KORELASYON GÖSTERMELİK DEĞİLDİR

ertugrul.akbas@anetyazilim.com.tr

eakbas@gmail.com

Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır.

SIEM denilince akla korelasyon yetenekleri gelir. Bunun için SIEM sistemleri hazır bir kütüphane ile gelir. Bu kütüphanede ne kadar sayıda kural, ne kadar geniş alanı tarıyor önemli bir kriterdir. Taradığı alanlar aşağıdaki alanlar olabileceği gibi:

·         IPS/IDP kuralları

·         Cisco

·         Firewalls

·         Connections

·         General Applications

·         Windows

o       User Management

o       Group Management

o       Machine Management

o       Authentication

o       Windows Firewall

o       Authorization

o       Audit Policy

o       Software Management

o       Access Violation

o       File Management

o       Risk Management

o       Password Management

o       Service Management

o   Performance Monitoring

o   File Replication

o    Windows File Protection

o    Printer

o    System Uptime

o    NTDS Defragmentation

o    Network

o    Hardware Errors

·             

·         FTP

·         DNS

·         Security

·         Network Monitor

·         Telnet

·         URL

·         Operating Systems

·         Sunucu güvenliği

·         WEB server güvenliği

·         Network Cihaları

o   Cisco

o   HP

o   Dell

o   Aruba

o   Vb..

çok daha genişletmek d emümkündür. Ve bu bileşenler için hem güvenlik hem de hata durumu analizi kuralları içerir.

Bundan başka ve daha önemli bir özellik ise ihtiyaçlar kapsamında kendi kurallarınızı geliştirebiliyor olmaktır. Kural geliştirme yeteneğini ise 4 farklı seviye olarak ele alabiliriz:

·         Basit periyodik kurallar

·         Basit gerçek zamanlı kurallar

·         Senaryo kuralları

·         Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.

KORELASYON KURALLARI

Kullanıcıların kendi geliştirebileceği kuralları yukarıda 4 farklı kategoriye ayrılmıştık. Bunlara kısa kısa örnekler verip, ANET tarafından geliştirilen ANALİZSEL KORELASYON YAKLAŞIMI açıklayacağız

Basit periyodik kurallar

Bu tarz ürünlerin gerçek bir korelasyon motoru olduğundan bahsedilemez. Bu tarz sistemler kullanıcının ara yüzde seçtiği değerlere göre arka planda bir sorgu oluşturur ve aşağıdaki resimdeki gibi sorguyu veya bazen alarm diye de adlandırılan betiği her xxx saniye bir çalıştır gibi ayarlar yaptırırlar.  Dolayısı ile bu tarz ayarlar aslında bir motor olmadığına ve sonucun DB (SQL ,NoSQL, Flat File) üzerinde periyodik sorgu çalıştırmakla üretilmeye çalışıldığını gösterir.

Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan zaaflara sahiptirler.  Bu zaaflar 4 adettir

1. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod içindeki olaylar anında yakalanamaz
2. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir performans problemine sebep olur
3. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz
4. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz

Basit gerçek zamanlı kurallar

Gerçek zamanlı bir korelasyon kuralına sahip olup, senaryo yazmaya elverişli olmasalar bile bazı temel kuralları işletebilirler. Örnek kurallar:

1.    Her hangi bir log kaynağına ait loglarda bir olay gerçekleşirse,

2.    Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay gerçekleşirse,

3.    Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay gerçekleşmez ise,

4.    A kaynağına ait bir olay gerçekleştikten sonra t süresi içerisinde gene A kaynağına ait olaydan bir ya da n adet gerçekleşirse (hakeza bu n kere tekrarlanabilir),

5.       A tipindeki herhangi bir cihazdan X türünde bir log geldikten sonraki 5 dakika içerisinde diğer cihazların herhangi birinden Y türündeki veya Z türündeki bir log 20 defadan fazla gelirse alarm oluştur v.b

6.    Ayrıştırılan alanlar üzerinden korelasyon adımlarında filtreleme yapılabilmelidir. Örnek: IDS attack info = buffer overflow ise, hedef IP = 10.10.10.10 ise gibi,

Senaryo kuralları

Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.

Örnek kural:

1.      A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar.

Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.

Bu yaklaşım, çeşitli parametrelere logları kategorize eden otomatik bir süreçtir ( genellikle mesajlar paternlere göre analize edilir.). Bu sınıflar önceden belirlenmiş olup patter sınıf  ilişkisi kurulmuştur.

Sistem loglar akarken sınıfsal korelasyona tabi tutulur ve daha önceden belirlemiş sınıflardan birine dahil edilir. Böylece aşağıdaki gibi kurallar yazılabilir.

·         Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu,  router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver.

·         Sistemlerden herhangi birinden WEB erişimi olduktan sonra o sistemin ürettiği trafik artarsa haber ver.