SIEM Korelasyon Piramidi

  • A Member was Added to a Security-Enabled Global Group
  • Fortigate Policy Change
  • Blacklist Activity (Lan to Wan)
  • XSS Attack Patterns Detected on Apache Web Server
  • Threat Intelligence Host Allowed Connection to Internal Network
  • VPN User Login Failure
  • Service Started
  • Service Stopped
  • Windows Audit Policy on an Object was Changed
  • Windows Policy Changed
  • Windows Service Error
  • Oracle DB Login Successful
  • Firewall Admin Login Failure
  • Attack Detected on Security Device
  • Multiple Vulnerabilities Found on a Host
  • Worm Activity Detected
  • Port Scan
  • Internal Suspicious Activity
  • Suspicious Logon Activity
  • Too Many Fail Logon Activity
  • Brute Force Attack Detected
  • External TCP Scanner Detected
  • Off-hours Large Data Transfer Detected
  • Internal Host Excessive Denied Connection
  • Brute Force VPN Attack Detected
  • Internal SSH Scanner Detected
  • External Port Scanner Detected
  • Excessive Web Server Errors Detected
  • Multiple Login Failures User Detected
  • Internal Host Excessive Denied Connection
  • 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
  • Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
  • 3 aydan daha uzun süredir login olmayan varsa uyar
  • Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
  • 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
  • Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
  • En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
  • En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
  • Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
  • Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
  • Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
    ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
    (bir oltalama yöntemi)
  • Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
  • En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et

--

--

--

Entrepreneur,Security Analyst,Research.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ertugrul Akbas

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

More from Medium

Connect a Particle Xenon to the Cloud via CLI

How much is the open source ecosystem “worth?” ⚖️💰📏

Harbor 2 as Apptainer image registry

Helm & Kubernetes | Create Helm Charts