SIEM Balonları

Bazı kelimler çok hızlı balon oluyor. Örnek olarak: AI, ML şimdi daha çok pazarlama kelimeleri olarak yoğun kullanıyor . SIEM tarafında ayrıca bulutta SIEM çok popüler. Ayrıca canlıda log tutma süreleri gibi hiç bahsedilmeyen konular da var. Bir de korelasyon gibi herkesin kullandığı moda sözcükler var ama hala muğlak kalmış durumdalar.

SIEM ile ilgili doğruları yıllardır anlatmaya çalışıyorum. Çoğu zaman alabalık misali akıntıya ters yüzdüm veya doğru söyleyenin dokuz köyden kovulması gibi tepki de gördüm. Özellikle son 5–6 yıldan beridir SIEM in korelasyon olduğunu anlatmaya çalıştım. Türkiye’de SIEM projelerinin çoğunun çöp olduğu söyledim. Bu konu ile ilgili paylaşım yapan bir siber güvenlik profesyonelin belirttiği “Siem ve presales ilişkisini” teknik, teknolojik kriterlere çekmeye ve ürünleri kıyaslayarak alın demeye çalıştım.

İlk anlatmaya çalıştığım SIEM ürünlerinin korelasyon tarafı idi ve bu konu ile ilgili Türkçe, İngilizce yüzlerce makale yazdım [1,2,3,4,5]. Önceleri akademik seviyeye yakın değerlendirmeler yapıyordum. Zaman içerisinde korelasyon konusuna son kullanıcının uzak olmasından dolayı daha kolay kıyaslama kriterleri bulmaya çalıştım [6]. Konuyu daha önce hiç SIEM korelasyon testi veya karşılaştırması yapmamış olan son kullanıcı için de uygulanabilir pratikliğe getirmek amacı ile onlarca makale yazdım. İnsanlara bilinen yerli, yabancı SIEM ürünlerinin çoğu ile tespit edilemeyecek aşağıdaki gibi örnek senaryolar paylaştım:

1. Bir kullanıcı oluşturulduktan sonra yarın saat içinde bu kullanıcı ile ilgili hiç log oluşmazsa tespit et ve aksiyon al,
2. Bir kullanıcı login olduktan sonra yarım saat içerisinde bu kullanıcı ile ilgi log gelmezse tespit et ve uyar.

Bu tür senaryoları ürünler arasında yetenek farklarını ortaya çıkarmak amacı ile seçtim. Ama bu senaryoların ayrıca çok faydalı olmasını da istedim. Bu örnek olarak verilen senaryoların tespit etmeye çalıştığı durum ise bir bilgisayar korsanın bütün loglar yerine sadece kendi yaptığı işlemler ile ilgili logları silmesi ve dolayısı ile sistemin loglar silinde eventi oluşturmasını engellemek ve loglara bakanları böylece kandırmaya çalışmasının tespitidir. Bu senaryo ile ilgili detayları [7] de bulabilirsiniz. Korelasyon ile ilgili daha detay analizleri referanslarda bulabilirsiniz. Yine referanslarda ürünlerin korelasyon yetenekleri ile ilgili de bilgiler bulabilirsiniz.

Son bir yıldır da logların canlı tutulma süresinin uzunluğunu, hele de diski az kullanarak bunu sağlamasının çok büyük bir kolaylık ve avantaj olduğunu anlatıyorum [8]. Bu süreç içesinde en çok şaşırdığım ise hem son kullanıcı, hem de entegratör veya çözüm ortağı tarafının bu hususu tamamen atlamış olması. Burada da insanların canlıda 15 gün bilemedin 30 günden daha fazla alternatifi yokmuş şeklinde bir ön kabullerinin olduğuna şahit oldum. SureLog SIEM in canlıda tutuma kapasitesini referans olarak paylaştığımızda ve rahatlıkla 12 ay canlıda tutulabileceğini söylediğimizde insanların şaşkınlıklarına şahit oldum.

Son zamanlarda ise bulutta SIEM, SOC veya yönetilen SIEM konusunda yine hem son kullanıcı, hem de entegratör veya çözüm ortağı tarafından göz ardı edilen bir konuya; logların hizmet sonrası ne olacağı konusuna değiniyorum. Sanırım bu konuya çözülmesi gereken bir senaryo olarak dünya ilk bakan benim. Geçen sene peerlys de konu ile ilgili bir yazı yazmıştım. Bu yazıyı yazarken literatür taraması yapmıştım. Maalesef peerlyst kapandı ama oradaki yazılarımı medium hesabıma aktarmıştım [1]. Türkiye’de sahada gördüğüm örnekler de bunu teyit ediyor. Hiçbir projede bu loglara hizmet sonunda ne olacak tartışılmamış. Türkiye’de de bu konu ilk defa benim dikkatimi çekti ve bu konuyu gündeme getirdim[9].

Dolayısı ile korelasyon, logların canlıda tutulması ve bulutta SIEM, SOC veya yönetilen SIEM hizmeti sonlandığında loglara ne olacağı konuları buz dağının altında kalan kısım olarak gün yüzüne çıkarılmaya muhtaç konulardır. Bu konularla ilgili makalelerime referanslardan ulaşabilirsiniz.

Referanslar

1. https://drertugrulakbas.medium.com/
2. https://www.linkedin.com/in/ertugrul-a-2b365813/
3. https://www2.slideshare.net/anetertugrul
4. https://www.researchgate.net/profile/Ertugrul_Akbas2
5. https://dizicim.academia.edu/ErtugrulAkbas
6. https://drertugrulakbas.medium.com/siem-%C3%BCr%C3%BCnlerinin-korelasyon-yetenekleri-nas%C4%B1l-test-edilir-c7f36ce709cb
7. https://isc.sans.edu/forums/diary/Investigating+Gaps+in+your+Windows+Event+Logs/25328/
8. https://drertugrulakbas.medium.com/siem-%C3%A7%C3%B6z%C3%BCmlerinde-loglar%C4%B1n-canl%C4%B1da-tutulmas%C4%B1-ile-ar%C5%9Fivde-tutulmas%C4%B1n%C4%B1n-fark%C4%B1-fe221ee8613b
9. https://drertugrulakbas.medium.com/soc-bulutta-siem-veya-y%C3%B6netilen-siem-hizmetlerinde-madalyonun-%C3%B6teki-y%C3%BCz%C3%BC-98dae87154fd