SURELOG KORELASYON MOTORU ANY OPERATÖRÜ
Aşağıdaki örnek verilen kuralların özelliği herhangi bir (Any) veya -lerden biri kuralları tarzında olmasıdır.
Bu kuralları SureLog ile birlikte Gartner listesindeki meşhur ürünlerden sadece 3 tanesi yapabilir o da SureLog gibi pratik yapamaz. Önce sonucu listeye atar sonra listeden kontrol eder.
Örnek Senaryolar:
· Port taraması yapılan IP lerden herhangi biri sonraki 5 dakika içerisinde FW den bloklanıyor mu?
· DDoS saldırısı yapan IP lerden birinden 5 dakika içerisinde FW dan içeri giren olursa tespit et ve uyar
· External TCP Flood saldırısı yapan IP lerden birinden 5 dakika içerisinde FW dan içeri giren olursa tespit et ve uyar
· HTTP Flood saldırısı yapan IP lerden birinden 5 dakika içerisinde FW dan içeri giren olursa tespit et ve uyar
· 5 Dakika içinde 3 farklı makineye oturum açmayı deneyip başarısız olan bir saldırıdan sonra oturum açılması denenen makinelerden birine saldırıyı yapan makinadan oturum açılırsa tespit et ve uyar
· 5 Dakika içinde 3 farklı makineye oturum açmayı deneyip başarısız olan bir saldırıdan sonra oturum açılması denenen makinelerden birine herhangi bir makinadan oturum açılırsa uyar
SureLog Nasıl Yapıyor?
Örnek kural: Port taraması yapılan IP lerden herhangi biri sonraki 5 dakika içerisinde FW den bloklanıyor ise tespit et.
Aşağıda 2 senaryonun bağlanmış halini görüyorsunuz
GeneralCorrelationObject [4](Time:5m Event Count>15) ile gösterilen korelasyon bloğu
5 dakikada 15 den fazla farklı porta erişmeye çalışan kısmını
GeneralCorrelationObject [6] ile gösterilen korelasyon bloğu ise FW den bloklanan kısmını temsil ediyor.
Aşağıdaki ekran ise port taramasına maruz kalan makinelerden herhangi biri ile FW tarafından bloklanan makineleri birbirine bağlayan “Any” korelasyon bağlacının kullanıldığı korelasyon editörü ekranı gözükmekte.
Bu Kurallar Neden Farklı? Neden Sadece Dünyada SureLog ile birlikte Sadece Gartner daki 3 çözüm destekler?
Eğer kurallar aşağıda yapıda olsa idi
Port taraması yapıldıktan sonraki 5 dakika içerisinde FW den bloklanıyor mu?
Bunu hepsi olmasa da hemen hemen bütün SIEM ler tespit edebilir. Peki fark ne?
Fark şu ki port taramasını hedefi olan makinler ile FW de bloklanan makine arasında ilişki kuramamış olursunuz.
Veya kural aşağıdaki gibi olsa idi
Bir makinadan başka bir makinanın farklı portlarına kısa zamanda çokça erişim denemesinden sonra deneme yapılan makine FW den bloklanıyorsa tespit et.
Bunu da bazı SIEM ler tespit edebilir. Peki fark ne?
Fark senaryonun 1. kısmının (Bir makinadan başka bir makinanın farklı portlarına kısa zamanda çokça erişim) hedefi tek bir makine. Ama eğer senaryo “Port taraması yapılan IP lerden herhangi biri sonraki 5 dakika içerisinde FW den bloklanıyor mu?” hedefte port taraması yapılan yüzlerce IP olacaktı.
Herhangi bir (Any) veya -lerden biri korelasyon operatörü işte bu ilişkiyi sağlıyor ve sadece SureLog da var. Gartner daki diğer 3 ürün ise bunu bu kolaylıkla yapamayıp da liste ile kulağı tersten göstererek çözmelerinin sebebi de “Any” operatörünün bu ürünlerde olmaması.
