SIEM Korelasyon Piramidi
Bir SIEM ürününün korelasyon yeteneğinin son kullanıcı açısından önemi nedir? Bu soruya cevap vermeye çalışacağım.
Korelasyon piramidi diye bir kavramdan bahsedeceğimi şimdiden haber vereyim.
Öncelikle işin zorunluluk tarafından bahsedeyim. Zorunluluktan kastım kanun, yönetmelik veya uyumluluklardır. Bir uyumluluk örneği vermek gerekirse: FedRAMP Moderate; Control AC-2(3) ve NIST 800–53; Control AC-2(3) diyor ki “30 günden uzun zamandır kullanılmayan hesapları tespit et, sil, kilitle” senaryosunu yerine getirmek gerekir diyor.
Ayrıca her ülkenin yerel uyum ihtiyaçları içerisinde de bunlar yer alır. Mesela bizde de yukarıdaki senaryoyu CBDDO Bilgi ve İletişim Güvenliği Rehberinde 3.1.12. Kimlik Doğrulama ve Erişim Yönetimi başlığı altında değerlendirebilirsiniz. Ayrıca PCI uyumu için de senaryolara ihtiyacınız olacaktır. İdeal şartlarda KVKK, ISO27001 ve benzeri kanun ve uyumluluklar için benzer korelasyon çalışmasına ve kurallarına ihtiyacınız var.
Sonra da güvenlik sağlama açısından bakarsak, yani kanun ve yönetmelikler beni zorlamasa bile ben güvenliğimi sıkılaştırmak istiyorum diyorsanız korelasyonu 100 basamaklı bir piramit olarak düşünebilirsiniz. Eğer Böyle düşünürseniz yukarıda bahsettiğim korelasyon piramidi karşımıza çıkar.
Bu piramidin 1. basamağında
- A Member was Added to a Security-Enabled Global Group
- Fortigate Policy Change
- Blacklist Activity (Lan to Wan)
- XSS Attack Patterns Detected on Apache Web Server
- Threat Intelligence Host Allowed Connection to Internal Network
- VPN User Login Failure
- Service Started
- Service Stopped
- Windows Audit Policy on an Object was Changed
- Windows Policy Changed
- Windows Service Error
- Oracle DB Login Successful
- Firewall Admin Login Failure
- Attack Detected on Security Device
gibi alarmlar bulunur. Dikkat ederseniz bunlara korelasyon yerine alarm dedim.
Piramidin 2. basamağında ise aşağıdaki gibi kurallar bulunur.
- Multiple Vulnerabilities Found on a Host
- Worm Activity Detected
- Port Scan
- Internal Suspicious Activity
- Suspicious Logon Activity
- Too Many Fail Logon Activity
- Brute Force Attack Detected
- External TCP Scanner Detected
- Off-hours Large Data Transfer Detected
- Internal Host Excessive Denied Connection
- Brute Force VPN Attack Detected
- Internal SSH Scanner Detected
- External Port Scanner Detected
- Excessive Web Server Errors Detected
- Multiple Login Failures User Detected
- Internal Host Excessive Denied Connection
Bunlara threshold rules denir ve şu süre içinde şu kadar olay olursa yapısındadır. Bu tür kurallar da gereklidir. Kaba-kuvvet ( BruteForce ) sık kullanılan bir threshold rules tipi saldırı türüdür. GDPR standartları 32. Maddesi altında tanımlanan, herhangi bir kaba-kuvvet saldırısının anında görülebilmesini sağlamak, GDPR uyumluluğu açısından son derece önemlidir.
Piramidin 2. basamağında kurallar da aslında kendi arasında alt piramitlere ayrılabilir. Aşağıdaki kural threshold tipinde olmasına rağmen yine de SIEM çözümlerinin çoğunda problem çıkarır.
- 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
Bununla birlikte piramidin üst basamaklarında
- Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
- 3 aydan daha uzun süredir login olmayan varsa uyar
- Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
- 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
- Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
- En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
- En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
- Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
- Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
- Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
(bir oltalama yöntemi) - Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
- En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
gibi kurallar bulunur.
Dolayısı ile son kullanıcı açısından bütün açık kaynak, ücretsiz ve erişilebilecek bütün SIEM ler tarafından sağlanan piramidin 1. ve 2. basamağında mı duracak? Yoksa piramidin üst basamaklarına mı çıkacak? Oluşabilecek sonuçlara (güvenlik zafiyeti, saldırı, veri kaybı) göre kritik olur.
“Korelasyon piramidinin üst basamaklarında başka neler var?” “Hangi korelasyon kuralları (use case) var?” “Ne işime yarayacak?“ diye soranlara veya merak edenlere ve korelasyon ve genel olarak SIEM ile ilgili okuma yapmak isteyenlere aşağıdaki makaleye bakmalarını öneririm.
