SIEM PoC Çalışmaları İçin Hap Senaryo Örnekleri
2 min readJul 11, 2020
Projelerimizde ve şahsi hayatımızda bütçemize ve ihtiyaçlarımıza göre seçim yaparız. Örnek vermek gerekirse 15 000 USD ye de araba alabiliriz, 1000 000 USD ye da araba alabiliriz. Benzer şekilde SIEM seçerken yani bir PoC çalışması yaparken de benzer yaklaşımı sergileriz.
Bu noktada 2 farklı ihtiyaç için hap senaryo örneklerini aşağıda bulabilirsiniz.
Çok çok iyi bir tespit ve korelasyon yeteneği olsun, maliyet ikinci planda olabilir diyenler için hap senaryolar
- 15 dakikada aynı virüs 3 farklı makinede tespit edilir ve sonraki 5 dakika içerisinde bu makinalardan biri başarısız oturum yaparsa uyar.
- Aynı kullanıcı 2 farklı makinada 15 dakika içinde başarısız oturum deniyor ve 2. Başarısız oturumdan sonraki 5 dakika içerisinde bu makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim isteği oluyor ise uyar.
- Bir kullanıcının günlük başarısız oturum sayısının başarısız oturum sayısına oranı anormal olursa uyar.
- Herhangi bir kullanıcının DNS trafiğinin HTTP trafiğine oranı anormal olursa uyar
- Bir kullanıcı en az 4–5 saat aralıklarla (15,20 dakikada 3 veya daha fazla başarısız olursa tespit et tarzı SIEM kurallarına yakalanmamak için) ve en az 3, 4 gün bir makineye aralıksız oturum açmayı deneyip başarısız oluyorsa tespit et.
Benim için maliyet önemli ama korelasyon özelliği de belirli bir seviyenin üstünde olsun, çok basit alarm mekanizması ile kanmayayım diyorsanız hap senaryolar
- Arada hiç başarılı oturum açmadan 5 dakikada 3 defa aynı kullanıcı başarısız oturum olayı oluşturursa, uyar.
- VPN Servisinden başarısız oturum yapan bir kullanıcı arkasından iç ağda farklı bir kaynağa erişirken de fail ederse ve VPN kullanıcısı ile iç ağdaki kullanıcı adı formatı farklı ise (anet\ertugrulakbas, ertugrulakbas@anet gibi) tespit et.
Konu ile ilgili daha detaylı analizleri okumak isterseniz:
Umarım faydalı olur.
