İyi Bir SIEM Neden Gerekli? Herhangi Bir SIEM Olsa Olmaz Mı?

Herhangi bir araba nasıl iyi bir araba demek değilse, ortalamalar veya ortalamanın da altı ürünler bize ne kaybettirir?

1. İleri saldırı teknikleri kullanan saldırıları yakalayacak bilgi birikimi ve olgunluğa sahip olsanız bile bu bilgi, tecrübe ve olgunluğunuzu yansıtacak SIEM kullanmıyorsanız bu saldırıları yakalayamazsınız.
2. False pozitifleri azaltacak bilgi, tecrübe ve isteğe sahip olsanız bile eğer bunu yansıtacak SIEM iniz yoksa bunu yapamazsınız.

Yukarıda belirttiğim gibi iyi bir SIEM e ancak belli bir bilgi birikimi, tecrübe ve olgunluğa ulaşınca ihtiyaç hissedersiniz.

İyi bir SIEM çözümünde olması gereken özellikleri çokça paylaştım [1,2,3] . Bu özellikler içerisinde özellikle korelasyon ve canlı log üzerinde durdum.

Daha somut ve kolay anlaşılır bir senaryo ile false pozitifleri azaltacak bir çalışmayı örnek çalışma olarak paylaşacağım.

Aynı kaynak IP den aynı hedef IP ye 3 dakika içinde 200 den fazla bağlantı isteği gelirse uyar

şeklinde her SIEM ile yazılıp, tespit edilebilecek bir kuralımız olsun. Bizim de 50 adet sunucumuz olsun.

Bu kural çalıştığında

10.2.9.28 -> 10.2.9.128

10.101.101.38->10.101.102.10

gibi bizim bildiğimiz 5 sunucu arasında oluşan 3 dakika içindeki 200 bağlantı isteklerini bu kurala istisna (exception) olarak tanımlayıp bunlarla ilgili alarm ve uyarı maili, SMS almak istemiyoruz.

Bu noktadan sora iş SIEM çözümüne iş düşer. Eğer SIEM çözümümüz çok boyutlu (2,3,4,5 ) liste yönetimi [4] yapabiliyorsa bu IP çiftlerini kolaylıkla istisna (exception) olarak tanımlayabilecektir . Peki bunu standart bir SIEM de olan listeler ile çözemez miyiz? Hayır çözemeyiz çünkü

Kaynak IP 10.2.9.28 ve Hedef IP 10.2.9.128 ise

Kaynak IP 10.101.101.38 ve Hedef IP 10.101.102.10 ise

istisna olmasını istiyoruz. Dolayısı ile kaynak IP şu listede yok ise demek tek başına yeterli olmaz. Kaynak IP ve bu kaynak IP ye karşılık hedef Hedef IP listede yok ise dememiz gerekir.

Yukarıda iyi bir SIEM de ileri saldırıları yakalamak ve false pozitifleri azaltmak için gerekli bilgi birikimi, tecrübe ve olgunluğa erişince gereken yüzlerce ince noktadan kolay birini anlaşılabilir olması açısından seçerek anlattım.

Bu gibi ince noktalarlar ilgili referanslara bakabilirsiniz [5,6]

Referanslar

1. https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
2. https://drertugrulakbas.medium.com/siem-i%CC%87le-i%CC%87lgili-derin-konular-bd4219727a1e
3. https://drertugrulakbas.medium.com/siem-korelasyon-nedir-neden-alt%C4%B1n-de%C4%9Ferindedir-8a1abdcaa9b2
4. https://drertugrulakbas.medium.com/the-importance-of-siem-list-watchlist-management-and-product-comparisons-3f7cc3395d3f
5. https://drertugrulakbas.medium.com/siem-3ed84d90d0fb
6. https://drertugrulakbas.medium.com/en-i%CC%87yi-siem-hangisi-58da55aef21