Wazuh, Yelp/Elastalert, GrayLog, Security Onion ve SIEMonster Korelasyon Özellikleri ile SureLog SIEM Korelasyonları Farkı

Wazuh, Yelp/Elestalert,Security Onion ve GrayLog gibi açık kaynak kodlu ve ücretsiz korelasyon motorları ile temel seviyede alarmlar üretmek mümkündür. Bu çözümler bazı senaryoları tespit etmekte çok başarılıdırlar. Ama pek çok gelişmiş senaryo örneklerini tespit edilemezler. Bunların SureLog SIEM e göre durumlarını basit örneklerle kıyaslayacağız.

Wazuh kural seti linki [1]. Bu kural seti ile aşağıda gibi senaryolar mümkün değildir.

• Veri sorumlusu kişisel veri içeren bir makinaya erişmek istedi ama erişemede. Bu veri sorumlusu 2 saat içerisinde bu makinaya başarılı bir şekilde erişip kişisel veri işlemezse uyar,
• 48 saat içerisinde 1 den fazla şifre değiştiren olursa uyar,
• Port taraması yapılan bir makinadan geriye taramayı yapan makinaya oturum açılırsa uyar.

Ayrıca Wazuh için temel senaryolarda değişik kısıtlar da mevcuttur [2]. SureLog yukarıdaki senaryoları tespit edebildiği gibi, yukarıdaki senaryolara göre çok daha gelişmiş senaryoları da tespit edebilir. Daha detaylı SureLog korelasyon örnekleri için [3,4,5,6,7,8,9,10,11,12,13,14,15] .

Yelp/Elastalert için öncelikle bütün logları elastic e yazmanız lazım [16]. Burada disk boyutu veya indexlerin yönetiminin önemi ortaya çıkıyor [17].

Yukarıda senaryolar da yine Yelp/Elastalert ile tespit edilemez. Bunun çeşitli sebeplerinden birkaçı

• 48 saatlik logu her 15, 20 dakikada search etmek sistem kaynağı olarak çok fazla kaynak gerektirir,
• Yelp/Elastalert korelasyon motorunun çapraz bağlama yeteneği mevcut değildir,
• Yelp/Elastalert korelasyon motorunun adımlarını takip etme yeteneği yok (1. senayoda olduğu gibi)

Security Onion alarm için Elastalert kullanır [18]. Dolayısı ile yukarıdaki durum Security Onion alarm kısmı için de geçerlidir.

Graylog korelasyon özelliğine bakarsak açık kaynak kodlu ve ücretsiz sürümünde korelasyon yoktur [19]. Ücretli sürümü ile de yukarıda verilen senaryoların bazıları gerçeklenemeyeceği gibi daha gelişkin olanlar için destek yoktur [20].

Son olarak SIEMonster korelasyon özelliğine bakarsak [21] Elastalert kullandığını görürüz. Dolayısı ile Elastalert için geçerli olan durumların hepsi SIEMonster için de geçerlidir.

SIEMonster Yapay zeka kullandığını iddia ediyor ama ne web sayfasında ne de google da arama yaptığımda reklam hariç bununla ilgili teknik bir doküman bulamadım.

+siemonster +"Human Based Behaviour" - Google Search

Benzer şekilde makina öğrenmesi kullanıyor diye sayfada ifade var ama ama ne web sayfasında ne de google da arama yaptığımda reklam hariç bununla ilgili teknik bir doküman bulamadım.

+siemonster +"Machine Learning" - Google Search

SureLog yukarıdaki senaryoları tespit edebildiği gibi, yukarıdaki senaryolara göre çok daha gelişmiş senaryoları da tespit edebilir. Daha detaylı SureLog korelasyon örnekleri için [3,4,5,6,7,8,9,10,11,12,13,14,15] .

Referanslar

1. https://documentation.wazuh.com/3.10/user-manual/ruleset/ruleset-xml-syntax/rules.html#if-matched-group
2. https://github.com/wazuh/wazuh/issues/3852
3. https://medium.com/@eakbas/siem-ile-sald%C4%B1r%C4%B1-tespitinin-anatomisi-b44f3a8f4f0d
4. https://medium.com/@eakbas/surelog-siem-sample-use-cases-rules-models-c50a945ca5b3
5. https://medium.com/@eakbas/surelog-siem-user-behaviour-monitoring-rules-18bcc94d334d
6. https://medium.com/@eakbas/gdpr-access-monitoring-rules-with-surelog-siem-1-c421bde8bb67
7. https://medium.com/@eakbas/a-quick-guide-to-help-you-understand-and-create-user-behavior-rule-with-surelog-siem-1-e59776dba80f
8. https://medium.com/@eakbas/surelog-siem-user-behaviour-rule-detects-when-a-user-account-is-created-and-deleted-in-a-short-a8420d6bae0
9. https://medium.com/@eakbas/surelog-ueba-941bed43f9ad
10. https://medium.com/@eakbas/a-quick-guide-to-help-you-understand-and-create-user-behavior-rules-with-surelog-siem-2-dc31c6f62721
11. https://medium.com/@eakbas/surelog-rule-model-for-a-user-vpns-to-the-network-from-a-new-location-for-the-first-time-then-933258c6c702
12. https://medium.com/@eakbas/surelog-siem-threat-detection-use-case-samples-a974eb9c2f34
13. https://medium.com/@eakbas/detecting-personally-identifiable-information-pii-breaches-with-surelog-siem-da5cffba0771
14. https://medium.com/@eakbas/a-quick-guide-to-help-you-understand-and-create-user-behavior-rules-with-surelog-siem-4-96a1d158c422
15. https://medium.com/@eakbas/kvkk-siem-senaryo-ve-kurallar%C4%B1-5fd8f3fe8077
16. https://openapm.io/landscape/alerting/elastalert
17. https://medium.com/@eakbas/surelog-qradar-arcsight-splunk-mcafee-logsign-cryptosim-alienvault-siem-389bd822b602
18. https://securityonion.readthedocs.io/en/latest/elastalert.html
19. https://www.graylog.org/products/open-source-vs-enterprise
20. https://www.graylog.org/features/correlation-engine
21. https://gitlab.com/siemonster-kubernetes/praeco