SIEM Korelasyon Özelliği Analizi İçin Senaryo Örnekleri
Öncelikle SIEM ürünleri korelasyon için alınır. Aksi takdirde sadece log toplamak için log yönetimi çözümleri vardır. Dünyada da korelasyon için 1 numaralı seçenek SIEM çözümleridir.
SIEM çözümlerinin kıymeti, değeri de korelasyon kabiliyetlerinden gelir.
SIEM olarak satılan her ürünle birlikte yüzlerce, hatta binlerce kural gelse bile öncelikle mutlaka kendi kurallarınızı geliştirmeniz gerekecek. Ama esas önemlisi çöp bir ürün seçmemek için test yapmanız gerekir. Bunun için örnek senaryolara ihtiyacınız olacaktır. Aşağıdaki liste senaryo örnekleri özellikle formatları yani yapıları açısından test edilmesini önereceğim bir listedir. Çok daha basit formatta senaryolar olduğu ve bunlara basit aramalarla ulaşılabileceği gibi çok daha ileri seviye senaryolar da vardır. Özellikle fiyat performansı iyi ve lazım olduğunda da sizi yolda bırakmayacak bir ürün seçmenizde bu listedeki senaryolar ve bu formatları kullanarak geliştireceğiniz benzer senaryolar çok işinize yarayacaktır.
ÖRNEK POC KURALLARI:
1. Muhasebe departmanındaki bir kullanıcı sisteme login olduktan sonra 30 dakika içinde sap.exe uygulamasın çalıştırmadı ise uyar,
2. Bir kullanıcı oluşturuldu ve ilk 5 dakika içinde silindi ise uyarma ama 1 saat sonra silindi ise uyar,
3. Bir kullanıcı tarafından yeni|ilk defa oluşturan kullanıcı ile 10 dakika içinde başarısız oturum olursa uyar,
4. Çapraz Korelasyon
1.kural: SourceIP=AttackerIP: event adı=Login Failed (3 defa)
2.kural: DestinationIP= AttackerIP(1defa)
5. Multiple login failure from same user where user has not changed the account password in last 3 days,
6. Virus vb gibi sebeplerle bloklanan (Firewall veya GW AV) bir dış IP ye 20 dakika içerisinde iç IP lerden birinden trafik olursa uyar,
7. VPN yapan kullanıcı 15 dakikadır RDP yapmadı ise uyar,
8. AV tarafından virüs tespit edilen bir makinadan 5 dakika içinde başka bir makinaya login olunur ve daha sonra da login olunan bu makina 5 dakika içinde firewall tarafından bloklanır ise uyar,
9. Aynı kullanıcı aynı anda birden fazla makinaya login oluyorsa ve bu kullanıcı admin değilse veya white listde yoksa uyar,
10. Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5–10 dakika bekledi ve sonra tekrar oluşturdu ise uyar. (A olayından sonraki 5 dakika içerisinde B olayı olmayacak ama 5. Dakika ile 10. Dakika arasında olacak şeklinde operatörlerin desteklenmesi gerekir),
11. Aynı anda aynı kullanıcı bir makinaya VPN yaparken, aynı anda sisteme lokal login olursa uyar,
12. Bir kullanıcı arada hiç başarılı oturum açmadan 30 dakikada 3 tane oturum açma denesi yapıyor ve başarısız oluyorsa uyar,
13. Bir makina Tehdit istihbarat listesine takılırsa bu makinaya en son login olan kullanıcıyı bildir,
14. Bir dakikada 50 mb dan fazla download edilen ve url i zip, exe, dat ile biten kullanıcı olursa uyar,
15. Bir makinada bir process ayağa kalktıktan sonra 5 dakika içinde başka bir makinada da aynı process ayağa kalkar ve birinci makinadaki processin ayağa kalktığı path ile ikinci makinanın pathi aynı olursa ve kullanıcılar da farklı ise ve bu makinalardan biri sonraki 5 dakika içinde firewall tarafından bloklanırsa uyar,
16. Yeni bir kullanıcı oluşturan kullanıcının oluşturduğu yeni kullanıcı 5 dakika içinde login failure yapar ve sonraki 5 dakika içinde de kullanıcı oluşturan kullanıcı yeni bir kullanıcı oluşturursa uyar,
17. Bir kullanıcı oluşturulduktan sonra hiç kullanılmadan 10 dakika içinde siliniyorsa alarm üretme ama bu arada kullanılıp siliniyorsa uyar,
18. Banu dışarıdan içeri VPN yapıyor ve 172.16.23.21 IP sini alıyor.
Daha sonra Bu IP den başka bir sisteme SSH yapıyor ve bu sistemdeki IP si de 172.16.99.99 oluyor.
Daha sonra da 172.16.99.99 den internete erişmeye çalışırken bloklanıyor.
19. Birden fazla kullanıcı adı ile brute force yapılırken veya brute forcedan sonraki 15 dakika içerisinde sadece brute force yapılan makinelerden birine başarılı oturum açılırsa (O ana denk gelen ama brute force yapılmayan makinelerde açılan oturumları istemiyorum çünkü false positive olmasını istiyoruz. Binlerce cihazlık bir ağda oturum açma doğal bir davranış. Bunun şüpheli olması için bu durumda brute force saldırısı altında olması gerekir)
PoC de bu kuraldan beklenen ise şu 4 şeyi aynı anda yapması
✔️ Brute force yapan bir veya birden fazla kullanıcıyı bildirsin
✔️ Sadece brute force yapılan makinelerin Kaynak IP lerini listeye atsın
✔️ Başarılı oturum açılan makina veya makineleri bildirsin
✔️ Başarılı oturum açarken kullanılan kullanıcı adlarını bildirsin
Korelasyonla ilgili sonraki adım yukarıdaki gibi yazdığınız kurallarla birlikte ürün kütüphanesinde 250 adet kural açın ve mümkünse EPS trafiğini de gerçek değerlerine ulaşacak şekilde sentetik loglarla arttırın veya bunu yapamıyorsanız kural sayısını 500'e 750'ye çıkarın ve öyle deneyin.
