SIEM Korelasyonları ve Çitler
Bu konu ile ilgili 2 sene önce yazdığım bir makalede korelasyon algoritmaları, kural tipleri veya formatları arasındaki farkları tanımlamaya çalışmıştım. Bu makalenin linkler aşağıda
Şimdi korelasyon algoritmaları, kural tipleri veya formatlarına göre farkı tanımlamaya çalışacağım. Bu tanımlamayı yapmadan önce buna neden ihtiyaç duyduğumu açıklayayım.
Bunu şöyle örneklendirmeye çalışayım. Sizin bir müstakil evinizin olduğunu düşünün ve bu evi ve içindeki çoluk çocuğunuzu korumak istiyorsunuz. İlk aklınıza gelen evin etrafına çit çekmek olur. Bu çit resimdeki gibi ahşaptan ve biraz da resimdeki gibi bazı yerleri de açık olabilir.
Siz seçeceğiniz SIEM ürün ile yukarıdaki çite benzer şekilde bazı noktalardan gelen bazı girişleri engellemiş olabilir ve böylece biraz güvenlik sağladığınızı sanabilirsiniz.
Daha sonra bir şekilde çitin boş kalan alanlarını da kapatmak isterseniz aşağıdaki gibi bir çit çekerek evin her tarafını kapatabilirsiniz.
Böylece temel güvenliği sağlayabilirsiniz. Benzer şekilde siz seçeceğiniz SIEM ürün ile korelasyon özelliğini biraz da gelişmiş olarak seçip yukarıdaki gibi bir çit koruması sağlayabilirsiniz.
Ama bu noktada bu çit ahşap, zamanla yağmur, kar, çamurdan etkilenir, çürür ya da kamyon, dozer vb. yüksek tonajlı araçlarla saldırıları önleyemez diye düşünüp evinizin güvenliğini biraz daha arttırmak isterseniz aklınıza ahşap çit yerine aşağıdaki gibi betonarme çit gelir. Böylece güvenliği bir seviye daha arttırabilirsiniz.
Benzer şekilde siz seçeceğiniz SIEM ürün ile korelasyon özelliğini biraz da gelişmiş olarak seçip yukarıdaki gibi bir ahşap verine betonarme çit seçtiğiniz gibi daha güçlü korelasyona sahip bir SIEM ile daha fazla siber koruma sağlayabilirsiniz. Bunun için SIEM seçerken korelasyon yeteneğini ona göre seçmeniz gerekir.
Daha sonra bu betonarme çit de evimin güvenliğini tam sağlamaz, üzerinden atlayabilirler gibi saldırı yöntemleri aklınıza gelebilir; o zaman da beton çitin üzerine dikenli tel germek ve dikenli tele de elektrik vermek gibi daha güçlü savunma yöntemleri akla gelir. Yine benzer şekilde SIEM dünyasında bunun karşılığı daha güçlü korelasyon demektir.
İster ahşap, ister betonarme, ister betonarme çitin üstünde dikenli tel, ister tele elektrik verilmesi de yetmeyebilir. Elektrik kesilebilir, dikenli tel aşılabilir. Daha gelişmiş ve teknolojik bir güvenlik arayabilirsiniz. Mesela evinizin kapı, pencere önlerine ve çitinizin üzerine sensörler yerleştirmek isteyebilirsiniz.
Aynı şekilde eğer siber güvenlikle ilgili de daha güçlü bir savunma istiyorsanız daha güçlü bir SIEM isteyebilir ve dolayısı ile daha gelişmiş bir korelasyon motoru isteyebilirsiniz.
En son olarak da evinizin ve çoluk çocuğunuzun, eş dostunuzun ve korumak istediğiniz maddi manevi değerlerinizin korunmasında sensörlerin sağlayacağı koruma sizi tatmin etmiyorsa yapay zekâ gibi teknolojinin son noktasını talep edebilirsiniz. Evinizi ve çitinizi kamera sistemleri ve bunlara bağlı yüz tanıma ve yapay zekâ sistemleri ile sizi, çoluk çocuğunuzu, evinize giren çıkanı ve bunların normal davranışlarını öğrenen, bilen ve takip eden ve bunlara ters bir durum olduğunda da uyaran bir sistem evinize kurdurabilirsiniz.
İşte bütün bunların hepsine SIEM çözümlerinde korelasyon ve kullanıcı davranış analizi diyoruz.
Ne seviye siber güvenlik sağladığınız da ne seviye korelasyon ve kullanıcı davranış analizi yapabildiğinize bağlıdır.
Yukarıdaki çit analojisine paralel olarak aşağıda korelasyon motoru yeteneklerini ahşap çit, betonarme çit, yapay zekâ temelli sistem gibi örneklendireceğim.
İlk basamakta herkesçe bilinen ve neredeyse her SIEM ürününde olan korelasyon formatları veya algoritmaları var. Yani ahşap çit.
A Grubu
➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖
· A olayı olursa ve bu olay A, B, C filtrelerine uyarsa tespit et
o A Member was Added to a Security-Enabled Global Group
· X Sürede Aynı kullanıcı veya IP den Y adet olay olursa tespit et
o Too Many Fail Logon Activity
İkinci basamakta betonarme çit örneğinde olduğu gibi A grubunun bir ötesi korelasyon yetenekleri var.
B Grubu
➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖
· A,B,C,D olaylar ortak bir veya birkaç özellik ve farklı bir veya birkaç özellik ile belli bir sıra ile veya en azından birkaçı olacak şekilde olursa tespit et
o Aynı kaynak IP ve kullanıcı için A,B veya C olaylarından sonra yine aynı hedef IP ve domain name ve farklı hedef IP ve hedef ülke içeren 5 dakika 10 olay olursa tespit et
C grubunu ise yapay zekâ ile evi koruma örneğine benzetebiliriz.
C Grubu
➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖ ➖
· İki olay arasındaki süre belli bir değeri aşarsa tespit edilmesi
o 𝐈𝐟 𝐚𝐧 𝐚𝐜𝐜𝐨𝐮𝐧𝐭 𝐧𝐨𝐭 𝐮𝐬𝐞𝐝 𝐢𝐧 𝐚𝐭 𝐥𝐞𝐚𝐬𝐭 𝐭𝐡𝐞 𝐥𝐚𝐬𝐭 30 𝐝𝐚𝐲𝐬 (31,40,60,90,180 𝐝𝐚𝐲𝐬 𝐞𝐭𝐜.), 𝐧𝐨𝐭𝐢𝐟𝐲/𝐥𝐨𝐜𝐤/𝐝𝐞𝐥𝐞𝐭𝐞 𝐭𝐡𝐞 𝐚𝐜𝐜𝐨𝐮𝐧𝐭.
· Bir olay anormal ise tespit edilmesi
o Bu kullanıcı daha önce saat diliminde login olmamıştı, bu anormal
· Belli süre içinde olan bir olay anormal ise tespit edilmesi
o Bu kullanıcının bu saat dilimi içindeki login aktivite sayısı anormal
· Nadir olayları tespit edilmesi
o Bu kullanıcının X portunu kullanması nadir bir olaydır
· Bir olayın oluşması ile birlikte üçüncü parti yöntemlerle olayın seçilen özelliklerinin kontrol edilmesi
o Eğer bir domain son 24 saate oluşturuldu ise ve bu domain Bilinen 1 milyon listesinde ve bizim White liste de değilse uyar
· Loglar üzerindeki alanları data mining ile analiz edilip şüpheli ise tespit edilmesi
o Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
o Identify suspicious requests by reviewing queries of domains with a high level of entropy.
o Entropy to detect randomness of HTTP host value
o Calculate the randomness of PowerShell script contents that were executed.
o DGA detection using entropy
· Belli bir süre içerisinde birden fazla trashold ile kıyas ederek şüpheli olayın tespit edilmesi
o 15 dakika içerisinde 50 benzersiz (unique) IP’den 15000 den fazla olay olursa ve bu olaylar da 10 benzersiz kategoride ise uyar
· Farklı olay adetlerinin kıyaslanması
o Bir ağda son bir saat içindeki başarısız login sayılarının toplamının başarılı login sayılarının toplamına oranı %5 i geçerse uyar
· Farklı zaman dilimleri içerişindeki olayların karşılaştırılması
o Bir kullanıcının son saatteki toplam oluşturduğu trafik, son haftaki toplam trafik kullanımın yüzdebirlik (percentile) kısmınından %10 fazla ise uyar
· Anomaly tespiti
o IPS (intrusion protection system) sisteminin bu saat dilimi içinde oluşturduğu alarmlarının adedinde geçmşe bakarak anormallik varsa uyar
· Bir olayın farklı zaman dilimlerinde sonuçlarının arasında fark var mı yok şeklinde kıyas ile tespit edilmesi
o Bir kullanıcı dün(son 7 gündür, son 1 aydır) gitmediği bir domaine bugün giderse
o Bir kullanıcı dün(son 7 gündür, son 1 aydır) toplam download trafiği ile bugünkü toplam download trafiği arasındaki fark %25 den fazla ise tespit et
· Yeni bir değerin takip edilmesi
o Kaynak IP den Hedef IP ye yeni bir kullanıcı login olursa tespit et
