SIEM Ürünlerinin Taxonomy Özelliklerinin Farkı

3 min readNov 17, 2020

SIEM lerin hepsinde taxonomy özelliği bulunmadığı gibi olanlarda da derinliği ve yeteneği farklıdır.

Standart bir log yönetimi çözümü ötesinde logların analizini yapabilen çözümlerin(SIEM,UEBA vb..) logun içindeki kullanıcı adı, IP ve portlar, URL vb.. statik bilgiler haricinde bir logun neden oluştuğunu tespit edebilmesi beklenir. Bu tespit edebilme log yönetimi çözümlerinde zaten herhangi bir sistem yöneticisi veya güvenlik yöneticisinin de kolaylıkla bulabileceği

Authentication.Sucessfull

Authentication.Failed

TrafficStart

TrafficEnd

TrafficBlocked

System,

Identity,

Honeypot

DB-Oracle,

DOS,

DDOS,

Scanning,

WEB,

File,

DB-MSSQL

Mail

Ayrıca Tehdit İstihbaratı kullanılarak

Malware,

Exploit,

Botnet,

Attack,

Bruteforce

gibi kategorilerle sınırlı olmayıp, çok daha fazla kategori ve detay içermesi beklenir. (1000 lerce )

Bu kategori nin ingilizce literatürdeki karşılığı Taxonomy olup amacı IT sistemlerinin ürettiği spesifik kayıtların standart bir güvenlik uzmanının anlayacağı hale getirilmesidir.

Örnek verilecek olursa güvenlik duvarının ürettiği “big icmp packet” uyarısı yerine “Ping of death saldırısı” şeklinde logun üretilmesini sağlamak gibi.”

Örnekleri daha spesifikleştirmek gerekirse mesela TippingPoint cihazınız var, Fortinet, PaloAlto veya Sophos UTM kullanıyorsunuz ve DNS trafiğinde bir anormallik olduğu için bir log ürüyor o zaman da “NamingTrafficAudit->Protocol Anomaly” gibi bir kategori olmalıdır.

Veya Sophos UTM kullanıyorsunuz ve birisi icmp taraması yaparak bir şeyleri keşfetmeye çalıştığı için

Reconnaissance.Scan.ICMP gibi bir kategori raporu ve ilgili alarmı anında görebilmelisiniz.

Kategori örneklerini çoğaltmak gerekirse:

PingOfDeathDenial->ICMP CODE Host Precedence Violation

PingOfDeathDenial->ICMP CODE Precedence Cutoff in Effect

SmurfDenial->ICMP CODE Fragmentation

HostScan->ICMP CODE Time to Live exceeded in Transit

HostScan->ICMP CODE Fragment Reassembly Time Exceeded

ICMPQuery->ICMP CODE Source Route Failed

UnusualIPTraffic->IP Short TTL

UnusualIPTraffic->IP Small Fragment

PointToPointTrafficAudit->ICMP Redirect

Malicious->FileAccess

Malicious->FileAccess->Attempt

Malicious->Insecure

Malicious->Insecure->Config

Malicious->PasswordCracking

Malicious->RemoteControlApp

Malicious->RemoteControlApp->Connect

Malicious->Trojan

Malicious->Trojan->Request

Malicious->Virus

Malicious->Web

Malicious->Web->Attack

Malicious->Web->Injection

Kategorilere ayırma işleminin kapsamı ve detayı diğer önemli bir özelliktir. Örnek olarak

Authentication.Sucessfull diye bir kategoriniz var bu kateri adından da anlaşıldığı gibi başarılı oturumları ifade etmekte. Peki

Bu kategori ne kadar detaylı? Bütün

Firewall

Switch

Windows

Linux

Apple

Solaris

URL Filter (Websense)

Database

Forscout

Citrix

Aruba

lara yapılan başarılı oturumları kapsıyor mu? Yoksa sadece Windows ve belki Linux u mu kapsıyor.

3. önemli konu ise bu kategorilerin korelasyonda kullanılmasıdır. Örnek olarak :

“Aynı kullanıcı 15 dakikada 3 den fazla başarısız oturum açarsa uyar” gibi bir alarmımız olsun. Burada başarısız oturumdan kastımız ağdaki bütün Firewall, Switch, Windows, Linux,Apple, Solaris,URL Filter ,Database,VM,F5,Forscout,Citrix,Aruba vb.. cihazlarıdır. Yoksa sadece Windows sunucu veya/veya Linux sunucu değildir.

O zaman sistem bütün log tipleri için kullanıcı bilgisini aynı alana ilişkilendirmeli (Örnek: SourceAccount). Sistem burada oracle de DBUSER, Firewall da username, Switch de user olarak ilişkilendirme yaparsa bu kategorinin korelasyon ve alarm modülünde kullanılamaz hale getirir.

Konunun performans ve mühendislik tarafında gelirsek logları bu kadar detay incelemenin sistemler için 2 handikapı vardır

1-Bu tür analizler sadece regex kullanılarak yapılamaz.

2-Ciddi mühendislik ön çalışması gerekir ki bütün marka ve modeller bir yapı altında toplanabilsin.

Dolayısı ile regex ile birlikte en azından data mining ve daha ötesinde ML ve AI özellikleri olmalıdır. Ayrıca bütün ürünlerin bütün log tiplerini bilen bir ekibin bu 1000 lerce marka ve modeli tek bir yapıya çevirmek ciddi bir mühendislik çalışması gerektirir. Bununla birlikte bir logu bir regex ile parçalara bölüp bunu da çok bilinen yöntemlerle