SIEM Korelasyon Motoru Nasıl Test Edilir? Gerçek Dünyadan Senaryolar

Bir SIEM çözümünün söz dinleyip dinlemediğini nasıl anlarım? Ben SIEM çözümünden beni saldırılara ve siber dolandırıcılıklara karşı korumasını isterim. Koruyorsa sözümü dinliyordur. Korumuyorsa dinlemiyordur.

En Çok Kullanılan Siber Dolandırıcılık Yöntemlerinden ikisi:

PHISHING (Oltalama):
E-posta ile gönderilen linkler aracılığıyla, kullanıcı adı, şifre, bilgileri ile dijital bankacılık bilgilerini linke tıklanarak yönlendirilen web sayfaları aracılığıyla ele geçirme.
REAL BRAND IMITATION (Gerçek Marka Taklidi):
Online alışveriş yapılan e-ticaret web siteleri başta olmak üzere, Bankacılık web sayfalarının bir iki harf değişikliği ile birebir aynısının yapılarak yönlendirilen sahte sitelerden bilgilerin ve şifrelerin çalınması. Promosyon konulu Phishing e-postaları içerisinde bu sahte sitelerin linkleri çok kullanılmaktadır.

Ben SIEM tarafında sözümün dinlenip dinlenilmediğini anlamak için aşağıdaki testleri yaparım.

Oltalama saldırılarında en çok kullanılan yöntemlerden biri rasgele olarak oluşturulmuş bir domainler kullanmaktır. SIEM eğer söz dinliyorsa rasgele olarak oluşturulmuş bir domain e trafik veya o domain den bize doğru bir trafik oluşursa bizi uyarması gerekir.

Peki söz dinleyip dinlemediğini nasıl test edeceğiz?

Örnek olarak 
“rlvukicfjceajm.ru” domain i test için kullanalım

Fortigate için bunun nasıl yapılacağını gösterelim. Aşağıda test için hazırlanan log formatı mevcut

date=2021–11–04 time=12:45:15 devname=BANET_SECONDARY devid=FG200E45Q17900950 logid=1059028704 type=utm subtype=app-ctrl eventtype=app-ctrl-all level=information vd=root appid=40568 user= srcip=10.10.3.14 srcport=50308 srcintf=port2 dstip=2.3.4.77 dstport=443 dstintf=wan1 profiletype=applist proto=6 service=HTTPS policyid=1 sessionid=164774801 applist=anet appcat=Web.Client app=HTTPS.BROWSER action=pass hostname=rlvukicfjceajm.ru url=/ msg=Web.Client: HTTPS.BROWSER, apprisk=medium

Bunu bir syslog simülatör ile SIEM e göndermek gerekecek. Bunun için bir sürü alternatif mevcut [8]. Destination Host, port ve yukarıdaki logu kaydettiğimiz test.txt dosyasını ayarladıktan sonra logu SIEM a gönderebiliriz.

Eğer bir uyarı alıyorsak sistem bunu anlayabilmiş demektir.

Yine benzer şekilde domain bazlı atakların önlenmesini tamamlamak için başka bir yönteme daha ihtiyacımız var. Onu da aşağıdaki gibi bir kural ile tamamlıyoruz

Eğer son 24 saat içinde oluşturulmuş ve Alexa da ilk 1 milyona girmeyen ve bizim White liste aldığımız listede olmayan bir domain e trafik veya o domain den bize doğru bir trafik oluşursa bizi uyar

Peki bunu nasıl test edeceğiz?

Burada son 24 saatte oluşan bir site bulmakla vakit kaybetmek istemeyiz. O zaman yukarıdaki senaryonun algoritmasının çalışıp çalışmadığını test etmeliyiz.

Kuralı test edebileceğimiz şekilde değiştiriyorum. Ben “sans.org” u deneyeceğim

sans.org un

Oluşma tarihi: 1995–08–04 04:00:00

Alexa daki yeri : 25646

O zaman test kuralımız

Eğer son 24 saat içinde oluşturulmamış ve Alexa da ilk 10000 girmeyen ve bizim White liste aldığımız listede olmayan bir domain e trafik veya o domain den bize doğru bir trafik oluşursa bizi uyar

Eğer bir uyarı alıyorsak sistem bunu anlayabilmiş demektir.

Gerçek marka taklidi tespiti konusunda da SIEM çözümümüzün söz dinleyip dinlemediğini anlamak için aşağıdaki testi yapacağız.

Önce şirketimizin legal olarak mail alıp gönderdiği domain listelerini hazırlayıp eğer yoksa google.com ekleyelim.

İlk senaryo testi için kullandığımız syslog simulator ile aşağıdaki logu SIEM e gönderelim. Loga bakarsanız domainlerden birisi “gooogle.com” yani “google.com” un taklidi .olduğunu göreceksiniz.

date=2021-11-04 time=03:41:18 logid="0510020491" type="utm" subtype="emailfilter" eventtype="imap" level="notice" vd="vdom1" eventtime=1554806478647415130 policyid=1 sessionid=439 srcip=10.1.100.22 srcport=39937 srcintf="port21" srcintfrole="undefined" dstip=172.16.200.45 dstport=143 dstintf="port17" dstintfrole="undefined" proto=6 service="IMAPS" profile="822881" action="blocked" from="testpc3@gooogle.com" to="testpc3@google.com" recipient="testpc3" direction="incoming" msg="from ip is in ip blocklist.(path block ip 172.16.200.9)" subject="testcase822881" size="525" attachment="no"

Eğer marka taklidi yapılıyor diye bir uyarı maili aldı iseniz SIEM çözümünüz söz dinliyor demektir

Bu alınan uyarılar SIEM in söz dinlediği anlamına gelir. Eğer alınmıyorsa söz dinlemiyor demektir.

Referanslar

1. https://www.sans.org/course/siem-with-tactical-analytics

2. https://blogs.gartner.com/anton-chuvakin/2017/01/05/on-ueba-uba-use-cases/

3. https://isc.sans.edu/forums/diary/Mapping+Use+Cases+to+Logs+Which+Logs+are+the+Most+Important+to+Collect/22526/

4. http://blog.trendmicro.com/domain-generating-algorithms-dgas/

5. https://securelist.com/spam-and-phishing-in-q1-2017/78221/

6. https://blog.barkly.com/phishing-statistics-2016

7. http://blogs.cisco.com/security/talos/detecting-dga

8. http://www.oidview.com/snmp-syslog-simulator.html