Open in app

Sign in

Write

Sign in

İyi Bir SIEM Kullanıcısı İseniz Kesinlikle Saldırıları Yakalarsınız

Ertugrul Akbas
6 min readJan 20, 2023

--

SIEM amacı sadece log toplamak olmayan, esas amacı saldırı ve şüpheli hareketleri tespit olan bir araçtır. Ayrıca iyi bir SIEM logu arşivde değil canlıda yıllarca tutabilen SIEM çözümüdür, tabii ki makul disk miktarları ile.

Saldırı ve şüpheli aktiviteler tespit için öncelikle korelasyon konusu sizin için en öncelikli konu olmalı. SIEM korelasyon konusunda bütün dünya mevcut güvenlik çözümleri içerisinde güvenlik yöneticilerinin bir numaralı tercihidir.

SANS SOC Survey 2022 raporuna göre korelasyon için en çok tercih edilen araç SIEM. Tercih kelimesi özellikle önemli.

https://www.sans.org/white-papers/sans-2022-soc-survey/

Ama takdir edersiniz ki başarılı sonuç almak için iki şartın bir atraya gelmesi gerekir.

  • İyi bir SIEM
  • İyi bir SIEM kullanıcısı

İyi bir SIEM için korelasyon yeteneğinin birkaç basamağı aşmış olması gerekir. Ayrıca stabil olması gerekir. Her durumda o kuralın tetikleneceğinden emin olmanız gerekir. Mesela 2500 EPS için çalışıp, 10000 EPS için çalışmaması, gecikmesi gibi durumlar stabil olmadığını gösterir.

İlk basamakta neredeyse bütün açık kaynak, ücretli, ücretsiz ürünlerle tespit edilebilecek senaryolar bulunur.

  • A Member was Added to a Security-Enabled Global Group
  • Fortigate Policy Change
  • Blacklist Activity (Lan to Wan)
  • XSS Attack Patterns Detected on Apache Web Server
  • Threat Intelligence Host Allowed Connection to Internal Network
  • VPN User Login Failure
  • Service Started
  • Service Stopped
  • Windows Audit Policy on an Object was Changed
  • Windows Policy Changed
  • Windows Service Error
  • Oracle DB Login Successful
  • Firewall Admin Login Failure
  • Attack Detected on Security Device

2. basamakta ise ise “X sürede Y olay olursa” formatında olan ve aşağıdaki gibi kurallar bulunur.

  • Multiple Vulnerabilities Found on a Host
  • Worm Activity Detected
  • Port Scan
  • Internal Suspicious Activity
  • Suspicious Logon Activity
  • Too Many Fail Logon Activity
  • Brute Force Attack Detected
  • External TCP Scanner Detected
  • Off-hours Large Data Transfer Detected
  • Internal Host Excessive Denied Connection
  • Brute Force VPN Attack Detected
  • Internal SSH Scanner Detected
  • External Port Scanner Detected
  • Excessive Web Server Errors Detected
  • Multiple Login Failures User Detected
  • Internal Host Excessive Denied Connection

Bunlara threshold kuralları denir ve şu süre içinde şu kadar olay olursa yapısındadır.

Bu basamaktaki kurallar da aslında kendi arasında alt basamaklara ayrılabilir. Aşağıdaki kural threshold tipinde olmasına rağmen yine de SIEM çözümlerinin çoğunda problem çıkarır.

  • 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar

3. basamakta aşağıdaki gibi senaryolar bulunur

  • Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
  • 3 aydan daha uzun süredir login olmayan varsa uyar
  • Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
  • 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
  • Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
  • En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
  • En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
  • Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
  • Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
  • Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
    ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
    (bir oltalama yöntemi)
  • Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
  • En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et

4. basamağa örnek olarak aşağıdaki senaryolar verilebilir

  • Bir kullanıcı daha önce hiç yapmadığı bir işlem yaparsa tespit et
  • Çok nadir bir port kullanımlarını tespit et
  • Bir kullanıcının bugün login olduğu makinalar ve login sayılarında son 1 aya göre anormallik varsa tespit et
  • Bir kullanıcı sisteme hiç login olmadığı bir saate login oluyorsa tespit et
  • Bir kullanıcı sisteme hiç login olmadığı bir günde login oluyorsa tespit et
  • Bir kullanıcı tarafında daha önce hiç trafik oluşmayan bir ülkeye trafik oluşursa tespit et
  • Bir insan için mümkün olmayacak hızda web sunuculardan download olursa tespit et
  • Bugün HTTP protokolünün DNS protokolüne oranı son dört haftalık orana göre anormal ise tespit et

İyi bir SIEM ayrıca tehdit avcılığı yapabilecek imkanları kullanıcıya sağlamalıdır. İyi bir SIEM makul, son kullanıcının sağlamakta zorlanmayacağı sistem kaynakları özellikle disk miktarları ile istediği sorgu ve rapora kabul edilebilir hızlarla ve tehdide en hızlı sürede müdahale edecek imkanları sunmalı. Örnek olarak:

Ortalama 1000 EPS, maksimum 2500 EPS için 500 GB disk ile

Ortalama 2500 EPS, maksimum 5000 EPS için 1,25 TB disk ile

Ortalama 5000 EPS, maksimum 10000 EPS için 2,5TB disk ile

Ortalama 10000 EPS, maksimum 15000 EPS için 5TB disk ile

Ortalama 20000 EPS, maksimum 30000 EPS için 10TB disk ile

Ortalama 30000 EPS, maksimum 40000 EPS için 15TB disk ile

Ortalama 40000 EPS, maksimum 50000 EPS için 20TB disk ile

Ortalama 100000 EPS, maksimum 150000 EPS için 50TB disk ile

Aşağıdaki senaryoları kolaylıkla desteklemeli

✅ Bugün itibari ile 180 gün önceye gidip, o gün içinde firewall a yapılan başarısız oturumların listesini 3–5 dakika içinde alabilmeli,

✅ Son 180 gün içerisindeki bütün firewall a yapılan başarısız oturumların listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içerisinde X hedef IP sine erişen cihazların listesini en fazla birkaç saatte alabilmeli,

✅ Kendi kullanıcınızın son 6 ay içerisindeki bloklanan ve tehdit istihbaratı listesinde olmayan ve UDP protokolu kullanan hedef IP lerin listesi en fazla birkaç saatte alabilmeli,

✅ Kendi kullanıcınızın son 6 ay içerisindeki Firewall tarafından bloklanmayan ama tehdit istihbaratı listesinde olan kullanıcı erişim raporunuzu logun orijinal hali (Firewalldan çıktığı hali) ile birlikte listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içinde SA hangi databaselere login olmuş ve hangi queryleri çalıştırmış raporunu en fazla birkaç saatte alabilmeli,

✅ X servis hesabının son 6 ay içerisinde yaptığı bütün işlemler (Firewall dahil) raporunu en fazla birkaç saatte alabilmeli,

✅ Son 1 aydır hiç trafik üretmeyen makinelerin listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içerisinde X veya Y tablolarına (kişisel veri içeren tablolar) veya dosya sunucusundaki A veya B dosyasına (kişisel veri içeren dosyalar) erişenlerin listesi, daha sonra bu listedeki kullanıcıların son 6 ayda eriştiği bütün URL ve IP lerin port bilgileri dahil listesi ve en son olarak da son 6 ay içerisinde bu listedeki IP veya URL lere erişen diğer kullanıcıların listesine en fazla birkaç saatte alabilmeli,

✅ Saldırı için kullanıldığı çok sonra ortaya çıkan/deşifre olan bir siteye örnek: deftsecurity[.]com (SolarWinds olayında olduğu gibi) son 6 ay içinde kendi sisteminizden erişenlerin listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 aydır kullanılmayan firewall kurallarının listesini en fazla birkaç saatte alabilmeli,

✅ Örneğin SolarWinds hack ile ilişkili avsvmcloud[.]com sitesine şirketinizden son 6 ay içinde erişen var mı sorusu kritiktir. Bugün SolarWinds yarın başka bir şey. Bu listeyi en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içerisinde SolarWinds sunucularına DNS sorgusu yapanların listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içinde AV veya Endpoint Security de exception isteyen hep aynı kullanıcılarsa şüphelidir, listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içinde güncellemeleri alırken problem çıkan hep aynı kullanıcılarsa şüphelidir, listesini en fazla birkaç saatte alabilmeli,

✅ Şüphelendiğiniz bir kullanıcının son 6 ay içerisindeki aktivitelerin listesini birkaç saat içinde alabilmeli,

✅ Herhangi bir kullanıcı son 6 ay içerisinde kaç defa “mov” dosyası indirdi raporunu en fazla birkaç saatte alabilmeli,

✅ Son 6 aydır dosya sunucusuna erişim yapmayan kullanıcıların listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içerisinde kapanan sunucu listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içinde aylık tehdit istihbarat listesine takılma sayıları nedir raporunu en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içinde aylık tehdit istihbarat listesine en çok takılma kullanıcıların listesini en fazla birkaç saatte alabilmeli,

✅ Son 6 ay içinde aynı hedef domaine erişirken firewall tarafından bloklanan kullanıcılar hangileri? sorusuna en fazla birkaç saat içinde cevap verebilmeli

✅ Son 6 ay içerisinde örnek olarak saldırı için kullanılan avsvmcloud[.]com hedef IP sine erişen cihazların listesini kaynak port ve kullanıcı adı ile birlikte listesini en fazla birkaç saatte alabilmeli,

Başarının son basamağında ise bu özellikleri sonuna kadar kullanacak insan faktörü gelmektedir. Burada yukarıda bahsedilen yetenekleri maksimum fayda getirecek şekilde kullanabilecek eğitimli ama daha önemlisi istekli insanların bu SIEM çözümlerini kullanması gerekir.

Bu Başarıya Ulaşmada Yapılan Yanlışlar

  1. Ürünü sadece tek bir amaca yönelik alıp, denetimlerden kurtulmak adına SIEM ürünümüz var diye düşünülmesi. Korelasyon ve yukarıda anlatılan tehdit avcılığı gibi kullanım şartlarını hiç hesaba katmamak
  2. İsmi duyulan bir marka alıp, SIEM’i kendi halinde çalışmasına bırakmak.(Kur/Unut)
  3. Teknik değerlendirmelerin yapılmaması. Genellikle satış, pazarlama ve network üzerinden değerlendirme ve güven esaslı kararlar verilmesi
  4. SIEM korelasyonları var deyip, üzerine eklemeler yapmamak.
  5. Tavsiyeler üzerine ürünü satın almak.
Siem
Logging
Soc
Tehdit Avcılığı
Siber Güvenlik

--

--

Ertugrul Akbas
Ertugrul Akbas

Written by Ertugrul Akbas

460 Followers
8 Following

Entrepreneur,Security Analyst,Research.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams