SIEM’den İstediğimizi Almak Mı?

Günümüzde çok çok büyük yapılara sahip ve ekonomik olarak buna bütçe ayırabilecek büyüklükte firmalar haricinde firmalar şu veya bu sebepten siber güvenlik alnında yeterli ve yetkin personel yatırımı yapmamakta.

Hal böyle olunca aynı zamanda domain yöneten, firewall yönetimi de kendisinde olan ve diğer güvenlik çözümlerinin yönetimi de kendisinden beklenen bir yâda birkaç kişilik bir ekibe bir de SIEM gibi bir yük yüklemiş olursunuz. Bu durumda projenin log toplamadan öteye geçmesi çok zor. Bu zorluğun 5 ana sebebi var:

1. Bir kullanıcının işi sadece güvenlik değilse ve mesaisinin önemli bölümünü loga ayırmıyor ise bütün üreticilerin bütün log kombinasyonlarını bilmesi imkânsız.
2. Özellikle seyrek oluşan loglarla ilgili farkındalığı olmuyor. Bunların içerisinde cihaz, marka ve modeline göre binlerce kritik olayın logu var. Loglara veya raporlara baktığı zaman gördüğü loglar aslında en çok oluşan ve toplam oluşan logların %80 i ni oluşturan aynı çeşit loglar. Mesela dosya erişimleri veya firewall üzerinden erişilen siteler. Ama bahsedilen logların baskınlığından dolayı ekranda göremediği ve 50–100 satırlık yüzlerce, binlerce arama veya raporlama ekranına bakarak veya pdf okuyarak gözle görmek imkansız.
3. Farklı üreticilerin farklı loglarını birleştirmek zorunda kaldığın da çok fazla iş yükü çıkıyor. Bir sürü query yazmak ve iki veya daha fazla üreticideki indikatörleri bilmek gerekiyor
4. Anlamlı loglar, loglar akarken (Stream analysis) otomatik olarak tespit edilemiyorsa daha sonra arama süresi, ne aradığını bilme ve gerekli sorguyu tasarlayabilme zorluklarından dolayı vaktinin sadece %10 ununu buna ayırabilen bir ekip tarafından bulunamaz oluyor.
5. Özellikle ülkemizdeki ekonomik koşullar rekabeti fiyat noktasında yapmak zorunda bırakıyor o da rekabeti vasata çekiyor.

Örnek bir senaryo vermek gerekirse ben kullanıcının daha önce hiç yapmadığı bir şeyi yapması durumunu tespit etmek istesem ki bu ilk isteyeceğim şey olurdu. Eğer elimde derinlemesine topolojik analiz [1,2,3,4] yapan bir SIEM ürünü yok ise bunu tespit etmek işkence olur. Neden mi?

Öncelikle sistemde kullanıcı veya cihazların yaptığı bütün aktiviteleri sınıflandıran bir sisteme ihtiyaç var. Buna taxonomy diyoruz. Ayrıca bu sınıflandırma linuxdaki login olayı ile windows daki login olayını son kullanıcıya login oldu diyecek şekilde tekilleştirebilmeli.

SureLog Son 24 Saat Firewall Taxonomy Analizi

Bu aşamadan sonra bir de bize bu davranışsal değişikliği anlayacak ikinci bir mekanizma gerekli.

• Beş dakikada şu kadar başarısız oturum açarsa
• Evetcode bu olursa

yapısındaki korelasyon mekanizmaları yeterli olmayacaktır.

Bu tür analizleri yapabilecek ve bunu kolay bir şekilde yapabilecek bir mekanizmaya daha ihtiyaç olacaktır

SureLog İlk Defa Olan Olayları Yakalama Senaryosu

Dolayısı ile bütün sorumluluğu güvenlik ve log olmayan ekiplerin faydalanabilmesi için seçilecek SIEM ile zaten bu konuda dedike bir veya daha fazla tam eğitilmiş insana sahip ekipler için seçilecek SIEM ürünleri farklıdır

Referanslar

1. https://medium.com/@eakbas/the-true-power-of-surelog-taxonomy-c6a2cc2636e1
2. https://medium.com/@eakbas/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
3. https://medium.com/@eakbas/siem-taxonomy-makes-raw-data-human-understandable-eb8cdfb033a4
4. https://www.slideshare.net/anetertugrul/siem-cozumlernde-taxonomy-ne-ise-yarar