SIEM Gerçekten Öldü mü? XDR veya Başka Teknolojiler SIEM’in Yerini mi Aldı? SIEM ile Yakalanabilecek Saldırılar Neler?
SIEM (Security Information and Event Management) öldü diyenlere son 5 sene içinde Microsoft ve Google niye girdi? diye sormak lazım.
Ayrıca son kullanıcılar da bunun tamamen tersini düşünüyor.
XDR SIEM’i bitirdi diyenlere Anton Chuvakin un sözü ile cevap vereyim.
Anton Chuvakin diyor ki ejderha ördeği yer mi? Evet eğer gerçekten ejderha varsa yer diyor.
Bir anket sonucu daha vereyim.
SIEM ürünleri ölmedi gruplara ayrıldı doğru cümle. Denetin, kanun ve regülasyon merkezli olanlar siber güvenlik merkezli olanlar. Bunlar da kendi içinde gruplara ayrıldı Denetimleri yumuşak yorumlayanlar sıkı yorumlayanlar. Bu konu ile ilgili aşağıdaki makaleye bakılabilir.
SIEM’i siber güvenlik merkezli yorumlayanlar için de SIEM gruplara ayrılabilir. Bununla ilgili olarak aşağıdaki makale okunabilir.
SIEM’i siber güvenlik merkezli yorumlayanlar için SIEM bir güvenlik sistemidir ve birçok farklı saldırı türünü tespit etmek için kullanılabilir. Bazı örnekler şunları içerebilir:
· Bilgi Sızıntısı Saldırıları: SIEM, şirket ağlarından veya sistemlerinden gizli veya hassas bilgilerin çalınmasını algılayabilir. Örneğin, bir çalışanın bir dosya paylaşım uygulamasından bir şirket belgesini paylaşması veya bir e-posta ekindeki bir dosyayı izinsiz olarak dışarı çıkarması gibi.
· Kimlik Hırsızlığı: SIEM, kimlik hırsızlığı saldırılarını tespit edebilir. Örneğin, bir kullanıcının parolasının ele geçirilmesi veya bir kullanıcının hesabına yetkisi olmayan bir şekilde erişilmesi.
· Malware Saldırıları: SIEM, kötü amaçlı yazılımların sistemlere bulaşmasını tespit edebilir. Örneğin, bir virüs veya trojanın sisteme bulaşması ve sistemi çökertmesi gibi.
· Dosya veya Dosya Düzenleme Saldırıları: SIEM, dosyaların değiştirilmesini veya silinmesini tespit edebilir. Örneğin, bir saldırganın sisteme sızmak ve bir belgeyi değiştirmek veya silmek için bir güvenlik açığı kullanması gibi.
· Ağ Saldırıları: SIEM, ağ saldırılarını tespit edebilir. Örneğin, bir saldırganın bir ağa saldırması ve ağın çökmesine veya kullanılamaz hale gelmesine neden olması gibi.
· Fiziksel Güvenlik Saldırıları: SIEM, fiziksel güvenlik saldırılarını da tespit edebilir. Örneğin, bir hırsızın bir şirketin ofisine girmesi ve bilgisayarları çalması veya bir çalışanın bilgisayarını çaldırması gibi.
· Güvenlik Politikası İhlalleri: SIEM, güvenlik politikalarının ihlal edildiği durumları da tespit edebilir. Örneğin, bir çalışanın bir şirketin BYOD (Kendi Cihazını Getir) politikasını ihlal ederek kendi cihazını şirket ağına bağlaması veya bir kullanıcının bir şirket bilgisayarında yasaklı bir siteyi ziyaret etmesi gibi.
· DoS (Hizmet Reddi) Saldırıları: SIEM, bir ağa yoğun trafik göndererek veya sunucuları aşırı yükleyerek bir hizmet reddi saldırısını tespit edebilir.
· SQL Enjeksiyon Saldırıları: SIEM, bir web uygulamasına yapılan bir SQL enjeksiyon saldırısını tespit edebilir. Bu tür bir saldırı, bir saldırganın web uygulamasında kullanılan bir SQL sorgusunu manipüle etmesi ve veritabanından bilgi çekmesi veya veritabanını bozması anlamına gelir.
· XSS (Cross-Site Scripting) Saldırıları: SIEM, bir web uygulamasına yapılan bir XSS saldırısını tespit edebilir. Bu tür bir saldırı, bir saldırganın bir web sayfasındaki kodu manipüle etmesi ve bir kullanıcının tarayıcısında kötü amaçlı bir kodun çalıştırılmasına neden olması anlamına gelir.
· Ransomware Saldırıları: SIEM, bir ağa bulaşan bir ransomware saldırısını tespit edebilir. Bu tür bir saldırı, bir saldırganın sistemi kilitleyerek verilere erişimi engellemesi ve daha sonra bir fidye karşılığında verilere erişimi geri vermesi anlamına gelir.
· Sosyal Mühendislik Saldırıları: SIEM, sosyal mühendislik saldırılarını da tespit edebilir. Örneğin, bir saldırganın bir çalışana bir sahte e-posta göndererek onları bir şifreyi açıklamaya ikna etmesi veya bir linke tıklamaya teşvik etmesi gibi.
· Şifre Kırma Saldırıları: Bir saldırganın bir kullanıcının şifresini kırarak hesaba erişmesi gibi bir şifre kırma saldırısı, SIEM tarafından tespit edilebilir. SIEM, hesapların korumasız veya zayıf şifrelerle korunduğu durumları tespit ederek bu tür saldırılara karşı uyarılar verebilir.
· Malware (Kötü Amaçlı Yazılım) Saldırıları: SIEM, bir ağa bulaşan bir kötü amaçlı yazılımı tespit edebilir. Bu tür bir saldırı, bir saldırganın bir ağa veya cihaza bir kötü amaçlı yazılım bulaştırarak, verileri çalmak veya hasara yol açmak için kullanmasını sağlar.
· Fiziksel Güvenlik İhlalleri: SIEM, fiziksel güvenlik önlemlerine uyulmaması sonucu oluşabilecek ihlalleri de tespit edebilir. Örneğin, bir saldırganın bir anahtarla bir tesisin kapısını açarak içeri girmesi gibi.
· İçeriden Tehditler: SIEM, kuruluş içindeki personel tarafından yapılan kötü niyetli davranışları da tespit edebilir. Örneğin, bir çalışanın bilgi çalmak veya sistemi bozmak için yetkisini kötüye kullanması gibi.
· Botnet Saldırıları: SIEM, bir botnet saldırısını da tespit edebilir. Bu tür bir saldırı, bir saldırganın birçok cihazı ele geçirerek, bu cihazları bir ağa bağlayarak, ağa yoğun trafik göndermesi ve hizmet reddi saldırısı yapması anlamına gelir.
· Kimlik Avı (Phishing) Saldırıları: Bir saldırganın, bir kullanıcının kimlik bilgilerini veya hassas verilerini elde etmek için sahte bir e-posta, SMS veya web sitesi gibi bir tuzak kullanmasıdır. SIEM, kullanıcının hassas bilgileri girme girişimleri ile sahte web sitelerini veya e-postaları algılayabilir ve uyarılar verebilir.
· Zero-Day Saldırıları: Zero-day saldırıları, henüz güvenlik yamalarının yapılmadığı ve keşfedilmemiş güvenlik açıklarından yararlanan saldırı türleridir. SIEM, sisteme zarar verebilecek girişimleri tespit ederek, bu tür saldırılara karşı koruma sağlayabilir.
Bu, SIEM tarafından tespit edilebilecek sadece birkaç örnek saldırıdır. SIEM, birçok farklı saldırı türünü tespit etmek için kullanılabilir ve genellikle bir organizasyondaki güvenlik açıklarını tespit etmek ve kapatmak için önemli bir araçtır.
Şimdi de bu saldırıları tespit için örnek senaryolar paylaşayım.
· Anormal kimlik doğrulama davranışı: Kullanıcı bu makineye bu zamana kadar hiç oturum açmadı ise uyar.
· Bir kullanıcı aynı anda iki farklı iş yapan yapıyor gözüküyorsa (başarılı oturum başarısız oturum, VPN-yerel giriş, URL Erişimi-dosya Erişimi, vb.) uyar.
· Anormal kimlik doğrulama davranışı: Bir kullanıcı bu kaynak makineden bu hedef makinaya hiç oturum açmadı ise uyar.
· Bir istemci makinede virüs tespit edilirse ve 24 saat içinde temizlenmezse tespit et.
· Aynı işi farklı sistemlerde aynı anda yapan bir kullanıcı varsa tespit et (veritabanı ve yerel oturum açma, iki sunucuda aynı anda oturum açma, internetten dosya indirme ve işlemler (process) çalıştırma)
· Web sunucusu erişim kayıtları için bytesprocessed parametresinin toplamı aniden çok yüksek olursa tespit et.
· İmkânsız seyahat tespiti (Impossible travel detection)
· Eğer bir kullanıcı hassas dosyalara erişiyorsa ve aynı zamanda aynı kullanıcının dosya paylaşım sitelerine bir bağlantısı varsa, tespit et.
· Powershell komutu base64 formatında ve 100 karakterden uzunsa tespit et.
· Web sunucu hatalarının son bir saatteki başarısız/başarılı oranı %5'ten yüksekse tespit et.
· Bir kullanıcı, başarılı bir giriş yapmadan önce 60 dakika içinde üç başarısız giriş yaparsa tespit et.
· Bir sunucu kapatılırsa ve 24 saat içinde başlatılmazsa tespit et.
· Son dört hafta oranına göre, http’den dns protokolüne oranı diğer kullanıcıların %95'inden yüksek olan bir kullanıcı varsa tespit et.
· Herhangi bir kullanıcının son bir saat içindeki başarısız oturum ile başarılı oturum sayısının oranı anormal ise tespit et..
· Aynı kullanıcı adı ile farklı ip’lerden aynı anda birden fazla oturum açılması durumunu tespit et.
· Son 24 saatte oluşturulan bir alan adı, en bilinen 1 milyon sıralamasında değilse ve izinli listemizde değilse tespit et.
· Bir dosya adının veya işlem adının veya alan adının shanon entropy puanı 7.2'den yüksekse tespit et.
· E-posta Maskeleme Algılama: Ali.veli@citibank.com ve ali.veli@citibαnk.com gibi orijinal e-posta adresine benzeyen e-posta adreslerinden alınan bir e-posta durumunda uyarı verin.
· Maskeleme Algılama: Sistem araçları, görevleri ve hizmetleri maskeleme algılama (T1036.003 Rename System Utilities Rename, T1036.004 Masquerade Task or Service)
· Rastgele dizeleri tespit ederek kötü amaçlı yazılımları ve virüsleri tespit etme
· Bir kullanıcının VPN bağlantısının 4 saatten daha uzun açık kaldığı durumları tespit et
· Oluşturulup en az 72 saat kullanılmayan kullanıcı hesabı varsa tespit et
· Aynı kullanıcının iki login olayı arasındaki süre 1 dakikadan az ise tespit et
· Aynı kullanıcının iki başarısız oturum denemesi arasındaki süre 1 dakikadan az ise tespit et
· Çok nadir kullanılan bir port varsa tespit et
· Bir kullanıcının bir hafta boyunca proxy üzerinden günde en az bir kez kötü amaçlı kategorileri ziyaret ettiği durumlarda tespit et (Bot Ağları, Kategorize Edilmemiş, Kötü Amaçlı Yazılım, Casus Yazılım, Dinamik Dns, Şifreli Yükleme)
· En az 15 gün (20,30,40… 265 gün) boyunca VPN yapmayan bir kullanıcının kısa bir süre içinde birden fazla (1'den fazla) iş istasyonunda uzaktan etkileşimli giriş (remote interactive logon) yapması durumunu tespit et
· Sanal makinenizde özel bir komut dosyası uzantısı üzerinden kod yürütüldüğünde antimalware taramanızdan hariç tutulan bir dosyanın varlığı.
· Pazarlama departmanından Paula’nın aynı anda mobil cihazı ve ofis bilgisayarından oturum açtığı durumlarda tespit et
· TeamViewer etkinliği ve Notepad++ indirme işlemi aynı anda gerçekleştiğinde tespit et
· Mail ağ geçidinde engellenen IP/URL in Proxy tarafından engellenmediği durumları tespit et
· Anormal oturum açma davranışı: Kullanıcı bu makineye daha önce hiç bu saat diliminde oturum açmadı ise tespit et
· DGA tespiti
· Bir virüs istemci makinesinde tespit edilirse ve 24 saat içinde temizlenmezse tespit et
· En az son 30 gündür (31,40,60,90,180 gün vb.) kullanılmayan bir hesap varsa, hesabı otomatik olarak kilitle/sil ve tespit et.
· Bu kullanıcı daha önce saat diliminde login olmamıştı, bu anormal
· Bu kullanıcının bu saat dilimi içindeki login aktivite sayısı anormal
· Bu kullanıcının X portunu kullanması nadir bir olaydır
· Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
· Yüksek entropili etki alanı sorgularını gözden geçirerek şüpheli istekleri tespit et
· Çalıştırılan PowerShell betik içeriğinin rastgeleliğini hesaplayarak şüpheli olayları tespit et
· 15 dakika içerisinde 50 benzersiz (unique) IP’den 15000 den fazla olay olursa ve bu olaylar da 10 benzersiz kategoride ise uyar
· Bir ağda son bir saat içindeki başarısız login sayılarının toplamının başarılı login sayılarının toplamına oranı %5 i geçerse uyar
· Bir kullanıcının son saatteki toplam oluşturduğu trafik, son haftaki toplam trafik kullanımın yüzdebirlik (percentile) kısmınından %10 fazla ise uyar
· IPS (intrusion protection system) sisteminin bu saat dilimi içinde oluşturduğu alarmlarının adedinde geçmşe bakarak anormallik varsa uyar
· Bir kullanıcı dün(son 7 gündür, son 1 aydır) gitmediği bir domaine bugün giderse
· Bir kullanıcı dün(son 7 gündür, son 1 aydır) toplam download trafiği ile bugünkü toplam download trafiği arasındaki fark %25 den fazla ise tespit et
· Kaynak IP den Hedef IP ye yeni bir kullanıcı login olursa tespit et
· Saatlik login fail/ login success auth oranı %3 ü aşarsa tespit et
· Saatlik Http/dns oranı 1 den düşük olursa tespit et
· AV tarafından virüs tespit edilen bir makinadan 5 dakika içinde başka bir makinaya login olunur ve daha sonra da login olunan bu makina 5 dakika içinde firewall tarafından bloklanır ise uyar
· Aynı kullanıcı aynı anda birden fazla makinaya login oluyorsa ve bu kullanıcı admin değilse veya white listde yoksa uyar. (Aynı anda operatörü)
· Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5–10 dakika bekledi ve sonra tekrar oluşturdu ise uyar. ,(A olayından sonraki 5 dakika içerisinde B olayı olmayacak ama 5. Dakika ile 10. Dakika arasında olacak şeklinde operatörlerin desteklenmesi gerekir).
· Aynı anda aynı kullanıcı bir makinaya VPN yaparken, aynı anda sisteme lokal login olursa uyar.
· Bir kullanıcı arada hiç başarılı oturum açmadan 30 dakikada 3 tane oturum açma denesi yapıyor ve başarısız oluyorsa uyar
· Bir makina Tehdit istihbarat listesine takılırsa bu makinaya en son login olan kullanıcıyı bildir (Önce operatörü)
· Bir dakikada 50 mb dan fazla download edilen ve url i zip, exe, dat ile biten kullanıcı olursa uyar
· Bir makinada bir process ayağa kalktıktan sonra 5 dakika içinde başka bir makinada da aynı process ayağa kalkar ve birinci makinadaki processin ayağa kalktığı path ile ikinci makinanın pathi aynı olursa ve kullanıcılar da farklı ise ve bu makinalardan biri sonraki 5 dakika içinde firewall tarafından bloklanırsa uyar.
· Yeni bir kullanıcı oluşturan kullanıcının oluşturduğu yeni kullanıcı 5 dakika içinde login failure yapar ve sonraki 5 dakika içinde de kullanıcı oluşturan kullanıcı yeni bir kullanıcı oluşturursa uyar
· Bir kullanıcı oluşturulduktan sonra hiç kullanılmadan 10 dakika içinde siliniyorsa alarm üretme ama bu arada kullanılıp siliniyorsa uyar
· Aynı IP önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis açılıyor / kapatılıyor ise uyar
· Aynı kullanıcı 2 farklı makinada 15 dakka içinde başarısız oturum deniyor ve 2. Başarısız oturumdan sonraki 5 dakka içerisinde bu makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim isteği oluyorsa uyar
· Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar.
· Banu dışarıdan içeri VPN yapıyor ve 172.16.23.21 IP sini alıyor.
· Daha sonra Bu IP den başka bir sisteme SSH yapıyor ve bu sistemdeki IP si de 172.16.99.99 oluyor. Daha sonra da 172.16.99.99 den internete erişmeye çalışırken bloklanıyor.
· Birden fazla kullanıcı adı ile brute force yapılırken veya brute forcedan sonraki 15 dakika içerisinde sadece brute force yapılan makinelerden birine başarılı oturum açılırsa (O ana denk gelen ama brute force yapılmayan makinelerde açılan oturumları istemiyorum çünkü false positive olmasını istiyoruz. Binlerce cihazlık bir ağda oturum açma doğal bir davranış. Bunun şüpheli olması için bu durumda brute force saldırısı altında olması gerekir)
PoC de bu kuraldan beklenen ise şu 4 şeyi aynı anda yapması
✔️ Brute force yapan bir veya birden fazla kullanıcıyı bildirsin
✔️ Sadece brute force yapılan makinelerin Kaynak IP lerini listeye atsın
✔️ Başarılı oturum açılan makina veya makineleri bildirsin
✔️ Başarılı oturum açarken kullanılan kullanıcı adlarını bildirsin
Bu kuralı buraya almamızın sebebi
🔔 Bunu listeler kullanmadan yapabiliyor olması
🔔 Birden fazla kullanıcı adını bir atımda tespit edebiliyor olması
🔔 Envanterinizde binlerce cihaz olabilir ama saldırı bunların sadece 100 tanesine olmuş olabilir. Dolayısı ile brute force sebebi ile risk seviyesi artan ve şüpheli duruma gelen sadece bu yüz tanedir. Bu kuralın sadece brute force yapılan bu 100 adeti monitoring için listeye atıyor olması
🔔 Bu brute force sonucu başarılı olarak şifresi bulunan kullanıcı adının da aynı anda tespit edebiliyor olması
🔔 Yukarıdaki 4 maddeyi 1 defada tek bir kural ile 3–5 dakika içinde GUI ile yazıp sağlayabiliyor olması
· Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
· 3 aydan daha uzun süredir login olmayan varsa uyar
· Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
· 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
· Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
· En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
· En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
· Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
· Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
· Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
· 2 aydan daha uzun süredir login olmayan kullanıcı varsa uyar
· 30 günden daha uzun süredir şifre değiştirmeyen kullanıcı olursa uyar
· 4 saatten uzun RDP i açık kalan olursa uyar
· 4 saatten uzun VPN i açık kalan olursa uyar
· 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
· 72 saatten uzun süredir IP değiştirmeyen cihaz (MAC) olursa uyar
· Aynı anda aynı kullanıcı bir makinaya VPN yaparken baska bir makinaya da RDP yaparsa uyar
· Ayni kullanıcı aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla basarisiz oturum açarsa tespit et
· Bir kullanıcı daha önce şirkette kimsenin gitmediği bir domaine günde en az 1 kere ve haftada 2 günden fazla erişirse uyar
· İlk kez yeni bir şehirden erişim yapılırsa tespit edin
· En az 30 gündür veya daha fazla süredir (40 gün-60 gün-90 gün-365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
· Kapanan bir sunucu 4 saattir ayağa kalkmadı ise uyar
· Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
· Virüs bulundu ve 8 saatten fazladır temizlenmedi ise uyar
· Anormal yetkilendirme davranışı: Bir kullanıcı bir makineye daha önce hiç bu zamanda diliminde oturum açmadı ise tespit et
· Bilinen anonim proxy’den VPN bağlantısı varsa tespit et
· Şüpheli bir güvenlik grubu oluşturulursa tespit et
· Anormal etkinlik süresi/oturum sayısı varsa tespit et
· Anormal e-posta sayısı varsa tespit et
· Bir kullanıcı için sabah login zamanı anormal ise tespit et
· Herhangi bir makinada ilk defa çalışan process olursa tespit et
· Registery de ilk defa erişim olursa tespit et
· İlk kez kullanıcı bir cihaza erişirse tespit et
· Bir kullanıcının cihazından ilk kez VPN bağlantısı kurulursa tespit et
· Bir kullanıcının E-posta etkinliği tuhaf bir zaman diliminde gerçekleşirse tespit et
