ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ
2 likes524 views
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır. SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
![Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki
işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int
untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga
eklenmesi işlemidir.
SureLog da mevcut 1537 gruptan bazıları
Reconnaissance->Scan->Host
• TCPTrafficAudit->TCP SYN Flag
• ICMPTrafficAudit
• NamingTrafficAudit
• Malicious->Web->SQL
• Flow->Fragmentation
• httpproxy->TrafficAudit accept
• HTTPDynamicContentAccess
• WebTrafficAudit.Web Content
• HealthStatus.Informational.Traffic.Start
• Malicious.BufferOverflow
• Malicious.Trojan
• PolicyViolation
• Malicious.Web.Attack
Loglar ve Tespit Edilen Taxonomy Örnekleri
Fortigate
o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686
logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root"
severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3"
policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1
attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024
sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024"
incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner,"
o Taxonamy :HTTPDynamicContentAccess
Netscreen
o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20:
NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic):
start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src
zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200
dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst-
xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000>
o Taxonamy :TCPTrafficAudit.](https://image.slidesharecdn.com/anetsureloginternationaleditionsiemurunununkorelasyonuleulgiliustunlukleri-151212225842/85/ANET-SURELOG-INTERNATIONAL-EDITION-SIEM-URUNUNUN-KORELASYON-ILE-ILGILI-USTUNLUKLERI-4-320.jpg)
![Paloalto
o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06
18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfreshmun001tr,,web-
browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06
18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat
is.aspx",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0-
10.255.255.255,Turkey,0,text/html
o Taxonamy :WebTrafficAudit.Web Content
Sonicwall
o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237
pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1:
dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414
o Taxonamy :NamingTrafficAudit
Cisco Pix
o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection
2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to
inside:192.168.147.2/80 (212.109.105.3/80}
o Taxonamy :HealthStatus.Informational.Traffic.Start
Snort
o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 ->
192.168.3.65:1035
o Taxonamy : Malicious.BufferOverflow
o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC -
URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}
192.168.3.65:1036 -> 188.72.243.72:80
o Taxonamy : Malicious.Trojan
o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**]
[Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033
o Taxonamy : PolicyViolation
o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary
file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -
> 192.168.3.65:1033
o Taxonamy : Malicious.Web.Attack
Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.](https://image.slidesharecdn.com/anetsureloginternationaleditionsiemurunununkorelasyonuleulgiliustunlukleri-151212225842/85/ANET-SURELOG-INTERNATIONAL-EDITION-SIEM-URUNUNUN-KORELASYON-ILE-ILGILI-USTUNLUKLERI-5-320.jpg)
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ
- 1. ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ
- 2. İçindekiler ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN ÜSTÜNLÜKLERİ.................................... 1 Korelasyon Avantajları............................................................................................................................. 3 Taxonomy ............................................................................................................................................ 3 Senaryo kuralları................................................................................................................................. 7 Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme ................................................................ 8 Mantıksal Bağımsızlık .................................................................................................................... 11 Thrashold kuralları......................................................................................................................... 11 Threat Intelligence............................................................................................................................. 12 Örnek Kurallar ................................................................................................................................... 12 ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır. SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır. ANET SURELOG International Edition ürününün korelasyon tarafının üstünlüklerine geçmeden önce temel korelasyon özelliklerini açıklamak gerekirse: Korelasyon gerçek zamanlıdır, Korelasyon kuralı geliştirme editörü sorgu (SQL ,NoSQL, Flat File) temelli değildir. Özel bir kural geliştirme sihirbazına sahiptir, Korelasyon motoru her zaman aktif tir. Bazı ürünlerdeki gibi periyodik çalışma handikabına sahip değildir. Korelasyon motoru veri tabanı (SQL ,NoSQL, Flat File) üzerinden çalışmaz ve veri tabanı kapatılsa bile korelasyon yapabilir. Bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman pencereli (time window) korelasyon yapabilir, Korelasyon kurallarının yazılması için ürün görsel bir ara yüze sahiptir, Kuralların belirli bir süre alarm üretmesinin durdurulması (Alarm Suspend), Kuralların sadece belirlenen zaman dilimlerinde çalışması, Birden fazla değişik olayın gerçekleşmesi (birleşik korelasyon) şeklindeki korelasyonları destekler, Pek çok global üründe dahi olmayan TAG (Kullanıcı tarafından otomatik veya manuel alan ekleme), Pek çok global üründe dahi olmayan negatif durum kurallarını destekler, Hafızada korelasyon yapabilmeyi destekler,
- 3. Tek kaynak korelasyon kurallarını destekler, Çoklu kaynak korelasyon kurallarını destekler, Pek çok global üründe dahi olmayan negatif durum kurallarını destekler, Pek çok global üründe dahi olmayan Context base korelasyonu destekler, Pek çok global üründe dahi olmayan Hiyerarşik korelasyonu destekler, Pek çok global üründe dahi olmayan Dinamik liste içerisinde kontrolü destekler, Kuralları yazarken çok geniş operatör desteğine sahiptir. Örnek: SureLog Korelasyon Avantajları Bu bolümde SureLog ürününün mevcut SIEM ürünlerinin korelsayon yeteneklerine göre avantajları açıklanacaktır. Bu avantajlar 3 ana grupta toplanabilir. Taxonomy Senaryo Kuralları Threat Intelligence Taxonomy Taxonomy en basit şekilde gruplandırma olarak açıklanabilir. Örnek vermek gerekirse Bir router login işlemi Bir switch login işlemi Bir Firewall login işlemi Bir Windows server login işlemi Bir Linux login işlemi Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hem raporlarken tek bir hareketle “Networkumdeki bütün login işlemlerini raporla” hem de korelasyonda “UTM cihazım aynı IP den dakikada 15 tane paketi virüslü olarak blokladıktan sonraki 5 dakika içerisinde networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi kurallar yazılmasına imkân tanır.
- 4. Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga eklenmesi işlemidir. SureLog da mevcut 1537 gruptan bazıları Reconnaissance->Scan->Host • TCPTrafficAudit->TCP SYN Flag • ICMPTrafficAudit • NamingTrafficAudit • Malicious->Web->SQL • Flow->Fragmentation • httpproxy->TrafficAudit accept • HTTPDynamicContentAccess • WebTrafficAudit.Web Content • HealthStatus.Informational.Traffic.Start • Malicious.BufferOverflow • Malicious.Trojan • PolicyViolation • Malicious.Web.Attack Loglar ve Tespit Edilen Taxonomy Örnekleri Fortigate o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3" policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1 attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024 sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024" incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner," o Taxonamy :HTTPDynamicContentAccess Netscreen o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20: NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic): start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200 dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst- xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000> o Taxonamy :TCPTrafficAudit.
- 5. Paloalto o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06 18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfreshmun001tr,,web- browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06 18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat is.aspx",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0- 10.255.255.255,Turkey,0,text/html o Taxonamy :WebTrafficAudit.Web Content Sonicwall o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237 pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1: dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414 o Taxonamy :NamingTrafficAudit Cisco Pix o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection 2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to inside:192.168.147.2/80 (212.109.105.3/80} o Taxonamy :HealthStatus.Informational.Traffic.Start Snort o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 -> 192.168.3.65:1035 o Taxonamy : Malicious.BufferOverflow o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC - URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.3.65:1036 -> 188.72.243.72:80 o Taxonamy : Malicious.Trojan o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033 o Taxonamy : PolicyViolation o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 - > 192.168.3.65:1033 o Taxonamy : Malicious.Web.Attack Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.
- 6. SureLog Int. Ed. yaklaşık 350 farklı log tipi için yaklaşık 3 milyon imza (signature) taraması yapabilir. SureLog tarafından yapılan sınıflandırmalara örnek: “Successful Login” “Malicious DNS Attack” “Compromised Virus Attachment NotCleaned” “Informational VPN Tunnel Failed” “Informational.Traffic.Start” Sınıflandırma işlemi Kelime bazlı, Kalime(ler), servis kombinasyonları, Verinin toplandığı sistem imzaları (signatures) Operasyonel parmak izleri (fingerprints) Vb.. Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır. Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri sonucu yapılır. Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir. Örnek olarak: Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific) hale getirilmesi çok başarılı sonuçlar elde edilir. İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında tarama yapılır.
- 7. Bu tarama basit bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza (signature) örneği: ERROR<vrrp>transmit-cannot-receive Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere (src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur. Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp “HealthStatus Abnormal” Damgası vurularak korelasyona dâhil edilir. ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir. Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da tamamlamış oluyoruz. Örnek Kural Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver. Sistem kendisi saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel sistemlerin verilerini analiz eder ve sonuçlarını korelasyona tabi tutar. Taxonomy ile ilgili daha detaylı bilgiler için : https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi Senaryo kuralları Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar. Örnek kural:
- 8. 1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz. http://www.youtube.com/watch?v=pCSMezPxRhY Senaryo temelli kural geliştirebilmek için: Rule Severity: Birden fazla kuralı sıra veya aralarındaki zaman ilişkisine göre işletebilmelidir. Birden çok korelasyondan başka bir korelasyon yazılabilmeli Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilmeli Birden fazla değişik olayın belirli süre zarfında sıralı olarak gerçekleşmesi ( X ' Y) (sıralı (sequential) korelasyon) kuralı yazılabilmeli Her bir korelasyon kuralı için öncelik değeri verilebilmeli Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme Herhangi bir çıkarımı birden fazla kuralın kaynak IP, Hedef IP, Kullanıcı, Bilgisayar adı, kaynak ve hedef portlarının aynı olması veya olmaması ilişkisi ile sıra veya zaman ilişkisi ile ilişkilendirip sonuçlandırmak mümkündür. Örnek: Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar
- 9. Benzer şekilde yukarıdaki mantık ile birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilir.
- 10. Yukarıdaki editörden görüldüğü gibi Önce Part_1 kuralı, sonra not_port kuralının oluşmaması ve ardından part_3 kuralının oluşması seklinde kurallardan oluşan alarm oluşturmak mümkündür.
- 11. Mantıksal Bağımsızlık Senaryo temelli bir kural geliştirebilmek için loglar arasında ilişkileri kurarken tam esneklik gerekir. Normalize edilmiş herhangi bir logun herhangi bir özelliği (örnek: Kaynak IP) ile diğer bir logun özelliği ilişkilendirilebilmeli ve daha sonra da loglar arası mantıksal işlemler yapılabilmelidir. SureLog Int. Edt. Bunu sağlar. Örnek: A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Yukarıdaki kuralda görüldüğü gibi her 2 logda da kullanıcının (A) ı ve sunucunun (X) ayanı olması bekleniyor. Ayrıca senaryonun 2. Adımında da 2. Olayın belirtilen süre zarfında olmamış olması bekleniyor Thrashold kuralları Thrashold kuralları bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman pencereli (time window) durumunun tespiti için kullanılır. Aşağıda bu kural geliştirme sihirbazı görülmektedir. Bu tür kuralların yazıldığı benzer ürünlere göre Same Events ve Different Events ayarları bir üstün özelliktir. Ayrıca bu sayma özelliği sonucunda çıkan sonuç diğer bir kurala bağlanabilir. Örnek: Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
- 12. Threat Intelligence Threat Intelligence global değişik kaynaklara (IP Block List, Spammers etc.. ) entegrasyonu olarak oralardan kara listeleri çekip bunlarla ilgili uyarı sistemi oluşturmaya verilen addır. Örnek Kurallar Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme oturum açar ise tespit et, Port/Network Tarama Tespiti için örnek Log Korelasyon/SIEM kuralı:Bir saat içerisinde , aynı kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi yapılıyorsa alarm üret Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde 3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7 gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.
- 13. Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar, Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et. Fraud Tespiti için örnek Log Korelasyon/SIEM kuralı:Sisteminize, bir gün içerisinde , aynı kullanıcı farklı ülkelerden geliyorsa, muhtemelen fraud işlemi yapılıyordur. Birisi Networkünüzde DHCP server açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar RDP taraması yapan var mı? Tespiti için örnek Log Korelasyon/SIEM kuralı: Aynı IP den birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et. Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar. Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa uyar Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et, Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar, Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir. Danışmanlarınız uzaktan RDP ile şirketinize bağlanıyor ve bir portal üzerinden veya bir client kullanarak danışmanlıklarını verdikleri sisteme bağlanıyorlar. Böyle durumlarda kullabileceğiniz özel bir log korelasyon kuralı: Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar. Brute-force deneme tespiti için kullanılabilecek bir kural örneği:Eğer aynı IP’den, kısa zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa, bu loglar bir brute-force denemesine işaret ediyor olabilir. Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika içerisinde başka saldırının hedefi olmuş ise uyar, Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu kullanıcı ve bunu bloklayan kuralı tespit et, A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyarı almak veya aksiyon gerçekleştir, Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı ve sonrasında D olayı olursa uyar. Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı olmazsa ve sonrasında D olayı olursa uyar. Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan işletilmek üzere gönderilirse uyar W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login logu gelirse uyar Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından mail gönderildi ise uyar,
- 14. Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar. Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar. Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz) UnusualUDPTraffic üreten kaynak IP yi bildir IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar Bir IP taraması olursa uyar WEB üzerinden SQL atağı olursa uyar Mesai saatleri dışında sunuculara ulaşan olursa uyar Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum açmayı denerse uyar