SIEM ile Saldırı Tespitinin Anatomisi
Her makalemde belirtiğim gibi SIEM ile log yönetimi aynı manaya gelmez.
SIEM de amaç şüpheli olayları veya saldırıları tespit edebilmektir. Günümüz saldırı yöntemleri de
15 dakikada firewall 500 tane paketi bloklarsa tespit et
15 dakikada veritabanına 500 tane TCP trafiği oluşursa uyar
gibi senaryolardan çok daha gelişmiştir.
Yeni bir domain admin kullanıcı oluşturuldu
Yeni bir enterprise admin kullanıcı oluşturuldu
Başarısız oturum isteklerinden sonra başarılı oturum açılması
Mesai saati dışındaki oturum açmalar
Spam mail olayından sonra şüpheli dosya tespit edildi
gibi gözlenmesi faydalı bir çok olay yine SIEM ile yapılabilecekler arasında olmakla birlikte bu senaryolar gelişmiş bir saldırı tespit mekanizması içermezler.
Gelişmiş bir saldırı nasıl SIEM ile tespit edilir? Bu konu ile ilgili örnek bir senaryo çözümlemesi aşağıdadır:
1- Bir kullanıcı arka arkaya 5 dakika içerisinde 2 defa başarısız oturum yapıyor (Neden 3 olmadığı malum!),
2) Sonra aynı kullanıcı ile 3–5 dakika içerisinde başarılı oturum gerçekleştiriliyor.
3) 1–2 dakika içerisinde bu kullanıcıya özel yetkiler (Special privileges ) veriliyor,
4) 5–10 dakika içinde yeni bir kullanıcı oluşturuluyor,
5) 2–3 dakika sonra Security-disabled özelliği aktif yeni bir global grup oluşturuluyor,
6) 2–3 dakika içinde Explorer gibi, psexec gibi gözlenmesi gereken bir process başlıyor,
7) 1–2 dakika içinde “4905: An attempt was made to unregister a security event source” olayı gerçekleşiyor,
8) Hemen sonra 4. adımda oluşturulan kullanıcı aktif ediliyor (Enabled),
9) 2–3 dakika içinde event kategorisi “Object Access ” olan bir olay gerçekleşiyor,
10) Ve kullanıcı oturumu kapatıyor(4679,4634 ,4779).
Görüldüğü üzere birbiri ardına adım,adım oluşan bir senaryo silsilesi ile bir analiz yapabildi.
