SIEM ve Alarmları Korelasyon Sanmak

SIEM ile ilgili önemli kafa karışıklıklarından biri de her alarmı korelasyon olarak algılamaktır. Korelasyonu ben tanımım zaman boyutunda, sesssion bilgilerini ilişkilendirmek ve bütünsel bir parça yakalamak olarak tanımlıyorum. Alarm ise size uyarı gönderen her sistemin adıdır. Korelasyon sonucu da alarm olabileceği gibi, haberdar olmak istediğiniz her şey alarmdır. Alarm ve korelasyon farkını daha görünür kılmak için ikisine de örnekler vermek gerekirse:

Alarm

• Admin grubuna bir kullanıcı eklenirse haber var
• Yasaklı listeye erişmek isteyen olursa haber ver
• Tehdit istihbarat listesinde bulunan bir IP ye erişmek isteyen olursa haber ver
• 5 dakikada 50 farklı IP nin 80 portuna istek gönderen olursa haber ver

Korelasyon

• Aynı kullanıcı 15 dakika içerisinde 2 farklı makinada oturum açmatı dener ve başarısız olursa ve 2. başarısız oturumdan sonraki 5 dakika içerisinde bu denediği makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim isteği oluyor ise haber ver
• Ağ içerisinde 1 haftadır görülmemiş bir internal IP trafik oluşturduğunda uyar
• Aynı IP önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis açılıyor / kapatılıyor ise uyar