Klasik SIEM, Next-Gen SIEM ve UEBA Çözümlerinin Sigma Kuralları (Sigma Rules) İle İmtihanı
Sigma kuralları tehdit avcılığı (Threat Hunting), tehdit tespiti (Threat Detection)için en çok kullanılan tekniklerden biri. Aynı zamanda siber olaylara müdahale aşamasında da yine Sigma kuralları kullanılır. Sigma kurallarının esas gücü bu kurallar sayesinde internette bulunan evrensel bir kural direk olarak loglar içerisinde arama yapılmak için kullanılabilir. Çoğu SIEM markası direk olarak sigma desteği sunmaz, kuralı kendi dil yapısına çevirmek gerekmektedir. 2. olarak SIEM de geriye dönük bir search büyük log dizinlerinde saatler, günler sürebilir.
Şu anda bütün SIEM, Next-Gen SIEM ve UEBA çözümleri aşağıdaki yöntemlerden biri ile Sigma kurallarını kullanır.
1. Kuralları uncoder[.]io kullanarak veya Sigmac ile ya da başka bir yöntemle kullandığı SIEM e uygun sorguya çevirip, gerektiğinde onu manuel çalıştırmak. Bu işlem manuel ve insan gücüne dayandığı için sürdürülebilir olmadığı gibi sağlıklı da değil.
2. Kuralları uncoder[.]io kullanarak veya Sigmac ile ya da başka bir yöntemle kullandığı SIEM e uygun sorguya çevirip daha sonra da bu sorguları schedule etme yoluna gitmek. Ama binlerce sorguyu periyodik olarak çalıştırmak için ihtiyaç olacak CPU, RAM ve disk hızı teoride hesaplanabilir olsa bile pratikte uygulanabilir değildir. Sadece seçilen kısıtlı sayıdaki sorguyu böyle çalıştırmak mümkün olabilir.
3. Kuralları otomatik olarak SIEM korelasyon kurallarına çevirmenin uncoder[.]io gibi bir yolu veya Sigmac gibi bir araç yok. Buna ciddi kaynak ayırıp, bir ekip oluşturup binlerce Sigma kurallarını kullanılan SIEM kurallarına çevirsek bile (Bu arada bunu şu ana kadar yapan yok) mevcut korelasyon motorları ile bunları korelasyon kuralı olarak çalıştırmak için gerekli CPU, RAM korkunç seviyede yüksek çıkar ve hiç pratik olmaz.
Çok başarılı korelasyon motorları varken bunun sebebi ne? Diye akla gelebilir.
Bunun sebebi mevcut korelasyon motorlarının çözmek üzere tasarlandıkları problemler ile Sigma kurallarının yapısının örtüşmemesi ve korelasyon motorlarının teknolojisi. Örnek vermek gerekirse en iyi korelasyon motoruna sahip IBM Qradar örneğini alırsak bu korelasyon motoru 2003 yılında tasarlanan bir motordur. Motorunun sahibi EventGnosis adlı bir şirkettir.
Yukarıda ifade etmeye çalıştığım gibi bu korelasyon motorları 20 yıl öncenin teknolojisi ve çözmeye çalıştıkları problemler Sigma kurallarına uygun değil. Neden uygun olmadığı ile ilgili yine Gartner tarafından liderlerde gösterilen IBM Qradar’dan bir örnek paylaşarak konuya netlik kazandırayım
Bu tahmin edilebileceği gibi sadece IBM Qradar’a has bir durum değil. Diğer SIEM ürünleri için de benzer durum geçerli. Tasarlandıkları zaman, teknoloji ve çözmeye çalıştıkları problem başka olduğu için Sigma kurallarını korelasyon kuralı olarak performans bariyerinden dolayı çalıştırmaya uygun değiller.
Benzer şekilde Gartner Magic Quadrant da lider olan UEBA ürünü Securonix için de durum aynı. Sigma kurallarını kullanmak istediğinde çevirip kullanıyor.
Çözüm
Çözüm Sigma kurallarına göre baştan tasarlanacak ve herhangi bir çevirme (convert) işlemine gerek duymayacak, bütün kuralları otomatik ve gerçek zamanlı çalıştıran ve herhangi bir performans bariyerine takılmayan bir motor tasarlamak. Buna ister korelasyon motoru, ister sigma kural motoru istenirse de başka bir ad verilebilir. Çözüm bunu mevcut korelasyon, ML, statik yöntemlere ek olarak SIEM’e eklemekten geçiyor.
