WAZUH, GRAYLOG, OSSEC, ELK, OSSIM Gibi Açık Kaynak Ürünlerin Değerlendirilmesi
Açık kaynak ürün ve çözümlerin dayanılmaz bir cazibesi vardır. Öteden beri açık kaynak SIEM çözümleri konuşulmaktadır. Yakın zamana kadar Gartner SIEM Magic Quadrant raporunu hazırlayan ekibi yöneten Anton Chuvakin de 2009 yılında blogunda ” Why No Open Source SIEM, EVER?” bunu irdeliyor. http://chuvakin.blogspot.com.tr/2009/06/why-no-open-source-siem-ever.html .
Bu yazıda en yaygın Log Yönetimi/SIEM olarak kullanılan açık kaynak çözümlerini
1-Canlı Log, arşiv log yönetimi,
2-Korelasyon ,
açısından inceleyeceğiz.
Bu konular neden önemli diye düşünenler için canlı logun önemi [1]:
- PCI uyumu için en az 3 ay loglar canlıda durmalıdır.
- PCI için logları en az 1 yıl tutmanız gerekir, KVKK, ISO27001, 5651, BDDK, EPDK yükümlülükleriniz için yıllarca tutmanız gereken logları arşivde tutarak yönetmeniz nerdeyse imkansız derecesinde zordur. Örnek : 2020 mart ayı içerisinde kişisel veri içeren X sunucusuna oturum açmaların raporu KVKK denetlemelerinde sorulsa arşivden buna yanıt bulamazsınız
- Canlı logu uzun süre tutma, disk sıkıştırma özellikle optimum it personel sayısı ve bütçesi ile çalışan kurum ve kuruluşlar için kritiktir. Özellikle açık kaynak kullanılan projelerde hizmet de outsource edildiği için yönetim maliyetleri artmaktadır.
Korelasyonun önemi[2,3,4]:
- Her SIEM aynı SIEM değildir. Bir SIEM çözümünün değerinin %80 i korelasyon yeteneğinden gelir [5],
- Korelasyon şüpheli ve tehlikeli aktiviteleri tespit işine yarar,
Korelasyon konusunda temel seviye, gelişmiş seviye, ileri seviye olarak ayırabileceğimiz senaryolar vardır [4,6].
Aşağıda bütün açık kaynak çözümleri bu iki parametre açısından irdeleyeceğiz
WAZUH
Wazuh logları elasticsearch üzerinde tutar.
Dolayısı ile logları canlıda tutabilmek için çok büyük disk alanına ihtiyacınız olacaktır
Korelasyon kuralların öncelikle geliştirmek için aşağıdaki gibi dosyalar oluşturmalısınız. Ticari uygulamalardaki gibi bir kolay kural geliştirme ara yüzü mevcut değildir
<rule id="5716" level="5">
<if_sid>5700</if_sid>
<match>^Failed|^error: PAM: Authentication</match>
<description>SSHD authentication failed.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>Temel ihtiyaç olan kuralları yukarıdaki formatta geliştirmek mümkün ama gelişmiş ve daha ileri seviye kurallar mümkün değildir.
GRAYLOG
Graylog da Wazuh gibi logları elasticsearch üzerinde tutar.
Dolayısı ile logları canlıda tutabilmek için wazuh gibi çok büyük disk alanına ihtiyacınız olacaktır.
Korelasyon tarafına bakarsak
Free olan sürümünde korelasyon yoktur. Günlük 5 GB yani ortalama 100 EPS gibi bir limit ile çalışırsanız korelasyon geliyor. Orada da temel korelasyonlar mümkün ama gelişmiş seviye korelasyon ve ileri seviye korelasyon desteklenmemektedir.
OSSEC
OSSEC tek başına bir log toplama veya SIEM çözümü değildir. Dolayısı ile ELK, Wazuh gibi diğer açık kaynak sistemlerinden biri ile entegre olarak sistemlerde bulunur. Dolayısı ile seçilen diğer Log yönetimi veya SIEM ürünü hangi dezavantajlara sahip ise kurulacak sistem otomatik olarak aynı dezavantajlara sahiptir.
ELK
ELK log arama konusunda en yaygın açık kaynak çözümdür. Disk kullanımı ise optimize değildir. Aşağıda bir kıyaslama göreceksiniz.
Korelasyona gelince ücretsiz sürümde bir korelasyon özelliği yok. Bunun için Yelp/elastalert gibi değişik açık kaynak çözümler vardır. Bu çözümlerde ticari uygulamalardaki gibi bir kolay kural geliştirme ara yüzü mevcut değildir. Ticari uygulamadaki gibi gelişmiş veya ileri seviye korelasyon imkanı da kısıtlıdır.
OSSIM
OSSIM de log yönetimi özelliği yoktur, yani kanun ve yönetmeliklerin şart koştuğu süre logları canlıda tutabilmeyi desteklemez. Arşiv ile de log yönetimini desteklemez
Korelasyon tarafı da diğer açık kaynak ürünlerde olduğu gibi temel seviyededir.
Açık kaynak çözümlere lisans ücreti olmadığı için gidiliyor. Kimse teknik olarak daha iyi olduğu için bu çözümleri seçmiyor. Bu ürünlerde disk kullanımı fazla dedik, örnek vermek gerekirse SureLog SIEM den en az 20 kat daha fazla disk kullanırlar. Ayrıca IBM Qradar, Splunk veya Logrthym ile de bu ürünlerin verilerini kullanarak kıyaslayabilirsiniz. Bu ürünlerin lisansı ücretsiz ama kurulması ve destek için eğer kendiniz yapmayacaksanız bedel ödeniyor. Ayrıca yönetmek ve stabilitesi için de destek maliyetleri çıkmaktadır.
Ayrıca Türkiye’deki kanunlar açısından da bu çözümleri değerlendirmek gerekir. Mesela ben TUBİTAK zaman damgası kullanmak istesem bu çözümler sağlayabilecekler mi? Kendim mi yapacağım? O kadar kolay mı? Destek istesem nasıl ek maliyetlerim olacak?
Piyasada disk kullanımı ve korelasyon yeteneği çok daha iyi, zaman damgası gibi kanuni isterleri de kolaylıkla sağlayabilen ve toplam sahip olma maliyeti de açık kaynak çözümlerden daha uygun maliyetli çözümler mevcut. SureLog SIEM Fast Edition bu konuda örnek olarak verilebilir. Son kullanıcı açık kaynak hizmeti almadan uygun maliyetli alternatif ürünleri de araştırmalıdır.
Konuyu biraz daha ileri götürüp açık kaynak çözümlere Threat Intelligence ve parser desteği isteseniz kendiniz ekleyebilecek misiniz? Bunun için yine destek mi alacaksınız? Destek almanız durumunda proje maliyeleriniz bunların hazır geldiği bazı ürünlerden çok daha fazla olacaktır
Referanslar
- https://drertugrulakbas.medium.com/canl%C4%B1-log-neden-kritik-ar%C5%9Fiv-neden-yetersiz-4527d01fd623
- https://drertugrulakbas.medium.com/siem-korelasyon-nedir-neden-alt%C4%B1n-de%C4%9Ferindedir-8a1abdcaa9b2
- https://drertugrulakbas.medium.com/ger%C3%A7ek-siem-korelasyon-motorunun-faydalar%C4%B1-2879bd510de2
- https://drertugrulakbas.medium.com/ben-sieme-g%C3%BC%C3%A7l%C3%BC-siem-demem-siem-korelasyon-yapmad%C4%B1k%C3%A7a-85068370f85f
- https://www.sans.org/blog/your-siem-questions-answered/
- https://drertugrulakbas.medium.com/g%C3%BC%C3%A7l%C3%BC-bir-siem-nas%C4%B1l-se%C3%A7ilir-257e6d404f77
