundaki olgunluk seviyeniz arttıkça daha gelişmiş korelasyon kurallarına ihtiyaç duyarsınız.

Gelişmiş korelasyon örnekleri: (Otomasyon)

· Hatalı kullanıcı adı/parola false/positive alarmlarının azaltılması

15 dakika içerisinde başarılı bir oturum açmadan 3’ten fazla başarısız oturum olayı oluşturmuş bir kullanıcı aktivitesinin farkına varmak

· Port taramalarının engellenip engellenilmediğinin farkına varılması

- Port taraması yapan IP adreslerinden herhangi biri sonraki 5 dakika içerisinde Firewall tarafından engellenmesi

· Şüpheli oturum açma hareketlerini algılama

- Bir kullanıcı 5 dakika içerisinde 5 farklı sisteme oturum açmayı deneyip başarısız olduktan sonraki 5 dakika içerisinde bir sistemde oturum açması

İsterseniz ürün çemberini biraz daha daraltalım…

Daha da gelişmiş bir korelasyon örneği: (Gartner SIEM MQ sağ üst köşe)

· Hareketsiz hesaplarla yapılan oturum açma girişimlerinin yakalanması

Eğer yakalamak istediğiniz “En az 30 gündür kullanılmayan bir hesabın hareketli bir duruma geçmesinden haberiniz olması” tarzında aktiviteler ise bu sefer seçenekleriniz iyice daralır. Bunu bir de gerçek zamanlı yapmak isterseniz (ki mantıklı olan da budur) çok güçlü korelasyon yeteneğine sahip bir SIEM tercih etmelisiniz.

Bu senaryoyu 3000–5000 EPS aralığında, tek sunucuda hizmet verecek (16–24 CORE CPU, 72–96 GB RAM, 5TB DISK) ve yüzlerce senaryoyla aynı anda çalışarak yapacak bir SIEM için daha da seçici olmanız gerekir.

Eğer bu senaryoya gerçek zamanlı olarak ihtiyacınız bulunmuyorsa onun yerine her 5 dakikada bir, son 30 günü içeren bir sorgu çalıştırmak isterseniz seçeceğiniz ürüne göre yukarıda belirtilen sunucu özellikleri sizin için yeterli olmayacak ve çok daha fazla sistem kaynağı ve disk alanına ihtiyaç duymanız muhtemeldir.

Bu kadar çok SIEM makalesi yazmamdaki sebeplerden biri de insanları bilgilendirip, firmaların olgunluk seviyelerini arttırmalarına katkıda bulunarak korelasyondaki bu farkı yakalamalarına yardımcı olmaktır.

SureLog bütün bu senaryoları yukarıda belirtilen makul sistem kaynağı sınırları içinde kalarak ve gerçek zamanlı olarak kolaylıkla yapabilir.