SureLog SIEM Korelasyon Kuralı Geliştirme Örnek Çalışması-1
SIEM denince akla korelasyon gelir. SIEM ürünlerinin korelasyon yetenekleri aynı ve eşit değildir. Çok çeşitli seviyede korelasyon özellikleri mevcuttur.
Bu yazıda search temelli korelasyon ürünlerinde false pozitife sebep olan çok temel bir senaryoyu SureLog ile false/pozitif olmadan nasıl geliştirebileceğimizi göreceğiz.
Bütün SIEM lerde benzeri veya aynısı bulunan çok temel, basit ama kullanışlı senaryolaran biri aşağıdaki senaryodur.
Aynı kullanıcı 10 dakika içerisinde aynı makinaya 3 defa başarısız oturum denerse uyar
Bu çok basit ve temel bir senaryo. Ama false/pozitife açık. Neden/false pozitife açık olduğunu anlamak içn senaryo analizi yapabilmek lazım. Bunun için SIEM projelerinde senaryo analizi önemli ve kullanılan teknolojiye göre senaryo kısıtlarını bilmek ve bu teknolojiye göre senaryo tasarlamak önemli.
Eğer bu senaryoyu arama (search) temelli (elastic, splunk, graylog vb..) ürünlerle tasarlarsanız aşağıdaki durumu kaçırırsınız. Aynı kullanıcı 10 dakika içerisinde:
Önce 2 defa başarısız oturum denedi
Sonra başarılı oturum açtı
Sonra 1 tane daha başarısız oturum açtı.
Bu durumda alarmın ürememesi gerekir çünkü arada yapılan başarılı oturum açma eventi durumu değiştirdi. Ama bunu arama (search) temelli bir çözümle aggregation kullanarak yaparsanız yakalayamazsınız.
False/pozitif oluşturmadan bunu SureLog SIEM ile aşağıdaki gibi tasarlayabiliriz.
Bu ve benzeri yüzlerce önemli ama dikkatlice analiz edilip, bilip, üzerine düşülmezse gözden kaçabilecek özellik SIEM leri birbirinden ayırır.
SureLog SIEM korelasyon ile ilgili yüzlerce ince ayar (fine tuning) seçeneğine sahiptir ve gelişmiş korelasyon senaryolarını tasarlayacak özellikler mevcuttur.
Referanslar
- http://www.anetyazilim.com.tr
- http://anet-canada.ca
- http://surelog.eu
