SIEM ile İlgili En Büyük Kafa Karışıklığı: Alarm mı? Korelasyon mu? Makine Öğrenmesi Bunun Neresinde? Profil Çıkarma Nasıl Oluyor? Log Analytics nedir?

Konuya bir matematik formülü ile başlayalım. Alarm != Korelasyon

Korelasyonu alarmdan ayıran en temek fark: sistemlerden toparlanan çeşitli loglarda oluşabilecek şüpheli durumları tespit edebilmek için logların geçmiş ve gelecek durumlarını (state) ilişkilendirilebilmesidir.

“Firewall 5 dakikada 5 tane aynı IP den gelen isteği blokluyorsa uyar” bir korelasyon değil bir alarmdır.

Korelasyon ise “Herhangi bir kullanıcı 20 dakika içerisinde 3 den fazla farklı makinede oturum açmayı deneyip de başarısız oluyor ve arkasından gelen 2 saat içerisinde de bu makineler hariç başka bir makineye login oluyor ve bu davranışı 7 gün içerisinde 1 den fazla defa tekrar ediyorsa uyar” ise bir alarm değil korelasyondur ve ikinciyi öyle her SIEM çözümü tespit edemez.

Diğer bir popüler SIEM/UEBA konusu profil çıkarma. Bu ne demek? Örnek: DNS protokolünün normalin dışına çıktığı saatleri ve/veya günleri tespit etmek için senaryolar gerekli. Mesela salı günü için son dört haftalık HTTP/DNS oranı tüm kullanıcıların % 95'nin HTTP/DNS oranın %300 üzerinde olan bir durum var mı tespit edin bir profil temelli korelasyon örneğidir.

Peki çok sık duyduğumuz Log Analytics nedir?. Kullanıcıların normal olmayan login zamanlarını (unusual login time) bulmak istiyoruz. Yine arka planda kara kutu olarak çalışan K-Means veya Outlier algoritmaları veya benzeri algoritmalar ile bunları tespit ederseniz ve X kullanıcısının Salı günü saat 14:00 deki oturumu normal dışı derseniz Log Analytics yapmış olursunuz.

Ve son olarak diğer bir popüler terimolan ve UEBA ile hep karşımıza çıkan makine öğrenmesi nedir? Son kullanıcı olarak nasıl önümüzü çıkar? Örnek olarak sınıflandırma kullandığımızı düşünürsek,bilinen çok fazla makine öğrenmesi temelli sınıflandırma algoritması vardır (Mesela LDA — https://en.wikipedia.org/wiki/Latent_Dirichlet_allocation). Bu algoritmayı arkada kara kutu olarak firewall trafik loglarına uygulayıp anormal sınıfına giren trafik bilgilerini bize göstermesi işi makine öğrenmesine örnek verilebilir.