Nasıl bir SIEM Projesi Yapalım?
Herkesin bildiği gibi SIEM Log yönetimi demek değildir. Eğer SIEM projesi yapmak istiyorsak paramızın, zamanımızın ve enerjimizin %80 i korelasyon yani bir şeyleri tespit etmek anlamak ve açığa çıkarmak olmalı. Bunu yaparken de buna yönelik altyapısı olan ürünlerle yola çıkmak kritik oluyor. Peki bir ürünü çok uğraşmadan nasıl tespit edebiliriz? Buna 3 soruda farkı bulma da diyebiliriz
Bu fark %80 lik kısım için. Zaten logları bir şekilde aldığımızı, sıkıştırdığımızı ve raporlayıp, üzerinde arama yaptığımızı var sayıyoruz.
1- Eğer çoluk çocuk deneme yapmıyorsa 15 dakikada 5,10,50 başarısız oturum olmaz. Zaten bilindiği gibi 3 den sonra da sistem kilitler ve saldıran bunu bilir. Ama 3 günde aynı kullanıcı 10 veya daha fazla başarısız oturum açıyorsa bunu tespit etmek şart. BURADA ÖNEMLİ OLAN 3 GÜN, 30 GÜNLÜK TAKİPLERİ YAPABİLMEK.
2- Ne normal, ne değil? Örnek: DNS protokolünün normalin dışına çıktığı saatleri ve/veya günleri tespit etmek için senaryolar gerekli. Örnek olarak Salı günü için HTTP/DNS oranı son dört haftalık tüm kullanıcıların % 95'nin HTTP/DNS oranının %300 üzerinde olan bir durum var mı tespit edin. BURADA ÖNEMLİ OLAN NE NORMAL? NE ANORMAL?
3- Ne? Neden olmuş? Bir logun parçalara ayrılması (kaynak, hedef, portlar, kullanıcı vb..) çoğu zaman bu olayın neden olduğunu söylemez. Ayrıca bu olan olayların trendi nedir? Mesela mesai saati bittikten sonra başarısız oturum sayıları artıyorsa bunu mesai saati içi ve dışı şeklinde görebilmeliyiz. BURADA ÖNEMLİ OLAN TAXON0MY VE TRENDLER
