SlideShare a Scribd company logo

SOC ve SIEM Çözümlerinde Korelasyon

Ertugrul Akbas
Ertugrul Akbas

Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır • Gerçek zamanlı korelasyon yapabilenler • Periyodik sorgu ile korelasyon yapanlar Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır • Hiç gerçek zamanlı sorgu çalıştıramayanlar • Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5] Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım

Technology
1 of 7
Download to read offline
SOC ve SIEM Çözümlerinde Korelasyon Dr. Ertuğrul AKBAŞ
Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır • Gerçek zamanlı korelasyon yapabilenler • Periyodik sorgu ile korelasyon yapanlar Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır • Hiç gerçek zamanlı sorgu çalıştıramayanlar • Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5] Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım En Basit Kalıp X logu gelirse tespit et Bu kalıpta karar verme veya arama gelen tek bir loğa bakılarak yapılıyor. Ne geçmiş ne de gelecekle ilişkilendirme yok. Örnek Senaryolar: • Domain admin grubuna bir kullanıcı eklenirse • Mesai saati dışında VPN yapan olursa • Yeni bir kullanıcı eklenirse Sayma Kalıbı (Threshold) Belirli bir süre içinde belirli bir sayıda olay olursa Örnek Senaryolar: • 5 dakikada 50 tane yanlış şifre denemsi olursa • Aynı kullanıcı 10 dakika içinde 5 farklı makinede yanlış şifre girerse • Aynı IP den farklı portlara 5 dakika içinde 100 tane bağlantı kurulursa Çapraz Bağlama Önceki olaylarla sonraki olayları ilişkilendirme
Örnek Senaryolar: • Antivirüs bir makinada virüs tespit ettikten sonra, virüs tespit edilen makinaya RPD yapan veya deneyen olursa • Bir kullanıcı oluşturulur, daha sonra o kullanıcı ile işlem yapılır ve aynı gün içinde o kullanıcı silinirse • VPN yapan bir kullanıcı RDP yapmaması gereken bir makinaya RDP yapar veya denerse tespit et • VPN yapan bir kullanıcı çalıştırmaması gereken bir uygulamayı çalıştırır veya çalıştırmayı denerse tespit et Yukarıdaki iki senaryo tipini en basit ve ücretsiz bir SIEM ürününden beklememiz gereken özellikler. Bu özelliklere sahip olmayan bir üründen uzak durulması gerekir. Bu temel özelliklerin üzerine aşağıdaki gibi daha gelişmiş korelasyon yeteneklerine günümüz dünyasında saldırganlara karşı ihtiyaç duyulduğu aşikârdır. Gelişmiş Senaryolar Gelişmiş senaryolar yukarıdaki senaryoların yetersiz kalacağı saldırı ve şüpheli aktivite tespitini sağlar Gelişmiş Çapraz Bağlama Önceki olaylarla sonraki olayları ilişkilendirme yaparken ayrıca şart eklenerek yazılan kurallar Örnek Senaryolar: • Bir kullanıcı oluşturulur, ve hiç kullanılmadan 10 dakika içinde silinirse alarm üretme çünkü bu admin kullanıcısının yaptığı bu harf hatası, veya büyük harf küçük harf yada Türkçe karakter hatasıdır ama daha sonra o kullanıcı ile işlem yapılır ve aynı gün içinde o kullanıcı silinirse veya hiç işlem yapılmasa bile gün sonunda silinirse tespit et • Gelişmiş Çapraz Bağlama ve Sayma Bir arada Önceki olaylarla sonraki olayları ilişkilendirme yaparken ayrıca şart eklenerek yazılan kuralların daha sonra sayıya bağlı olaylarla bağlanması
Örnek Senaryolar: • Yeni bir kullanıcı oluşturduktan sonra bu oluşturulan kullanıcı ile 30 dakika içinde 5 den fazla ve arada bu yeni oluşturtulan kullanıcı ile hiç başarılı oturum açmadan yanlış şifre denesi olursa tespit et Listeler: Listeler korelasyonu destekleyen önemli özelliklerden biridir. Her ürünün liste kullanma kapasitesi incelenmelidir. SureLog SIEM [10], Qradar, Exabeam gibi ürünlerin dokümanları incelenebilir. Tek Boyutlu Listelerin Kullanılması: Herhangi bir olayın bir listede olup olmadığının kontrolü Örnek Senaryolar: • VPN yapan bir kullanıcı VPN devam ederken lokal olarak da login yaparsa tespit et • Disable edilen bir kullanıcı hesabı enable edilmeden kullanılmaya çalışılırsa tespit et ama enable edildikten sonra kullanılırsa uyarma • Çok Boyutlu Listelerin Kullanılması: Herhangi bir olayın çok boyutlu bir listede olup olmadığının kontrolü Örnek Senaryolar: • Bir kullanıcı, izin verilen IP sadece izin verilen domaine erişim yapabilir. Bunun dışında bir deneme olursa tespit et. Listelerle birlikte listelerde yapılabilecek işlemler ve liste operatörleri de çok önemli korelasyon yeteneklerindendir [10]. Özel korelasyon algoritmaları: Yukarıdaki yöntemlerin dışında özel tespit yöntemleri. Mesela sayma kurallarında bütün ürünlerde zaman üst limiti tanımlanır, 5 dakika içinde gibi ama bazen de alt limit tanımlamak gerekir.
Örnek Senaryolar: • Ağda en az 30 gün veya daha uzun süre (40 gün, 90 gün, 360 gün vb..) ses çıkarmayan, görünmeyen cihaz veya ,kullanıcılar tekrar ağda belirir, görünürse otomatik olarak bu kullancı ve cihazları disable et veya blokla. • Son 30 gündür kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin! • En az 15 gündür (20,30,40…265 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar. • Bir kullanıcı en az bir aydır bağlantı kurulmadığı bir ülke ile tekrar bağlantı kurarsa( gelen- giden trafik) uyar • En azından son 30 gündür kullanılmayan bir port yeniden kullanılmaya başlarsa uyar Yukarıdaki gelişmiş korelasyon yöntemleri çok kritik özelliklerdir. Bu teknolojiye UEBA, istatistiksel ve matematiksel yöntemler ve Rule As Code [11] gibi yeni teknolojiler gelişen saldırıların bir sonucu olarak geliştirilerek eklenmiştir. UEBA, İstatistiksel ve Matematiksel Yöntemler ve Rule As Code Burada çok çeşitli senaryo tipleri mevcuttur. Okuyucunun kafasında canlanması açısından çok önemli gördüklerimle ilgili örnekler vereceğim Geçmişle Karşılaştırma: Aynı olayın geçen saat, geçen gün, geçen hafta, geçen ay ile karşılaştırılması Örnek Senaryolar: • Son 1 saatte gönderilen ve alınan toplam e-posta sayısı, geçen hafta aynı saatle karşılaştırıldığında %30 daha fazlaysa tespit et • Bir web sunucuya son saat içinde gelen toplam istek sayısı, geçen hafta aynı gün aynı saattekine göre %30 yukarıda ise uyar Anormalliklerin Tespiti: Bir olayın anormal olup olmadığının tespiti
Örnek Senaryolar: • Bir kullanıcı daha önce hiç yapmadığı bir şey yaparsa tespit et • Bir kullanıcı daha önce hiç yapmadığı makinada bir şey yaparsa tespit et. (Başka makinalarda yapmış ama bunda hiç yapmamış) • Bir kullanıcı daha önce hiç vpn yapmadığı bir ülkeden VPN yaparsa tespit et • Bir kullanıcının login saati anormal ise tespit et • Ağdaki failed login sayısı anormal ise tespit et Matematiksel ve İstatistiksel Yöntemler: Bir senaryonun tespiti için matematik ve istatistik algoritmaların kullanılması Örnek Senaryolar: • Bir kullanıcının son saat içinde toplam oluşturduğu trafik, son haftaki toplam trafik kullanımının yüzdebirlik (percentile) kısmından %10 fazla ise uyar • Bir kullanıcının varlık sayısının (asset) yüzde 95'lik diliminden daha fazlasına erişim yaptığı günü tespit et • Son dört hafta oranına göre haftanın dördüncü gününde diğer kullanıcıların %95'inden %300 daha fazla HTTP ile DNS protokolü oranına sahip bir kullanıcı varsa tespit et. Nadirlik Tespiti (Rarity Detection) : Bir olayın nadir olması şüphe çeken bir durumdur. Bunun tespiti Örnek Senaryolar: • Herhangi bir portun kullanımı nadir ise tespit et • Herhangi bir uygulamanın kullanımı nadir ise tespit et Rule As code: Kuralların kod şeklinde geliştirilmesi [11] Örnek Senaryolar: • Bir ağda son bir saat içindeki başarısız login sayılarının toplamının başarılı login sayılarının toplamına oranı %5 i geçerse uyar Ağdaki failed login sayısı anormal ise tespit et • En az 50 benzersiz IP'den gelen 15.000'den fazla olayın, bu olayların en fazla 10 farklı kategoriye ait olduğu 3 dakika içinde mevcut ise bildirim gönder. • Günlüklerdeki ekleme sayısı ile izlenen kritik tabloya eklenen satır sayısı arasında anormallikleri tespit et.
• Veri kaybı tespiti: Bir veritabanı tablosunun günlüklerini veri eklemeleri ile karşılaştırarak herhangi bir anormallik için izle. Eğer günlüklerdeki ekleme sayısı tabloya eklenen satır sayısından önemli ölçüde daha düşükse, bu potansiyel veri kaybı veya silinme işaret edebilir. • Veritabanı performans sorunlarının tespiti: Bir veritabanı tablosunun günlüklerini veri eklemeleri ile karşılaştırarak herhangi bir tutarsızlık için izle. Eğer günlüklerdeki ekleme sayısı tabloya eklenen satır sayısından önemli ölçüde daha yüksekse, bu yavaş veya başarısız sorgular gibi veritabanı performans sorunlarını işaret edebilir. • Yetkisiz veri erişiminin tespiti: Hassas bir veritabanı tablosuna erişimi günlükler üzerinden takip et ve günlüklerdeki ekleme sayısını tabloya eklenen satır sayısıyla karşılaştır. İki sayı arasında önemli bir fark varsa, bu, verilere yetkisiz erişim olabileceğini bildirmek için bir uyarı oluştur. • Veri manipülasyonunun tespiti: Bir veritabanı tablosunun günlüklerini gerçek veri eklemeleri ile karşılaştır Yukarıdaki senaryolara benzer yüzlerce senaryoyu [12] referansta bulabilirsiniz. Referanslar 1. https://community.splunk.com/t5/Splunk-Search/Real-Time-Search-Issues/m-p/423805 2. https://answers.splunk.com/answers/433872/why-are-real-time-searches-not-running-and- getting.html 3. https://docs.splunk.com/Documentation/Splunk/latest/Search/Realtimeperformanceandlimitati ons 4. https://answers.splunk.com/answers/671819/real-time-alert-1.html 5. https://docs.microsoft.com/en-us/azure/sentinel/near-real-time-rules 6. https://www.peerspot.com/articles/the-math-of-siem-comparison 7. https://www.peerspot.com/articles/how-to-select-the-right-siem-solution 8. https://www.peerspot.com/articles/what-really-matters-when-selecting-a-siem-and-how-to- choose-a-siem-looking-into-the-correlation 9. https://medium.com/@surelog/surelog-lists-b952aca0a047 10. https://www.researchgate.net/publication/351905003_The_Math_of_SIEM_Comparison 11. https://www.researchgate.net/publication/328874259_Rule_as_a_Code- SureLog_Correlation_Engine_and_Beyond 12. https://www.researchgate.net/publication/372458912_Extraordinary_SOC_SIEM_Use_Cases

Recommended

Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıErtugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaErtugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimiErtugrul Akbas
 

Recommended

Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıErtugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaErtugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimiErtugrul Akbas
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımlarıbilgisayarteknolojileri
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
Audit Policy
Audit PolicyAudit Policy
Audit Policylogyonetimi
 
Laravel 4 - Events and Queues - 2013.12.21
Laravel 4 - Events and Queues - 2013.12.21Laravel 4 - Events and Queues - 2013.12.21
Laravel 4 - Events and Queues - 2013.12.21Arda Kılıçdağı
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİErtugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiPRISMA CSI
 
Buluta Ilk Adım Analizi
Buluta Ilk Adım AnaliziBuluta Ilk Adım Analizi
Buluta Ilk Adım AnaliziGokhan Boranalp
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplamaErtugrul Akbas
 
Test
TestTest
TestMehmet Cem
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaSoftware Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaKemal Yiğit Özdemir
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..Emrah Gürcan
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Ahmet Yanik
 
Oracle Policy Automation ile Karar Ve Kural Otomasyonu
Oracle Policy Automation ile Karar Ve Kural OtomasyonuOracle Policy Automation ile Karar Ve Kural Otomasyonu
Oracle Policy Automation ile Karar Ve Kural OtomasyonuGökhan Engin
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?Ertugrul Akbas
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
 

More Related Content

Similar to SOC ve SIEM Çözümlerinde Korelasyon

Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
Laravel 4 - Events and Queues - 2013.12.21
Laravel 4 - Events and Queues - 2013.12.21Laravel 4 - Events and Queues - 2013.12.21
Laravel 4 - Events and Queues - 2013.12.21Arda Kılıçdağı
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİErtugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiPRISMA CSI
 
Buluta Ilk Adım Analizi
Buluta Ilk Adım AnaliziBuluta Ilk Adım Analizi
Buluta Ilk Adım AnaliziGokhan Boranalp
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaSoftware Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaKemal Yiğit Özdemir
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Ahmet Yanik
 
Oracle Policy Automation ile Karar Ve Kural Otomasyonu
Oracle Policy Automation ile Karar Ve Kural OtomasyonuOracle Policy Automation ile Karar Ve Kural Otomasyonu
Oracle Policy Automation ile Karar Ve Kural OtomasyonuGökhan Engin
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 

Similar to SOC ve SIEM Çözümlerinde Korelasyon (20)

Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
 
Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
Laravel 4 - Events and Queues - 2013.12.21
Laravel 4 - Events and Queues - 2013.12.21Laravel 4 - Events and Queues - 2013.12.21
Laravel 4 - Events and Queues - 2013.12.21
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
 
Buluta Ilk Adım Analizi
Buluta Ilk Adım AnaliziBuluta Ilk Adım Analizi
Buluta Ilk Adım Analizi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
Test
TestTest
Test
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaSoftware Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)
 
Oracle Policy Automation ile Karar Ve Kural Otomasyonu
Oracle Policy Automation ile Karar Ve Kural OtomasyonuOracle Policy Automation ile Karar Ve Kural Otomasyonu
Oracle Policy Automation ile Karar Ve Kural Otomasyonu
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 

More from Ertugrul Akbas

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakErtugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıErtugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast EditionErtugrul Akbas
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent responseErtugrul Akbas
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).Ertugrul Akbas
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMErtugrul Akbas
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 

SOC ve SIEM Çözümlerinde Korelasyon

  • 1. SOC ve SIEM Çözümlerinde Korelasyon Dr. Ertuğrul AKBAŞ
  • 2. Korelasyon SIEM ürünleri ile saldırı, şüpheli aktivite ve gözetleme işini yapan kısımdır. SIEM ürünlerinin en kritik, en önemli ve en değerli yeteneği korelasyon yeteneğidir. Ürünlerin korelasyon yetenekleri öncelikle ikiye ayrılır • Gerçek zamanlı korelasyon yapabilenler • Periyodik sorgu ile korelasyon yapanlar Periyodik sorgu ile korelasyon yapan ürünler de kendi aralarında ikiye ayrılır • Hiç gerçek zamanlı sorgu çalıştıramayanlar • Gerçek zamanlı sorgu çalıştırıp ama sayısına limit koyanlar [1,2,3,4,5] Saldırı, şüpheli aktivite ve gözetleme işini yaparken SIEM ürünlerinde korelasyon kurallarını veya makine öğrenmesi modellerini, istatistiksel ve matematiksel tespit yöntemlerini kullanırız. Dolayısı ile tespit işlemi de kendi arasında alt kategorilere ayrılır. Mevcutta bulunan ürünlerin detaylı korelasyon özelliklerinin anlatıldığı [6,7,8] numaralı referanslara bakılabilir. Ben bu makalede daha kolay kıyaslama yapılabilmesi adına öteden beri var olan ve en basit SIEM ürünlerinde bile olmasa gereken senaryo kalıplarını ve her kalıpla ilgili akılda canlanması için birkaç örnek senaryoyu ve daha sonra da iyi bir SIEM de olması gereken senaryo kalıplarını ve birer ikişer adet örneği paylaşacağım En Basit Kalıp X logu gelirse tespit et Bu kalıpta karar verme veya arama gelen tek bir loğa bakılarak yapılıyor. Ne geçmiş ne de gelecekle ilişkilendirme yok. Örnek Senaryolar: • Domain admin grubuna bir kullanıcı eklenirse • Mesai saati dışında VPN yapan olursa • Yeni bir kullanıcı eklenirse Sayma Kalıbı (Threshold) Belirli bir süre içinde belirli bir sayıda olay olursa Örnek Senaryolar: • 5 dakikada 50 tane yanlış şifre denemsi olursa • Aynı kullanıcı 10 dakika içinde 5 farklı makinede yanlış şifre girerse • Aynı IP den farklı portlara 5 dakika içinde 100 tane bağlantı kurulursa Çapraz Bağlama Önceki olaylarla sonraki olayları ilişkilendirme
  • 3. Örnek Senaryolar: • Antivirüs bir makinada virüs tespit ettikten sonra, virüs tespit edilen makinaya RPD yapan veya deneyen olursa • Bir kullanıcı oluşturulur, daha sonra o kullanıcı ile işlem yapılır ve aynı gün içinde o kullanıcı silinirse • VPN yapan bir kullanıcı RDP yapmaması gereken bir makinaya RDP yapar veya denerse tespit et • VPN yapan bir kullanıcı çalıştırmaması gereken bir uygulamayı çalıştırır veya çalıştırmayı denerse tespit et Yukarıdaki iki senaryo tipini en basit ve ücretsiz bir SIEM ürününden beklememiz gereken özellikler. Bu özelliklere sahip olmayan bir üründen uzak durulması gerekir. Bu temel özelliklerin üzerine aşağıdaki gibi daha gelişmiş korelasyon yeteneklerine günümüz dünyasında saldırganlara karşı ihtiyaç duyulduğu aşikârdır. Gelişmiş Senaryolar Gelişmiş senaryolar yukarıdaki senaryoların yetersiz kalacağı saldırı ve şüpheli aktivite tespitini sağlar Gelişmiş Çapraz Bağlama Önceki olaylarla sonraki olayları ilişkilendirme yaparken ayrıca şart eklenerek yazılan kurallar Örnek Senaryolar: • Bir kullanıcı oluşturulur, ve hiç kullanılmadan 10 dakika içinde silinirse alarm üretme çünkü bu admin kullanıcısının yaptığı bu harf hatası, veya büyük harf küçük harf yada Türkçe karakter hatasıdır ama daha sonra o kullanıcı ile işlem yapılır ve aynı gün içinde o kullanıcı silinirse veya hiç işlem yapılmasa bile gün sonunda silinirse tespit et • Gelişmiş Çapraz Bağlama ve Sayma Bir arada Önceki olaylarla sonraki olayları ilişkilendirme yaparken ayrıca şart eklenerek yazılan kuralların daha sonra sayıya bağlı olaylarla bağlanması
  • 4. Örnek Senaryolar: • Yeni bir kullanıcı oluşturduktan sonra bu oluşturulan kullanıcı ile 30 dakika içinde 5 den fazla ve arada bu yeni oluşturtulan kullanıcı ile hiç başarılı oturum açmadan yanlış şifre denesi olursa tespit et Listeler: Listeler korelasyonu destekleyen önemli özelliklerden biridir. Her ürünün liste kullanma kapasitesi incelenmelidir. SureLog SIEM [10], Qradar, Exabeam gibi ürünlerin dokümanları incelenebilir. Tek Boyutlu Listelerin Kullanılması: Herhangi bir olayın bir listede olup olmadığının kontrolü Örnek Senaryolar: • VPN yapan bir kullanıcı VPN devam ederken lokal olarak da login yaparsa tespit et • Disable edilen bir kullanıcı hesabı enable edilmeden kullanılmaya çalışılırsa tespit et ama enable edildikten sonra kullanılırsa uyarma • Çok Boyutlu Listelerin Kullanılması: Herhangi bir olayın çok boyutlu bir listede olup olmadığının kontrolü Örnek Senaryolar: • Bir kullanıcı, izin verilen IP sadece izin verilen domaine erişim yapabilir. Bunun dışında bir deneme olursa tespit et. Listelerle birlikte listelerde yapılabilecek işlemler ve liste operatörleri de çok önemli korelasyon yeteneklerindendir [10]. Özel korelasyon algoritmaları: Yukarıdaki yöntemlerin dışında özel tespit yöntemleri. Mesela sayma kurallarında bütün ürünlerde zaman üst limiti tanımlanır, 5 dakika içinde gibi ama bazen de alt limit tanımlamak gerekir.
  • 5. Örnek Senaryolar: • Ağda en az 30 gün veya daha uzun süre (40 gün, 90 gün, 360 gün vb..) ses çıkarmayan, görünmeyen cihaz veya ,kullanıcılar tekrar ağda belirir, görünürse otomatik olarak bu kullancı ve cihazları disable et veya blokla. • Son 30 gündür kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin! • En az 15 gündür (20,30,40…265 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar. • Bir kullanıcı en az bir aydır bağlantı kurulmadığı bir ülke ile tekrar bağlantı kurarsa( gelen- giden trafik) uyar • En azından son 30 gündür kullanılmayan bir port yeniden kullanılmaya başlarsa uyar Yukarıdaki gelişmiş korelasyon yöntemleri çok kritik özelliklerdir. Bu teknolojiye UEBA, istatistiksel ve matematiksel yöntemler ve Rule As Code [11] gibi yeni teknolojiler gelişen saldırıların bir sonucu olarak geliştirilerek eklenmiştir. UEBA, İstatistiksel ve Matematiksel Yöntemler ve Rule As Code Burada çok çeşitli senaryo tipleri mevcuttur. Okuyucunun kafasında canlanması açısından çok önemli gördüklerimle ilgili örnekler vereceğim Geçmişle Karşılaştırma: Aynı olayın geçen saat, geçen gün, geçen hafta, geçen ay ile karşılaştırılması Örnek Senaryolar: • Son 1 saatte gönderilen ve alınan toplam e-posta sayısı, geçen hafta aynı saatle karşılaştırıldığında %30 daha fazlaysa tespit et • Bir web sunucuya son saat içinde gelen toplam istek sayısı, geçen hafta aynı gün aynı saattekine göre %30 yukarıda ise uyar Anormalliklerin Tespiti: Bir olayın anormal olup olmadığının tespiti
  • 6. Örnek Senaryolar: • Bir kullanıcı daha önce hiç yapmadığı bir şey yaparsa tespit et • Bir kullanıcı daha önce hiç yapmadığı makinada bir şey yaparsa tespit et. (Başka makinalarda yapmış ama bunda hiç yapmamış) • Bir kullanıcı daha önce hiç vpn yapmadığı bir ülkeden VPN yaparsa tespit et • Bir kullanıcının login saati anormal ise tespit et • Ağdaki failed login sayısı anormal ise tespit et Matematiksel ve İstatistiksel Yöntemler: Bir senaryonun tespiti için matematik ve istatistik algoritmaların kullanılması Örnek Senaryolar: • Bir kullanıcının son saat içinde toplam oluşturduğu trafik, son haftaki toplam trafik kullanımının yüzdebirlik (percentile) kısmından %10 fazla ise uyar • Bir kullanıcının varlık sayısının (asset) yüzde 95'lik diliminden daha fazlasına erişim yaptığı günü tespit et • Son dört hafta oranına göre haftanın dördüncü gününde diğer kullanıcıların %95'inden %300 daha fazla HTTP ile DNS protokolü oranına sahip bir kullanıcı varsa tespit et. Nadirlik Tespiti (Rarity Detection) : Bir olayın nadir olması şüphe çeken bir durumdur. Bunun tespiti Örnek Senaryolar: • Herhangi bir portun kullanımı nadir ise tespit et • Herhangi bir uygulamanın kullanımı nadir ise tespit et Rule As code: Kuralların kod şeklinde geliştirilmesi [11] Örnek Senaryolar: • Bir ağda son bir saat içindeki başarısız login sayılarının toplamının başarılı login sayılarının toplamına oranı %5 i geçerse uyar Ağdaki failed login sayısı anormal ise tespit et • En az 50 benzersiz IP'den gelen 15.000'den fazla olayın, bu olayların en fazla 10 farklı kategoriye ait olduğu 3 dakika içinde mevcut ise bildirim gönder. • Günlüklerdeki ekleme sayısı ile izlenen kritik tabloya eklenen satır sayısı arasında anormallikleri tespit et.
  • 7. • Veri kaybı tespiti: Bir veritabanı tablosunun günlüklerini veri eklemeleri ile karşılaştırarak herhangi bir anormallik için izle. Eğer günlüklerdeki ekleme sayısı tabloya eklenen satır sayısından önemli ölçüde daha düşükse, bu potansiyel veri kaybı veya silinme işaret edebilir. • Veritabanı performans sorunlarının tespiti: Bir veritabanı tablosunun günlüklerini veri eklemeleri ile karşılaştırarak herhangi bir tutarsızlık için izle. Eğer günlüklerdeki ekleme sayısı tabloya eklenen satır sayısından önemli ölçüde daha yüksekse, bu yavaş veya başarısız sorgular gibi veritabanı performans sorunlarını işaret edebilir. • Yetkisiz veri erişiminin tespiti: Hassas bir veritabanı tablosuna erişimi günlükler üzerinden takip et ve günlüklerdeki ekleme sayısını tabloya eklenen satır sayısıyla karşılaştır. İki sayı arasında önemli bir fark varsa, bu, verilere yetkisiz erişim olabileceğini bildirmek için bir uyarı oluştur. • Veri manipülasyonunun tespiti: Bir veritabanı tablosunun günlüklerini gerçek veri eklemeleri ile karşılaştır Yukarıdaki senaryolara benzer yüzlerce senaryoyu [12] referansta bulabilirsiniz. Referanslar 1. https://community.splunk.com/t5/Splunk-Search/Real-Time-Search-Issues/m-p/423805 2. https://answers.splunk.com/answers/433872/why-are-real-time-searches-not-running-and- getting.html 3. https://docs.splunk.com/Documentation/Splunk/latest/Search/Realtimeperformanceandlimitati ons 4. https://answers.splunk.com/answers/671819/real-time-alert-1.html 5. https://docs.microsoft.com/en-us/azure/sentinel/near-real-time-rules 6. https://www.peerspot.com/articles/the-math-of-siem-comparison 7. https://www.peerspot.com/articles/how-to-select-the-right-siem-solution 8. https://www.peerspot.com/articles/what-really-matters-when-selecting-a-siem-and-how-to- choose-a-siem-looking-into-the-correlation 9. https://medium.com/@surelog/surelog-lists-b952aca0a047 10. https://www.researchgate.net/publication/351905003_The_Math_of_SIEM_Comparison 11. https://www.researchgate.net/publication/328874259_Rule_as_a_Code- SureLog_Correlation_Engine_and_Beyond 12. https://www.researchgate.net/publication/372458912_Extraordinary_SOC_SIEM_Use_Cases