SIEM (Güvenlik Bilgi ve Olay Yönetimi) Çözümleri
18/11/2019
SIEM (Güvenlik Bilgi ve Olay Yönetimi) Çözümleri, birçok noktadan ve yüzlerce cihazdan aldığı log’lar (ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur) ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki log’ları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.
SIEM Çözümü Neden Gereklidir?
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği (BG) Yönetim Standardında log (iz kaydı) yönetimin önemi vurgulanmaktadır. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Ayrıca ülkeden ülkeye değişin kanuni zorunluluklar da log yönetimini şart koşmaktadır. Log’lara bakarak aşağıdaki sorulara cevap bulabiliriz:
- Kim hangi bağlantıları kurdu?
- USB bellek kullanımı oldu mu?
- Belirli zaman aralıklarında kimler oturum açtı?
- Sistem yöneticileri takip ediliyor mu?
- Bilgisayar adı, IP adresi, MAC adresi değişikliği oldu mu?
- Kimler hangi IP adresini aldı?
- Bu IP adresleri ile nerelere erişildi?
- Sisteme uzak bağlantı sağlandı mı?
- Kimler hangi saatle VPN bağlantısı kurdu?
- Donanım değişikliği yapıldı mı?
- P2P program kullanan var mı?
- Kim hangi dosyaya erişti?
- Erişilen dosyalardan silinen var mı?
- Başarılı password değişiklikleri?
- Bilgisayar hesabı ya da kullanıcı hesabı yaratıldı mı?
- Port scan yapıldı mı?
- Kimler hangi dokümanları print etti? (print server mimarisi ile)
- Domain admin hesabına kullanıcı eklendi mi?
- Virüs bulaştı mı?
- Virüslü bir siteye erişim denemesi oldu mu?
BT altyapısını oluşturan log kayıtlarını toplayan, inkar edilemez bir şekilde saklayan, analiz yapan log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır. Her ne kadar, log yönetim sistemleriyle log’ları toplamak gerekli olsa da yeterli değildir. Toplanan bu log’ların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin ve bu sebeple SIEM sistemleri büyük önem taşımaktadır. Tanımlanan koşulların oluşması durumunda haber veren gerçek bir SIEM çözümü kurmak gerekir.
SIEM Çözümü Almanın Avantajları Nelerdir?
SIEM çözümü, birçok noktadan ve yüzlerce cihazdan aldığı log’lar ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki log’ları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.
Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur. Bu log’lar arasında oluşabilecek kombinasyonları düşünürsek birikmiş log’ların üzerinden arama tarama, raporlama ve arşivleme ile herhangi bir tehditlerin yakalanması mümkün değildir. Bunun için gerçek bir korelasyon özelliğine sahip SIEM ürünlerinin gücüne başvurmak gerekir. Böylece aşağıdaki gibi tehdit içeren durumları milyarlarca veri içerisinden anında tespit etmek mümkün olur:
- Aynı IP’den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP’den herhangi bir makinaya oturum açıldı ise uyar.
- Bir IP’den tarama yapıldı ise ve sonrasında aynı IP’den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP’den tarama yapılan IP’ye geriye bağlantı kuruldu ise uyar.
- Birbirinden tamamen farklı dış IP’lerden aynı hedef IP’ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar.
- Aynı Dış IP ve farklı portlardan aynı hedef IP’ye dakikada 100 adet bağlantı olursa uyar.
- Aynı kullanıcı, aynı makineye saatte 3’ten fazla başarısız oturum açmayı denerse uyar.
- Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure’a sebep olduktan sonra 2 saat içerisinde aynı kullanıcı aynı sunucuya başarılı oturum açmazsa uyar.
- Aynı kaynak IP’den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS’a maruz bırakmış olursunuz)
- UnusualUDPTraffic üreten kaynak IP’yi bildir.
- IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar.
- Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar.
- Birisi Networkünüzde DHCP server’ı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar.
- Bir IP taraması olursa uyar.
- WEB üzerinden SQL atağı olursa uyar.
- Mesai saatleri dışında sunuculara ulaşan olursa uyar.
- Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3’ten fazla başarısız oturum açmayı denerse uyar.
SIEM Çözümü ile Neler Yapabilirsiniz?
- Sistem ve network’lerinizdeki mevcut tehdit ve zaafiyetlerin tespiti, gerçekleşen olayların takibi
- Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve takibi
- Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi
- Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım sağlanması
- Kurumsal güvenlik standart ihlallerinin takibi
- ISO 27001, SOX, PCI, HIPAA, NERC, FFIEC, FISMA, GLBA, NCUA, COBIT vb. uyumluluk (Compliance) raporlama ve denetimleri
- SOME uygulamaları için uygun raporlama olanakları
- USOM tarafından yayınlanan zararlı bağlantı listeleri ile “online” entegrasyonlar ve sistemleriniz için denetleme olanakları
- Threat Intelligence özelliği ile dinamik olarak zararlı IP ve Domain listelerine erişim yapılınca otomatik uyarının sağlanması
SIEM Çözümü Kapsamı
Log Kaynaklarından istenilen bütün alınması ve raporlanması
ISO27001 modülünün devreye alınması ve aşağıdaki raporların oluşturulması
- Kullanıcı kimlikleri
- Sistem faaliyetleri
- Oturum açma ve oturum kapatma gibi anahtar olayların tarihleri, saatleri ve detayları
- Mümkünse aygıt kimliği ya da yeri ve sistem tanımlayıcısı
- Başarılı ve reddedilmiş, sistem erişim girişimlerinin kayıtları
- Başarılı ve reddedilmiş, veri ve diğer kaynaklara erişim girişimlerinin kayıtları
- Sistem yapılandırma değişiklikleri
- Sistem araçları ve uygulamalarının kullanımı
- Erişilen dosyalar ve erişim türü
- Ağ adresi ve protokolleri
- Erişim kontrol sistemi tarafından üretilen alarmlar
- Anti-virüs sistemleri ve saldırı tespit sistemleri gibi koruma sistemlerinin etkinleştirilmesi ve devre dışı bırakılması
- Uygulamalarda kullanıcılar tarafından yürütülen işlemlerin kayıtları
Alarmlar (Basit Korelasyon) özelliklerinin devreye alınması
- DDOS
- DDoS Events from Darknet
- DoS Attack Detected by Suspicious Sources
- Local TCP Flood Detected
- Remote TCP Flood Detected
- …
- Botnet Activity
- Destination IP member of Suspicious Botnet C&C host
- Too Many Botnet Activity
- DB Related Alarms
- Attacker Host Activity on MSSQL Server
- SQLServer Own Password Changes
- SQLServer Stored Procedure Activity
- Suspicious Host Login Attempt to MSSQL Server
- Oracle Concurrent Logins from Multiple Locations
- Oracle Denial of Service
- MySql Denial of Service
- PostgreSql Denial of Service
- …
- Exploit Activity
- File Activities
- Execute File Activity
- Execute Activity by Admin Account
- Too Many File Delete Activity
- VPN User Changed many Files
- VPN User Changed many Shared Files
- …
- Flood
- External TCP Flood
- Flood Event Alert
- …
- Honeypot
- Attacker Activity on Honeypot System
- External Suspicious Darknet/ToR Source Activity on Honeypot System
- Identity
- Brute Force Login Attempts against External SSH Service
- Login Failure to Disabled Account
- Multiple Failed FTP Login Attempts Detected to Local Host
- Suspicious Source Logon Attempt on Terminal Server
- ……
- Mail
- Attacker Host Activity on Mail Server
- External Spam Source to Sent Multiple Clients E-Mail
- Too Many E-mails from Spam Host
- Too Many Mail Received
- ……..
- Malware (
- Too Many Different Viruses
- Spyware Activity
- Too Many Malware Infection
- Remote SNMP Scanner
- …
- Reconnassance
- Aggressive Local to Local Scanner Detected
- Local to Local UDP Scanner
- Remote Web Server Scanner
- Remote DHCP Scanner
- ……
- System
- Critical Server Shutdown
- Datacenter System Errors
- High Rate DNS Request Activity Detected
- Log Deletion Activity
- System Start
- ……
- Threat Intelligence
- Threat Activity on Client Network
- Threat Activity on Critical Servers
- Traffic
- Excessive Inbound Traffic Across Multiple Sources to a Single Destination
- DMZ Jumping
- Inbound Connection from a Foreign Country
- Multiple IPs on Single MAC Anomaly
- Web
- Attacker Host Activity on Web Server
- External Excessive HTTP Request by Single Source
- Internal Attacker Activity on Web Server
- Too Many Web Server Errors
Taxonomy
- Taxonomy çıktılarının raporlarda kullanılmasını sağlamak.
Temel korelasyon özelliklerinin devreye alınması
- Birisi port taraması yaptığında otomatik uyarı maili at
- Herhangi bir X Kullanıcısı makinasından saat 8’den önce veya akşam 6’dan sonra logon bilgisi gelirse otomatik uyarı maili at
- 22 porta bir dakikada 20 kere istek olursa uyarı maili at
- Aynı IP’den bir dakikada web sunucuya 50 istek olursa uyarı maili at
- Kara liste (Blacklist) ülkelerinden (Çin, Kuzey Kore, Vietnam vb. (Liste dinamiktir)) networkünüze bir trafik gelir ve daha sonra da networkünüzden bu gelen IP ye geri bir trafik olursa uyarı maili at
- Aynı kullanıcıdan 10 tane logon failed bilgisi ve sonra aynı kullanıcıdan başarılı oturum açma bilgisi gelirse uyarı maili at
- 1 dakika içerisinde 100 MB’den fazla trafik oluşturan kullanıcı olursa uyarı maili at
- Bir kullanıcı oluşturulup sonra da admin grubuna eklendi ise uyarı maili at
- Güvenlik tehdidi istihbaratı aldığımız yaklaşık 66 farklı kaynaktan 1 milyon IP, URL veya DNS listesinin her an sistemde kontrolü. Bunlardan birinden veya birine trafik oluşması durumunda anında (gerçek zamanlı olarak) uyarı maili gönderme
- Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure’a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyarı maili at
- Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise uyarı maili at
- Herhangi bir X Kullanıcısı son 1 aydır hiç gitmediği bir siteye gitmesi durumunda uyar
- Herhangi bir X Kullanıcısı logon olabileceği sunucular beyaz listesi belirli ise, herhangi bir kullanıcı bu liste dışında bir makinaya logon oldu ise uyar
- Aynı IP’den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP’den herhangi bir makinaya oturum açıldı ise ve ardından bağlantı kurulan IP’den tarama yapılan IP’ye geriye bağlantı kuruldu ise uyar
- UnusualUDPTraffic üreten kaynak IP’yi bildir
- Birisi Network’ünüzde DHCP server’ı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyaran
- Herhangi bir dış IP den (X) herhangi bir iç IP ye (Y) tarama (Scan, Hostscan, PortScan, UDPPortScan, TCPPortScan) tespit edilirse, sonrasındaki 1 gün içinde Y’den X’e bir trafik olursa uyar
- Herhangi bir IP’den (Z) UnusualUDPTraffic (Mesela Suspicious DNS Traffic) tespit edilirse ve daha sonra bu aynı Z IP’sinden bir tarama yapıldı (Scan, Hostscan, PortScan, UDPPortScan, TCPPortScan) bilgisi alınıyorsa uyar
- Aynı dış IP’den birbirinden farklı iç IP’lere ve birbirinden farklı portlara 15 dakikada 100’den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP’lerin tamamından yeni bir process ayağa kalkıyorsa uyar
Advanced Taxonomy
- Taxonomy modül çıktılarını korelasyonda kullanılmasını sağlamak.
Advanced korelasyon özelliklerinin devreye alınması
- Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1’den fazla makinada aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.
- Bir kullanıcı 80 portundan X adresine erişim yaptıktan sonra 15 dakika içerisinde aynı kullanıcı Y mail adresine mail atarsa ve bu pattern 30 dakika içerisinde 1’den fazla kullanıcıda görülürse uyar.
- Kullanıcıların son 1 ay içinde başarısız oturum açma profilini çıkarın. Örnek Ertugrul.Akbas A makinasından x, y, z makinalarına ve B makinasından s, t, u makinasına gibi ve bunu referans noktası olarak alın ve bu makinalar dışında bir makinadan->makinaya başarısız oturum oluştururlarsa uyar şeklinde bir alarm oluşturun. Ama eğer SuspiciousUserActivities listesinde veri varsa bunu normalden profilden çıkararak profili güncelleyin.
- VPN yapan bir kullanıcı eğer son 1 ayda hiç bulunmadığı bir lokasyondan VPN yaptıysa ve bu VPN kullanıcısı VPN yaptıktan sonra 20 dakika içinde 100 MB’den fazla upload yaptı ise ve 3 gün boyunca veya daha fazla bu işlemleri tekrar etti ise uyar.
- Son 10-15 gün, her saat dilimi için trafiğin boyutu hesaplanıp bir normal/baseline çıkarılıp, belli zamanlarda o zaman dilimlerinin karakteristiğine uygun olmayan(i.e.,+/-%30) trafik oluşursa uyar.
- Mesai saatleri içerisinde hiç login olmadığı bir sunucuya sadece mesai sonrası login olan olursa ve bunu 3 gün veya daha fazla arka arkaya tekrarlarsa uyar.
- Peer to peer detection için sabit bir kaynak IP ve sabit bir kaynak porttan farklı hedef ip ve portlara UDP ile 1 dakikada 5’den fazla SENT/RECEIVED verisi 0 dan büyük (Genelde paket boyutu da aynı olur) trafik olursa uyar.
- Eğer sisteme yeni bir kullanıcı eklendikten sonra 15 dakika içerisinde xp_cmdshell stored procedure u devreye alınırsa uyar.
- Conficker solucan aktivitelerinin tespiti için aynı kullanıcı için “A user account was locked out.” mesajı aldıktan sonra aynı kullanıcı için 5 dakikada 50 tane “Kerberos pre-authentication failed” mesajı oluşursa uyar.
- Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1’den fazla makinada aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.
- exe, ipconfig.exe, whoami.exe, nbtstat.exe programlarının 15 dakikada 5’den fazla çalışması durumunda bu processlerin parent processine bak ve iexplorer.exe, notepad.exe gibi anormal ise uyar.
- VPN yapan bir kullanıcının erişim yaptığı bir dosyaya VPN bağlantısı açık kaldığı süre içerisinde aynı kullanıcı adı ile iç ağdan da bir erişim olursa uyar.
- Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar.
- Tehdit İstihbaratı tarafından tehlikeli olarak listelenen bir domain’den bir trafik oluşmuş ve daha sonra başka bir makinadan bu makinaya başarılı oturum açılırsa uyar.
- Birisi Networkünüzde DHCP serverı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar.
- Creation / deletion of the same account in a short time period
- Birisi VPN yapınca uyar.
- VPN yapan kullanıcı 15 dakikadır RDP yapmadı ise uyar.
- Aynı dış IP’den birbirinden farklı iç IP’lere ve birbirinden farklı portlara 15 dakikada 100’den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP’lerin TAMAMINDA yeni bir process ayağa kalkıyorsa uyar.
- Office macro malware yakalama korelasyonu: EventCode=1 (Process create), Image değeri explorer.exe veya svchost.exe ile biterken ParentProcess excel.exe yada winword.exe’ise (Office belgesinden explorer.exe yada svchost.exe ismiyle child process oluşması durumunda uyar.
- Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5-10 dakika bekledi ve sonra tekrar oluşturdu. Ayrıca senaryonun karakteristiği itibari ile de şüpheli bir işlemdir.