Yanlış Yapılan SIEM Korelasyon Tarifi ile Körlerin Fil Tarifi Arasındaki Benzerlikler

Yıl 2015; daha o zamanlar SIEM ile ilgili kafa karışıklıklarından birinin korelasyon ve alam olduğunu yazmıştım. SIEM çözümlerinde korelasyon tanımı körlerin fil tanımı gibi. Hikayeyi bilirsiniz; Altı tane kör adamı bir filin yanına getirirler. Her birisini filin farklı bir yerine götürürler ve onlardan, elleriyle fili tutmalarını isterler.

Sonra da, tuttukları bu şeyin “neye benzediğini” tarif etmelerini söylerler.

Körlerden bir tanesi, filin kuyruğunu tutmuştur ve şöyle söyler: “Fil bir halata benziyor.”

Bir diğeri, filin hortumunu tutmuştur ve şöyle söyler:

“Fil, iri bir yılana benziyor.”

Üçüncüsü, filin dişlerini tutmuştur ve şunları söyler:

“Fil, bir mızrağa benziyor.”

Dördüncü kör, filin gövdesini tutmuştur, o da şunu söyler:

“Fil, bir duvara benziyor.”

Beşinci kör, filin kulağını tutmuştur ve şöyle söyler:

“Fil, büyük bir yelpazeye benziyor.”

Altıncı kör ise, filin bacağını tutmuştur ve şunları söyler:

“Fil, bir ağaca benziyor.”

Hepsi, filin farklı bir özelliğini dile getirmişler.

Zihinlerinde filin bütünsel bir resmi olmadığı için, elleriyle deneyimledikleri şeyin “ne olduğu” konusunda hiçbir fikirleri bulunmuyormuş.

Kimine göre korelasyon için SIEM çözümünün sadece alarm üretmesi yeterli olur. Kimilerine göre ise aşağıdakileri kurallar veya senaryolar korelasyon demek.

  • A Member was Added to a Security-Enabled Global Group
  • Fortigate Policy Change
  • Blacklist Activity (Lan to Wan)
  • XSS Attack Patterns Detected on Apache Web Server
  • Threat Intelligence Host Allowed Connection to Internal Network
  • VPN User Login Failure
  • Service Started
  • Service Stopped
  • Windows Audit Policy on an Object was Changed
  • Windows Policy Changed
  • Windows Service Error
  • Oracle DB Login Successful
  • Firewall Admin Login Failure
  • Attack Detected on Security Device

Kimilerine göre yukarıdaki kural ve senaryolarla birlikte aşağıdaki kurallar veya senaryolar da olursa korelasyon tamam olur. Tek başına yukarıdakiler korelasyon değil, sadece alarmdır.

  • Multiple Vulnerabilities Found on a Host
  • Worm Activity Detected
  • Port Scan
  • Internal Suspicious Activity
  • Suspicious Logon Activity
  • Too Many Fail Logon Activity
  • Brute Force Attack Detected
  • External TCP Scanner Detected
  • Off-hours Large Data Transfer Detected
  • Internal Host Excessive Denied Connection
  • Brute Force VPN Attack Detected
  • Internal SSH Scanner Detected
  • External Port Scanner Detected
  • Excessive Web Server Errors Detected
  • Multiple Login Failures User Detected
  • Internal Host Excessive Denied Connection

Kimilerine göre ise yukarıdakiler korelasyon ama yetersiz. Bu kurallara aşağıdaki tipte kurallar da eklenmeli:

  • 5 dakikada 1000 MB veya daha fazla download eden veya 10 dakikada aynı hedef IP/Domain den 500 MB download eden olursa uyar
  • Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
  • 3 aydan daha uzun süredir login olmayan varsa uyar
  • Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
  • 5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve uyar (Threshold ama her SIEM tarafından desteklenmediği için buraya aldım)
  • Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
  • En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
  • En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
  • Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
  • Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
  • Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
    ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
    (bir oltalama yöntemi)
  • Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
  • En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et

Bütün yukarıdaki senaryolar yetmez, korelasyonu eksiksiz ve bütünsel olarak kullanabilmek ve maksimum fayda elde etmek için aşağıdaki gibi senaryolar şart, olmalı diyenler de diğer bir grubu oluşturuyor.

  • First VPN connection from device for the user
  • Abnormal session start time
  • First connection from Source IP
  • First access to device for the user
  • First remote login to device for the user
  • Credential switch to a privileged or execute sa
  • First switch to target account sa for the user
  • First access to database mssql for peer group HR
  • First access to database mssql for user
  • Abnormail mail to/from acbfgtysss.xy for the organization
  • First mail to/from acbfgtysss.xy for the organization
  • VPN connection from a known anonymous proxy
  • Successful/Failedlogin activity rates
  • Password change rates
  • Odd time of logins
  • New host logins
  • Excessive user logons on hosts
  • Locked/disabled/expired account/restricted workstation logins
  • Access to internal applications / servers/ peers
  • Odd time of access (first and last access)
  • Upload/download deviations
  • Abnormal activity duration/session count
  • Account creation/ disable/ lockout / deletion rates
  • City: New city access for the first time
  • Activity duration/ session counts
  • Bytes in,bytes out
  • Entropy Mismatch
  • Odd time of email activity
  • Abnormal Email counts
  • Suspicious / disposable domains
  • Volume of data written to USB, first time USB writes
  • New processes / Registry changes
  • New file creations/ modifications/ opened/ created
  • Changes in file read/write/deletes/permissions
  • First time user is performing an activity from
  • First activity from ISP

Bana sorarsanız hepsi birlikte olmalı.

Entrepreneur,Security Analyst,Research.