Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon
Transkript
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir [1]. Aşağıda ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile gelişirilebilecek kurallara örnekleri listelemeye çalışık. 1. Bir IP den tarama yapıldı ise ve sonrasında aynın IP den başarılı bir bağlanı kuruldu ise ve ardından bağlanı kurulan IP den tarama yapılan IP ye geriye bağlanı kuruldu ise uyar. 2. Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adeten fazla bağlanı oluşuyorsa uyar 3. Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlanı olursa uyar 4. Aynı kullanıcı, aynı makineye saate 3 den fazla başarısız oturum açmayı denerse uyar 5. Bir kullanıcı herhangi bir sunucuya login olamayıp authenicaion failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcı aynı sunucuya başarılı oturum açmazsa uyar 6. Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall taraından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saate milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz) 7. UnusualUDPTraic üreten kaynak IP yi bildir 8. IPReputaion [6] Listesindeki bir kaynaktan veya o kaynağa bir traik oluşursa uyar 9. Ulusal Siber Olaylara Müdahale (USOM) Merkezi taraından yayınlanan “Zararlı Bağlanılar” listesindeki kaynaktan veya o kaynağa bir traik oluşursa uyar 10. Birisi Networkünüzde DHCP serverı açıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir traik olursa uyar 11. Bir IP taraması olursa uyar 12. WEB üzerinden SQL atağı olursa uyar 13. Mesai saatleri dışında sunuculara ulaşan olursa uyar 14. Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum açmayı denerse uyar Yukarıdaki 1,7,11,12 numaralı kuralların taxonomy [5] özelliği gerekirdiğini de belirtelim. Dolayısı ile her üründeki korelasyon yeteneği aynı değildir [1]. Bu tarz kuralları gelişirebilme; bir de bunları bir sihirbaz yardımı ile gelişirebilmek SIEM ürünlerinde belirleyici bir özellik olmakla beraber, bu tarz kuralların sayısı korelasyon için ihiyaç duyulan CPU ve RAM ihiyacı da önemli bir parametredir.[2] Bu parametreler doğru bir şekilde tespit edilemezse projede log kaybı, alarmların doğru tespit edilememesi veya alarmların üreilememesine sebep olur [3]. Örnek olarak Seninel 6.1 ürününü 20 adet korelasyon kuralı için önerdiği iziksel sunucu özellikleri 2 core 3 Ghz CPU ve 4 GB RAM idi [2]. Bu sunucu ne log toplama ne de normalizasyon işlemi yapmaktadır. Sadece log korelasyon işlemi yapmak üzere kullanıla iziksel bir sunucudur [2]. Son sürümünde üreici net 20 rakamı vermek yerine ihiyaç duydukça yeni bir iziksel korelasyon sunucusu ekleyin demektedir. [3] HP,IBM gibi üreiciler de net bir rakam vermek yerine duruma göre iziksel kaynak ekleyin tarzı öneri ve uyarılarda bulunmaktadır. Çalışırılacak korelasyon kuralı adedi ve EPS değerleri ile CPU, RAM, Disk hızı ve kaç adet iziksel veya sanal korelasyon sunucusu olacağı arasında bir ilişki vardır. [7] 1. htp://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siemrn-ile-gvenlik-analiz-senaryolar 2. htp://www.slideshare.net/NOVL/how-to-architect-a-novell-seninel-implementaion 3. htp://www.slideshare.net/anetertugrul/log-yneimi-sisteminizin-log-karp-karmadn-testetmek-ister-misiniz 4. htps://www.neiq.com/documentaion/seninel73/s73_install/data/b19meos5.html#b12e1bcy 5. htp://www.slideshare.net/anetertugrul/sinilandirma-temell-korelasyon-yaklaimi 6. htp://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem 7. htp://www.slideshare.net/anetertugrul/siem-sure-log-arcsight-qradar-alienvault-solarwindsperformans-verileri Please download full document at www.DOCFOC.com Thanks