SIEM Karalamaları

Detaya inince SIEM ürünlerini ayırt edici yüzlerce kritik özellik olduğunu görürsünüz. Bunların bazıları makine öğrenmesi, zeki sistemler, ML gibi popüler olan ve popüler olduğu için göz önünde olan özellikler iken, çoğu gözden kaçan özelliklerdir. Bu özelliklerinden bir veya iki tanesi olmasa belki önemsenmez ama çoğu olmazsa o zaman yekûn tutar. Bu özelliklerden bazılarını hatırlatmak gerekirse:

💎 Kuralları yazarken sadece sayma (Count) mu yapabiliyor? SUM veya Mean, Average gibi işlemler de yapabiliyor mu? Örnek: 15 dakika içinde 500 MB indiren kullanıcıyı tespit et

💎 Korelasyon filtreleri ne kadar geniş? Sadece · In list, Not in list, Contains, Regex, Not Contains, Not Regex mi destekliyor yoksa aşağıdaki gibi geniş mi?

💎 Listelerin çok boyutlu olması önemli bir özellik

💎 Listelere mükerrer kayıt girerse kaç defa mükerrer kayıt girdiğinin tutulması

💎 Listeleri kullanarak sayma işlemi yapılması. Mesela yılda X adet Y işlemi yapan şeklideki senaryo kalıpları için listeleri kullanılması. Çoğu üründe 1 yılı kural yazarak takip edemezsiniz. Takip edilebilenlerde de liste kullanılırsa CPU ve RAM ihtiyacı çok çok düşük olur

💎 Her üründe bir çeşit veya seviyede çapraz korelasyon olduğu söylenir. Ama her ürünün çapraz korelasyon tanımı farklı ve çapraz korelasyon geliştirme yeteneği aynı değildir. Burada nasıl diye sorabilmek ve bu nasılı değerlendirebilmek lazım. Aşağıda bir nasıl örneği paylaşıyorum

https://surelog.medium.com/surelog-siem-ile-sald%C4%B1r%C4%B1-tespitinin-anatomisi-50e6f7f23a52

💎 Mesela bazı sunuculara sadece kurban bayramı zamanı login olunursa uyarı almak istiyorsunuz. O zaman belli zaman dilimi içinde çalışmaya başlayacak ve otomatik bitecek şekilde kolaylıkla kural yazabilmek gerekir

💎 Listeler üzerinde mantıksal, matematiksel işlemler yapabilmek ve zaman fonksiyonları icra edebilmek

💎 Eğer 10 tane regex kuralını korelasyonda OR ile yazmak yerine, hele bu regexler birden fazla kuralda kullanılıyor ise ya da bu regexler zaman zaman güncelleniyor veya yenileri ekleniyorsa dönüp bütün kuralları güncellemek yerine regexleri listeye atıp listeden kontrol etmek isteyebilirsiniz

💎 Kural yazarken bir sürü operatör lazım olur. Aynı anda operatörü, önce operatörü gibi

💎 Kural yazmak istediğinizde logic biraz ileri seviye olunca 20–30 dakika hatta saatler yerine 5 dakikada yazmayı sağlayacak GUI işinizi çok kolaylaştırır

💎 Ara yüz veya motorda desteği dahi bitmiş teknolojilerin kullanılması büyük handikap olur. Mesela Adobe Flash gibi

💎 Ürünlerin 1000 EPS, 3000 EPS gibi değerlerde çalıştığı gibi 50 000 EPS, 300 000 EPS de de çalışmasını bekleriz ama bu çoğu zaman böyle olmaz. Her seviyede aynı stabiliteyi göstermesi ve düşük EPS değerlerinde çalışan özelliklerin yüksek EPS değerlerinde de çalışmasını bekleriz

💎 Farklı, aykırı ve tabiki faydalı senaryolar örneklendirmesini bekleriz. Örnek: Aynı kullanıcı 2 farklı makinada 15 dakika içinde başarısız oturum deniyor ve 2. Başarısız oturumdan sonraki 5 dakika içerisinde bu makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim isteği oluyor.

💎 SIEM admini tarafından linux veya windows sisteme login olacak admin yetkisi olsa bile aradan log silememesi önemli bir özelliktir

💎 Sistemin yedeklemeyi otomatik, anlık, artımlı (incremental) yapmasını bekleriz

💎 Logların canlıda en azından 2 yıl durmasını bekleriz

💎 Korelasyonların gerçek zamanlı çalışmasını bekleriz. Hepsini gerçek zamanlı çalıştıramıyorsa bile en azından bizim seçtiklerimizi gerçek zamanlı çalıştırmalı ve diğerlerini 15 dakikada, saate bir gibi çalıştırmalı ama bu tercih edeceğimiz bir alternatif değildir. Mecbur kalınırsa sapılacak bir güzergahtır.

💎 Senaryo operatörlerinin mümkün olduğunca çeşitli olmasını bekleriz. Fallowed, Not Fallowed, AND, OR, After, Before, At the same time gibi

💎 Logları canlıda tutarken veriyi veya indeksi sıkıştırıyor mu? Yoksa genişletiyor mu?

💎 Alarmlarda uyarı/bilgi/mail olarak senaryonun bütün koşul şartları
ve filtreler de alınabiliyor mu? Mesela aşağıdaki örnekteki gibi 11 adımlı bir senaryo yazsak mail ile bütün bu adımlardan kullanıcı adı, kaynak IP, hedef IP, port, process name vb. sınırsız bir şekilde seçtiğimiz parametreleri mail ile alabiliyor muyuz?

https://surelog.medium.com/surelog-siem-ile-sald%C4%B1r%C4%B1-tespitinin-anatomisi-50e6f7f23a52

💎 Başka ürünlerde olmayan ne gibi özellikler içeriyor? Mesela “Never seen type of rules” vb.. sadece o ürüne has ciddi fark ortaya koyacak özellikler içeriyor mu?

💎 Veri zenginleştirme kapasitesinin çok geniş olmasını, veritabanı, Excel, txt, key:value sistemlerden veri okuyup veriyi zenginleştirdiği gibi, hem okunan hem de log ile gelen veriler üzerinde işlem yapabilmeli. Mesela gerçek zamanlı olarak logu parçalayabilmeli, küçük harf veya büyük harfe çevirebilmeli, mesela kullanıcı adını alıp domain adını “@” ile birleştirip ister kullanıcı adı alanını güncelleyebilmeli isterse Extrafield veya başka bir alana yazabilmeli veya bir veriyi başka bir veri veya regex ile replace edebilmeli veya daha önce hazırlanmış korelasyonlarda kullanılan veya sadece bu iş için hazırlanmış listeleri kullanabilmeli ve hepsini gerçek zamanlı yapabilmeli.

💎 Korelasyon yazarken zaman çizelgesini istediğimiz esneklikte kullanabilmeyi istemeliyiz. Mesela ilk 5 dakikada X olayı sonra 10 dakika sessizlik, sonraki 10 dakika içinde Y olayı sonra 30 dakika sessizlik ve sonra Z olayı diyebiliyor muyuz yoksa bunu 40 dakika içinde sırayla X,Y,Z olursa demek zorunda mı kalıyoruz?

💎 Korelasyonları dağıtık çalıştırabilmeyi, lokal korelasyon, global korelasyon şeklinde ayırımı ve dağıtık yapıda korelasyonu tek bir noktadan yapmak zorunda kalmadan yapabilmeyi destekliyor mu?

💎 Türkiye’de yaşıyorsak 5651 sayılı yasaya uygun Tübitak veya benzeri bir otorite ile uyumlu zaman damgası özelliği olmalı

2020 yılında bu ve benzeri yüz civarı parametreyi paylaştığım makaleme aşağıdaki linkten ulaşabilirsiniz.

En İyi SIEM Hangisi

Son sözler olarak da ürünlerin makine öğrenmesi, ML, UEBA özellikleri ile ilgili şu notu düşeyim. Bu özellikleri olduğunu söyleyen kimi SIEM ürünleri bunları bedava verirken, kimileri binlerce kullanıcı için 400$–500$ dolara lisanslarken, kimileri de yüzbinlerce dolara lisanslar. Hepsinin özelliği aynı olamayacağına göre dikkat etmek lazım. Bu konuda dikkatinizi en yüksek seviyeye çekmek adına aşağıdaki linkleri paylaşayım

1- Gartner’a göre makina öğrenmesi projelerinin %85 i fail ediyor

Why 85% of Machine Learning Projects Fail - How to Avoid This - IIoT World

2- Stop Calling Everything AI, Machine-Learning Pioneer Says

Stop Calling Everything AI, Machine-Learning Pioneer Says

Ayrıca referanslarda paylaştığım makalelere bakabilirsiniz

References

1. https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/

2. https://www.em360tech.com/ai_enterprise/tech-news/technews/machine-learning-cyberattacks/

3. https://medium.com/ai-ml-at-symantec/caml-anomaly-detection-in-ueba-94a30c0f6043

4. https://diginomica.com/ai-curve-fitting-not-intelligence

5. https://www.forcepoint.com/blog/x-labs/one-year-are-algorithms-still-dangerous

6. https://www.cnbc.com/2019/07/17/ai-has-a-bias-problem-that-can-be-a-big-challenge-in-cybersecurity.html

7. https://www.lexalytics.com/lexablog/stories-ai-failure-avoid-ai-fails-2019

8. https://www.livemint.com/technology/tech-news/a-lot-of-what-is-sold-as-ai-is-simply-marketing-says-eugene-kaspersky-1566899810319.html

9. https://blogs.gartner.com/anton-chuvakin/2018/03/22/do-they-have-ai-or-that-rant-on-ai-in-security/

10. https://cisoseries.com/defense-in-depth-machine-learning-failures/

11. https://aiindex.org

12. https://medium.com/glasswingvc/the-ai-hype-machine-lets-be-careful-out-there-8aec6a73894e

13. https://towardsdatascience.com/the-limitations-of-machine-learning-a00e0c3040c6