Log içerisinden arama tarama yaparak önemli güvenlik zafiyetleri tespit edilemez. Bu tur zafiyetleri tespit için Log yönetiminden SIEM çözümlerine geçmelisiniz. Bu noktada ise 2. Bir yol ayrımı ile karşılaşırsınız. SIEM tanımının kapsamı. Bu kapsam global ürünlerde oturmuş olsa bile lokal ürünlerin pek çoğunda bu tanım oturmuş değildir.

1. Gerçek SIEM Nedir? Olmazsa Olmazları! Ve Gerçek SIEM Ürünü ile
Güvenlik Analiz Senaryoları
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
ertugrul.akbas@anetyazilim.com.tr
Log içerisinden arama tarama yaparak önemli güvenlik zafiyetleri tespit edilemez. Bu tur zafiyetleri
tespit için Log yönetiminden SIEM çözümlerine geçmelisiniz. Bu noktada ise 2. Bir yol ayrımı ile
karşılaşırsınız. SIEM tanımının kapsamı. Bu kapsam global ürünlerde oturmuş olsa bile lokal ürünlerin
pek çoğunda bu tanım oturmuş değildir.
Gerçek bir SIEM çözümü, görünürde birbiri ile ilişikli olmayan olayları ilişkilendirir ve ortaya asıl veriyi
çıkarır. İyi bir korelasyon ile milyonlarca olay içerisinden filtreleme yapar ve önemli olana
odaklanmanızı sağlar. Fazla sayıdaki “ false positive” ler ve fazla sayıdaki “false negative alert” ler
dikkatinizi dağıtır. İyi bir SIEM time windows, context analysis,data mining vb.. teknik kullanarak veriyi
süzer. Böylece siz, her gün üretilen milyonlarca olay arasından önemli olana odaklanabilirsiniz. Bu
süzme işinin temel bileşeni Taxonomy modülüdür.
Milyonlarca olay logu ve network hareketi içerisinde, tehdit veya olayı oluşturan “gerçek” hareketin
okunabilir, rahatlıkla takip edilebilir olmasını mümkün kılmak en temel SIEM özelliğidir.
Bütün bu faydaları sağlarken, çok kolay, üretici şirkete bağımlı kalmadan, çok hızlı, tamamen
drag&drop yardımı ile bu ayarlar, kurallar ce alarmlar geliştirilebilmeli, güncellenebilmeli ve
değiştirebilmeli.
Üst seviye bir SIEM değişik uygulama dilleri, geliştirme araçları, sorgu, script vb. ek kaynak ve bilgilere
ihtiyaç duymaksızın, sadece standart ekranlar ve sihirbazlar ile özelleştirme, yeni kurallar ve raporlar
oluşturmanızı sağlamalıdır.
Sistem özel, kendii dili, notasyonu, sorgu veya benzeri yöntemleri bilmeye bağlı sistemler
sürdürülebilir değildir. Global ürünlerde ve bu ürünlerin kalitesindeki ürünlerde ilk aranan şey
korelasyon editörü ve bunun kolay, ergonomik, hızlı öğrenilebilir ve son kullanıcı için geliştirilmiş
olmasıdır.
Bir logun içindeki kaynaklara, hedeflere, URL ve kullanıcı bilgilerine bakarak pek çok şeyi
anlayamazsınız.
Mesela bir kaynağın dakikada 15 tane paketinin bloklanıp bloklanmadığına bakarak net sonuç elde
edemezsiniz. Sadece kuşku duyabilirsiniz. Ama daha öncesinde o kaynağın bir port taramasına maruz
kalıp kalmadığını bilirseniz karar vermeniz çok kolaylaşır. Bunun için de Taxonoym özelliği olan bir SIEM
çözümüne ihtiyacınız olur. Çünkü logları ve olayları bu port taramasıdır, bu saldırıdır, bu normal
olmayan TCP trafiğidir vb.. analiz edip kategorize eden modüle Taxonomy denir.

2. Diğer bir taxonomy özelliğinin avantaj sağladığı durum web sunucunuzun çok log ürettiğini veya çok
trafik ürettiğini bir şekilde fark ettiğiniz. İyi de neden böyle oldu sorusuna bir Log yönetimi sistemi
içerisinde saatlerce vakit harcasanız da cevap bulamazsınız. Taxonomy özellikli bir SIEM de ise bu web
sunucusuna “Malicious->Web->SQL” hareketi olmuş mu diye bakarak hemen sonuç üretmek
mümkündür
Başka bir örnek ise ben ağımda anormal bir trafik olduğunda haberdar olmak istiyorum. Görüldüğü gibi
ihtiyaç yalın ve basit. Ne Kaynak ve Hedef IP ler, ne portlar, ne URL bilgisi veya sayısı benim işimi
çözmüyor. Bunun için illa Taxonomy modülü gerekli. Çünkü bu logu aldığımız cihazın (Firewall, URM,
IPS/IDS vb..) milyonlarca olay kodu ve imza (signature) bilgisi bu Taxonomy modülü tarafından işlenip
bu log anormal bir TPC/UDP/ICMP logudur denmediği sürece loglara bakarak, loglar üzerinde arama
tarama yaparak hiçbir sonuç elde edilemez. Bir insanın veya ekibin de yüzlerce cihazın milyonlarca olay
kodu ve imzasını (signature) bilip, bir de linuxda bu formatta windows da bu formatta, cisco da bu ama
fortnate de bu formatta olacak diye kombinasyonlarını bilip sonra bunlar tek bir UnusualTCPTraffic
logudur diyebilmesi teorik olarak mümkün değil Pratik olarak da tek bir olay için günler gerektirir.
Üzerinde konuşulabilecek diğer bir senaryo ise günde 5 defa şifre değiştiriliyor ise hangi firewall, hangi
sunucu, hangi router veya switch ise bildir şeklinde bir Kural için yine taxonomy gereklidir.
Zafiyet analizi için önemli bir senaryo olan kötü amaçlı yazılım tespitidir (Malware Detection). Bunun
için içeriden (inbound) Reputation listelerindeki kötü niyetli (malicious) hedeflerine trafiğin tespiti
gerekir. Bunu için öncelikle trafiğin inbound/outbound olarak kategorize edilmesi sonra da bu trafik
malicious diye işaretlenmelidir.
Dolayısı ile bir SIEM ürününde logları ve olayları analiz edip, anlamlandırıp daha sonra korelasyon ve
raporlamada kullanmanızı sağlayan ek bilgilere ihtiyaç vardır. Aşağıda birkaç örnek verilmiştir.
 Compromised->RemoteControlApp->Response
 HealthStatus->Informational->HighAvailability->LinkStatus->Down
 IPTrafficAudit->IP Too many fragments
 IPSpoofAccess->ICMP CODE Redirect for the Host
 FileTransferTrafficAudit->Authentication Failed
 UnusualTCPTraffic
 UnusualUDPTraffic
 Malicious->Web->SQL
Üst seviye bir SIEM çözümünde 1000 lerce böyle kategori olmalıdır.
Taxonomy özelliği ile birlikte üst seviye bir SIEM çözümünün korelasyon özelliği de üst seviyede
olmalıdır. Bu özelliklerden in önemli 3 tanesi [ http://chuvakin.blogspot.com.tr/2011/07/top-10-
criteria-for-siem.html ]
 Üst seviye bir SIEM değişik uygulama dilleri, geliştirme araçları, sorgu, script vb. ek kaynak ve
bilgilere ihtiyaç duymaksızın, sadece standart ekranlar ve sihirbazlar ile özelleştirme, yeni
kurallar oluşturmanızı sağlamalıdır.
 Hafızada (In-Memory) korelasyon yapabilmeli. Herhangi bir sorguyu periyodik olarak çalıştırıp
buna da korelasyon diyen çözümler bu kategoriye girmez.
 Gelişmiş kuralların geliştirilebiliyor olması.
o Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme

3. o Çapraz korelasyon (Cross Correlation)
o Canned Rules
o Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi,
diğerlerinin gerçekleşmemesi ( X ' not Y)
o Sabit zamanlar içerisinde (örn: mesai saati dışı) olayların gerçekleşmesi.
o Anahtar kelime ile ve Regex (regular expression) kullanarak kural yazılabilecektir.
o Korelasyon aksiyonları belirlenen bir sürece gönderilmesi engellenecek, böylelikle aynı
alarmların birçok kez gelmesi engellenecektir.
Örnek Korelasyon Editörü
Gelişmiş korelasyona bir örnek senaryo ; Outbound Spam Detection dır. Bunun için ise kural geliştirme
süreci tamamen sihirbaz temelli, son kullanıcının çok kolay bir şekilde değişik uygulama dilleri,
geliştirme araçları, sorgu, script vb. ek kaynak ve bilgilere ihtiyaç duymaksızın, sadece standart ekranlar
ve sihirbazlar ile geliştirebilmesi ilk ihtiyaçtır. Sonrasında ise aşağıdaki 3 farklı olay birbirine sıra ile
bağlanır.
1-Outbound 25 numaralı porta 1 dakikada 10 olay oluşuyor

4. 2- Sistemdeki IPS/IDS veya mail filtreleme log kaynaklarından aynı Kaynak IP den aynı Hedef IP ye SPAM
trafiği oluşuyor ve buradaki Kaynak IP ve Hedef IP 1 Numaralı olaydaki Kaynak IP ve Hedef IP ile aynı.
3-Aynı Kaynaktan port 25 e SYN Scan yapılıyor
Son örneğimiz ise bir departmandaki bir kullanıcı başka bir departmandaki bir makinaya login olursa
haberdar olmak için SIEM çözümü gerekir.
Kurallar
 Aynı VPN hesabından 10 dakikada 3 adet hatalı giriş denemsi oluyorsa uyar
 5 dakika içerisinde 5 den fazla Authanticaion yapan hesabı bul
 Aynı hesaptan 12 saat içerisinde 2 farklı makineye oturum açılırsa uyar
Referanslar
1. http://www.slideshare.net/anetertugrul/surelog-international-edition
2. http://www.slideshare.net/anetertugrul/log-ynetimi-siem-demek-deildir
3. http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf
4. http://www.cisoplatform.com/profiles/blogs/siem-tools-implementation-guide-and-vendor-
evaluation-checklist
5. http://blogs.gartner.com/anton-chuvakin/2013/09/24/detailed-siem-use-case-example/
6. http://blogs.gartner.com/anton-chuvakin/2014/05/14/popular-siem-starter-use-cases/
7. http://journeyintoir.blogspot.com.tr/2014/09/siem-use-case-implementation-mind-
map.html