SureLog SIEM Taxonomy ile Dikkatimizden Kaçan Olayları Yakalamak

Bütün işinizin log olmadığını, bütün mesainizi SIEM veya log yönetimi çözümü ile geçirmediğinizi düşünün. Günde yarım saat, bir saat bakarak sistemdeki anormal, bakılmasında fayda olan veya tehlikeli ve şüpheli olayları tespit etmek istiyorsunuz. Buna nasıl yaparsınız?

1. Arama yaparak mı? Bunun için öncelikle ne aradığınızı bilmeniz lazım. Sadece windows işletim sisteminde binlerce farklı eventid mevcut. Buna firewall, veritabanları, web sunucular, mail sunucular , AV, DLP vb.. logları da eklersek onbinlerce farklı log ve log tipi var. Ve bunların hepsi aslında birşeyler söylüyor.
2. Samanlıkta iğne arayarak mı? Sadece 1000 EPS trafiiniz olsa günlük yaklaşık 80 milyon logunuz olur.

Dolayısı ile SIEM in size dikkate değer olaylar şunlar demesi işinizi çok kolaylaştırır. Bu kolaylaştırmanın ilk adımı taxonomy [1,2,3,4] dir.

Taxonomy hayal mi gerçek mi? [5] gibi tartışmalar olsa da taxonomy olmadan nasıl olacağını söyleyen de yok. Her şeyi çok hızlı bir arama (search) altyapısı ile çözebileceğini sanmak da yanlış.

Aşağıda SureLog SIEM Taxonomy özelliği ile aslında günde yarım saat, bir saat SIEM a vakit ayrılan bir şirkette kolayca dikkatlerden kaçabilecek olayların nasıl fark edilebileceğine bir kaç örnek mevcut. Aşağıdaki resimde olduğu gibi trendleri ile birlikte ağdaki bütün aktiviteleri görsel olarak izlemek mümkün.

Bir son kullanıcı olarak login, failed login, process start, firewall block gibi çok bilinen veya kullanılan 10, 20 hatta 100 olayın log tipini, ID sini veya logun içinde geçen kelimelerini bilebiliriz. Bunların sorgusunu yazabiliriz. Bunların dahboardlarını hazırlar ve gözümüzün önüne koyabiliriz. Peki aşağıdaki gibi çok profesyonel SIEM/SOC uzmanı olmayanların hayatlarında bile görmedikleri olayları nasıl fark edebiliriz? SureLog SIEM Taxonomy modülünün dikkatimize sunduğu 5719 Event ID li olayı daha önce hiç görüp görmediğimize bakarak günlük rutinlerim içerisinde bunu fark etmek var mıydı? diye kendimize sorabiliriz. Eminim çoğumuz hayatımızda 5719 EventID yi aramamışızdır.

Yine benzer şekilde aşağıda SureLog SIEM Taxonomy modülünün dikkatimize sunduğu olayı daha önce hiç görüp görmediğimize bakarak günlük rutinlerim içerisinde bunu fark etmek var mıydı? diye kendimize sorabiliriz.

SureLog SIEM buna benzer yüzlerce cihazın oluşturduğu yüzbinlerce farklı olayı 1500 civarı olaya gruplayıp bunları alarm, rapor, dahsboard lar ile yönetmenizi sağlar.

Referanslar

1. http://anet-canada.ca/2019/06/21/the-true-power-of-surelog-taxonomy/
2. https://medium.com/@eakbas/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
3. https://medium.com/@eakbas/siem-taxonomy-makes-raw-data-human-understandable-eb8cdfb033a4
4. https://medium.com/@eakbas/why-is-taxonomy-important-and-extensive-surelog-siem-taxonomy-features-824ed40d89b3
5. https://medium.com/anton-on-security/security-correlation-then-and-now-a-sad-truth-about-siem-fc5a1afb1001