İdeal Bir SIEM’den Beklentiler Nelerdir? Korelasyon Duyduğunuz veya Uyguladığınız Kadar Mıdır?

Log Kaçırma Problemi

  • Aramızda log kaçırdığını fark edenler vardır. Bir kısmımız da test etmediği ve başımıza gelmediği için fark etmemiş olabiliriz ama bu kronik bir sıkıntıdır.
  • Bunun sebebi seçilen ürünün CPU, RAM ve Disk ihtiyaçlarının mühendislik çalışmasının doğru yapılmamasıdır.
  • Ayrıca log kaçırma problemine sebep önemli konulardan biri de seçilen, kullanılan SIEM çözümlerinin kullandığı açık kaynak bileşenlerden gelen kalıtsal avantaj ve dezavantajlardır. Elasticsearch en yaygını olduğu için Elasticsearch üzerine bina edilen Elasticsearch den gelen gereksinimlerin iyi bilinmesi gerekir.
  • Bir SIEM ürünün log kaçırıp kaçırmadığını test edebilirsiniz. Aşağıda bunun için kullanabileceğiniz bir açık kaynak araç linki var https://sourceforge.net/projects/syslog-slogger/
  • Bunun için öncelikle yaklaşık EPS değerinizin ne olması gerektiğini bilmelisiniz. Bunun için SANS ın aşağıdaki tablosunu kullanabilirsiniz. Bu tablo aynı zamanda Gartner SIEM Magic Quadrant 2021 lider olan Exabeam de kullanıyor.
  • Daha sonra bu tabloya göre bulunan maksimum EPS değeri ile SIEM çözümünüzü test edebilirsiniz. Testin nasıl yapılacağı ile ilgili detayları aşağıdaki makalede bulabilirsiniz.

Canlı Log

  • Son 6 ay içinde X,Y kullanıcılarının internet ve intranet aktivitelerinin lazım olduğu kritik bir durumda beklediğiniz her saat size para ve itibara mal olabilir. KVKK ile ilgili veri ihlali veya denetim durumunda, saldırı olduğunda, şüpheli durumlarda bu ve benzeri sorgular yapmanız gerekecektir.
  • Burada kritik işlem indeks oluşturmadır.
  • Bazı üreticiler canlı log ve gereken disk miktarı arasındaki üstel fonksiyon ilişkisinden dolayı logları çok kısa sürelerle canlıda tutar sonra arşive atar. Bu süreler genelde 15, 30 gün, nadiren de 90 gündür.
  • Bazı üreticiler ise canlıda tutabilme süresini uzatmak için indexledikleri alanların sayısını kısıtlar. Böyle olunca indexlenmeyen alanlardaki sorgular çok yavaşlar.
  • PoC, Demo ve proje başlangıç toplantılarında bu konun gündeme gelmemesi son kullanıcıda ciddi bir yanılmasa olmasına yol açar.
  • Buradaki büyük yanılsama eski tarihli aramayı, arşivden dönmeyi küçük bir senaryo içine sığdırmak. Burada “Son 6 ay içerisinde veri ihlalinin gerçekleştiği veri tabanı ya da eğer kişisel veriler dosya olarak duruyorsa dosyaya kimler erişti?” gibi bir sorguya ihtiyaç olacağı akla gelmiyor, sanılıyor ki ihtiyaçlar hep “6 ay önceki salı günü yani 01–04–2021 günü içinde veri ihlalinin gerçekleştiği veri tabanı ya da eğer kişisel veriler dosya olarak duruyorsa dosyaya kimler erişti? ”. Bu büyük bir “YANILSAMA” . Çok büyük olasılıkla hiçbir zaman o günü veya o haftayı hatta o ayı bilemeyeceksiniz. Bu yanılsamanın sebebi sanırım 5651 sayılı yasa alışkanlıkları. Çünkü orada sorular hep şu gün, bu hafta diye bilinen zaman dilimi için geliyordu.
  • Diğer bir yanılsama da hiç denemeden son 6 ay, son 12 aylık zaman dilimleri içerisindeki verilere makul zamanlarda erişebileceğini varsaymak. Bu bir varsayım. En azından ayda bir kendi kullanıcınızın son 6 aylık firewall aktivitelerinin tamamını almayı deneyip gerçekle yüzleşebilirsiniz.
  • Örnek vermek gerekirse: Elasticsearch ve Elasticsearch üzerine bina edilmiş bir SIEM kullanıyorsanız Maksimum 3000 EPS ve Ortalama 1500 EPS trafiğiniz varsa ve logları 1 ay canlıda tutuyor sonrasını arşivde tutuyorsanız seçtiğiniz 2 kullanıcının internette yaptığı bütün aktivitelerin listesi yaklaşık 30 günde gelir.
  • Ama bu 1 yılı canlıda tutabilseniz bu süre yaklaşık 4–5 saattir.
  • Elasticsearch neden bu kadar büyük disk kullanıyor? Sebebi aşağıdaki formül:
  • SIEM ve Log Yönetimi Çözümlerinde Geçmiş Zaman Sorgulama İle İlgili Anlatılmayanlar veya Gözden Kaçanlar

Arşiv Yönetimi

  • Logları arşivlediniz. Bu arşivlerden logları aramak ne kadar iş yükü çıkarıyor? Ayrıca arşivden geri dönmek ne kadar iş yükü çıkaracak. Bazı çözümlerde
  • Bazı çözümlerde ise indexler de arşivlenir. Dolayısı ile o tarihe gidip dosyaları sisteme geri yüklemek yeterlidir.

Korelasyon

  • Ayrıca Korelasyon doğrudan performansı da ilgilendiren ama başlı başına değerlendirilmesi gereken bir konudur. Korelasyonun performansa etkileri, kuralların yapı, format ve tipi ile ilgili ilk makaleyi 2015 yılında slideshare de yayınlamışım.
  • Domain admin grubuna bir kullanıcı eklendi
  • Firewall da policy değişti
  • Virüs tespit edildi
  • Sahte DHCP sunucusu tespiti
  • Kullanıcı haklarında değişiklik oldu
  • Too Many Fail Logon Activity
  • Brute Force Detected
  • Http flood atak tespiti
  • DDoS Attack Event Detected
  • Domain admin grubuna bir kullanıcı eklendiğinde,
  • Firewall’da yetkisiz birisi değişiklik yaptığında
  • Disable edilen bir hesapla ağa erişmek istenirse
  • Aynı process 5 dakikada içinde onlarca dosya silerse
  • DGA detection (ML)
  • Hunting malware and viruses by detecting random strings
  • Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
  • Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek : ertugrul.akbas@anetyazilim.com.tr olan mail adresinden errtugrul.akbas@anetyazilim.com olarak mail geliyor ise uyar(bir oltalama yöntemi)
  • Sysmon Event ID 1 kullanarak son kullanıcının mail ile gelen bir linki tıklayıp tıklamadığını anlayabiliriz.

Peki Bu Gelişmiş Korelasyonları Neden Çoğu Ürün Desteklemezken Sadece Bazıları Destekler?

  • Windows Event loglarını topluyoruz ve EventID lerin ardışık olup olmadığını kontrol etmek istiyorsunuz bunun için bir operatör lazım
  • Bir kullanıcının yaptığı bir işlemi dün aynı saat dilim içinde yapıp yapmadığını kontrol etmek istiyorsunuz bunun için bir operatör
  • İki olayın aynı anda olup olmadığını kontrol için «aynı anda» operatörü lazım
  • Çok boyutlu listeler oluşturulabiliyor mu?
  • Oluşan iki listelinin kesişim noktasını bulabiliyor musunuz?
  • Oluşan iki listenin birleşimini bulabiliyor musunuz?
  • Listeler üzerinde fark, elemanların toplamı gibi operatörler destekleniyor mu?
  • Listelerin elemanları üzerinde matematiksel ve mantıksal işlemler yapılabiliyor mu?
  • Mesela benim çok boyutlu listem var. Burada Ali kaç farklı Source IP almış, Kaç farklı Destination IP ye gitmiş, iki işlem arasındaki zaman farkı nedir gibi işlemler yapabiliyor muyum?

UEBA

Açık Kaynak Çözümler ve Ticari Ürünlere Kalıtsal Etkileri — Elasticsearch

SOC Yanılsamaları

  • Hizmet aldığınız SIEM formatında alırsanız da hizmet sonrasında eski logları kullanmaya (arama, tarama ve rapor) devam etmek için bu SIEM i lisanslamanız gerekir ki bu durumda maliyet avantajlarınız kaybolur.

--

--

--

Entrepreneur,Security Analyst,Research.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ertugrul Akbas

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

More from Medium

Wireless Pioneer Betacom Secures $15M in Funding, Launches Industry’s First Managed Private 5G…

Vulnerability Disclosure -Business logic: Unauthorized endpoint security Agent Uninstall @ Zoho R.A.

Euler - best lending protocol