SIEM Roket Bilimi (Rocket Science) Mi?

SIEM roket bilimi değil ama siz bir de kullandığınız SIEM ile aşağıdaki senaryoları deneyin bakalım kaçını yapabilirsiniz:

✅ 23–10–2022 itibaren 180 gün önceye gidip (26 Nisan 2022 Salı), o gün içinde firewall a yapılan başarısız oturumların listesini 3–5 dakika içinde alabiliyor musunuz?

✅ Gerçek bir senaryo: Personel 2021 Temmuz ayında yönetime “Ortak Alan’da bazı dosyalar yok” diye talepte bulunmuş.

IT ekibi, Kullandığı SIEM ile toplam 2 saat içerisinde bu personelin kendi bilgisayarından, kendi kullanıcısı ile 2021 Ocak ayında dosyaları kendisinin silmiş olduğunu ortaya çıkarmış ve gerekli raporları oluşturarak yönetime sunmuş. Yani 6 ay önce.

Bunu en az 6 ay canlıda tutmasalardı arşivden günlerce uğraşarak bile bulamayabilirlerdi!

✅ Yine bir üniversiteden yaşanmış bir senaryo: Kullandıkları SIEM çözümünde ortalama 1000 EPS trafik var. İstedikleri 2 IP nin son 1 yıl içerisindeki erişim listesi. Kullandıkları SIEM ile bu raporun hazır olma süresi 1 ay.

✅ Son 180 gün içerisindeki bütün firewall a yapılan başarısız oturumların listesini birkaç saatte alabiliyor musunuz?

✅ Son 12 ay içerisinde X hedef IP sine erişen cihazların listesi

✅ Kendi kullanıcınızın son 12 ay içerisindeki bloklanan ve tehdit istihbaratı listesinde olmayan ve UDP protokolu kullanan hedef IP lerin listesi

✅ Kendi kullanıcınızın son 12 ay içerisindeki Firewall tarafından bloklanmayan ama tehdit istihbaratı listesinde olan kullanıcı erişim raporunuzu logun orijinal hali (Firewalldan çıktığı hali) ile birlikte listesi

✅ Son 1 sene içinde SA hangi databaselere login olmuş ve hangi queryleri çalıştırmış?

✅ X servis hesabının son 6 ay içerisinde yaptığı bütün işlemler (Firewall dahil)

✅ Son 1 aydır hiç trafik üretmeyen makinelerin listesini

✅ Son 12 ay içerisinde X veya Y tablolarına (kişisel veri içeren tablolar) veya dosya sunucusundaki A veya B dosyasına

(kişisel veri içeren dosyalar) erişenlerin listesi, daha sonra bu listedeki kullanıcıların son 12 ayda eriştiği bütün URL ve IP lerin port bilgileri dahil listesi ve en son olarak da son 12 ay içerisinde bu listedeki IP veya URL lere erişen diğer kullanıcıların listesi

✅ Saldırı için kullanıldığı çok sonra ortaya çıkan/deşifre olan bir siteye örnek: deftsecurity[.]com (Solarwinds olayında olduğu gibi) son 6 ay içinde kendi sisteminizden erişenlerin listesini

✅ Son 6 aydır kullanılmayan firewall kurallarının listesi

✅ Örneğin SolarWinds hack ile ilişkili avsvmcloud.com sitesine şirketinizden son 6,12,18 aydır erişen var mı sorusu kritiktir. Bugün solarwinds yarın başka bir şey.

✅ Son 6 ay içerisinde solarwinds sunucularına DNS sorgusu yapanların listesi

✅ Son 6 ay içinde AV veya Endpoint Security de exception isteyen hep aynı kullanıcılarsa şüphelidir, listesi

✅ Son 6 ay içinde güncellemeleri alırken problem çıkan hep aynı kullanıcılarsa şüphelidir, listesi

✅ Şüphelendiğiniz bir kullanıcının son 6 ay içerisindeki aktivitelerin listesi

✅ Herhangi bir kullanıcı son 6 ay içerisinde kaç defa mov dosyası indirdi?

✅ Son 6 aydır dosya sunucusuna erişim yapmayan kullanıcıların listesi

✅ Son 6 ay içerisinde kapanan sunucu listesi

✅ Son 6 ay içinde aylık tehdit istihbarat listesine takılma sayıları nedir?

✅ Son 6 ay içinde aylık tehdit istihbarat listesine en çok takılan kullanıcıların listesi

✅ Son 6 ay içinde aynı hedef domain e erişirken firewall tarafından bloklanan kullanıcılar hangileri?

✅ Son 12 ay içerisinde örnek olarak avsvmcloud[.]com hedef IP sine erişen cihazların listesini kaynak port ve kullanıcı adı ile birlikte listesi

KORELASYONLAR

1. 15 dakika içerisinde 1500 benzersiz (unique) IP’den 350000 den fazla olay olursa uyar

2. Saatlik login fail/ login success auth oranı %3 ü aşarsa tespit et

3. Saatlik Http/dns oranı 1 den düşük olursa tespit et

4. AV tarafından virüs tespit edilen bir makinadan 5 dakika içinde başka bir makinaya login olunur ve daha sonra da login olunan bu makina 5 dakika içinde firewall tarafından bloklanır ise uyar

5. Aynı kullanıcı aynı anda birden fazla makinaya login oluyorsa ve bu kullanıcı admin değilse veya white listde yoksa uyar. (Aynı anda operatörü)

6. Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5–10 dakika bekledi ve sonra tekrar oluşturdu ise uyar. ,(A olayından sonraki 5 dakika içerisinde B olayı olmayacak ama 5. Dakika ile 10. Dakika arasında olacak şeklinde operatörlerin desteklenmesi gerekir).

7. Aynı anda aynı kullanıcı bir makinaya VPN yaparken, aynı anda sisteme lokal login olursa uyar.

8. Bir kullanıcı arada hiç başarılı oturum açmadan 30 dakikada 3 tane oturum açma denesi yapıyor ve başarısız oluyorsa uyar

9. Bir makina Tehdit istihbarat listesine takılırsa bu makinaya en son login olan kullanıcıyı bildir (Önce operatörü)

10. Bir dakikada 50 mb dan fazla download edilen ve url i zip, exe, dat ile biten kullanıcı olursa uyar

11. Bir makinada bir process ayağa kalktıktan sonra 5 dakika içinde başka bir makinada da aynı process ayağa kalkar ve birinci makinadaki processin ayağa kalktığı path ile ikinci makinanın pathi aynı olursa ve kullanıcılar da farklı ise ve bu makinalardan biri sonraki 5 dakika içinde firewall tarafından bloklanırsa uyar.

12. Yeni bir kullanıcı oluşturan kullanıcının oluşturduğu yeni kullanıcı 5 dakika içinde login failure yapar ve sonraki 5 dakika içinde de kullanıcı oluşturan kullanıcı yeni bir kullanıcı oluşturursa uyar

13. Bir kullanıcı oluşturulduktan sonra hiç kullanılmadan 10 dakika içinde siliniyorsa alarm üretme ama bu arada kullanılıp siliniyorsa uyar

14. Aynı IP önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis açılıyor / kapatılıyor ise uyar

15. Aynı kullanıcı 2 farklı makinada 15 dakka içinde başarısız oturum deniyor ve 2. Başarısız oturumdan sonraki 5 dakka içerisinde bu makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim isteği oluyorsa uyar

16. Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar.

17. Banu dışarıdan içeri VPN yapıyor ve 172.16.23.21 IP sini alıyor.

Daha sonra Bu IP den başka bir sisteme SSH yapıyor ve bu sistemdeki IP si de 172.16.99.99 oluyor

Daha sonra da 172.16.99.99 den internete erişmeye çalışırken bloklanıyor.

18. Birden fazla kullanıcı adı ile brute force yapılırken veya brute forcedan sonraki 15 dakika içerisinde sadece brute force yapılan makinelerden birine başarılı oturum açılırsa (O ana denk gelen ama brute force yapılmayan makinelerde açılan oturumları istemiyorum çünkü false positive olmasını istiyoruz. Binlerce cihazlık bir ağda oturum açma doğal bir davranış. Bunun şüpheli olması için bu durumda brute force saldırısı altında olması gerekir)

PoC de bu kuraldan beklenen ise şu 4 şeyi aynı anda yapması
✔️ Brute force yapan bir veya birden fazla kullanıcıyı bildirsin
✔️ Sadece brute force yapılan makinelerin Kaynak IP lerini listeye atsın
✔️ Başarılı oturum açılan makina veya makineleri bildirsin
✔️ Başarılı oturum açarken kullanılan kullanıcı adlarını bildirsin

Bu kuralı buraya almamızın sebebi
🔔 Bunu listeler kullanmadan yapabiliyor olması
🔔 Birden fazla kullanıcı adını bir atımda tespit edebiliyor olması
🔔 Envanterinizde binlerce cihaz olabilir ama saldırı bunların sadece 100 tanesine olmuş olabilir. Dolayısı ile brute force sebebi ile risk seviyesi artan ve şüpheli duruma gelen sadece bu yüz tanedir. Bu kuralın sadece brute force yapılan bu 100 adeti monitoring için listeye atıyor olması
🔔 Bu brute force sonucu başarılı olarak şifresi bulunan kullanıcı adının da aynı anda tespit edebiliyor olması
🔔 Yukarıdaki 4 maddeyi 1 defada tek bir kural ile 3–5 dakika içinde GUI ile yazıp sağlayabiliyor olması

1. Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
2. DGA detection (ML)
3. Hunting malware and viruses by detecting random strings
4. Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
5. 3 aydan daha uzun süredir login olmayan varsa uyar
6. Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
7. 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
8. Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
9. En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
10. En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
11. Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
12. Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
13. Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
    ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
    (bir oltalama yöntemi)

1. Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
2. En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
3. 2 aydan daha uzun süredir login olmayan kullanıcı varsa uyar
4. 30 günden daha uzun süredir şifre değiştirmeyen kullanıcı olursa uyar
5. 4 saatten uzun RDP i açık kalan olursa uyar
6. 4 saatten uzun VPN i açık kalan olursa uyar
7. 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
8. 72 saatten uzun süredir IP değiştirmeyen cihaz (MAC) olursa uyar
9. Aynı anda aynı kullanıcı bir makinaya VPN yaparken baska bir makinaya da RDP yaparsa uyar
10. Ayni kullanıcı aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla basarisiz oturum açarsa tespit et
11. Bir kullanıcı daha önce şirkette kimsenin gitmediği bir domaine günde en az 1 kere ve haftada 2 den fazla erişirse uyar
12. New city access for the first time
13. Eger bir domain son 24 saate oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
14. En az 15 gündür (20–30–40–365 gün) hiç VPN yapmamış bir kullanıcı kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar
15. En az 30 gündür veya daha fazla süredir (40 gün-60 gün-90 gün-365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
16. Kapanan bir sunucu 4 saattir ayağa kalkmadı ise uyar
17. Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
18. Virüs bulundu ve 8 saaten fazladir temizlenmedi ise uyar
19. Iki login arasindaki süre 1 dakikadan az ise uyar
20. Iki login failed arasindaki süre 1 dakikadan az ise uyar
21. Oracle veritabani kullanici arayüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) ayni anda kimlik dogrulama hatasi verirse uyar
22. Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar