SIEM Çözümlerinde Operatörler
SIEM çözümlerinin olmazsa olmazı korelasyondur. Günümüzde hem konunun popülerliği hem de açık kaynak veya ücretsiz çözümleri kullanarak bir ürün çıkarmak yaygınlaştı. Bu sebeple çoğalan SIEM ürünlerinin tespit kabiliyetleri birbirinden çok farklıdır. Bu farklardan biri de SIEM ürünlerinin desteklediği operatörlerdir. Bu operatörler neden önemli? Netlogon protokolündeki CVE-2020–1472 güvenlik açığı, diğer adıyla Zerologon, saldırganların Microsoft Domain Controller / Etki Alanı Sunucularını ele geçirmesine imkan veriyor. Bunu yakalamak için bir kural yazarsak aşağıdaki iki olayın aynı anda olmasını tespit etmemiz gerekir.
NETLOGON
- Event ID: 5805
- Type: System
A computer account was changed
- Event ID: 4742
- Type: Security
- Source User Name: Anonymous Logon
Burada 4742 olayındaki “computer account” ile “5805" olayındaki “device host” da aynı olmalı.
Bu kuralda “aynı anda” operatörüne ihtiyaç duyarız. Bu operatöre sahip SureLog gibi bir ürününüz yok ise bu sefer bunu tespit etmek için etrafından dolanan yöntemler uygulamak zorunda kalırsınız. Ayrıca her durumda bir operatörün etrafından dolaşamayabilirsiniz. Eğer sisteminiz belli periyotlarda otomatik aramalarla alarm üretiyorsa ayrıca bu kural ciddi kaynak isteyecektir.
Bütün SIEM ürünlerinde bulunabilecek pek çok operatör bulunur. Her SIEM ürününde olmayan operatör örnekleri: After, Before, At the same time.
Korelasyonla ilgili daha detay bilgi için aşağıdaki makalelere bakılabilir.
