Open in app

Sign in

Write

Sign in

Güçlü bir SIEM nasıl seçilir?

Ertugrul Akbas
3 min readApr 21, 2021

--

Herkes annesinin karnından SIEM ürün uzmanı olarak doğmuyor elbette. Güçlü bir SIEM ürünü seçerken basit olarak nelere dikkat etmeniz gerektiğini kısa ve öz olarak 5 maddede aktarmaya çalıştım.

1) Canlıda Uzun Süre Log Tutabilme Kabiliyeti

Soru: Uzun süre (En az 1 yıl) canlıda log tutmak neden önemli?

Cevap: “Bir ihlalin tespit edilip kontrol altına alınması için gerekli ortalama süre 280 gündür!”

https://www.ibm.com/tr-tr/security/data-breach

Soru: Peki 1 yıl boyunca canlıda log tutabilmek için ne kadar disk alanı gerekmektedir?

Cevap: Ortalama 3000 EPS, maksimum 5000 EPS için 1 yılda 5 TB olması gereken değerdir. Bu değer SureLog kullanıcıları tarafından sahada elde edilen ortalama değerdir.

2) Alarm ve Korelasyon Kabiliyeti

Çok fazla karıştırılan bir durum. Unutmayın ki her alarm bir korelasyon değildir. Alarm ile korelasyon arasındaki farkı anlamanız için aşağıdaki örneklerden faydalanabilirsiniz.

Alarm Örnekleri:

• X dakika içerisinde Y kere başarısız oturum açma isteği

• Paylaşılan klasörlere yetkisiz erişimin tespiti

• Brute Force, DDoS saldırıları

• External TCP Flood, HTTP Flood, Port Tarama

Korelasyon Örnekleri:

• Bir kullanıcı oluşturulduktan sonra aynı kullanıcı 15 dakika içinde silinirse uyar.

• 15 dakika içerisinde hiç başarılı oturum açmadan 3’den fazla başarısız oturum olayı oluşturan kullanıcıyı tespit et ve uyar. (Bu kural SureLog ekibi olarak ilk defa bizim kullandığımız bir turnusol kural örneğidir.)

3) Gerçek Korelasyon Kabiliyeti Testi

Senaryo: 15 dakika içerisinde hiç başarılı oturum açmadan 3’ten fazla başarısız oturum olayı oluşturan kullanıcıyı tespit et ve uyar.

Normal şartlarda bu senaryo toplam 25 dakikada içerisinde yazılabilir ve test edilebilir. Bunu yapabiliyor mu yoksa biz buna bir bakalım deyip sizi oyalıyorlar mı? 😊

Senaryoyu test etmek için gerekli olan adımlar:

İlk 5 dakika içinde arka arkaya aşağıdaki adımları sırası ile gerçekleştirin.

1.Adım:

Başarısız Oturum-> Başarılı Oturum-> Başarısız Oturum-> Başarısız Oturum

Bu dört işlemden sonra alarm almamanız gerekiyor, eğer alarm alıyorsanız korelasyon yetenekleri kısıtlıdır. Eğer alarm almadıysanız bir sonraki adıma geçebilirsiniz.

2.Adım

Bunun için önce 1 dakika bekleyin sonraki 5 dakika içerisinde tekrar arka arkaya aşağıdaki adımları sırası ile gerçekleştirin.

Başarılı Oturum-> Başarısız Oturum-> Başarısız Oturum.

Bu üç işlemden sonra alarm almamanız gerekiyor, eğer alarm alıyorsanız kullandığınız ürünün korelasyon yetenekleri kısıtlıdır. Eğer alarm almadıysanız bir sonraki adıma geçebilirsiniz.

3.Adım

10 dakika bekleyin ve sonraki 5 dakika içerisinde aşağıdaki işlemleri yapın.

Başarısız Oturum-> Başarısız Oturum-> Başarısız Oturum-> Başarılı Oturum.

Bu sefer alarm almanız gerekmektedir. Eğer almadıysanız devam etmenize gerek bulunmamaktadır ama eğer aldıysanız son bir adımı daha denemeniz gerekir.

4.Adım

Bunun için 5 dakika bekleyin ve sonraki 5 dakika içerisinde

Başarılı Oturum-> Başarısız Oturum-> Başarısız Oturum-> Başarısız Oturum.

Yine alarm almanız gerekmektedir eğer almadıysanız ürünün gerçek bir korelasyon kabiliyetinin bulunmadığı sonucuna varabiliriz. SureLog ürünü bu 4 adımı da başarılı bir şekilde gerçekleştirmiş.

4) Açık Kaynak Lisans Kullanımında Dikkat Edilmesi Gereken Hususlar

SureLog hâricince diğer bilinen yerli üreticilerin hepsi Elasticsearch alt yapısı üzerine ürün geliştirmişlerdir. Peki bu neden bir sorun olsun ki?

Elasticsearch’ün hangi sürümünü kullanıyorsunuz? Sürüm 7.10’dan sonra ticari kullanım hakları kısıtlanmıştır. Eğer 7.10 ve önceki sürümlerle devam ediliyorsa da bu sürümlerde güvenlik zafiyetlerinin çıkması ve güncellenmemesi riski vardır. İlgilenenler aşağıda verilen linklerden gerekli bilgileri edinebilirler.

https://anonymoushash.vmbrasseur.com/2021/01/14/elasticsearch-and-kibana-are-now-business-risks

https://www.elastic.co/pricing/faq/licensing

https://www.elastic.co/subscriptions

Elasticsearch dışında kalan diğer yerli firmalar Wazuh, OSSIM vb. açık kaynak kodu değiştirip/makyajlayıp yeni bir isim verip yasal olmayan bir şekilde ticarileştirmişlerdir.

Soru: Peki Herkes açık kaynak ürünlere aşina olmadığı için bu risklerden kendimizi nasıl koruyabiliriz?

Cevap: En garanti yol yazılı taahhüt istemek ve taahhütte ceza maddesi eklemek olacaktır.

“Firma, kullandığım açık kaynak ürün ve bileşenlerinde lisans kullanımına aykırı bir durum olmadığını taahhüt eder. Tespit edilmesi durumunda da ….. TL para cezası ödemeyi kabul eder.”

5) Sistem Performansı

Örnek olarak Ortalama 3000 EPS için son 1 ay içerisinde en çok saldırı yapan IP adreslerinin raporunu çekerken (24 Core CPU, 72 GB RAM, 15000 RPM) tek bir sunucuda korelasyon yapmaya devam ederken dakikalar içerisinde sağlıklı bir şekilde verebilmeli.

Daha iyi bir SIEM ürünüyle bu süreyi 6 aya çıkarabilirsiniz.

Bütün bu kabiliyetler ve daha fazlası SureLog ürünümüzde bulunmaktadır.

Siem
Log
Kvkk
Pci
Iso27701

--

--

Ertugrul Akbas
Ertugrul Akbas

Written by Ertugrul Akbas

460 Followers
8 Following

Entrepreneur,Security Analyst,Research.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams