SIEM POC Çalışmalarında Gözden Kaçanlar, Yapılan Yanlışlar
SIEM ürünleri ile yapılan PoC çalışmalarında bilindiği gibi ürünün yeteneklerini ve normal çalışma şartlarındaki davranışını anlamaya çalışırız. SIEM ürünleri tam olarak kurulduktan ve log biriktirmeye başladıktan en az 6,7 ay sonra veya EPS değeri yükseldiğinde gerçek kabiliyetleri ortaya çıkan ürünlerdir. Yani ürünler 2000 EPS de çalıştığı gibi 20 000 EPS de çalışmayabilir veya isterleri çok değişebilir. Dolayısı ile doğası gereği 30 gün süren yani log biriktirmeye vakit olmayan ve olası log kaynaklarını bir kısmının eklendiği PoC sırasında bu kabiliyetlerin tamamını görme ve test etme şansı bulunmaz.
PoC aşamasında ürünün kullanım kolaylığı, ara yüzleri, raporlama ve arama kabiliyetleri gibi konular ve korelasyon yeteneği test edilmeli. Korelasyon tarafında da mutlaka kendi gözünüzle, kendiniz elinizi kirleterek senaryolar denenmeli. Hangi senaryoları derseniz en azından aşağıdaki formatta olanlar olsun. Çok basitleri mutlaka deneyin ama aşağıdaki formattakileri atlamayın.
ÖRNEK POC KURALLARI:
1. Muhasebe departmanındaki bir kullanıcı sisteme login olduktan sonra 30 dakika içinde sap.exe uygulamasın çalıştırmadı ise uyar,
2. Bir kullanıcı oluşturuldu ve ilk 5 dakika içinde silindi ise uyarma ama 1 saat sonra silindi ise uyar,
3. Bir kullanıcı tarafından yeni|ilk defa oluşturan kullanıcı ile 10 dakika içinde başarısız oturum olursa uyar,
4. Çapraz Korelasyon
1.kural: SourceIP=AttackerIP: event adı=Login Failed (3 defa)
2.kural: DestinationIP= AttackerIP(1defa)
5. Multiple login failure from same user where user has not changed the account password in last 3 days,
6. Virus vb gibi sebeplerle bloklanan (Firewall veya GW AV) bir dış IP ye 20 dakika içerisinde iç IP lerden birinden trafik olursa uyar,
7. VPN yapan kullanıcı 15 dakikadır RDP yapmadı ise uyar,
8. AV tarafından virüs tespit edilen bir makinadan 5 dakika içinde başka bir makinaya login olunur ve daha sonra da login olunan bu makina 5 dakika içinde firewall tarafından bloklanır ise uyar,
9. Aynı kullanıcı aynı anda birden fazla makinaya login oluyorsa ve bu kullanıcı admin değilse veya white listde yoksa uyar,
10. Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5–10 dakika bekledi ve sonra tekrar oluşturdu ise uyar. (A olayından sonraki 5 dakika içerisinde B olayı olmayacak ama 5. Dakika ile 10. Dakika arasında olacak şeklinde operatörlerin desteklenmesi gerekir),
11. Aynı anda aynı kullanıcı bir makinaya VPN yaparken, aynı anda sisteme lokal login olursa uyar,
12. Bir kullanıcı arada hiç başarılı oturum açmadan 30 dakikada 3 tane oturum açma denesi yapıyor ve başarısız oluyorsa uyar,
13. Bir makina Tehdit istihbarat listesine takılırsa bu makinaya en son login olan kullanıcıyı bildir,
14. Bir dakikada 50 mb dan fazla download edilen ve url i zip, exe, dat ile biten kullanıcı olursa uyar,
15. Bir makinada bir process ayağa kalktıktan sonra 5 dakika içinde başka bir makinada da aynı process ayağa kalkar ve birinci makinadaki processin ayağa kalktığı path ile ikinci makinanın pathi aynı olursa ve kullanıcılar da farklı ise ve bu makinalardan biri sonraki 5 dakika içinde firewall tarafından bloklanırsa uyar,
16. Yeni bir kullanıcı oluşturan kullanıcının oluşturduğu yeni kullanıcı 5 dakika içinde login failure yapar ve sonraki 5 dakika içinde de kullanıcı oluşturan kullanıcı yeni bir kullanıcı oluşturursa uyar,
17. Bir kullanıcı oluşturulduktan sonra hiç kullanılmadan 10 dakika içinde siliniyorsa alarm üretme ama bu arada kullanılıp siliniyorsa uyar,
18. Banu dışarıdan içeri VPN yapıyor ve 172.16.23.21 IP sini alıyor.
Daha sonra Bu IP den başka bir sisteme SSH yapıyor ve bu sistemdeki IP si de 172.16.99.99 oluyor.
Daha sonra da 172.16.99.99 den internete erişmeye çalışırken bloklanıyor.
19. Birden fazla kullanıcı adı ile brute force yapılırken veya brute forcedan sonraki 15 dakika içerisinde sadece brute force yapılan makinelerden birine başarılı oturum açılırsa (O ana denk gelen ama brute force yapılmayan makinelerde açılan oturumları istemiyorum çünkü false positive olmasını istiyoruz. Binlerce cihazlık bir ağda oturum açma doğal bir davranış. Bunun şüpheli olması için bu durumda brute force saldırısı altında olması gerekir)
PoC de bu kuraldan beklenen ise şu 4 şeyi aynı anda yapması
✔️ Brute force yapan bir veya birden fazla kullanıcıyı bildirsin
✔️ Sadece brute force yapılan makinelerin Kaynak IP lerini listeye atsın
✔️ Başarılı oturum açılan makina veya makineleri bildirsin
✔️ Başarılı oturum açarken kullanılan kullanıcı adlarını bildirsin
Korelasyonla ilgili sonraki adım yukarıdaki gibi yazdığınız kurallarla birlikte ürün kütüphanesinden 250 adet kural açın ve mümkünse EPS trafiğini de gerçek değerlerine ulaşacak şekilde sentetik loglarla arttırın veya bunu yapamıyorsanız kural sayısını 500'e 750'ye çıkarın ve öyle deneyin.
Ve mutlaka en son aşama olarak sizin EPS değerinize eşit ve en azından iki yıldır ürünü kullanan bir son kullanıcıda canlı sistem üzerinde en azından aşağıdaki raporları isteyin.
🔔 Son 6/12 ay içinde “mit.edu” ye kimler ulaşmış?
🔔 Son 6/12 ay içinde domain sunucuya kimler login olmuş?
🔔 Son 6/12 ay içinde domain admin neler yapmış?
🔔 1 Mart 2021 ile — 1 Nisan 2021 arasında “mit.edu” ye erişen kaynak IP ler hangileri ?
🔔 23–10–2022 itibaren 180 gün önceye gidip (26 Nisan 2022 Salı), o gün içinde firewall a yapılan başarısız oturumların listesini 3–5 dakika içinde alabiliyor musunuz?
🔔Son 180 gün içerisindeki bütün firewall a yapılan başarısız oturumların listesini birkaç saatte alabiliyor musunuz?
🔔 Son 12 ay içerisinde X hedef IP sine erişen cihazların listesi
🔔Kendi kullanıcınızın son 12 ay içerisindeki bloklanan ve tehdit istihbaratı listesinde olmayan ve UDP protokolu kullanan hedef IP lerin listesi
🔔 Kendi kullanıcınızın son 12 ay içerisindeki Firewall tarafından bloklanmayan ama tehdit istihbaratı listesinde olan kullanıcı erişim raporunuzu logun orijinal hali (Firewalldan çıktığı hali) ile birlikte listesi
🔔 Son 1 sene içinde SA hangi databaselere login olmuş ve hangi queryleri çalıştırmış?
🔔 X servis hesabının son 6 ay içerisinde yaptığı bütün işlemler (Firewall dahil)
🔔 Son 6 aydır hiç trafik üretmeyen makinelerin listesini
🔔 Son 12 ay içerisinde X veya Y tablolarına (kişisel veri içeren tablolar) veya dosya sunucusundaki A veya B dosyasına
(kişisel veri içeren dosyalar) erişenlerin listesi, daha sonra bu listedeki kullanıcıların son 12 ayda eriştiği bütün URL ve IP lerin port bilgileri dahil listesi ve en son olarak da son 12 ay içerisinde bu listedeki IP veya URL lere erişen diğer kullanıcıların listesi
🔔 Saldırı için kullanıldığı çok sonra ortaya çıkan/deşifre olan bir siteye örnek: deftsecurity[.]com (Solarwinds olayında olduğu gibi) son 6 ay içinde kendi sisteminizden erişenlerin listesini
🔔 Son 6 aydır kullanılmayan firewall kurallarının listesi
🔔Örneğin SolarWinds hack ile ilişkili avsvmcloud.com sitesine şirketinizden son 6,12,18 aydır erişen var mı sorusu kritiktir. Bugün solarwinds yarın başka bir şey.
🔔 Son 6 ay içerisinde solarwinds sunucularına DNS sorgusu yapanların listesi
🔔 Son 6 ay içinde AV veya Endpoint Security de exception isteyen hep aynı kullanıcılarsa şüphelidir, listesi
🔔Son 6 ay içinde güncellemeleri alırken problem çıkan hep aynı kullanıcılarsa şüphelidir, listesi
🔔 Şüphelendiğiniz bir kullanıcının son 6 ay içerisindeki aktivitelerin listesi
🔔Herhangi bir kullanıcı son 6 ay içerisinde kaç defa mov dosyası indirdi?
🔔 Son 6 aydır dosya sunucusuna erişim yapmayan kullanıcıların listesi
🔔 Son 6 ay içerisinde kapanan sunucu listesi
🔔Son 6 ay içinde aylık tehdit istihbarat listesine takılma sayıları nedir?
🔔 Son 6 ay içinde aylık tehdit istihbarat listesine en çok takılma kullanıcıların listesi
🔔 Son 6 ay içinde aynı hedef domain e erişirken firewall tarafından bloklanan kullanıcılar hangileri?
🔔Son 12 ay içerisinde örnek olarak avsvmcloud[.]com hedef IP sine erişen cihazların listesini kaynak port ve kullanıcı adı ile birlikte listesi
Yukarıdaki rapor ve sorgularının sonuçlarını kendi gözünüzle görün, burada söze itibar etmeyin.
