TEKRARLANAN İSİMSİZ SIEM HASTALIKLARI
Logların kaçmadan yakalanması başarının ilk adımıdır. Toplanan log miktarındaki hata yanlış iliklenen düğme gibidir. Bu noktada en kolay teyit yöntemi aşağıdaki tablodur.
Daha sonraki hastalık ise yüksek EPS değerlerinde ortaya çıkar. Yüksek EPS değerlerinden kasıt 30 000, 50 000, 150 000, 500 000 EPS gibi değerlerdir. Temelde 10 000 EPS ve üsti olarak değerlendirilebilir. 10 000 EPS altında, özellikle ise 3000 EPS e kadar raporlama, stabilite ve ayakta durma (anlamsız ve sıklıkla kapanma), korelasyon özelliklerini deneyip de geçer not verseniz bile yüksek EPS lerde tamamen farklı karakteristik gösterip
1- Kritik kaynaklarda logların bazen 5–10 saat hatta bir gün kadar geriden gelmesi ve ara yüze aynı şekilde geç yansıması,
2- Canlıda logun çok kısa süre tutulabilmesi,
3- Genel olarak korelasyonun çalışmaması, çalışsa bile çok geç çalışması ve performans problemleri çıkarması,
gibi problemlere karşılaşabilirsiniz.
Diğer bir hastalık da logların canlı yerine arşivde durması dolayısı ile de lazım olduğunda erişmek için zaman aralığına bağlı olarak birkaç saat ile birkaç hafta arasında beklemenin gerektiği.
SIEM i SIEM yapan korelasyon yeteneğidir. Dolayısı ile korelasyon yeteneğindeki bir hastalık ölümcül olabilir. Korelasyon kurallarının çalışmaması, kaçırması veya çok geç çalışması özellikle yüksek EPS lerde karşılaşılan hastalıklardan olsa da 100 EPS de bile karşılaşılan ve hastalık değil ama zafiyet olan aşağıdaki gibi senaryolardan bihaber olmak
1-Geçmişte login olunan makinalar ve sayıları ile bugünkü login sayıları bakarak anormallikleri tespit edebilir
2-Networkünüzde çok nadir kullanılan portlar varsa tespit edebilir
3-Herhangi bir kullanıcının çok nadir kullandığı bir port varsa tespit edebilir
4-Bir kullanıcının günlük başarılı oturum sayısının başarısız oturum sayısına oranındaki anormallikleri tespit edebilir
5-Herhangi bir kullanıcının hedef ip bazlı oluşturduğu log miktarında günlük olarak anormallikler varsa tespit edebilir
6-Beacon trafiği tespit edebilir
7- Son 1 ay içinde hiç login olmadığı bir makinaya login olan bir kullanıcı varsa tespit edebilir
8- Bugün login olduğu makinalar ve login sayılarında son 1 aya göre anormallik varsa tespit edebilir
9-Bir kullanıcını login olma yoğunluğu diğer kullanıcılara göre anormallik varsa tespit edebilir
10- Bir kullanıcı sisteme hiç login olmadığı bir saate login oluyorsa tespit et
korelasyon zafiyet ve hastalıklarıdır.
Yukarıdaki en çok karşılaşılan ve en sık tekrar eden isimsiz SIEM hastalıklarını özetlersek
1-Log kaçırma
2-Özellikle 10 000 EPS üstü durumlarda stabilite kaybı
3-Logların canlı yerine arşivde durması
4-Korelasyonların kabiliyet olarak yetersizliği, geç çalışması, kaçırması veya hiç çalışmaması
Aşağıdaki linkte konu ile ilgili bir makaleyi bulabilirsiniz.
