Korelasyonlar ve Karbon

Elmas ile kömür aynı karbon sayısına sahiptir, ancak moleküler yapıları sebebiyle biri elmas, diğeri kömürdür. Korelasyonlar da böyledir. Bazı korelasyonlar kömürdür, bazıları ise elmas. İkisi de faydalıdır ama değerleri aynı değildir.

Daha önce de korelasyonları başka analojilerle anlatmaya çalışmıştım. Bunları biri de çitlerdi [1].

Örneğin, bazı korelasyonlar sadece brute-force denemelerini veya kullanıcı haklarının yükseltilmesini gibi tek olaydan veya eşik değeri (Threshold) tipinde senaryolar ile çalışırken, Bazıları daha gelişmiş senaryolarla çalışabilir. Örnek:

· Bir kullanıcı oluşturulduktan sonra hiç kullanılmadan 10 dakika içinde siliniyorsa alarm üretme ama bu arada kullanılıp aynı gün içinde siliniyorsa veya kullanılmadan da olsa 10 dakikadan sonra siliniyorsa uyar.

Bazı SIEM çözümlerinin korelasyonları ise daha da gelişmiş senaryolarla çalışabilir. Örnek:

• Günlük başarısız giriş denemelerinin sayısı anormal ise uyar

• Günlük ağ olaylarında toplam başarısız oturumların başarılı oturumlara oranı anormal ise uyar

• Bu saatte sisteme giren kullanıcının bu davranışı anormal ise uyar

• Veri kaybını tespit etme: Bir veritabanı tablosunun loglarını takip edin ve loglardan tespit edilen tabloya eklenen satır sayısı ile gerçekte tabloya eklenen satırların sayısı arasında fark varsa bu anormalliğe işarettir. Eğer günlüklerdeki eklemelerin sayısı, tabloya eklenen satırların sayısından önemli ölçüde daha az ise, bu potansiyel veri kaybını veya silinmeyi gösterebilir.

• Yetkisiz veri erişimini tespit etme: Hassas bir veritabanı tablosuna erişimi izlemek için logları kullanın ve loglardan tespit edilen tablo eklemelerinin sayısını tabloya eklenen satırların sayısıyla karşılaştırın. İki arasında önemli bir fark varsa, verilere potansiyel yetkisiz erişim göstermek için bir uyarı oluşturun.

• Veri sahteciliğini tespit etme: Bir veritabanı tablosunun loglarını izleyin ve loglardaki eklemelerin tabloya eklenen satırların sayısı ile arasındaki korelasyonu takip edin. İki sayı arasında fark varsa, güvenlik ekiplerine potansiyel veri sahteciliği konusunda bir uyarı gönderin.

• Kişisel veriler içeren bir dosya herkesin erişebileceği bir paylaşılan yola kopyalanırsa veya paylaşılan yolda düzenlenen mevcut bir dosyaya kişisel veriler eklenirse, bir uyarı oluşturun.

• Başarısız DNS isteklerinin toplam başarılı isteklere oranını hesaplayın. Normalden yüksek bir oran işletme sorunlarını gösterebilir ve bir uyarı oluşturulmalıdır.

• Farklı günler veya haftalar arasındaki NX alan adı yanıtı veya yönetici girişleri sayılarını karşılaştırın. Oran 3'ü aşarsa, bir uyarı oluşturun.

• Geçen gün veya saat boyunca hata oranlarını ve sayfa yükleme sürelerini karşılaştırın. Oran 3'ü aşıyorsa, bir uyarı oluşturun.

•Geçen haftanın aynı gününde başarısız olan giriş denemelerinin son bir ay içindeki sayısıyla karşılaştırın. Sayı %30'u aşıyorsa, bir uyarı oluşturun.

•Geçen haftanın aynı gününde yapılan kullanıcı kayıtlarının son bir aydaki sayısıyla karşılaştırın. Sayı %30'u aşıyorsa, bir uyarı oluşturun.

•Son bir saatteki hata kayıtlarının sayısını önceki saatle karşılaştırın. Oran 1.5'i aşıyorsa, bir uyarı oluşturun.

•Bir hesap en az son 30 gündür (31, 40, 60, 90, 180 gün vb.) kullanılmadıysa, bir bildirim gönderin ve hesabı ya kilitleyin ya da silin.

Bu noktada son kullanıcının veya SIEM araştırmacısının kömür ile elamsı birbirine karıştırmayacak noktaları yakalayabilmesi gerekir.

Referanslar:

1. https://medium.com/@drertugrulakbas/siem-korelasyonlar%C4%B1-ve-%C3%A7itler-e05d24b2bd13