SIEM Ürünlerinin Korelasyon Yetenekleri Nasıl Test Edilir?
SIEM çözümlerinde korelasyon en önemli özelliktir. Bununla birlikte korelasyon yeteneklerinin kolayca farklının anlaşılması ile ilgili kolay bir yöntem geliştirmek üzerine pek çalışma yapılmamıştır. Örnek 2 senaryo ile kolay ve hızlı bir şekilde hap korelasyon değerlendirme kriterleri vermek istiyorum.
- Örnek Senaryo
“Bir kullanıcı oluşturulur ve sonra 15 dakika içinde bu oluşturulan kullanıcı ile işlemler yapılıp sonra da bu kullanıcı silinirse uyar ”
Yukarıdaki senaryoyu tespit etmek istiyorum. Bu durumda seçilecek SIEM çözümünde bakacağım parametreler
a)Olaylar arasındaki 15 dakikayı belirtebilir mi? Eğer belirtebilirse nasıl belirtiyoruz? Görsel bir yolu var mı yoksa bazı kutucukları kazı özel kelime veya kelimeler mi yazmak zorunda kalıyorum?
b) Bu senaryoyu tespit etmek için oluşturulan kullanıcılar ve silinen kullanıcılar için iki ayrı liste oluşturma yöntemini kullanıyorsa bu iki liste arasındaki 15 dakika zaman ilişkisini belirtebiliyor mu? Eğer belirtebiliyorsa nasıl belirtiyor? Görsel bir yolu var mı yoksa bazı kutucukları kazı özel kelime veya kelimeler mi yazmak zorunda kalıyorum?
c) Yanlışlıkla bir kullanıcı oluşturulup sonra fark edilip hemen silme işlemini takip etmek istemediğimiz için “oluşturulan kullanıcı ile işlemler yapılıp” diye bir mantık ekledik senaryoya. Bu “oluşturulan kullanıcı ile işlemler yapılıp” kısmını senaryoya eklenebiliyor mu ? Eğer eklenebiliyorsa nasıl ekleniyor? Görsel bir yolu var mı yoksa bazı kutucukları kazı özel kelime veya kelimeler mi yazmak zorunda kalıyorum?
d) Çözüm eğer önce oluşturulan kullanıcıları bir listeye atıp, sonra da silinen kullanıcıları bir listeye atıp sonra da listeler oluşturulduktan sonra işlem yapan herhangi bir kullanıcı bu iki listede de var mı? diye kontrol ediyorsa
veya benzer bir mantık ile çalışıyorsa silinen kullanıcıları listeye attıktan sonra tekrar o kullanıcı ile ilgili değil silinme logu hiç log gelmeyeceği için bunu nasıl çözüyor?
2. Örnek Senaryo
“Aynı kullanıcı arada hiç başarılı oturum açmadan 5 dakikada 3 tane başarısız oturum açarsa uyar.”
Yukarıdaki senaryoyu tespit etmek istiyorum. Bu durumda seçilecek SIEM çözümünde bakacağım kritik parametre “arada hiç başarılı oturum açmadan” mantığını görsel ve kolay yoldan diyebiliyor muyum?
Senaryoları özellikle basit tuttum ki bunları üretici veya 3. parti bir destek olmadan deneyerek kendinizin tecrübe etmesi kolay olsun. Yoksa kimse ayranım ekşi demeyecektir.
