Log Yönetimi Yazılımı Kullanarak
Saldırı Tespiti, Zafiyet Analizi ve Güvenlik Yönetimi Nasıl Yapılır?
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
Zafiyet (vulnerability), sistemlerde
tehditlere hedef olabilecek yapısal ve konfigürasyonel açıklıklardır.
Tehdit (threat): Sistemlerdeki açıkları
kullanarak sistemleri ele geçirme veya devre dışı bırakmaya yönelik
kullanılabilen suiistimallerdir.
Log Yönetimi yapılan sistemlerde bu yazılımların
yetenekleri kullanılarak güvenlik açıklarını bulup otomatik aksiyonlar alınması
sağlanabilir ve bununla birlikte otomatik uyarı ve aksiyonlar sağlanabilir.
Bir uçağın kara kutusu önemindeki Log Yönetimi
maalesef 5651 Sayılı kanunun satış bakış açısıyla önemsizleştirilmesinden
dolayı yerinde kullanılmamaktadır. Türkiye’deki en büyük sıkıntı, Log Yönetimi
sürecinin başlı başlına bir süreç olarak değerlendirilmemesidir. Bunun için
farkındalık sağlanması, Log Yönetimi’nin sadece arabaların kaskoları gibi kaza
olduğunda kullanılmayıp (reaktif), kaza olmadan belirtilerden yola çıkarak hem
suistimali önlemek hem de sistem performansını iyileştirmek için kullanılması
(proaktif) gerektiğinin anlatılması gerekmektedir. Bu çalışmada Log
Yönetimi/SIEM uygulamalarını yerinde kullanılırsa ne faydalar elde edilir?
Sorusuna cevap arayacağız.
Bütünleşik Siber Güvenlik Yapısının en önemli
analiz katmanı Log Yönetimi/SIEM katmanıdır.
Risk = (etki) x (ihtimal) olarak düşünüldüğünde
etki ve ihtimali azaltacak/ortadan kaldıracak kontroller uygulanmalıdır. Bu
noktada Log Yönetimi, kontrol olarak devreye girer.
Log
Yönetimi Uzmanları’nın görevi sadece iz kayıtlarını tuttukları sistemlerden
gelen logları depolamak değil; ilgili sistem yöneticileri ve bilgi
güvenliği/risk yönetimi uzmanlarıyla birlikte, yasal zorunlulukları göz önünde
bulundurarak gelen logları analiz etmek, gerekli rapor ve alarm mekanizmalarını
Yönetim onayı ile BT Yönetimi (IT Governance)’ne dahil etmek olmalıdır.
Kurulacak
sistemler zeki sistemler olmalıdır[1] log yönetiminden sadece logları
arşivlemek anlaşılmamalıdır.
Aşağıdaki
hatalar yapılmamalıdır [2]
·
not logging at all.
·
not looking at the
logs
·
storing logs for
too short a time
·
prioritizing the
log records before collection
·
ignoring the logs
from applications
·
only looking at
what they know is bad
Ayrıca
en önemli hatalardan biri de Log Yönetimi ile Olay Korelasyonu aynı şey
sanılmasıdır.
Güvenlik Analizi için
Kullanılabilecek Log Analiz Kuralları
Bu
kuralları ikiye ayırabiliriz. Ürünlerin bır kısmında basit kurrllar oluşturmak
mümkündür. Kompleks kurallar için SIEM yeteneğine sahip ürünler seçilmelidir.
Basit kurallar
-
Belirli zaman aralıklarında kimler oturum açtı?
-
USB bellek kullanımı oldu mu?
-
Sistem yöneticileri takip ediliyor mu?
-
Bilgisayar adı (hostname), IP adresi, MAC adresi değişikliği oldu mu?
-
Kimler hangi IP adresini aldı?
-
Bu IP adresleri ile nerelere erişidi?
-
Sisteme uzak bağlantı sağlandı mı?
-
Kimler hangi saatle VPN bağlantısı kurdu?
-
Donanım değişikliği yapıldı mı?
-
P2P program kullanan var mı?
-
Kim hangi dosya ya erişti ?
-
Erişilen dosyalardan silinen var mı?
-
Başarılı password değişiklikleri?
-
Bilgisayar hesabı yada kullanıcı hesabı yaratıldı mı?
-
Port scan yapıldı mı?
-
Kimler hangi dokümanları print etti? (print server mimarisi ile)
-
Domain admin hesabına kullanıcı eklendi mi?
-
Ekran görüntüsü yakalaması yapıldı mı?
-
MSN ‘den dosya transferi yapıldı mı?
Korelasyon gerektiren kurallar
·
1 dakika içerisinde
aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
·
5 dakika içerisinde
aynı kaynaktan 3 den fazla IPS logu gelirse uyar
·
5 dakika içerisinde
aynı kaynaktan 3 den fazla Virus logu gelirse uyar
·
1 dakika içerisinde
aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar
·
Yeni bir kullanıcı
oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp
başarısız olunursa uyar
·
Aynı kullanıcıdan 1
dakika içerisinde 5 den fazla başarısız erişim olup sonrasında başarılı erişim
olursa bu brüte force atack olasılığıdır ve uyar
·
Administrators
grubuna kullanıcı eklenirse uyar
·
Aynı kullanıcı
ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile
birlikte)
·
Aynı kullanıcı
60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile
birlikte)
·
Aynı kaynak IP den
3 veya daha fazla başarısız erişim ve
hemen ardından başarılı erişim olursa uyar.
·
Web sunucuya cgi,
asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan
işletilmek üzere gönderilirse uyar
·
İstenmeyen
uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar
·
Spam yapan
kullanıcıyı tespit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et)
·
Spam yapılan
kullanıcıyı tespit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et)
·
Gözetlenen log
kaynağı son 1 saat içerisinde log göndermezse uyar
·
Mesai saatleri
dışında sunuculara ulaşan olursa uyar
·
W32.Blaster Worm:
Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login
logu gelirse uyar
·
Windows makinelere
brute force login ataklarını tespit etmek
·
Veri tabanına
varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.
·
445 nolu port
ataklarını tespit etmek
·
Saniyede 15 tane
paketin drop edildiği IP yi bildir.
·
İşe gelmeyen
kullanıcının hesabı ile işlem yapıldıysa uyar
·
Saniyede 1000 den
fazla paket üretilen ve kaynağı ÇİN gözüken ve şirket ip adreslerinin aynı
portuna ulaşmak isteyen olursa uyar
·
Saniyede 5 den
fazla aynı makineye login olmayı deneyip de başarısız olan IP yi bildir
·
1 dakika içerisinde
aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
·
Seçilen zaman
aralığında kimler çevrimiçiydi?
·
Seçilen zaman
aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana
geldi?
·
Seçilen zaman
aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi?
·
Seçilen zaman
aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı
olamadı?
·
Seçilen zaman
aralığında hangi hesaplar silindi ya da görünmez oldu?
Hangi
hesaplar etki alanı yönetici grubuna eklendi?
·
Seçilen zaman
aralığında hangi kullanıcılar güvenlik hesap logunu temizledi?
·
Seçilen zaman
aralığında kaç adet kullanıcı sistem saatini değiştirdi?
·
Seçilen zaman
aralığında işlemler kaç adet kritik olay yarattı?
·
Seçilen zaman
aralığında kaç adet hata olayı meydana geldi?
·
Seçilen zaman
aralığında uyarıları tetikleyen olaylar neydi?
·
Taşınabilir bellek
kullananlar kimler?
·
Kim ortak güvenlik
duvarını aşabilmek için ek network arayüzü kurdu?
·
Kim hangi
uygulamayı çalıştırdı?
·
Kim belirli
dokümana erişebildi?
·
Kim belirli
dokümanı sildi?
·
Birisi şifreleri
ele geçirmek için casus program kullanıyor mu?
·
Hangi
bilgisayarlara belirli güvenlik paketleri yüklenmemiş?
·
Hangi
bilgisayarlara modem yüklenmiş?
·
Kurum yapısında
herhangi bir kablosuz ulaşım noktası var mı?
·
Kurum networkünde
izinsiz bir DHCP sunucu var mı?
·
Kim hangi ekran
görüntüsünü ele geçirdi?
·
5 dakika içerisinde
aynı kaynaktan 3 den fazla IPS logu gelirse uyar
·
5 dakika içerisinde
aynı kaynaktan 3 den fazla Virus logu gelirse uyar
·
1 dakika içerisinde
aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar
·
Yeni bir kullanıcı
oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp
başarısız olunursa uyar
·
Aynı kullanıcıdan 3
den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte
force atack olasılığıdır ve uyar
·
Administrators
grubuna kullanıcı eklenirse uyar
·
Aynı kullanıcı ile
1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile
birlikte)
·
Aynı kullanıcı 60
dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile
birlikte)
·
Aynı kaynak IP den
3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa
uyar.
·
Web sunucuya cgi,
asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna
işletilmek üzere gönderilirse uyar
·
İstenmeyen
uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar
·
Spam yapan
kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et)
·
Spam yapılan
kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et)
·
Gözetlenen log
kaynağı son 1 saat içerisinde log göndermezse uyar
·
Mesai saatleri
dışında sunuculara ulaşan olursa uyar
·
Eğer 1 dakika
içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu gelirse
uyar
·
Seçilen zaman
aralığında kimler çevrimiçiydi?
·
Seçilen zaman
aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana
geldi?
·
Seçilen zaman aralıklarında
hangi kullanıcılar şifresini başarıyla değiştirdi?
·
Seçilen zaman
aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı
olamadı?
·
Seçilen zaman
aralığında hangi hesaplar silindi ya da görünmez oldu?
·
Hangi
hesaplar etki alanı yönetici grubuna eklendi?
·
Seçilen zaman
aralığında hangi kullanıcılar güvenlik hesap logunu temizledi?
·
Seçilen zaman
aralığında kaç adet kullanıcı sistem saatini değiştirdi?
·
Seçilen zaman
aralığında işlemler kaç adet kritik olay yarattı?
·
Seçilen zaman aralığında
kaç adet hata olayı meydana geldi?
·
Seçilen zaman
aralığında uyarıları tetikleyen olaylar neydi?
·
Taşınabilir bellek
kullananlar kimler?
·
Kim ortak güvenlik
duvarını aşabilmek için ek network arayüzü kurdu?
·
Kim hangi
uygulamayı çalıştırdı?
·
Kim belirli
dokümana erişebildi?
·
Kim belirli
dokümanı sildi?
·
Birisi şifreleri
ele geçirmek için casus program kullanıyor mu?
·
Genişletilmiş Kurallar ve Senaryolar
Örnekleri
Hedef:445 nolu port ataklarını tespit etmek
• Gereksiz yanlış atak loglarından kurtulmak isteniyor
•
5 dakikalık sürede
an az 1 düzine atak logu gelmesini isteniyor
•
1 saatlik periyodda
en az 100 atak logu
•
4 saatlik bir
periyodda 200 atak logu isteniyor
Hedef:
Windows makinelere brute force login ataklarının tespit etmek
·
60 Saniye boyunca
Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin
bulunması ve
·
Bu kuralda firewall
ve/veya gateway den gelen trafik logları ile Windows event loglarının
korelasyonunun yapılması isteniyor.
Hedef: Ağdaki kötü niyetli yazılımlarının tespiti.
– Bilinen: yazılım insandan çok daha hızlı parola
denemesi gerçekleştirir
– Senaryo:
• Kimlik doğrulama denemesi saniyede 1 den fazla
gerçekleşiyorsa (1)
• (1) durumu art arda 5 defa gerçekleşiyorsa
• Bilgilendir/ müdahale et
– Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme
zamanı ilişkilendirilmiştir.
Hedef: Veri tabanına varsayılan kullanıcı isimleri
ile giriş denemelerin tespiti.
– Saldırgan internetten kurumsal IP uzayında tarama
yaparsa (1)
• IDS veya güvenlik duvarından alınan kayıtlar
– (1) i gerçekleştiren açık portları kullanarak güvenlik
duvarından geçerse
• Güvenlik duvarından alınan ACCEPT kaydı
– (1) i gerçekleştiren veritabanına belli kullanıcı
isimleri ile giriş yapmaya
çalışırsa
• Veri tabanından alınan LOGON ATTEMPT kaydı
– Bilgilendir/ müdahale et
• Birden fazla kaynaktan alınan kayıtlarda aktör, eylem
ve zaman bilgileri ilişkilendirilmiştir
Özet
Kurallar: [4]
·
IPS Security Alert
·
Suspicious IPS
Activity
·
Suspicious Virus
Activity
·
Suspicious
Connection Activity
·
Portmap
·
WINDOWS BRUTE FORCE
ATTACK
·
Weekend USB Monitor
·
System Hardware
Events
·
Game ports
·
Proxy server ports
·
Blended Host
Attacks
·
Promiscuous hosts
·
Russian business
network
·
IM server port
·
5 Failed Logons,
Followed by a Successful Logon
·
Monitor URL
·
Monitor All
Processes Closed
·
Monitor Specific
Process Closed
·
General Account
Database Change
·
Active Directory is
started
·
Active Directory is
stopped
·
An ISA Service
failed to start
·
Application
installed successfully
·
Application
uninstalled
·
Audit Logs Cleared
·
Audit Policy
Changed
·
Bad Disk sector
detected
·
Cache
initialization failed for ISA
·
Chasis Intrusion
·
File Accessed
·
File Printed
·
Computer Account
Changed
·
Computer Account
Created
·
Computer Account
Deleted
·
Disk restriction in
place for ISA Server
·
DNS Server Started
·
DNS Server Stopped
·
DNS Server timed
out
·
DNS Server updated
·
DNS Zone shutdown
·
Domain Policy
Change
·
EventLog Service
Stopped
·
Failed Logins
·
Insufficient Memory
Available
·
Memory Dump saved
·
Network Adapter
Connected
·
Network Adapter Disconnected
·
Monitor Specific
Process Created
·
NTDS database
engine is started
·
NTDS database
engine is Stopped
·
NTDS
defragmentation is complete
·
NTDS
defragmentation is started
·
Object Deletion
Failure
·
OS is shutting down
·
OS is starting up
·
Printer Added
·
Printer Created
·
Replacing System
file attempted
·
Starting File
Replication Service
·
Successful CRON
Jobs
·
Successful FTP
Log-offs
·
Successful FTP
Log-ons
·
Successful Password
Resets
·
Successful User
Logons
·
Successful User
Logoffs
·
System Resources
Exhausted
·
User Account
Disabled
·
Windows install
operation
·
A Service Stopped
·
A Service Started
·
User added AD
(Active Directory) Domain Admin Group
·
User Account Locked
- AD (Active Directory)
·
User pass reset -
AD Group
·
User deleted - AD
(Active Directory)
·
User disabled - AD
(Active Directory)
·
Monitor URL within
defined period
Referanslar
