Neden Her SIEM Aynı SIEM Değildir?

Türkiye’de yapılan SIEM projelerinin çoğunun aslında log yönetiminde kaldığını bilerek buradan sonrasını meraklısına diyerek devam ediyorum. SIEM ürünlerini en temel disk ihtiyacından başlayarak [1] korelasyona varana kadar pek çok paremetreye bakarak karşılaştırabiliriz. En önemli kriter ise korelasyon yeteneğidir[2]. SIEM ürünlerinin korelasyon özelliğini da yine yüze yakın temel parametre kullanarak karşılaştırmak mümkündür. Konunun uzmanı olmayan okuyucaları teknolojik detaylara boğmadan bir örnek vermek gerekirse, bu parametrelerden en basitlerinden biri SIEM ürünlerinin desteklediği operatörlerdi. Örnek bir operatör olarak “aynı anda” operatörü verilebilir.

Basit bir örnek senaryo :

Aynı kullanıcı aynı anda kişisel veri içeren sunuculardan birine oturum açarken başka birine da oturum açmayı deneyip başarısız oluyorsa uyar

Eğer SIEM çözümünde “aynı anda” operatörü yok ise bunu aşağıdaki formata çevirmek zorunda kalacaksınız:

Aynı kullanıcı 2–3 saniye içerisinde kişisel veri içeren sunuculardan birine oturum açarken başka birine da oturum açmayı deneyip başarısız oluyorsa uyar.

Eğer kullanılan SIEM alarm üretmeyi belli periyotlarla sorgu çalıştırarak (Elastic veya benzer) veya

Check events in Last:
Update period:
Purge time:

gibi parametrelerle yakalamaya çalışırsa her 2–3 saniyede bu sorguları elastic, lucene veya nosql bir yapıda çalıştırmanın CPU, RAM ve I/O maaliyeti çok yüksek olacağı gibi bu tür senaryolardan 20–30 tanesini çalıştırmak gerekirse bu CPU, RAM ve I/O maaliyeti katlanılamaz olabilir.

Çok temel SIEM özelliklerinden liste yönetimini de bakılması gereken özelliklerin çeşitliği [2] için örnek göstererek konuyu detaylandırmadan özetlemek istiyorum. Liste içerisinde regex ile bak, küçük/büyük harf duyarsız bak, hashine bak gibi pek çok liste işlem ve operatörlerinden ilk bakılacak olanı listelerdeki zaman yönetiminin sınırsız olmasıdır. Örnek bir senaryo vermek gerekirse

Son 6 ayda hiç oturum açmayan bir kullanıcı oturum açtı ise uyar.

Yukarıdaki senaryoda da dikkat edilecek husus sürenin “6 ay” olmasıdır, 20 dakika olsa idi zaten bütün SIEMler için leblebi çekirdek olurdu diyerek detaylar için [2,3,4,5,6,7,8,9,10] numaralı referanslara yönlendirerek yazıyı sonlandırıyorum.

Referanslar

1. https://medium.com/@eakbas/surelog-disk-kullan%C4%B1m-avantajlar%C4%B1-5111335b8416
2. https://www.slideshare.net/anetertugrul/siem-korelasyon-motoru-deerlendrme-krterler
3. https://medium.com/@eakbas/never-seen-before-type-of-rules-with-surelog-siem-cb3c0a7dc0c3
4. https://medium.com/@eakbas/siem-ile-sald%C4%B1r%C4%B1-tespitinin-anatomisi-b44f3a8f4f0d
5. https://www.cyberelectra.com/owaspiotsecurity.html
6. http://anet-canada.ca/2019/11/19/surelog-siem-has-most-valuable-siem-use-cases/
7. http://anet-canada.ca/2019/11/02/detecting-top-4-tools-used-by-cyber-criminals-recently-with-surelog/
8. http://anet-canada.ca/2019/10/22/hunting-malware-and-viruses-by-detecting-random-strings-using-surelog-siem/
9. http://anet-canada.ca/2019/10/05/domain-generation-algorithm-dga-detection-in-surelog/
10. http://anet-canada.ca/2019/08/19/user-and-entity-profiling-with-surelog/