SIEM Korelasyon Demektir. Biraz da Bunları Deneyelim

Bir SIEM ürününün korelasyon yeteneği 2 temel özelliği sağlayıp sağlamadığına bakılarak değerlendirilebilir.

1- Korelasyon senaryolarında ne kadar ileri gidilebiliyor, ne kadar gelişmiş senaryo geliştirilebiliyor?

2- Yüksek EPS değerlerinde ve yüzlerce kural açık iken durum ne?

Şüpheli durumları yakalamak, istediğiniz koşullar olursa haberdar olmak ve biraz daha ileri gidip aksiyon almak isterseniz korelasyon devreye girer. Yüzlerce temel korelasyon senaryosuna hem SIEM çözümlerinin kural kütüphanesi, hem de internet üzerinden erişebilirsiniz. Bu tür kuralların ilk bazı ürünlerde “observed”, bazı ürünlerde “filtre” kuralları olarak adlandırılan ve en temel formatta veya yapıda olan tek bir logun analiz edildiği aşağıdaki tarzda kurallardır.

Domain admin grubuna bir kullanıcı eklendi

Bu tür senaryolarda ne zaman ne de başka log kaynakları veya olaylarla ilişki kurmaya gerek duyulmaz.

Diğer temel tür ise neredeyse bütün ürünlerde “threshold” olarak bilinen aşağıdaki tarz kurallardır.

Bir yada birden fazla kullanıcı ile 5 dakika içinde 2 veya daha fazla başarısız oturum olayı olursa tespit et (Brute force)

Diğer temel korelasyon formatı iki olayı birleştiren tarzda korelasyonlardır.

Yarım saat içinde bir kullanıcı oluşturulur ve daha sonra aynı kullanıcı silinirse tespit et

Yukarıdakiler temel ve hemen hemen her SIEM ürününde bulunan tipte korelasyonlardır.

Bu temel tipleri false pozitive veya ihtiyaçlar doğrultusunda biraz güncellesek ve

Yarım saat içinde bir kullanıcı oluşturulur ve bu kullanıcı ile işlem yapılır ve daha sonra aynı kullanıcı silinirse tespit et, ama bu kullanıcı hiç kullanılmadan silinirse alarm seviyesini düşük olarak belirle ve düşük seviyeli alarmları çözen ekibi uyar

Yukarıdaki senaryo bir önceki ile çok benzer ama false pozitivelerden kurtulmak, siber güvenlik analistlerinin önüne önem derecesine göre alarmları yönlendirmek için güncellenmiş hali ve her SIEM ile geliştirilebilecek bir senaryo değil. Temel yeteneklerin dışına çıkmak, dah esnek olabilmek istenirse bu tarz güncellemelere bakılabilir.

Dolayısı ile her SIEM in aynı veya benzer korelasyon yeteneğine sahip olduğunu düşünmek yanılgısına düşmemek lazım.

Aşağıda bir tane ayırt edici senaryo örneği paylaşıyorum

Bir kullanıcı daha önce hiç yapmadığı bir olay yaparsa uyar.

Bu kural her SIEM ürünü ile olmasa bile değişik ürünlerle değişik şekilde gerçekleyebilir. Aşağıda bir tane örnek paylaşıyorum

Bir tane daha ayırt edici kural paylaşayım

Birden fazla kullanıcı adı ile brute force yapılırken veya brute forcedan sonraki 15 dakika içerisinde sadece brute force yapılan makinelerden birine başarılı oturum açılırsa ( O ana denk gelen ama brute force yapılmayan makinelerde açılan oturumları istemiyorum çünkü false positive olmasını istiyorum. Binlerce cihazlık bir ağda oturum açma doğal bir davranış. Bunun şüpheli olması için bu durumda brute force saldırısı altında olması gerekir)

PoC de bu kuraldan beklenen ise şu 4 şeyi aynı anda yapması

✔️ Brute force yapan bir veya birden fazla kullanıcıyı bildirsin

✔️ Sadece brute force yapılan makinelerin Kaynak IP lerini listeye atsın

✔️ Başarılı oturum açılan makina veya makineleri bildirsin

✔️ Başarılı oturum açarken kullanılan kullanıcı adlarını bildirsin

Bu senaryo dünyada sadece SureLog tarafından sağlananilen bir senaryo örneğidir. Neden?

🔔 Bunu listeler kullanmadan yapabiliyor olması

🔔 Birden fazla kullanıcı adını bir atımda tespit edebiliyor olması

🔔 Envanterinizde binlerce cihaz olabilir ama saldırı bunların sadece 100 tanesine olmuş olabilir. Dolayısı ile brute force sebebi ile risk seviyesi artan ve şüpheli duruma gelen sadece bu yüz tanedir. Bu kuralın sadece brute force yapılan bu 100 adeti monitoring için listeye atıyor olması

🔔 Bu brute force sonucu başarılı olarak şifresi bulunan kullanıcı adının da aynı anda tespit edebiliyor olması

🔔 Yukarıdaki 4 maddeyi 1 defada tek bir kural ile 3–5 dakika içinde GUI ile yazıp sağlayabiliyor olması

Bu ve benzeri ayırt edici senaryolar korelasyon senaryolarında ne kadar ileri gidilebiliyor, ne kadar gelişmiş senaryo geliştirilebiliyor? sorusunun cevabını verir.

İkinci bakacağımız özellik ise yüksek EPS değerlerinde ve yüzlerce kural açık iken durum ne?

Örnek olarak ayırt edici tarzda kurallar da dahil 250 adet kuralı minimum 7000 EPS, maksimum 12000 EPS ve ortalama 10000 EPS yük altında 16 core 128 GB Ram ile karşılayabiliyor mu?

Burada önemli olan şunu bilmektir. 1000 EPS, 2000 EPS de çalışan kurallar 10000 EPS olunca çalışmayabilir. Bunun bilincinde olarak kendi sisteminiz için öngördüğünüz EPS değeri ve açmayı düşündüğünüz kural sayısına göre performans soruları sormalısınız.