EN

SIEM Korelasyon Kurallarının En Çok Kullanıldığı 5 Alan

04 Temmuz 2019

SIEM (Security Information and Event Management) yazılımı gerçek zamanlı bir şekilde ağda gerçekleşen olayların görülmesini sağlar ve BT çalışanlarının güvenlikle ilgili tehditlere karşı önlem almasına yardımcı olur.

Güvenliğin önemli bir bileşeni olan SIEM, farklı sistemlerden (güvenlik cihazları, ağ cihazları, sunucular, uygulamalar vb.) gelen log verilerini toplar, oluşabilecek saldırıları tespit edebilmek için bu verileri ilişkilendirir ve analiz eder ve bilgiyi daha sonra kullanmak üzere saklar. Bu bilgilerle güvenlik ihlalleri incelenebilir.

SIEM başarılı bir şekilde uygulandığında ve yapılandırıldığında, iç ve dış tehditleri yakalama, yetkili kullanıcı davranışlarını ve kaynaklara erişimi izleme, raporlama sağlama, güvenlik ihlali olması ya da siber saldırıya uğranması durumunda gerekli eylemlerin gerçekleştirilmesine yardımcı olma gibi faydaları sağlamaktadır.

SIEM aşamaları aşağıda gösterildiği şekilde gerçekleşmektedir.

SIEM’in aşamalarından biri olan korelasyon, tehditlerin belirlenmesinde oldukça büyük bir öneme sahiptir ve false positive oranını düşürmesiyle de güvenlik araştırmacılarının zamanını ve enerjisini verimli kullanmasına olanak sağlamaktadır. Korelasyon farklı sistemlerden gelen log verilerini birbirleriyle ilişkilendirir ve herhangi bir tehdit modeline uyması durumunda gelen saldırıyı tespit etmeyi mümkün kılar. Korelasyon kuralları kurumların karşılaşabileceği tehditler göz önüne alınarak özelleştirilebilir. Gelebilecek tehditlerin sürekli şekil değiştirmesine bağlı olarak korelasyon kuralları da sürekli bir değişim içinde olmalıdır ve güncel tutulmalıdır.

Korelasyon kurallarının yazıldığı bazı alanlar ve bu alanlarla ilgili yazılmış örnek kurallar aşağıda belirtilmektedir:

1. İç Tehdit Tespiti İçin Korelasyon Kuralları

Kurumlar için tehditlerin oldukça büyük bir bölümü kendi çalışanlarından gelebilmektedir. Bu durumda kullanıcıların kaynaklara ne zaman ve hangi yetkiyle eriştiğini kontrol etmek büyük önem taşımaktadır. SIEM çözümü, kurumlar tarafından belirlenen kullanıcı rolleri ve yetkilerini göz önüne alarak iş saatleri dışında dahi kullanıcı davranışlarını izleyebilmektedirler. SIEM çözümünün iç tehditlere karşı kullanabileceği bazı örnek kurallar aşağıdaki şekildedir:

- MySQL tarafında bir kullanıcı SELECT user FROM mysql.user; veya SELECT host, user, password FROM mysql.user; benzeri sorgular yaparsa alarm üret.
- File Server tarafında share edilmiş bir dosyada yazma yetkisi olmayan bir kullanıcı son 60 saniye içerisinde 3'den fazla yazma isteğinde bulunursa alarm üret.

2. Brute Force Saldırılarının Tespiti İçin Korelasyon Kuralları

Her geçen gün daha etkin ve hızlı parola kırma araçlarının gelişmesiyle birlikte kurumlar bu alanda da tehlike altındadır. Olası bir saldırının başarılı olmadan önce fark edilmesi ve saldırıya müdahale edilmesi gerekmektedir. SIEM çözümünün bu konuda bazı örnek korelasyon kuralları aşağıdaki şekildedir:

- Aynı IP adresi aynı makineye 30 saniyede 6’dan fazla başarısız oturum açma girişiminde bulunursa alarm üret.
- Brute Force aktivitesi olan bir IP adresinin herhangi bir logon aktivitesi görülürse alarm üret.

3. Uygulama Güvenliği İçin Korelasyon Kuralları

Kurumlar uygulama güvenlikleri için kullandıkları WAF gibi teknolojilerin log verileriyle SIEM çözümünü kullanabilmektedirler. Bu alandaki güvenliği sağlamak amacıyla kullanılan bazı SIEM korelasyon kuralları aşağıdaki şekildedir:

- İç tarafta konumlandırılacak Database, Web Application, ICS/SCADA, IoT Honeypot tarafına session yaratan IP adresleri için alarm üret.
- Kullanılan open-source web uygulamasının eklenti dizinlerine GET - POST isteği yaratan IP adresleri için alarm üret.

4. Zararlı Yazılım Kontrolü İçin Korelasyon Kuralları

Kurumların kötü amaçlı yazılımlar için kullandığı tüm güvenlik ürünlerinden gelen log verileri SIEM korelasyon kurallarıyla etkili bir şekilde kullanılır ve false positive oranı oldukça düşük olacak şekilde alarmlar üretilir. Zararlı yazılım tespitleri için kullanılabilecek bazı korelasyon kuralları aşağıdaki şekildedir:

- Endpoint tarafının zararlı tespit ettiği IP adresi aynı zamanda kritik sunuculara session başlatırsa alarm üret.
- Son 1 hafta içerisinde 3'den fazla Endpoint tarafının zararlı tespit ettiği kullanıcı adları için alarm üret.

5. Log Kaynaklarının Şüpheli Davranış Tespiti İçin Korelasyon Kuralları

Saldırganlar bir sistemi ele geçirdikten sonra log kaynaklarını devre dışı bırakıp SIEM çözümünü durdurma faaliyeti gösterebilmektedirler. Bu durum log gönderimini tamamen durdurmak ya da SIEM ile uç sistem arasındaki bant genişliğini olumsuz yönde etkileyecek kadar çok ilişkisiz dosya gönderimi yapmak şeklinde gerçekleştirilebilir.  SIEM çözümünün bu sorunu ele alabilmesi için yazılabilecek bazı korelasyon kuralları aşağıdaki gibidir:

- Uç sistem 1 saatten daha fazla sürede log göndermemişse alarm üret.
- Log kaynağı 1 saatte eşik değerinden fazla log verisi üretmişse alarm üret.

[1] https://packetzone.net/






İlgili İçerikler:

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog