Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Korelasyonun bunun olmazsa olmazıdır. Özellikle Türkiye'de korelasyon konusu üzerinde çalışmaya ihtiyaç vardır. Pek çok veri analiz yöntemi yanlış yönlendirme sonucu korelasyon olarak algılanabilmektedir.
1. KORELASYON GÖSTERMELİK DEĞİLDİR
ertugrul.akbas@anetyazilim.com.tr
eakbas@gmail.com
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç
kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır.
SIEM denilince akla korelasyon yetenekleri gelir. Bunun için SIEM sistemleri hazır bir kütüphane ile
gelir. Bu kütüphanede ne kadar sayıda kural, ne kadar geniş alanı tarıyor önemli bir kriterdir. Taradığı
alanlar aşağıdaki alanlar olabileceği gibi:
IPS/IDP kuralları
Cisco
Firewalls
Connections
General Applications
Windows
o User Management
o Group Management
o Machine Management
o Authentication
o Windows Firewall
o Authorization
o Audit Policy
o Software Management
o Access Violation
o File Management
o Risk Management
o Password Management
o Service Management
o Performance Monitoring
o File Replication
o Windows File Protection
o Printer
o SystemUptime
o NTDS Defragmentation
o Network
o Hardware Errors
FTP
DNS
Security
Network Monitor
Telnet
URL
Operating Systems
2. Sunucu güvenliği
WEB server güvenliği
Network Cihaları
o Cisco
o HP
o Dell
o Aruba
o Vb..
çok daha genişletmek d emümkündür. Ve bu bileşenler için hem güvenlik hem de hata durumu analizi
kuralları içerir.
Bundan başka ve daha önemli bir özellik ise ihtiyaçlar kapsamında kendi kurallarınızı geliştirebiliyor
olmaktır. Kural geliştirme yeteneğini ise 4 farklı seviye olarak ele alabiliriz:
Basit periyodik kurallar
Basit gerçek zamanlı kurallar
Senaryo kuralları
Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.
KORELASYON KURALLARI
Kullanıcıların kendi geliştirebileceği kuralları yukarıda 4 farklı kategoriye ayrılmıştık. Bunlara kısa
kısa örnekler verip, ANET tarafından geliştirilen ANALİZSEL KORELASYON YAKLAŞIMI
açıklayacağız
Basit periyodik kurallar
Bu tarz ürünleringerçekbirkorelasyonmotoruolduğundanbahsedilemez.Butarzsistemler
kullanıcınınara yüzde seçtiği değerlere göre arkaplandabirsorguoluştururve aşağıdaki resimdeki
gibi sorguyuveyabazenalarmdiye de adlandırılanbetiği herxxx saniyebirçalıştırgibi ayarlar
yaptırırlar. Dolayısı ile butarz ayarlar aslındabirmotor olmadığınave sonucunDB (SQL ,NoSQL,Flat
File) üzerinde periyodiksorguçalıştırmaklaüretilmeye çalışıldığınıgösterir.
Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan zaaflara sahiptirler.
Bu zaaflar 4 adettir
1. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod
içindeki olaylar anında yakalanamaz
2. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir
performans problemine sebep olur
3. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz
3. 4. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz
Basit gerçek zamanlı kurallar
Gerçek zamanlı bir korelasyon kuralına sahip olup, senaryo yazmaya elverişli olmasalar bile bazı
temel kuralları işletebilirler. Örnek kurallar:
1. Her hangi bir log kaynağına ait loglarda bir olay gerçekleşirse,
2. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay
gerçekleşirse,
3. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay
gerçekleşmez ise,
4. A kaynağına ait bir olay gerçekleştikten sonra t süresi içerisinde gene A kaynağına ait
olaydan bir ya da n adet gerçekleşirse (hakeza bu n kere tekrarlanabilir),
5. A tipindekiherhangibircihazdanXtüründe birloggeldiktensonraki5dakikaiçerisindediğer
cihazlarınherhangi birindenYtüründeki veyaZtüründeki birlog20 defadanfazlagelirse
alarm oluşturv.b
6. Ayrıştırılan alanlar üzerinden korelasyon adımlarında filtreleme yapılabilmelidir.
Örnek: IDS attack info = buffer overflow ise, hedef IP = 10.10.10.10 ise gibi,
Senaryo kuralları
Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.
Örnek kural:
1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyar.
Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.
Bu yaklaşım, çeşitli parametrelere logları kategorize eden otomatik bir süreçtir ( genellikle mesajlar
paternlere göre analize edilir.). Bu sınıflar önceden belirlenmiş olup patter sınıf ilişkisi kurulmuştur.
Sistem loglar akarken sınıfsal korelasyona tabi tutulur ve daha önceden belirlemiş sınıflardan birine
dahil edilir. Böylece aşağıdaki gibi kurallar yazılabilir.
Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden
(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme
oturum açar ise haber ver.
Sistemlerden herhangi birinden WEB erişimi olduktan sonra o sistemin ürettiği
trafik artarsa haber ver.