SIEM Korelasyon Nedir? Neden Altın Değerindedir?
Korelasyon farklı farklı cihazlarda (log kaynakları), farklı farklı zamanlarda oluşan olayları ilişkilendirme ve analiz etme işi olarak tanımlanabilir.
SIEM korelasyon için verilebilecek en basit örnekler:
1-Bir kullanıcı oluşturulduktan sonra aynı kullanıcı 15 dakika içinde silinirse uyar.
2-Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde 3 defa başarısız oturum açarsa uyar.
Peki bizim çokça duyduğumuz
- Http flood atak tespiti
- Sahte DHCP sunucusu tespiti
- 2 dakika içerisinde 5 kere başarısız oturum açma isteği tespiti (Multiple Logon Failure)
- Port scan tespiti
- Botnet aktivitesi olursa tespit et
- Email Accounts which sent Email to Multiple Different Domain
- Brute Force Oracle DB Attack Detected
- Brute Force RDP Attack Detected
- Brute Force VPN Attack Detected
- Firewall Admin Login Failure
- Firewall Policy Authentication Failure
- Firewall Portal Login Failure
- Excessive Web Server Errors Detected
- DDoS Attack Event Detected
- DNS DDoS Attack Detected
- External TCP Flood Attack Detected
- Suspicious TCP Traffic Detected from Many Hosts to a Single Target
- SQLServer Password Reset
- Powershell Process Created by Chrome
- Multiple Unauthorized File Change Attempts Detected
- External Host Login Successful from Foreign Country
- Multiple Login Failures User Detected on MsSQL
- Off-hours Logon Attempt on Datacenter Network
- Scanner Host Logon Attempt Detected
- User Added to VPN Group
- Spam Hosts Detected by Threat Intelligence Source
- Virus Host Detected by Threat Intelligence Source
- Windows Policy Changed
- Suricata/Snort Abnormal Telnet Activity Detected
- Large Data Transfer Detected from DMZ Server
- XSS Attack Patterns Detected on Apache Web Server
- SQL Injection Detected After Scanning
- Excessive Successfull Web Connections Detected
kurallar da korelasyon değil mi? Bunları korelasyon olarak da adlandırmak mümkün ama aslında bunlar alarm. Bunlar korelasyon yapılan senaryolar değil. Bu senaryolar belli bir süre içerisinde belli bir olayın gerçekleşmesi veya VPN grubuna kullanıcı eklendi gibi “T” anında olan ve başka bir olay ile ilişkisi olmayan veya başka bir zaman dilimi ile ilişkilendirilmeyen olaylar.
Bunların faydasını tartışmıyorum. Bunlar çok temel ve Elastic, Graylag, OSSIM gibi ücretsiz ve açık kaynak çözümlerle bile tespit edilebilen senaryolar ve çok faydalılar. Ama aşağıdaki en temel korelasyonlar hem önemli hem de çok derinlere inmeden ürünlerin korelasyon yeteneklerinin başlangıç seviyesini sağlayıp sağlamadığının da göstergesi.
1-Bir kullanıcı oluşturulduktan sonra aynı kullanıcı 15 dakika içinde silinirse uyar.
2-Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde 3 defa başarısız oturum açarsa uyar.
Yukarıdaki iki senaryo neden diğerlerinden farklı? Burası biraz teknik olacak ama meraklısı için açıklamaya çalışayım.
Birinci senaryo çok basit olmakla birlikte olayları gruplandırıp belli periyotlarla listeler oluşturup daha sonra gelen logları bu listelerde var mı? diye bakan çözümler için imkansız bir senaryo
2. senaryo ise gerçek bir korelasyon motoru olmayan bütün ürünler için zor çünkü “arada hiç başarılı olmadan” diye bir koşul var. Burada bir tüyo vereyim. Eğer SIEM konusunda uzman bir ekip ile çalışmıyorsanız size bu senaryoyu başarılı olan olursa listeye atıp kuralı gerçeklemeye çalışanlardan uzak durun!
Biliyorum bu son açıklama bile detay oldu ve son kullanıcının bu konuya uzak olmasının suiistimal edilmesine çok açık derinlikte bir konu. Kolayı şu: Herhangi bir senaryoya herhangi bir ürünle test etmek isterseniz ben size BİLÂ-BEDEL yardımcı olurum.
Yukarıdaki 2 senaryo daha başlangıç seviyesi idi, sadece korelasyon yeteneklerine hızlıca bir bakış atmak için kullandık. Daha detaylı teknik analizler için aşağıdaki makalelere başvurabilirsiniz.
