SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI [email protected][email protected]Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Bunun için SIEM sistemleri hazır bir kütüphane ile gelir. Bu kütüphanede ne kadar sayıda kural, ne kadar geniş alanı tarıyor önemli bir kriterdir. Taradığı alan : IPS/IDP kuralları Cisco Firewalls Connections General Applications Windows o User Management o Group Management o Machine Management o Authentication o Windows Firewall o Authorization o Audit Policy o Software Management o Access Violation o File Management o Risk Management o Password Management o Service Management o Performance Monitoring o File Replication o Windows File Protection o Printer o System Uptime o NTDS Defragmentation o Network o Hardware Errors FTP DNS Security Network Monitor Telnet URL Operating Systems Sunucu güvenliği
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
gibi alt bileşenlerden oluşur. Ve bu bileşenler için hem güvenlik hem de hata durumu analizi kuralları
içerir.
Bundan başka ve daha önemli bir özellik ise ihtiyaçlar kapsamında kendi kurallarınızı geliştirebiliyor
olmaktır. Kural geliştirme yeteneğini ise 4 farklı seviye olarak ele alabiliriz:
Basit periyodik kurallar
Basit gerçek zamanlı kurallar
Senaryo kuralları
Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.
KORELASYON KURALLARI
Kullanıcıların kendi geliştirebileceği kuralları yukarıda 4 farklı kategoriye ayrılmıştık. Bunlara kısa
kısa örnekler verip, ANET tarafından geliştirilen ANALİZSEL KORELASYON YAKLAŞIMI
açıklayacağız
Basit periyodik kurallar
Bu tarz ürünlerin gerçek bir korelasyon motoru olduğundan bahsedilemez. Bu tarz sistemler
kullanıcının ara yüzde seçtiği değerlere göre arka planda bir sorgu oluşturur ve aşağıdaki resimdeki
gibi sorguyu veya bazen alarm diye de adlandırılan betiği her xxx saniye bir çalıştır gibi ayarlar
yaptırırlar. Dolayısı ile bu tarz ayarlar aslında bir motor olmadığına ve sonucun DB (SQL ,NoSQL, Flat
File) üzerinde periyodik sorgu çalıştırmakla üretilmeye çalışıldığını gösterir.
Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan zaaflara sahiptirler. Bu
zaaflar 4 adettir
1. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod
içindeki olaylar anında yakalanamaz
2. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir
performans problemine sebep olur
3. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz
4. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz
Basit gerçek zamanlı kurallar
Gerçek zamanlı bir korelasyon kuralına sahip olup, senaryo yazmaya elverişli olmasalar bile bazı
temel kuralları işletebilirler. Örnek kurallar:
1. Her hangi bir log kaynağına ait loglarda bir olay gerçekleşirse, 2. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay
gerçekleşirse, 3. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay
gerçekleşmez ise, 4. A kaynağına ait bir olay gerçekleştikten sonra t süresi içerisinde gene A kaynağına ait
olaydan bir ya da n adet gerçekleşirse (hakeza bu n kere tekrarlanabilir), 5. A tipindeki herhangi bir cihazdan X türünde bir log geldikten sonraki 5 dakika içerisinde diğer
cihazların herhangi birinden Y türündeki veya Z türündeki bir log 20 defadan fazla gelirse alarm oluştur v.b
6. Ayrıştırılan alanlar üzerinden korelasyon adımlarında filtreleme yapılabilmelidir. Örnek: IDS attack info = buffer overflow ise, hedef IP = 10.10.10.10 ise gibi,
Senaryo kuralları
Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.
Örnek kural:
1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyar.
Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz.
http://www.youtube.com/watch?v=pCSMezPxRhY
Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.
Bu yaklaşım, çeşitli parametrelere logları kategorize eden otomatik bir süreçtir ( genellikle mesajlar
paternlere göre analize edilir.). Bu sınıflar önceden belirlenmiş olup patter sınıf ilişkisi kurulmuştur.
Sistem loglar akarken sınıfsal korelasyona tabi tutulur ve daha önceden belirlemiş sınıflardan birine
dahil edilir. Böylece aşağıdaki gibi kurallar yazılabilir.
Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden
(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme