SIEM Kullandıramadıklarımızdan Mısınız?

Son 10 yıldır ortalama bir SIEM özellikleri nelerdir? İyi bir SIEM için olmazsa olmazlar nelerdir? Sorularına cevap bulmaya çalışıyorum.

Bütün bu yazdıklarım size son 1 yıl içerisinde kvvk.gov.tr adresine erişen kullanıcı ve cihazların, yine son 1 yıl içerisinde erişim yaptığı sunucuların listesine aynı gün içerisinde erişmenizi sağlayan bir SIEM seçmenizde yardımcı oldu ise ne mutlu bana ve çok doğru bir hamle yapmışsınız demektir. İnşallah bu doğru hamlenizi korelasyon tarafında da yapmışsınızdır. Eğer aşağıdaki tarzda korelasyonları bile verimli bir şekilde çalıştıramıyorsanız, bir çalışıyor bir çalışmıyor veya alarmlar çok geç oluşuyor, mailler geç geliyorsa maalesef bir SIEM almamışsınız demektir.

• Fortigate Policy Change
• Worm Activity Detected
• Too Many Fail Logon Activity
• Suspicious Logon Activity

Eğer yukarıdaki gibi kurallarla birlikte aşağıdaki senaryolar da sizin SIEM çözümünüzü için gerçeklenebilir ve yakalanabilir ise, istenirse bunlara benzer yeni kurallar geliştirmenizi sağlıyorsa tebrikler, çok doğru bir SIEM seçmişsiniz.

• If an account not used in at least the last 30 days (31,40,60,90,180 days etc.), notify/lock/delete the account automatically.
• Impossible Travel Detection in Real-Time (VPN Anomaly)
• First VPN connection from device for the user
• First connection from Source IP
• If the domain was created within last 24 hours and not in Alexa 1 million and Cisco Umbrealla 1 million, then notify,
• If a user accesses sensitive files, and at the same time, the same user has a connection to file sharing sites, then notify.
• 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
• Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
• 3 aydan daha uzun süredir login olmayan varsa uyar
• Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
• 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
• Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
• En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
• En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
• Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
• Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
• Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
  ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
  (bir oltalama yöntemi)
• Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
• En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
• First VPN connection from device for the user
• Abnormal session start time
• First connection from Source IP
• First access to device for the user
• First remote login to device for the user
• Credential switch to a privileged or execute sa
• First switch to target account sa for the user
• First access to database mssql for peer group HR
• First access to database mssql for user
• Abnormail mail to/from acbfgtysss.xy for the organization
• First mail to/from acbfgtysss.xy for the organization
• VPN connection from a known anonymous proxy
• Successful/Failedlogin activity rates
• Password change rates
• Odd time of logins
• New host logins
• Excessive user logons on hosts
• Locked/disabled/expired account/restricted workstation logins
• Access to internal applications / servers/ peers
• Odd time of access (first and last access)
• Upload/download deviations
• Abnormal activity duration/session count
• Account creation/ disable/ lockout / deletion rates
• City: New city access for the first time
• Activity duration/ session counts
• Bytes in,bytes out
• Entropy Mismatch
• Odd time of email activity
• Abnormal Email counts
• Suspicious / disposable domains
• Volume of data written to USB, first time USB writes
• New processes / Registry changes
• New file creations/ modifications/ opened/ created
• Changes in file read/write/deletes/permissions
• First time user is performing an activity from
• First activity from ISP