Open in app

Sign in

Write

Sign in

Korelasyon Ciddi Bir İştir

Ertugrul Akbas
3 min readDec 17, 2021

--

Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar. Bu 10 dakika içindeki başarısız oturumlar sırasında bir defa bile başarılı oturum açmışsa uyarma senaryosu benim turnusol kağıdı olarak kullandığım yüzlerce senaryodan biri. Bu senaryoyu turnusol kağıdı olarak kullanmak isteyen onlarca firma, bu senaryoyu sordukları meşhur bir SIEM üreticisinin cevabını analiz etmemi istediği için bu analizi yaptım.

SIEM üreticisinin cevabı:

Bu senaryoyu bir liste yapıp son 10 dakika içerisinde 3 veya daha fazla başarısız oturum deneyenleri listeye atıp sonra da başarılı oturum açan bu listede yoksa alarm üret şekilde.

Şimdi bu cevabın neden çözüm olamayacağını inceleyelim.

Sebepleri:

  1. Bu kuralın tarafımdan turnusol kağıdı gibi kullanılmak üzere tasarlanmasının sebeplerinden biri operatörlere dikkat çekmek ve “ arada” operatörünü vurgulamak. Gelen cevabın kural silsilesinde “ arada “ mantık bağlacı yok.

Yukarıdaki resimde görüldüğü gibi A,B,C tipinde olaylar silsilesi devam ederken arada D olayı olup olmadığını anlamak için kullandığımız operatördür “ arada “ operatörü. Yeri gelmişken belirteyim iyi bir SIEM çözümünde onlarca operatör olur.

2. Biz bu 10 dakika içinde ön şart olarak en az 3 defa başarısız oturum açılmış olmasını istiyoruz. Eğer bu ön şart sağlanamıyorsa alarm ürememeli. Ama gelen cevapta alarm gelir. Çünkü onun bakacağı 10 dakikada 3 başarısız oturum var mı? Diyelim ki yok.

Dolayısı ile listede isim olmayacak. O zaman başarısız oturum açan listede olmadığı için başarılı oturum açıldığında alarm gelecek ama ön şart olan arka arkaya 10 dakikada 3 başarısız oturum sağlanmamıştı yani alarm gelmemeliydi. Bu bir False positive = hatalı onaylanmış senaryo olacaktır.

3. Aşağıdaki durumda ise meşhur SIEM üreticisinden gelen cevap alarm üretmez ama aslında üretmeliydi. Sebebi ise 10 dakikada 3 tane başarısız oturum olur ve listeye kullanıcı ismi yazılır daha sonra başarılı oturum olunca listede isim olduğu için alarm üremez.

Ama bu aslında tam yakalamak istediğimiz senaryo. Dolayısı böyle çalışan bütün SIEM’ler gibi bu da bu sefer False negative = hatalı reddedilmiş senaryo olacaktır.

Bu çözümleme ile ilgili aklınıza takılan veya hatalı dediğiniz bir şey olursa yoruma yazabilirsiniz cevap veririm. Ayrıca aklınıza gelen başka korelasyon senaryolarının analizi veya size cevap olarak sunulan SIEM korelasyon kurallarının doğru olup olmadığını merak ediyorsanız bana ulaşabilirsiniz.

Ayrıca SIEM korelasyon konuları ile ilgili detaylı okuma yapmak isterseniz aşağıdaki resme tıklarsanız link açılır ve onlarca makaleye erişebilirsiniz.

Originally published at https://www.linkedin.com.

Siem
Korelasyon
Soc
Gartner
Log

--

--

Ertugrul Akbas
Ertugrul Akbas

Written by Ertugrul Akbas

460 Followers
8 Following

Entrepreneur,Security Analyst,Research.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams