2. SIEM
Yazıya not ile başlamak...
Not: Bazı kelimelerin Türkçe anlamı tam anlaşılmadığı için,
parantez içerisinde ingilizce kelimelere de yer verilmiştir.
Not2: Log ==> Günlük, işlem/olay listesi, Günlük Tutmak.
Log kelimesi Türkçe’ye çevrilmeden kullanılacaktır.
Not3: SIEM (Security Information Event Management) Türkçe
çevirisini size bırakıyorum:)
3. Kavramlar…
Gün geçtikçe artacağı söyleniyor.
● LMS (Log Management System)
● SEM (Security Event Management)
● SIM (Security Information Management)
● SIEM (Security Information Event Management)
● SOME (Siber Olaylara Müdahale Ekibi)
● IDS (Intrusion Detection System)
● IPS (Intrusion Prevention System)
● SOC (Security Operations Center)
● SOAPA (Security Operations and Analytics Platform Architecture)
4. SIEM
● Her geçen gün yeni bir saldırı haberi duyuyoruz desek
yanlış olmaz sanırım!
– Kurumda olup, biteni biliyor muyuz?
● Log nedir?
● Log nasıl ayrıştırılır (parse) ?
● Bir olayı (incident) aydınlatabilmek için loglar nasıl
anlamlandırılır ve görselleştirilir ?
● Güvenlik analisti (Security analyst) için gerekli olan platform
Sorulara bir bütün olarak baktığımızda SIEM ile karşılaşırız.
5. SIEM
● Kurumların güvenliği cihazların ürettiği loglara ve ağ
paketlerine bağımlıdır.
● SIEM kurumun altyapısında bulunan cihazlardan logları
toplar ve loglar üzerinden oluşturulan korelasyolar
kapsamında sistemler üzerindeki anormal davranışların
tespit edilmesini sağlar.
● Böylece merkezi bir güvenlik izleme sistemi olarak işlev
görür
● ve gerçek zamanlı analiz
yapılmasını sağlar.
7. SOC
● Güvenlik işlemleri (Security operations)
– insan,
– süreç (process)
– teknoloji
ayağından oluşur.
SOC yapısının temelinde
iyi kurgulanmış SIEM vardır.
8. SIEM Temel Özellikler
● Log Toplama
– Kaynaklar yeterli / gerekli seviyede log üretiyor mu?
– Bütün kaynaklardan loglar toplanıyor mu?
● Korelasyon
– SIEM den bahsedebilmek için gerekli olan özellik
– Şüphesiz aldığınız ürünün korelasyon özelliği vardır.
– Kurumun yapısına uygun ne kadar korelasyon yapıldı?
● Kuruma yönelik gerçekleşebilecek siber saldırılar düşünülerek,
siber saldırıları tespit etmek amaçlı gelişmiş korelasyon kuralları
9. SIEM Temel Özellikler
● Alarm
– Herhangi bir kural tetiklendiğinde alarm oluşması
– Belirli seviyenin üzerindeki alarmların mail yoluyla
güvenlik uzmanına iletilmesi
● Gösterge Paneli (Dashboard)
– Gerçek zamanlı oluşan alarmların anlaşılabilir şekilde
görselleştirilmesi
● Uyumluluk (Compliance)
– Oluşturulan yapının güvenlik standartlarına uygunluğunun
kontrol edilmesi (PCI DSS)
10. SIEM Temel Özellikler
● Logları saklama
– Adli soruşturmalarda gerekli olan geçmişe dönük
logların incelenmesi için saklanması
– Kurumun uymak zorunda olduğu yönetmeliklere göre
saklama süresinin belirlenmesi
● Adli Analiz (Forensic Analysis)
– Belirli kriterlere göre geçmişe dönük arama yapma
özelliği
– Geçmişe dönük binlerce log arasında istenileni arama
performansı
11. SIEM Nasıl Çalışır?
● SIEM nasıl çalışır sorusunu tek kelime ile açıklamamız
gerekirse,
– Korelasyon
12. SIEM Nasıl Çalışır?
● SIEM istenilen bir olayı algılayabilecek şekilde yapılandırılabilir.
– Örnek
● Bir kullanıcı Domain sunucusunda oturum açmaya (login) çalışıyor.
● 1 dakikada 10 defa başarısız girişim olduktan sonra
● 11. denemede başarı bir şekilde oturum açılıyor.
● Bu durum araştırmak için bir olay olarak kabul edilebilir.
– Burada bir çok olasılık vardır.
● Birisi, başka bir kullanıcının parolasını tahmin etmeye çalışıyor
olabilir.
– Bu durum bir ihlaldir.
● Kullanıcı parolasını unutmuş olabilir.
– 10 defa parolasını yanlış girmiş olabilir mi?
Kuruma özel istenilen şekilde korelasyonlar oluşturulup,
alarm üretilmesi sağlanabilir.
13. Loglar
● Log toplama SIEM’ in kalbidir.
– Ne kadar çok kaynaktan gerekli olan loglar toplanırsa, o
kadar çok kural yazılabilir.
● Korelasyon SIEM’ in ruhudur.
● Loglar işlendiği zaman değerlidir.
– Güvenlik uzmanı şüpheli bir durumla alakalı analiz
yapmak istediğinde elinde anlamlandırılmış loglara
ihtiyacı var.
● Log kayıtları sistemler hakkında istenildiği şekilde bildirim
sağlar
14. Log Toplama Yöntemleri
● Loglar temel olarak iki yolla toplanır.
– Ajan (Agent) ile ==> Logları alınacak sunucuya kurulan bir araç
– Ajansız (Non-Agent) ==> Syslog
15. Windows Log Türleri
● Windows log türleri temel olarak sunucu/bilgisayar üzerinde gerçekleştirilen
aktivitelere göre üç bölümden oluşur.
– Uygulama logu (Application log)
– Güvenlik logu (Security log)
– Sistem logu (System log)
● Sunucu/bilgisayar üzerinde varsayılan ayarlar, oluşması beklenen loglar için yeterli
mi?
● Yukarda belirtilen loglama dışında, farklı uygulamaların logları farklı dosyalarda
saklanıyor olabilir.
● Kapsamlı bir şekilde analiz yapmak istiyorsanız yukarda belirtilen loglama türlerine
ek olarak sysmon ile elde edilebilecek loglarıda almak ve gerekli korelasyonları
yazmak yerinde olacaktır.
– Sysmon, Sunucular üzerinde normalde elde edilemeyen logları elde etmeye
imkan tanıyan sysinternals ailesinde ücretsiz bir araçtır.
16. Örnek Windows Log Analizi
● Event ID 4625: An account failed to log on
– Kullanıcı adı ve parola tahmin etme saldırılarında, her başarısız
girişimde bu loglar oluşacaktır.
SIEM üzerinden kolaylıkla durumu takip edebilirsiniz.
SIEM ile oluşan alarmları tek çatı altında izleyebilirsiniz.
17. Örnek Windows Log Analizi - 2
● Event ID 1102: Audit logs were cleared
● Windows logları (Güvenlik, Uygulama, Sistem
loglarından herhangi biri) silindiğinde, logların
silindiğine dair oluşan alarmlar.
● Logları Kim Sildi?
18. SIEM Senaryolar
● SIEM ile sistemler üzerindeki belirli davranışları
algılamak ve tespit etmek adına genel bir bakış
– Neler oluyor?
19. SIEM Senaryolar
● Kimlik Doğrulama Aktiviteleri (Authentication Activities)
– Anormal kimlik doğrulama girişimleri
– Mesai saatleri dışında kimlik doğrulama girişimleri
– Belli bir zaman aralığında belirli bir kullanıcı hesabı için çok sayıda oluşan
başarısız oturum istekleri
● Başarısız oturum isteklerinden sonra başarılı oturum açılması
● Bağlantı Detayları (Connections Details)
– Belli bir zaman aralığında belli port aralığına bağlantı denemeleri
– Bloklanmış yerlere bağlantı yapma denemeleri
– Dışardan yapılan bağlantı denemelerinde
● Ülke bilgilerinin gösterilmesi
● Domain isimlerinin gösterilmesi
20. SIEM Senaryolar
● Yönetici Aktiviteleri (Administrator Activities)
– Yeni bir Domain Admin kullanıcı hesabının oluşturulması
– Yeni bir Enterprise Admin kullanıcı hesabının oluşturulması
– Domain Admin kullanıcının parolasının değiştirilemez olarak
ayarlanması
● İstatiksel Analiz (Statistical Analysis)
– Genel olarak SIEM üzerinden analiz yapılabilir.
● Dashboard
– Her tür kaynaktan gelen veriler doğrultusunda anormal bir davranış
olup olmadığı değerlendirilebilir.
● Şüpheli bir davranış izlenebilir.
21. SIEM Senaryolar
● Saldırı Tespiti Analizi
– Kurum bünyesinde bulunan antivirüs, IPS, anti-malware
gibi yazılımların ürettiği alarm logları kullanılarak saldırı
tespiti için analiz yapılabilir.
● Sistem Değişiklik Aktiviteleri (System Change
Activities)
– Güvenlik duvarı konfigürasyon/politika değişikliği durumları
– Kullanıcı hesabında yapılan değişikliklerle ilgili durumlar
● Yeni bir gruba eklendi
● Domain grubuna dahil edildi
22. SIEM’ de Başarıya Giden Yol
● Logların kaynaklardan toplanması
● Saldırıları tespit edebilmek için gerekli olan korelasyonların sağlanması
● Sürekli SIEM’ in takip edilmesi ve yeni tespit edilen saldırılar karşısında
korelasyonların güncellenmesi
● Gerekli SIEM yazılım, donanım güncelemelerinin yapılması
● Ek kaynaklarla SIEM’i güçlendir
– Tehdit İstihbaratı (Threat Intelligence)
● USOM
– https://www.usom.gov.tr/url-list.txt
● Normshield
– https://reputation.normshield.com/domain/fraudulent/text/
● Yeni içeriklerin oluşturulması ve beyaz listelere (White lists) doğru uzanan bir yol
● Bunları yapabilmek için gerekli insan kaynağı ve danışmanlık hizmeti
SIEM ile kurumun altyapısında bulunan cihazlardan loglar toplanır. Ek olarak ağ
temelli saldırı tespit sisteminin kullanılması daha verimli bir yapı oluşturacaktır.
23. SIEM Projesi
● İyi bir SIEM projesi gerçekleştimek için ihtiyacınız olan
en önemli unsur danışmandır.
● 7 Adımda Başarılı SIEM projesi
– https://www.bgasecurity.com/makale/7-adimda-basaril
i-log-yonetimi-siem-projesi/
– Bu dokümanda belirtilen şekilde bir proje çalışması
yapılmadığı sürece SIEM hep eksik kalacaktır.