Bir SIEM Çözümünde Güçlü ve Performanslı Korelasyon Motorunun Olup Olmadığı Nasıl Anlaşılır?

SIEM ürünlerinin korelasyon özelliği SIEM çözümlerinin en önemli özelliğidir.

SIEM çözümleri açısından korelasyon motorun güçlü olması kadar
bilgi birikiminin (know-how) kendisinde ve orjinal olması da çok önemlidir. Her ne kadar her yazılım pek çok kütüphane kullansa da SIEM çözümlerinin en önemli özelliği olan korelasyon motorunun kodunun ve bütün haklarının kendisinde olması önemlidir. Bu konu olmazsa olmaz değildir ama üretici ve ürün esnekliği açısından önemli bir parametredir. Aşağıda IBM Qradar’ın Eventgnosis korelasyon motorunu kullandığını gösteren ekran görüntüsü görülebilir.

IBM Qradar GUI

Ayrıca bir korelasyon motorunun yük altında kaç adet ve ne kadar gelişmiş kural çalıştırabildiği de önemlidir. Mesela 40 000 EPS yük altında 250 adet gelişmiş senaryoyu eksiksiz, çatlamadan, patlamadan ve gecikmeden çalıştırabiliyor olması önemli. Ayrıca çalıştırabildiği gibi bunun için ihtiyaç duyduğu kaynak da önemlidir.

Bütün bu özelliklerden sonra korelasyon yeteneklerine gelirsek iyi bir SIEM en temel korelasyon formatları olan

• A olayı olursa (Domain admin grubuna bir kullanıcı eklenirse)
• X sürede Y olayı olursa (Aynı makineden 5 dakika içerisnde 10 adetten fazla başarısız oturum olursa )
• Önce A olayı sonra X dakika sonra B olayı olursa (Bir kullanıcı oluşturulur ve 30 dakika içinde silinirse)

formatları desteklediği gibi daha gelişmiş formatları da destekler. Aşağıda paylaştığım senaryoların bazılarının oluşması ihtimali binde bir olabilir. Ama bu senaryoların oluşması ihtimali kadar seçilen, kullanılan SIEM çözümünün korelasyon kapasitesini ortaya çıkarmak amaçlı tasarlanan senaryolardır. Yani “işe yaramayan korelasyonla uğraşmıyoruz” diye bir cevabı alırsanız iki kere düşünmelisiniz. Yukarıdaki formatlara ek olarak iyi bir SIEM aşağıdaki formatları da destekler.

• 15 dakika içerisinde 1500 benzersiz (unique) IP’den 350000 den fazla olay olursa uyar
• Bir kullanıcı oluşturulur ve kullanılmadan ilk 5 dakika içerisinde silinirse uyarma ama eğer kullanılır ve 30 dakika içinde (Aynı gün içinde) silinirse uyar
• Saatlik fail/success auth oranı anormalleşirse tespit et
• Saatlik Http/dns oranı anormalleşirse tespit et
• Aynı IP önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis açılıyor / kapatılıyor ise uyar
• Aynı kullanıcı 2 farklı makinada 15 dakka içinde başarısız oturum deniyor ve 2. Başarısız oturumdan sonraki 5 dakka içerisinde bu makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim isteği oluyorsa uyar
• Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar.

tipindeki formatları da destekler.

Ayrıca gerekli ek modüllerle aşağıdaki formattaki kuralları da kolaylıkla tespit edebilir.

• Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
• DGA detection (ML)
• Hunting malware and viruses by detecting random strings
• Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
• 3 aydan daha uzun süredir login olmayan varsa uyar
• Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
• 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
• Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
• En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
• En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
• Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
• Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
• Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
  ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
  (bir oltalama yöntemi)
• Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
• En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
• 2 aydan daha uzun süredir login olmayan kullanıcı varsa uyar
• 30 günden daha uzun süredir şifre değiştirmeyen kullanıcı olursa uyar
• 4 saatten uzun RDP i açık kalan olursa uyar
• 4 saatten uzun VPN i açık kalan olursa uyar
• 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
• 72 saatten uzun süredir IP değiştirmeyen cihaz (MAC) olursa uyar
• Abnormail mail to/from acbfgtysss.xy for the organization
• Abnormal activity duration/session count
• Abnormal amount of bytes transmitted
• Abnormal amount of data egressed to competitor domains compared to past behavior
• Abnormal amount of data egressed to non-business domains compared to past behavior
• Abnormal amount of data egressed to personal email account compared to past behavior
• Abnormal amount of data egressed to removable media compared to past behavior
• Abnormal amount of login attempt detected on MFA
• Abnormal Email counts
• Abnormal session start time
• Access to internal applications / servers/ peers
• Account creation/ disable/ lockout / deletion rates
• Activity duration/ session counts
• Authentication anomaly-Country Mismatch
• Aynı anda aynı kullanıcı bir makinaya VPN yaparken baska bir makinaya da RDP yaparsa uyar
• Ayni kullanıcı aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla basarisiz oturum açarsa tespit et
• Bir kullanıcı daha önce şirkette kimsenin gitmediği bir domaine günde en az 1 kere ve haftada 2 den fazla erişirse uyar
• New city access for the first time
• Eger bir domain son 24 saate oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
• En az 15 gündür (20–30–40–365 gün) hiç VPN yapmamış bir kullanıcı kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar
• En az 30 gündür veya daha fazla süredir (40 gün-60 gün-90 gün-365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
• Entropy Mismatch
• Excessive user logons on hosts
• First access to database mssql for user
• First access to device for the user
• First activity from ISP
• First connection from Source IP
• First time user is performing an activity from this device
• First VPN connection from device for the user
• High number of accounts from the same ipaddress for authentication failures or lockout events
• High number of accounts from the same ipaddress for successful authentications or run as events
• High number of accounts used on a workstation for authentication failures or lockout events
• High number of accounts used on a workstation for successful authentications or run as events
• High number of hosts accessed for authentication failures or lockout events
• High number of hosts accessed for successful authentication events or run as events
• High number of hosts accessed while enumerating critical ports
• High number of redirected/blocked attempts
• High number of run as activity across hosts
• High number of server errors
• If a user accesses sensitive files and at the same time the same user has a connection to file sharing sites then notify
• If an account not used in at least the last 30 days (31–40–60–90–180 days etc.) notify/lock/delete the account automatically
• Iki login arasindaki süre 1 dakikadan az ise uyar
• Iki login failed arasindaki süre 1 dakikadan az ise uyar
• Impossible Travel Detection in Real-Time (VPN Anomaly)
• Kapanan bir sunucu 4 saattir ayağa kalkmadı ise uyar
• Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
• Landspeed Anomaly detected
• Logon from a rare country
• New host logins
• New processes / Registry changes
• Odd time of access (first and last access)
• Odd time of email activity
• Odd time of logins
• Oracle veritabani kullanici arayüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) ayni anda kimlik dogrulama hatasi verirse uyar
• Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar
• Password change rates
• Successful/Failed login activity rates
• Upload/download deviations
• Virüs bulundu ve 8 saaten fazladir temizlenmedi ise uyar
• VPN connection from a known anonymous proxy
• Suspicious creation of new network ACL
• Suspicious creation of security group
• Suspicious deleting a rule from a network ACL
• Suspicious deletion of customer gateway
• Abnormal number of discover requests from a client

Yukarıdaki senaryolar ve senaryo formatları bir SIEM i çok güçlü yapar.