SIEM Karalamaları
Bütün dünyada ve ülkemizde yaygın olarak kullanılan Elasticsearch temelli SIEM/Log Yönetimi ürünlerinde aşağıdaki konularda dikkatli olmak gerekiyor. Bu tür bir altyapıda aşağıdaki problemlerin bir yada birkaçı ile karşılaşmanız kaçınılmazdır. Hele de EPS değeriniz max 5000 EPS i geçerse ve yüksek sistem kaynağı veremezseniz, hatta bazılarında verseniz bile
- Log kaçırma
- Canlıda log tutabilme süre kısıtı
- Disk İhtiyacının sistemi patlatması
- Arşiv yönetiminin imkansız derecede zorluğu
- Korelasyonun yerinde yeller esmesi
problemleri yaşarsınız.
Log kaçırma problemi Elasticsearch ücretsiz sürüm performans kısıtlarından kaynaklanır.
Korelasyon hariç diğerleri yine Elasticsearch ücretsiz sürüm indeks mekanizmasının kısıtıdır. Bu konunun detayları için aşağıdaki makaleleri inceleyebilirsiniz.
Ayrıca Elasticsearch lisans değiştirdiği için bu ürünleri legalite açısından da değerlendirmek gerekebilir. bu konu ile ilgili detaylar için
Son ve bir SIEM için en önemli eksiklik olan korelasyonun yerinde yeller esmesi konusunda Elasticsarch ün bir suçu yok. Bunu başka bir makaleye bırakıyorum.
Yukarıda anlattığım konuların pratik uygulamalarına bazı örnekler vermek gerekirse, canlı log süresi ve disk miktarı konularını ilgilendiren ve bir saldırı veya şüpheli durum olduğunda sorulacak sorular:
- Bu saldırı ne zaman başladı?
- Hangi kaynaklar etkilendi?
- Saldırganlar kimler?
- Bu saldırganlar başka hangi iç kaynaklara erişti?
- Son 6 ay içerisinde veri ihlalinin gerçekleştiği veri tabanı ya da eğer kişisel veriler dosya olarak duruyorsa dosyaya kimler erişti?
- Bu dosyalara erişenlerin son 6 aylık internet hareketleri nelerdir?
- Son 12 aydır tehlikeli Y sitesine erişen cihazların hangileridir? Listesi
- En son X dosyasına kim erişmiş?
- Son 12 ay içinde şirketten Madagaskar’a başka kimler erişmiş? Listesi
- A ve B kullanıcılarının son 12 ay içerisinde eriştiği siteler hangileri? Listesi
Korelasyonu ilgilendiren ve bir saldırı veya şüpheli durumu otomatik tespit edecek onlarca, yüzlerce senaryodan bazıları:
1. 5 dakika içerisinde 500 MB dan fazla download eden kullanıcı/IP olursa uyar
2. En az 30 gündür veya daha fazla süredir(30,35,45,60,90 gün vb.) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
3. Kullanıcı oluşturuldu ve 72 saat veya daha uzun süredir(73,75,80,180 saat vb.) kullanılmadı ise uyar
4. VPN ile gelen kullanıcının VPN bağlantısı aktif olduğu süre içerisinde NAT IP adresi başka bir sunucuda RDP bağlantısı kurmaya çalışır ise ve VPN deki kullanıcı adı RDP ile bağlanan kullanıcı aynı ise uyar.
5. 15 gün veya uzun süre(30,35,45,60,90 gün vb.) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
6. En az son 30 gündür veya daha uzun süredir (30,45,60,90 gün vb.) kullanılmayan bir port yeniden kullanılmaya başlarsa uyar
7. VPN ile gelen kullanıcının VPN bağlantısı aktif oluğu süre içerisinde NAT IP adresi farklı sunuculara ( ERP ye sunucusuna, AD sunucusuna RDP veya Linux sunucuya SSH) yapıyorsa ve bu kullanıcının VPN bağlantısı two factor ile onaylanmamış ise VPN bağlantısını ve bağlantının başlatıldığı IP adresini bir saatliğine bloke et.
8. 15 dakika içerisinde başarılı bir oturum açmadan (aradaki başarılı oturum saymayı sıfırlayacak) 3’ten fazla başarısız oturum olayı oluşturmuş bir kullanıcı aktivitesini yakala
