KVKK için SIEM Senaryoları
15/11/2019Veri envanteri çalışmasının asıl çıktısı VERBİS kaydı değildir. Asıl çıktı yetki matrisine girdi olmasıdır. Yetki Matrisi de veri Kaybının tespiti, saldırı tespiti adımları için SIEM e girdidir. Bu anlamda KVKK ya özel SIEM senaryoları özellikle teknik tedbirlerdeki yetki matrisi ve yetki kontrolü açısından kritiktir.
Yetki matrisi kapsamında SIEM e pek çok senaryo eklenmelidir. Yetki matrisi kuruma özel olacağı için senaryo ve kurallar da kuruma özeldir. SureLog SIEM senaryolarına örnek:
Bir Kullanıcı 20 dakikada 2 defa yetkisi olmayan ve kişisel veri içeren sunucu veya veritabanı ye oturum açmayı dener ise bu ikinci denemeden önceki 20 dakika içinde internet bir şeyleri download etmişse uyar.
Log Kayıtlarının anında (online-real time) analizinde, KVKK ya özel SIEM senaryoları özellikle teknik tedbirlerdeki yetki matrisi ve yetki kontrolü açısından kritiktir. Yetki matrisi kapsamında SIEM e pek çok senaryo eklenmelidir.
SureLog KVKK Kural Kütüphanesi
SureLog SIEM senaryolarına örnekler:
- Herhangi bir kullanıcı dahil olduğu gruba göre (İnsan kaynakları, Finans, Şube müdürü, Ticari / Kobi Şube Yöneticisi, IT) Veritabanı/Bankacılık Sisteminde anormal sorgulama sayılarına sahip ise tespit et,
- Bir Kullanıcı 20 dakikada 2 defa yetkisi olmayan ve kişisel veri içeren sunucu veya veritabanı ye oturum açmayı dener ise bu ikinci denemeden önceki 20 dakika içinde internet bir şeyleri indirmişse etmişse uyar,
- Herhangi bir kullanıcı yetkisi olmayan bir kişisel veri kaynağına (Sunucu, dosya, Veritabanı) erişmeye çalışıyor ve bunu haftada 2 veya daha fazla yapıyorsa tespit et,
- Veri sorumlusu dışındaki herhangi bir kullanıcı yetki matrisinde tanımlanan yetkileri dahilinde dahi olsa aynı anda 2 farklı kişisel veri içeren sunucu veya DB ye erişiyorsa uyar,
- Veri sorumlusu dışında iki farklı kullanıcı aynı anda aynı kişisel veriye erişirse uyar,
- VPN yapan bir kullanıcı, yetkisi dahilinde olan makinaya RDP yaptıktan sonra o makinadan 2. bir makinaya RDP denemesi yapar ve bu 2. makina da kişisel veri içeren bir makina olursa uyar,
- Veri sorumlusu da dahil olmak üzere anyı anda hem kişisel verilere erişiyor hem de internete çıkıyorsa uyar,
- Bir kullanıcı 15 dk da birden fazla veya en az 30 dakika ara ile günde 1 ‘den veya en az 24 saat arayla haftada 1 den fazla şifre değiştirirse kullanıcıyı etkisiz hale getir,
- Herhangi bir kullanıcının bir gün içerisinde kişisel veri içeren sunucuları veya DB lere yaptığı başarısız oturum sayısı başarılı oturum sayısının %10 unu aşarsa uyar,
- Herhangi bir kullanıcının son bir hafta içerisinde kişisel veri içeren sunucuları veya DB lere yaptığı başarısız oturum sayısı başarılı oturum sayısının %10 unu aşarsa uyar,
- En az yarım saat ara ile günde 1 ‘den fazla şifre değişirse kullanıcıyı etkisiz hale getir,
- Veri sorumlusu hariç herhangi bir kullanıcı günde 1 den fazla kişisel veri içeren ve yetkisi dahilinde olmayan sistemlere (Sunucu, dosya veya DB) erişirse veya denerse o kullanıcıyı etkisiz hale getir,
- Yetkisi arttırılan bir kullanıcı olursa anında (gerçek zamanlı olarak) tespit et,
- Veri sorumlusu dışındaki bir kullanıcı kişisel veri kaynaklarının (Sunucu, dosya, Veritabanı vb..) %10 undan fazlasına ayın en az 10 günü erişiyorsa uyar,
- Aynı kullanıcının son 72 saat içerisinde kişisel veri kaynaklarına erişiminde anormallik varsa tespit et,
- Aynı kullanıcı kişisel veri içeren sunucu, dosya ve DB ye 24 saatte 1 den fazla yetkisiz erişim denerse tespit et ve bloka,
- Aynı IP ve kullanıcı adı ile 1 ay içerisinde 1 den fazla local firewall veya firewall tarafından bloklanan IP ve kullanıcı yetki matrisi dışına çıkmaya çalışırsa tespit et,
- Bir kullanıcı kişisel verilerin bulunduğu ve yetki matrisi çerçevesinde erişim yapabileceği tablolardan birine öğle yemeği sırasında 1 defa yanlış şifre deneyip çekip gitti ve bunu arka arkaya 2 gün denerse tespit et
- Gönderilen maillerin konu kısmında Kredi Kartı veya T.C Kimlik Numarası varsa tespit et,
- File Server da erişilen dosyaların adında kredi kartı veya TC kimlik kartı geçerse tespit et,
- E-mail eklentisindeki dosya adında kredi kartı veya TC kimlik kartı geçerse tespit et,
- Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, Sonicwall SSL VPN cihazları da entegre ederek kredi kartı bilgisi tespit edilirse uyar,
- Veritabanından çekilen SQL sorgularında TC kimlik veya kredi kartı bilgisi varsa uyar,
- VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makinaya RDP yaptıktan sonra o makinadan yine yetkisi dahlinde olan 2. bir makinaya RDP yapar ve bu 2. makinada çalıştırmaması gereken bir program çalıştırır ise uyar,
- Herhangi bir kullanıcı 30 gün içerisinde 10 farklı kişisel veri kaynağına erişirse tespit et,
- Herhangi bir kullanıcı 30 gün içerisinde 3 farklı kişisel veri kaynağına erişmeye denerse ve başarısız olursa tespit et,
- Aynı kişisel veri kaynağına 72 saat içerisinde aynı kullanıcı adı ile farklı IP lerden erişirse tespit et,
- Kişisel veri erişimi yapan bir kullanıcı, bu işlemi yaptığı kullanıcı ve IP ile 24 saat içerisinde 1 den fazla farklı hedef IP için bloklanırsa tespit et,
- Admin grubunda olmayan bir kullanıcı , herkes tarafından erişilen ortak makinalar haricinde 24 saat içinde 2 . makinaya başarısız oturum denediği anda uyar,
- Bir kullanıcı son 6 aydır hiç login olmadığı yetkisi dahilinde olan kişisel veri içeren bir makinaya erişirse ve son 20 dakika içerisinde aynı kullanıcı internet erişimi yaptı ise uyar.
Kaynak:
Dr. Ertuğrul AKBAŞ
https://drertugrulakbas.medium.com/kvkk-siem-senaryo-ve-kurallar%C4%B1-5fd8f3fe8077