SlideShare a Scribd company logo

Log yönetimi ve siem

Ertugrul Akbas
Ertugrul Akbas

Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM,SYSLOG,SNMP

1 of 11
Download to read offline
LOG YÖNETİMİ ve SIEM Dr. Ertuğrul AKBAŞ Kelimeler: Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme,SIEM,SYSLOG,SNMP Log Analizi Bilgisayar ağlarında kullanılan ağ cihazları olaylar hakkında kayıt yapma özelliğine sahiptirler. Bu kayıtlar sayesinde ağ üzerinde güvenlik olaylarının belirlenmesi ve önlem alınması sağlanmaktadır. Buna Log Analizi denilmektedir. Log analizi sayesinde sisteme girmeye çalışan kişilerin adres bilgilerine ulaşılmaktadır. Ayrıca sistem içinde bulunan kullanıcıların yaptıkları (dosya kaydetme , yazıcıdan çıktı alama gibi) işler kontrol edilmesi mümkün olmaktadır. Büyük firmalarda ise internet ortamında kullanıcıların hangi siteye girdikleri , hangi aşamada terk ettikleri , hangi sayfada daha çok / az zaman harcadıkları gibi bilgilere kolaylıkla ulaşmaları sağlanır. Log Yönetimi Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir. Ayrıca, 04.05.2007 tarihli 5651 sayılı kanunda internet suçlarını önlemeye yönelik olarak kurumların log yönetimi ile ilgili yükümlülükleri belirlemiştir. Log sistemleri karakterleri itibari ile dağıtık yapıya sahip sistemlerdir. Log Yönetimi: Log Toplama, Log Normalleştirme, Log Indexleme, Korelasyon ve Filtreleme/Raporlama ve Alarm yönetimi katmanlarından oluşur. Bu özelliklere sahip sistemlerin özellikleri:  Logların merkeze toplanması  Log Saklama  Verilere hızlı erişimi ve gösterimi  Desteklediği Log formatının çokluğu  Veri analizi  Kayıtların saklanması  Arşivleme ve geri getirme  Verilerin yetkiler ve ilişkiler seviyesinde erişimi  Veri bütünlüğünün sağlanması  Loglara erişim auditlerinin tutulması
Sistemlerden pek çok kaynaktan log toplanabilir.Örnek: İşletim Sistemleri: Windows XP/Vista/7,Windows Server 2000/2003/2008/R2,Unix/Linux Türevleri,Nas Cihazları (NetApp), Uygulamalar: Dhcp,IIS 6/7/7.5 (W3C),Apache (Syslog),Text-Based Log (Csv/Tsv/W3C/Txt/Custom ),Dansguardain,Postfix Firewall/Proxy: ISA/TMG Server,BlueCoat,3Com,Astaro,CheckPoint,Cisco Systems,Clavister,CyberGuard,D- Link,Fortinet,FreeBSD,IPCop,Juniper,Drytek,Kerio,Lucent,McAfee-Secure Computing,NetApp,NetFilter,Snort,SonicWALL,Netopia,Network-1,St. Bernard Software,Sun Microsystems,WatchGuard,Zywall,Anchiva,Applied Identity,ARKOON,Aventail,AWStats,Cimcor,DP Firewalls,Electronic Consultants,Global Technologies,Ingate,Inktomi,Lenovo Security Technologies,NetASQ,Websense Network Cihazları: Syslog Gönderen Cihazlar, SNMP Trap Gönderen Cihazlar, Cisco router,Cisco switch Email: Exchange 2003,Exchange 2007,Exchange 2010,IIS SMTP,SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler Veritabanları: Oracle,MSSQL,MySQL,Sybase Log Yönetimi ile ilgili pek çok açık kaynaklı sistem bulunabilir. Bunların en bilinenleri OSSIM,LASSO,SNARE- AGENT,SPLUNK sayılabilir. Sistemlerden loglar ya agent kurarak yada log sunucu tarafından uzaktan çekilerek toplanır. Her ikisinin de avantaj ve dezavantajları vardır. Ajanlı Yöntem: Avantajları: Log sunucu kapalı da olsa veri Kaybı olmaz,Log sunucu ne zaman toplayacağına karar verebilir,Log sunucu istemcinin durumunu tespit edebilir.
Dezavantajları:Bütün makinelerin önceden konfigurasyona ihtiyacı olması,Sistem ele geçirilirse ajanın log göndermesi engellenebilir.Kurulum ve konfigurasyon uzun zaman alır ve yaşam döngüsünde bakım,tutum ve yaşatmak için çok fazla işgücü gerektirir. Ayrıca sistem eğer merkezde değil de ajan tarafında logları filtrelemek üzere ayarlanmış ise güvenlik aracı olarak iş görmeleri çok zayıflar. Logu ajan tarafında filtrelemenin zararları ve bu logların daha sonra işe yarayacağı ile ilgili LosAlamosNationalLaboratory de bu konuda uzun süre çalışan Dr. Ben Uphoff’un [http://people.msoe.edu/~uphoff/] çalışması incelenebilir. [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis] Ajansız Yöntem: Avantajları: Kurulum ve konfigürasyonu çok kolay, çok esnek ve çok büyük sistemler için ölçeklenebilir Dezavantajları: Syslog UDP temelli bir protokol ve veri kaybı olabilir, bazı durumlarda log sunucu istemcileri takip edemez. Özellikle ülkemizde 2007 yılında kanunlaşan 5651 sayılı kanundan sonra log yönetimi yapan şirketlerin neredeyse tamamı yukarıda listelenen yada benzeri açık kaynaklı ürünleri ticari olarak kullanma yoluna gitmiştir*Açık kaynaklı ürünlerin Lisans Kuralları Ticari Ürün olarak yeniden isimlendirmesini yasaklamaktadır]. Bunun en önemli sebebi bu çalışmada açıklamaya çalıştığımız log normalleştirme ve sonraki süreçleri özgün olarak geliştirmenin akademik ve saha birikimine ihtiyaç duymasıdır.Çok az firma kendi çözümünü akademik ve AR-GE birikimine dayanarak geliştirebilmiştir. Log Analizi ve Bilgi Güvenliği Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara bir de sunucular ve istemcilerin logları da eklendiğinde hareketlere ve trafiğe ilişkin değerli olabilecek bir çok bilginin süzülmesi, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz edilmesi, takibi ve anlamlı sonuçlar verebilecek şekilde raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür bilgilerin yeterince etkili şekilde değerlendirilemediği durumlarda, kontrol gerçek anlamda sağlanamamakta ve kontrol edilemeyen bilgi sistemleri alt yapılarına yönelik yatırımlar da, verimli kullanılamamış olacaktır.
Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın ihtiyaçlarına göre bunun hangi sistemler için gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, ayrıca bunun sonuçları üzerinde nasıl bir değerlendirme yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir organizmanın çeşitli birimleri ile görüşülerek bilgi toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan log kayıtlarını işaret eder. Log yönetim çalışmalarında ele alınması gereken ilk konunun, bilgi sistemlerinin hangi süreçlerinde, hangi log verilerinin log yönetimi amacı ile değerlendirilmesi gerektiğine karar verilmesidir. Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile oldukça yakın ilişkideki bir yönetim sistemidir.(Network güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi için, dikkat edilmesi gereken önemli bir mesele, network üzerindeki atakların saptanabilmesi ve bunları doğru olarak tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Güvenlik Raporları birer birer sistemlerin kendisinden alınabilecek raporlardan çok, farklı veritabanlarında bulunan veriler kullanılarak; otomatik olarak oluşturuldukları takdirde, güvenlik durumuna ait daha kapsamlı genel bir görüntü sunabilecek ve farklı bakış açılarına ait verileri bir araya getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak kullanılması, log yönetimindeki amaçlardan biridir. Log Toplama Log toplama süreci aşağıda gösterilen bir formül ile ifade edilmiştir. Denklemdesistemler (domain) R ile simgelenmiş, bu sistem içindeki tüm cihazlar D ilegösterilmiştir. Denklem 2.1 log kayıtları kümesi, 2.2 bilgi sistemleri cihazlarının farklılog tiplerini, 2.3 ise her sistem cihazının farklı olay logları kümesine sahip olduğunugöstermektedir.
R = {D1 D2,...., Dn} Her sistem cihazının kendi loglarının olması, B log türleri olmak üzere, Di = {Bi1, Bi2,....., Bim}, iЄ [1,n] Her indeksin bir cihazı temsil etmesi durumunda, her cihazın farklı tip olay kayıtları oluşturması durumu (Örneğin windows sistemlerinde, uygulama (application), sistem (system), güvenlik (security) loglarının ayrı ayrı olması gibi...), e olay tipi olmak üzere; log modellemesini formüle edebiliriz. Bij = {eij1, eij2,....., eip}, iЄ [1,n], jЄ [1,m] Log Toplama Sitrmlerinde Karşılaşılan Başlıca Problemler 1. Çok yüksek sayılarda ve büyüklüklerde log kayıtları, 2. Log kayıt desenlerinin farklılığı, 3. İçeriklerin oldukça farklı olması Log Normalleştirme Log kaynakları birbirinden farklı formatlarda log üretirler: Cisco Router Jul 20 14:59:32 router 20: *Mar 1 01:39:25: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160) Jul 20 15:01:07 router 21: *Mar 1 01:41:00: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160) Jul 20 15:10:43 router 22: *Mar 1 01:50:36: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Jul 20 15:18:06 router 24: *Mar 1 01:57:58: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Jul 20 15:18:06 router 25: *Mar 1 01:57:59: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Remote Apache logging Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client 202.56.224.218] File does not exist: /htdocs/default.ida Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] [client 202.197.181.203] File does not exist: /htdocs/default.ida Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] [client 202.101.159.163] request failed: URI too long Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Normalizasyon, kaynak verilerdeki bütünlüğü bozmayacak şekilde, Log dosyası verilerinden uygun bir bilgi ortaya çıkarmak için, korelasyon aracının bu yeteneğe sahip olması gereğidir. Bu logları alıp ortak bir platformda ifade edip bütün bu veriler üzerinde indexleme,korelasyon ve filtreleme/raporlama yapılabilmesini sağlama işlemine normalleştirme denir. Örneğin, bir Windows etki alanı denetleyicisi ile bir Windows veritabanına giriş hatalarını gösteren
"giriş-başarısız" olayını aynı adla kaydedemeyiz. Çünkü Windows Account_Expired ve MSSQLSVR gibi daha spesifik detaylı bilgelere sahiptirler ve normalize edilmelidirler. Normalize işlemi logların parse edilmesiyle başlar. Her bir tür log için özel parserler REGEX yardımı ile oluşturulur Burada 2 farklı yöntem vardır. 1-Neyin logunun toplanacağının tanımlandığı sistemler 2-Özellikle Log Proxy kullanılan sistemlerdeki auto log discovery özelliği-Logların geldiği anda tipinin otomatik tanımlanması. Normalleştirme işlemi sırasında zaman bilgisi ve timezone hesaplaması da gerçekleşir. Zaman Bilgisi Pek çok farklı sistemden loglar toplanıp merkezi bir noktada toplanacağı için logların kendi içerisinde tutarlı ve korelasyon kurallarının anlamlı veriler üretebilmesi için loglardaki zaman bilgisi çok önemlidir. Bu tutarlılığı sağlamak için ağda NTP (Network Time Protocol) aktif edilmelidir. Timezone Sistemlerden toplanan logların özellikle dağıtık bir altyapıda timezone bilgisi ve bu bilginin merkezi log toplama merkezi ile uyumlulaştırılması logların analizi için gereklidir.Log kaynaklarının hepsinin aynı timezone ayarını alması ve bu bilgisi her durumda göndermsinin sağlanması gerekir Log Depolama Logların deoplanması ve arşivlenmesi özellikle çok büyük sistemlerde kritik olmaktadır. Günde 100 lerce GB logu saklamak ve üzerinden sorgu yapmak için özel deoplama sistemleri tasarlanmaktadır. NIST(2007) tarafından yayınlanan Guide to Computer Security Log Management isimli yayından derlenmiştir Loglanacak sistemlerin ne kadar log üreteceği ve bu loglar için ne kadarlık disk alanı ayrılacağı önemli bir mühendislik hesabı gerektirir. Örnek Kapasite Hesabı: Bir yıllık loglama için ortalama disk alanı = 365 gün x 24 saat x 3600 saniye x 100 (yoğun sistemler saniyede çok daha fazla log üretecektir) x 200 byte = 580~ gigabyte / yıl . Tabi bu değer sıkıştırılmamış ham veridir. İyi bir sıkıştırma ile
bu değer küçültülebilir. Eger loglar için veritabanı kullanıyorsanız bu sayıyı iki üç ile çarpmak gerekir. İlişkisel veritabanı kullanımlarında OS seviyesinde sıkıştırma bu alana geri kazanmanızı sağlayabilir. Korelasyon ve SIEM Log Yönetimi ve SIEM (Security Information & Event Management) birbirini tamamlayıcı katmanlardır. Genellikle Log Yönetiminden bahsedilirken korelasyondan da bahsedilir ve dolayısı ile SIEM katmanına çıkılmış olur. Sistemlerin korelasyon yeteneği sayesinde farklı cihazlardaki logları otomatik olarak ilişkilendirir, anlamlı hale getirir ve daha önemli uyarılar üreterek, sistem yöneticilerinin ortaya çıkabilecek bir sorunu önceden görmelerini veya ortaya çıkmış bir sorunu daha kolay çözmelerini sağlar. Korelasyon işlemi belli kuralların işletilmesi şeklinde oluşur. Örnek kurallar  İstenmeyen mesajları yok etmek  Tek mesaj eşleştirme ve aksiyon alma  Mesaj çiftlerini eşleştirme ve aksiyon alma  Belirlenen bir zaman dilimi içerisinde olay oluşum sayısına bakarak aksiyon alma Farklı korelasyon teknikleri mevcuttur.Mesela:  Farklı olayların korelâsyonu (Mantıksal Korelasyon)  Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon),  Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu) Korelasyon motorundan beklenen özellikler:  Hafızada Korelasyon Yapabilme.  Tek Kaynak Korelasyon Kuralları.  Çoklu Kaynak Korelasyon Kuralları.  Negatif Condition Kuralları.  Context Base Korelasyon.  Hiyerarşik Korelasyon.  Çok esnek kural oluşturma yapısı.  Rule Base.  Complex Event Processing(CEP).  Forward Chaning.  Backward Chaining.  Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını hızlandırmak için bellek içi korelasyon kullanır.  Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.  Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır. Kural Örnekleri: Hedef:445 nolu port ataklarını tespit etmek • Gereksiz yanlış atak loglarından kurtulmak isteniyor • 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor • 1 saatlik zaman diliminde en az 100 atak logu • 4 saatlik bir zaman diliminde 200 atak logu isteniyor
Hedef: Windows makinelere brute force login ataklarının tespit etmek  60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması ve  Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor. Hedef: Atak Tespiti 5 dakika içerisinde 10 tane login failure olayı gelirse atak uyarısı yap. Hedef:Performans Problemi Tespiti: Hedef: Cihazdandan sıcaklık değeri yüksek uyarısı gelir ve 5 saniye boyunca da olay kaydı gelmezse performans problemi maili oluştur. Hedef: Ağdaki kötü niyetli yazılımlarının tespiti. – Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir – Senaryo: • Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1) • (1) durumu art arda 5 defa gerçekleşiyorsa • Bilgilendir/ müdahale et – Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir. Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti. – Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1) • IDS veya güvenlik duvarından alınan kayıtlar – (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse • Güvenlik duvarından alınan ACCEPT kaydı – (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa • Veri tabanından alınan LOGON ATTEMPT kaydı – Bilgilendir/ müdahale et • Birden fazla kaynaktan alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir Korelasyon motorunun yukarıdaki kuralları ve benzerlerini işletecek bir altyapıya sahip olması beklenir Alarm Yönetimi İyi bir sistem ortamda oluşan bütün olayları logları toplamak suretiyle takip edebildiği için proaktif bir güvenlik yönetim sistemi kurulmasını sağlar. Güvenlik yöneticileri kendileri alarmlar tanımlayabileceği gibi sistem hazır alarmlar da içerirmelidir.
Örnek hazır alarmlar:  Database de Acount değişikliği durumunda Kullanıcıyı uyarabilme,  Active Directory başarılı bir şekilde çalıştığında Kullanıcıyı bilgilendirme özelliği,  Active Directory servisi durduğunda Kullanıcıyı uyarabilme özelliği,  ISA Servisi Başlatılırken Hata oluşursa kullanıcıyı uyarabilme özelliği,  Makinelere Program kurulduğunda Yöneticileri uyarabilir,  Makinelerden Uygulamalar Uninstall edildiğinde Yöneticileri uyarabilme özelliği,  Makinelerden Audit logları temizlendiğinde Yöneticileri haberdar edebilme özelliği,  Audit Policy de değişiklik yapıldığında Yöneticilere bildirme,  Bad Disc Sector oluştuğunda yöneticileri bilgilendirme özelliği,  Bilgisayar hesaplarında değişiklik yapılması durumunda yöneticileri bilgilendirme özelliği,  Bilgisayarlar da yeni bir kullanıcı oluşturulduğunda yöneticileri bilgilendirme özelliği,  Bilgisayar hesaplarından herhangi biri silindiğinde yöneticileri bilgilendirme özelliği,  DNS serverin başarılı bir şekilde başlaması durumunda yöneticileri bilgilendirme özelliği,  DNS serverin başlatılamaması durumunda yöneticileri uyarma özelliği,  DNS Server TimeOut’a düştüğünde Yöneticileri uyarabilir.  DNS Server Update aldığında yöneticileri haberdar edebilir.  Domain Policy değişikliği olduğunda yöneticileri haberdar edebilir.  Eventlog servisi durduğunda yöneticileri uyarır,  Sistemlere LogOn olma işlemi denendiğinde(başarılı ve Başarısız LogOn durumlarında) yöneticileri uyarabilir,  Insufficient Memory durumu tespit edildiğinde yöneticileri uyarabilir.  Yeni uygulamalar çalıştırıldığında yöneticileri haberdar edebilir,  NTDS Databse Engine(Active Directory database file) başladığında yöneticileri bilgilendirebilir,  NTDS Database Engine(Active Directory database file) durduğunda yöneticileri uyarabilir,  Nesne silerken hata olursa yöneticileri uyarabilir,  İşletim sistemi başlatıldığında ya da kapatıldığında yöneticileri uyarabilir.  Yeni bir Printer eklendiğinde ve oluşturulduğunda yöneticileri uyarabilir,  Sistem dosyalarında değişiklik olduğunda yöneticileri uyarabilir,  File Replication Service başladığında yöneticileri haberdar edebilir,  FTP LogOn durumu ya da LogOf durumunda Yöneticileri uyarabilir,  Hesap şifre sıfırlama işlemlerinde yöneticileri uyarabilir,  Kullanıcı hesapları dondurulduğunda yöneticileri uyarabilir,  Sisteme yeni makine eklendiğinde yöneticileri uyarabilir,  MAC-IP Değişikliğini algılama sistemi. Sisteminizde bulunan kritik cihazların MAC ve IP değiştirmeleri durumunda yöneticileri uyarabilir.  Sisteme yeni bir cihaz dahil olması durumunun takibi.Ağınızda daha önce olmayan bir cihaz dahil olduğunda yöneticileri uyarabilir. Loglar ile ilgili alarmlar üretebilmekte sistem yöneticilerini mail,sms,snmp gibi yöntemler ile uyarabilmektedir Güvenlik Çıkarım Motoru Yeni nesil ürünlerin bir kısmında yukarıda bahsedilen özelliklerle birlikte aşağıdaki özelliklere sahip ürünler geliştirmişlerdir.  NETWORK ERİŞİM TAKİBİ  SABİT İP KULLANIMLARININ TAKİBİ  ARP SPOOFING TESPİTİ  DDOS TESPİT KURALLARI  HACKER TOOLS TESPİT KURALLARI
Raporlama Log yönetimi ve SIEM uygulamalarının tamamında raporlama yeteneği mevcut.Dolayısı ile ürünler arasındaki farklılık sorgulama kolaylığı ve raporların anlaşılırlığı noktasında olmakta. Özellikle güvenlik amaçlı kullanılacak bir üründe  En çok indirme (download) yapan Kullanıcılar, Makineler Kimler?  Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa kim?  Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler bu işlemleri gerçekleştirdi?  Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne zaman gerçekleştirdi?  Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne zaman bu işlem gerçekleşti?  Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler neden oldu?  Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden olanlar kim?  Taşınabilir bellek kullananlar kimler?  Kim hangi uygulamayı çalıştırdı?  Kim hangi uygulamayı kapattı?  Kim “tasarım.dwg” dokümanını sildi?  Kim Hangi URL’e gitmiş? - Kullanıcılara göre ziyaret edilen URL ler, - IP adreslerine Göre Ziyaret edilen URL ler - Makine Adlarına Göre ziyaret edilen URL ler  Kim Hangi Hedef Host’a gitmiş? (www.facebook.com) - Kullanıcı adına Göre ziyaret edilen Sayfalar - IP adresine Göre Ziyaret edilen Sayfalar - Makine Adına Göre ziyaret edilen sayfalar  Ağ içerisindeki hangi bilgisayardan www.xxx.com sayfasına belirli bir kullanıcının(aaa bbb ismi gibi) ile erişilip erişilmediğinin kontrolü  Hedef Hosta Giderken Kullanılan Port ve Protokoller?  Kim Hangi IP ile iletişim gerçekleştirmiş?  İki IP arasındaki iletişimden Doğan trafiğin Boyutu ne kadardır?  İki IP arasındaki Paket transferi ne kadardır?  İki IP arasında en çok kullanılan Port ve Protokoller hangileri?  En Çok Mail trafiği oluşturan kullanıcılar?  Unix Sistemlerden Alınan raporlar  Başarılı LogOn Raporları  Unix tabanlı sistemlere kimlerin LogOn olduğu bilgisini tutar.  Başarısız LogOn Girişimleri  Unix sistemlere LogOn olmaya çalışıp ta başarısız olanları gösterir.  Başarılı LogOff Raporları  Unix sistemlerden başarılı bir şekilde LogOff olanları gösteren rapor ekranıdır.  Başarılı LogOn Raporları(Yöneticilere ait)  Unix sistemlere başarılı LogOn yapan adminleri listeler.  Başarısız LogOn Girişimleri(Yöneticilere ait)  Unix sistemlere admin hesabıyla LogOn olmaya çalışıp başarısız olanları listeler.  Başarılı LogOff Raporları(Yöneticilere ait)  Unix sistemlerden başarılı bir şekilde LogOff olan Adminleri gösteren rapor ekranıdır.  Başarılı SSH LogOn Raporları  Unix sistemlere SSH Protokolü kullanarak LogOn olan kullanıcıları gösterir.  Başarısız SSH LogOn Girişimleri
 Unix sistemlere SSH Protokolü kullanarak LogOn olmaya çalışıp başarısız olan kullanıcıları gösterir.(Dünya üzerinde gerçekleşen Unix saldırılarının büyük çoğunluğu SSH üzerinden gerçekleşmektedir.)  Başarılı SSH LogOff Raporları  Unix sistemlere SSH ile logon olup başarılı bir şekilde LogOff olan kullanıcıların listelendiği rapordur.  Başarılı SFTP LogOn Raporları  Unix sistemlere SFTP aracılığıyla başarılı LogOn olan kullanıcıları gösterir.  Başarılı SFTP LogOff Raporları  Unix sistemlere SFTP ile LogOn olup daha sonra başarılı bir şekilde LogOff olan kullanıcılar bu raporda listelenir.  Zamanlanmış görevler Raporu  Oluşturulan ve uygulanan cronjob ların listelenerek kullanıcıya sunulduğu raporlama aracıdır.  Misafir Girişleri Raporu  Dosya Erişim Raporları  Unix sistemlerde kimlerin hangi özel dosyalara eriştiğini gösteren rapor aracıdır.  Windows sistemlerden Alınan raporlar  Printer Kullanım Raporları  Başarılı LogOn Raporları  Başarısız LogOn Girişimleri  Başarılı LogOff Raporları  Dosya Erişim Raporları  USB Erişim Raporları  Çalıştırılan Programların Raporu  Kapatılan Programların Raporu  Oluşturulan Kullanıcıların Raporu  Silinen Kullanıcıların Raporu  Windows Event Raporları  Kablosuz Erişim raporları  Sanal makinelerden alınan raporlar  Sanal makine oluşturma raporları  Kimin ne zaman hangi sanal sistemi oluşturduğunun kayıt altına alır.  Sanal makine silme raporları  Kimin ne zaman hangi sanal sistemi Sildiğini kayıt altına alır.  Sanal makinelerdeki durum değişiklikleri  Kullanıcıların sanal sistemler üzerinde yaptığı değişiklikleri kayıt altına alır  Sanal makine erişimleri  Kimin ne zaman hangi sanal sisteme eriştiğini kayıt altına alır. Gibi raporların hazır sunulması yada tık tıkla sorgulanabilmesi önemli bir ayırt edici özelliktir. Kaynakça [1] Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf [2] http://en.wikipedia.org/wiki/Log_management_and_intelligence, 2011. [3] http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard, 2011. [4] http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf, 2006 [5] Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006. [6] http://en.wikipedia.org/wiki/Regular_expression [7] Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010. [8] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archives/logging-notes.pdf

Recommended

SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalBGA Cyber Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 

Recommended

SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalNetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe Önal
NetSecTR - "Siem / Log Korelasyon Sunumu" Huzeyfe ÖnalBGA Cyber Security
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Ertugrul Akbas
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplamaErtugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaBGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyonErtugrul Akbas
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC KurulumuBGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma TestleriBGA Cyber Security
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıBGA Cyber Security
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Ertugrul Akbas
 

More Related Content

What's hot

Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMErtugrul Akbas
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaBGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıBGA Cyber Security
 

What's hot (20)

Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
SIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin AnlamıSIEM - Varolan Verilerin Anlamı
SIEM - Varolan Verilerin Anlamı
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
 

Viewers also liked

Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Ertugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?Ertugrul Akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaErtugrul Akbas
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkıErtugrul Akbas
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?Ertugrul Akbas
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningErtugrul Akbas
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...Ertugrul Akbas
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizErtugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...Ertugrul Akbas
 

Viewers also liked (20)

Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
 
Juniper Srx Log
Juniper Srx LogJuniper Srx Log
Juniper Srx Log
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through Baselining
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 

Similar to Log yönetimi ve siem

SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemikkargi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Ertugrul Akbas
 
Log Yönetiminin Artan Önemi
Log Yönetiminin Artan ÖnemiLog Yönetiminin Artan Önemi
Log Yönetiminin Artan ÖnemiBurak DAYIOGLU
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaŞahabettin Akca
 
SCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiSCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiMustafa
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta GüvenliğiFevziye Tas
 
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, pronms
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...Ertugrul Akbas
 
BTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin TemelleriBTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin Temellerideniz armutlu
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Ahmet Yanik
 

Similar to Log yönetimi ve siem (20)

SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemi
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
Log Yönetiminin Artan Önemi
Log Yönetiminin Artan ÖnemiLog Yönetiminin Artan Önemi
Log Yönetiminin Artan Önemi
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / Programlama
 
SCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiSCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesi
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri, ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
ProNMS Ağ İzleme ve Log Yönetim Sistemleri,
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
 
Isl sis
Isl sisIsl sis
Isl sis
 
BTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin TemelleriBTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin Temelleri
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)
 

More from Ertugrul Akbas

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiErtugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonErtugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakErtugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıErtugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast EditionErtugrul Akbas
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent responseErtugrul Akbas
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).Ertugrul Akbas
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMErtugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryErtugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 

Log yönetimi ve siem

  • 1. LOG YÖNETİMİ ve SIEM Dr. Ertuğrul AKBAŞ Kelimeler: Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme,SIEM,SYSLOG,SNMP Log Analizi Bilgisayar ağlarında kullanılan ağ cihazları olaylar hakkında kayıt yapma özelliğine sahiptirler. Bu kayıtlar sayesinde ağ üzerinde güvenlik olaylarının belirlenmesi ve önlem alınması sağlanmaktadır. Buna Log Analizi denilmektedir. Log analizi sayesinde sisteme girmeye çalışan kişilerin adres bilgilerine ulaşılmaktadır. Ayrıca sistem içinde bulunan kullanıcıların yaptıkları (dosya kaydetme , yazıcıdan çıktı alama gibi) işler kontrol edilmesi mümkün olmaktadır. Büyük firmalarda ise internet ortamında kullanıcıların hangi siteye girdikleri , hangi aşamada terk ettikleri , hangi sayfada daha çok / az zaman harcadıkları gibi bilgilere kolaylıkla ulaşmaları sağlanır. Log Yönetimi Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir. Ayrıca, 04.05.2007 tarihli 5651 sayılı kanunda internet suçlarını önlemeye yönelik olarak kurumların log yönetimi ile ilgili yükümlülükleri belirlemiştir. Log sistemleri karakterleri itibari ile dağıtık yapıya sahip sistemlerdir. Log Yönetimi: Log Toplama, Log Normalleştirme, Log Indexleme, Korelasyon ve Filtreleme/Raporlama ve Alarm yönetimi katmanlarından oluşur. Bu özelliklere sahip sistemlerin özellikleri:  Logların merkeze toplanması  Log Saklama  Verilere hızlı erişimi ve gösterimi  Desteklediği Log formatının çokluğu  Veri analizi  Kayıtların saklanması  Arşivleme ve geri getirme  Verilerin yetkiler ve ilişkiler seviyesinde erişimi  Veri bütünlüğünün sağlanması  Loglara erişim auditlerinin tutulması
  • 2. Sistemlerden pek çok kaynaktan log toplanabilir.Örnek: İşletim Sistemleri: Windows XP/Vista/7,Windows Server 2000/2003/2008/R2,Unix/Linux Türevleri,Nas Cihazları (NetApp), Uygulamalar: Dhcp,IIS 6/7/7.5 (W3C),Apache (Syslog),Text-Based Log (Csv/Tsv/W3C/Txt/Custom ),Dansguardain,Postfix Firewall/Proxy: ISA/TMG Server,BlueCoat,3Com,Astaro,CheckPoint,Cisco Systems,Clavister,CyberGuard,D- Link,Fortinet,FreeBSD,IPCop,Juniper,Drytek,Kerio,Lucent,McAfee-Secure Computing,NetApp,NetFilter,Snort,SonicWALL,Netopia,Network-1,St. Bernard Software,Sun Microsystems,WatchGuard,Zywall,Anchiva,Applied Identity,ARKOON,Aventail,AWStats,Cimcor,DP Firewalls,Electronic Consultants,Global Technologies,Ingate,Inktomi,Lenovo Security Technologies,NetASQ,Websense Network Cihazları: Syslog Gönderen Cihazlar, SNMP Trap Gönderen Cihazlar, Cisco router,Cisco switch Email: Exchange 2003,Exchange 2007,Exchange 2010,IIS SMTP,SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler Veritabanları: Oracle,MSSQL,MySQL,Sybase Log Yönetimi ile ilgili pek çok açık kaynaklı sistem bulunabilir. Bunların en bilinenleri OSSIM,LASSO,SNARE- AGENT,SPLUNK sayılabilir. Sistemlerden loglar ya agent kurarak yada log sunucu tarafından uzaktan çekilerek toplanır. Her ikisinin de avantaj ve dezavantajları vardır. Ajanlı Yöntem: Avantajları: Log sunucu kapalı da olsa veri Kaybı olmaz,Log sunucu ne zaman toplayacağına karar verebilir,Log sunucu istemcinin durumunu tespit edebilir.
  • 3. Dezavantajları:Bütün makinelerin önceden konfigurasyona ihtiyacı olması,Sistem ele geçirilirse ajanın log göndermesi engellenebilir.Kurulum ve konfigurasyon uzun zaman alır ve yaşam döngüsünde bakım,tutum ve yaşatmak için çok fazla işgücü gerektirir. Ayrıca sistem eğer merkezde değil de ajan tarafında logları filtrelemek üzere ayarlanmış ise güvenlik aracı olarak iş görmeleri çok zayıflar. Logu ajan tarafında filtrelemenin zararları ve bu logların daha sonra işe yarayacağı ile ilgili LosAlamosNationalLaboratory de bu konuda uzun süre çalışan Dr. Ben Uphoff’un [http://people.msoe.edu/~uphoff/] çalışması incelenebilir. [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis] Ajansız Yöntem: Avantajları: Kurulum ve konfigürasyonu çok kolay, çok esnek ve çok büyük sistemler için ölçeklenebilir Dezavantajları: Syslog UDP temelli bir protokol ve veri kaybı olabilir, bazı durumlarda log sunucu istemcileri takip edemez. Özellikle ülkemizde 2007 yılında kanunlaşan 5651 sayılı kanundan sonra log yönetimi yapan şirketlerin neredeyse tamamı yukarıda listelenen yada benzeri açık kaynaklı ürünleri ticari olarak kullanma yoluna gitmiştir*Açık kaynaklı ürünlerin Lisans Kuralları Ticari Ürün olarak yeniden isimlendirmesini yasaklamaktadır]. Bunun en önemli sebebi bu çalışmada açıklamaya çalıştığımız log normalleştirme ve sonraki süreçleri özgün olarak geliştirmenin akademik ve saha birikimine ihtiyaç duymasıdır.Çok az firma kendi çözümünü akademik ve AR-GE birikimine dayanarak geliştirebilmiştir. Log Analizi ve Bilgi Güvenliği Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara bir de sunucular ve istemcilerin logları da eklendiğinde hareketlere ve trafiğe ilişkin değerli olabilecek bir çok bilginin süzülmesi, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz edilmesi, takibi ve anlamlı sonuçlar verebilecek şekilde raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür bilgilerin yeterince etkili şekilde değerlendirilemediği durumlarda, kontrol gerçek anlamda sağlanamamakta ve kontrol edilemeyen bilgi sistemleri alt yapılarına yönelik yatırımlar da, verimli kullanılamamış olacaktır.
  • 4. Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın ihtiyaçlarına göre bunun hangi sistemler için gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, ayrıca bunun sonuçları üzerinde nasıl bir değerlendirme yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir organizmanın çeşitli birimleri ile görüşülerek bilgi toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan log kayıtlarını işaret eder. Log yönetim çalışmalarında ele alınması gereken ilk konunun, bilgi sistemlerinin hangi süreçlerinde, hangi log verilerinin log yönetimi amacı ile değerlendirilmesi gerektiğine karar verilmesidir. Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile oldukça yakın ilişkideki bir yönetim sistemidir.(Network güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi için, dikkat edilmesi gereken önemli bir mesele, network üzerindeki atakların saptanabilmesi ve bunları doğru olarak tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Güvenlik Raporları birer birer sistemlerin kendisinden alınabilecek raporlardan çok, farklı veritabanlarında bulunan veriler kullanılarak; otomatik olarak oluşturuldukları takdirde, güvenlik durumuna ait daha kapsamlı genel bir görüntü sunabilecek ve farklı bakış açılarına ait verileri bir araya getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak kullanılması, log yönetimindeki amaçlardan biridir. Log Toplama Log toplama süreci aşağıda gösterilen bir formül ile ifade edilmiştir. Denklemdesistemler (domain) R ile simgelenmiş, bu sistem içindeki tüm cihazlar D ilegösterilmiştir. Denklem 2.1 log kayıtları kümesi, 2.2 bilgi sistemleri cihazlarının farklılog tiplerini, 2.3 ise her sistem cihazının farklı olay logları kümesine sahip olduğunugöstermektedir.
  • 5. R = {D1 D2,...., Dn} Her sistem cihazının kendi loglarının olması, B log türleri olmak üzere, Di = {Bi1, Bi2,....., Bim}, iЄ [1,n] Her indeksin bir cihazı temsil etmesi durumunda, her cihazın farklı tip olay kayıtları oluşturması durumu (Örneğin windows sistemlerinde, uygulama (application), sistem (system), güvenlik (security) loglarının ayrı ayrı olması gibi...), e olay tipi olmak üzere; log modellemesini formüle edebiliriz. Bij = {eij1, eij2,....., eip}, iЄ [1,n], jЄ [1,m] Log Toplama Sitrmlerinde Karşılaşılan Başlıca Problemler 1. Çok yüksek sayılarda ve büyüklüklerde log kayıtları, 2. Log kayıt desenlerinin farklılığı, 3. İçeriklerin oldukça farklı olması Log Normalleştirme Log kaynakları birbirinden farklı formatlarda log üretirler: Cisco Router Jul 20 14:59:32 router 20: *Mar 1 01:39:25: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160) Jul 20 15:01:07 router 21: *Mar 1 01:41:00: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160) Jul 20 15:10:43 router 22: *Mar 1 01:50:36: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Jul 20 15:18:06 router 24: *Mar 1 01:57:58: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Jul 20 15:18:06 router 25: *Mar 1 01:57:59: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Remote Apache logging Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client 202.56.224.218] File does not exist: /htdocs/default.ida Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] [client 202.197.181.203] File does not exist: /htdocs/default.ida Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] [client 202.101.159.163] request failed: URI too long Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Normalizasyon, kaynak verilerdeki bütünlüğü bozmayacak şekilde, Log dosyası verilerinden uygun bir bilgi ortaya çıkarmak için, korelasyon aracının bu yeteneğe sahip olması gereğidir. Bu logları alıp ortak bir platformda ifade edip bütün bu veriler üzerinde indexleme,korelasyon ve filtreleme/raporlama yapılabilmesini sağlama işlemine normalleştirme denir. Örneğin, bir Windows etki alanı denetleyicisi ile bir Windows veritabanına giriş hatalarını gösteren
  • 6. "giriş-başarısız" olayını aynı adla kaydedemeyiz. Çünkü Windows Account_Expired ve MSSQLSVR gibi daha spesifik detaylı bilgelere sahiptirler ve normalize edilmelidirler. Normalize işlemi logların parse edilmesiyle başlar. Her bir tür log için özel parserler REGEX yardımı ile oluşturulur Burada 2 farklı yöntem vardır. 1-Neyin logunun toplanacağının tanımlandığı sistemler 2-Özellikle Log Proxy kullanılan sistemlerdeki auto log discovery özelliği-Logların geldiği anda tipinin otomatik tanımlanması. Normalleştirme işlemi sırasında zaman bilgisi ve timezone hesaplaması da gerçekleşir. Zaman Bilgisi Pek çok farklı sistemden loglar toplanıp merkezi bir noktada toplanacağı için logların kendi içerisinde tutarlı ve korelasyon kurallarının anlamlı veriler üretebilmesi için loglardaki zaman bilgisi çok önemlidir. Bu tutarlılığı sağlamak için ağda NTP (Network Time Protocol) aktif edilmelidir. Timezone Sistemlerden toplanan logların özellikle dağıtık bir altyapıda timezone bilgisi ve bu bilginin merkezi log toplama merkezi ile uyumlulaştırılması logların analizi için gereklidir.Log kaynaklarının hepsinin aynı timezone ayarını alması ve bu bilgisi her durumda göndermsinin sağlanması gerekir Log Depolama Logların deoplanması ve arşivlenmesi özellikle çok büyük sistemlerde kritik olmaktadır. Günde 100 lerce GB logu saklamak ve üzerinden sorgu yapmak için özel deoplama sistemleri tasarlanmaktadır. NIST(2007) tarafından yayınlanan Guide to Computer Security Log Management isimli yayından derlenmiştir Loglanacak sistemlerin ne kadar log üreteceği ve bu loglar için ne kadarlık disk alanı ayrılacağı önemli bir mühendislik hesabı gerektirir. Örnek Kapasite Hesabı: Bir yıllık loglama için ortalama disk alanı = 365 gün x 24 saat x 3600 saniye x 100 (yoğun sistemler saniyede çok daha fazla log üretecektir) x 200 byte = 580~ gigabyte / yıl . Tabi bu değer sıkıştırılmamış ham veridir. İyi bir sıkıştırma ile
  • 7. bu değer küçültülebilir. Eger loglar için veritabanı kullanıyorsanız bu sayıyı iki üç ile çarpmak gerekir. İlişkisel veritabanı kullanımlarında OS seviyesinde sıkıştırma bu alana geri kazanmanızı sağlayabilir. Korelasyon ve SIEM Log Yönetimi ve SIEM (Security Information & Event Management) birbirini tamamlayıcı katmanlardır. Genellikle Log Yönetiminden bahsedilirken korelasyondan da bahsedilir ve dolayısı ile SIEM katmanına çıkılmış olur. Sistemlerin korelasyon yeteneği sayesinde farklı cihazlardaki logları otomatik olarak ilişkilendirir, anlamlı hale getirir ve daha önemli uyarılar üreterek, sistem yöneticilerinin ortaya çıkabilecek bir sorunu önceden görmelerini veya ortaya çıkmış bir sorunu daha kolay çözmelerini sağlar. Korelasyon işlemi belli kuralların işletilmesi şeklinde oluşur. Örnek kurallar  İstenmeyen mesajları yok etmek  Tek mesaj eşleştirme ve aksiyon alma  Mesaj çiftlerini eşleştirme ve aksiyon alma  Belirlenen bir zaman dilimi içerisinde olay oluşum sayısına bakarak aksiyon alma Farklı korelasyon teknikleri mevcuttur.Mesela:  Farklı olayların korelâsyonu (Mantıksal Korelasyon)  Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon),  Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu) Korelasyon motorundan beklenen özellikler:  Hafızada Korelasyon Yapabilme.  Tek Kaynak Korelasyon Kuralları.  Çoklu Kaynak Korelasyon Kuralları.  Negatif Condition Kuralları.  Context Base Korelasyon.  Hiyerarşik Korelasyon.  Çok esnek kural oluşturma yapısı.  Rule Base.  Complex Event Processing(CEP).  Forward Chaning.  Backward Chaining.  Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını hızlandırmak için bellek içi korelasyon kullanır.  Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.  Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır. Kural Örnekleri: Hedef:445 nolu port ataklarını tespit etmek • Gereksiz yanlış atak loglarından kurtulmak isteniyor • 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor • 1 saatlik zaman diliminde en az 100 atak logu • 4 saatlik bir zaman diliminde 200 atak logu isteniyor
  • 8. Hedef: Windows makinelere brute force login ataklarının tespit etmek  60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması ve  Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor. Hedef: Atak Tespiti 5 dakika içerisinde 10 tane login failure olayı gelirse atak uyarısı yap. Hedef:Performans Problemi Tespiti: Hedef: Cihazdandan sıcaklık değeri yüksek uyarısı gelir ve 5 saniye boyunca da olay kaydı gelmezse performans problemi maili oluştur. Hedef: Ağdaki kötü niyetli yazılımlarının tespiti. – Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir – Senaryo: • Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1) • (1) durumu art arda 5 defa gerçekleşiyorsa • Bilgilendir/ müdahale et – Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir. Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti. – Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1) • IDS veya güvenlik duvarından alınan kayıtlar – (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse • Güvenlik duvarından alınan ACCEPT kaydı – (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa • Veri tabanından alınan LOGON ATTEMPT kaydı – Bilgilendir/ müdahale et • Birden fazla kaynaktan alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir Korelasyon motorunun yukarıdaki kuralları ve benzerlerini işletecek bir altyapıya sahip olması beklenir Alarm Yönetimi İyi bir sistem ortamda oluşan bütün olayları logları toplamak suretiyle takip edebildiği için proaktif bir güvenlik yönetim sistemi kurulmasını sağlar. Güvenlik yöneticileri kendileri alarmlar tanımlayabileceği gibi sistem hazır alarmlar da içerirmelidir.
  • 9. Örnek hazır alarmlar:  Database de Acount değişikliği durumunda Kullanıcıyı uyarabilme,  Active Directory başarılı bir şekilde çalıştığında Kullanıcıyı bilgilendirme özelliği,  Active Directory servisi durduğunda Kullanıcıyı uyarabilme özelliği,  ISA Servisi Başlatılırken Hata oluşursa kullanıcıyı uyarabilme özelliği,  Makinelere Program kurulduğunda Yöneticileri uyarabilir,  Makinelerden Uygulamalar Uninstall edildiğinde Yöneticileri uyarabilme özelliği,  Makinelerden Audit logları temizlendiğinde Yöneticileri haberdar edebilme özelliği,  Audit Policy de değişiklik yapıldığında Yöneticilere bildirme,  Bad Disc Sector oluştuğunda yöneticileri bilgilendirme özelliği,  Bilgisayar hesaplarında değişiklik yapılması durumunda yöneticileri bilgilendirme özelliği,  Bilgisayarlar da yeni bir kullanıcı oluşturulduğunda yöneticileri bilgilendirme özelliği,  Bilgisayar hesaplarından herhangi biri silindiğinde yöneticileri bilgilendirme özelliği,  DNS serverin başarılı bir şekilde başlaması durumunda yöneticileri bilgilendirme özelliği,  DNS serverin başlatılamaması durumunda yöneticileri uyarma özelliği,  DNS Server TimeOut’a düştüğünde Yöneticileri uyarabilir.  DNS Server Update aldığında yöneticileri haberdar edebilir.  Domain Policy değişikliği olduğunda yöneticileri haberdar edebilir.  Eventlog servisi durduğunda yöneticileri uyarır,  Sistemlere LogOn olma işlemi denendiğinde(başarılı ve Başarısız LogOn durumlarında) yöneticileri uyarabilir,  Insufficient Memory durumu tespit edildiğinde yöneticileri uyarabilir.  Yeni uygulamalar çalıştırıldığında yöneticileri haberdar edebilir,  NTDS Databse Engine(Active Directory database file) başladığında yöneticileri bilgilendirebilir,  NTDS Database Engine(Active Directory database file) durduğunda yöneticileri uyarabilir,  Nesne silerken hata olursa yöneticileri uyarabilir,  İşletim sistemi başlatıldığında ya da kapatıldığında yöneticileri uyarabilir.  Yeni bir Printer eklendiğinde ve oluşturulduğunda yöneticileri uyarabilir,  Sistem dosyalarında değişiklik olduğunda yöneticileri uyarabilir,  File Replication Service başladığında yöneticileri haberdar edebilir,  FTP LogOn durumu ya da LogOf durumunda Yöneticileri uyarabilir,  Hesap şifre sıfırlama işlemlerinde yöneticileri uyarabilir,  Kullanıcı hesapları dondurulduğunda yöneticileri uyarabilir,  Sisteme yeni makine eklendiğinde yöneticileri uyarabilir,  MAC-IP Değişikliğini algılama sistemi. Sisteminizde bulunan kritik cihazların MAC ve IP değiştirmeleri durumunda yöneticileri uyarabilir.  Sisteme yeni bir cihaz dahil olması durumunun takibi.Ağınızda daha önce olmayan bir cihaz dahil olduğunda yöneticileri uyarabilir. Loglar ile ilgili alarmlar üretebilmekte sistem yöneticilerini mail,sms,snmp gibi yöntemler ile uyarabilmektedir Güvenlik Çıkarım Motoru Yeni nesil ürünlerin bir kısmında yukarıda bahsedilen özelliklerle birlikte aşağıdaki özelliklere sahip ürünler geliştirmişlerdir.  NETWORK ERİŞİM TAKİBİ  SABİT İP KULLANIMLARININ TAKİBİ  ARP SPOOFING TESPİTİ  DDOS TESPİT KURALLARI  HACKER TOOLS TESPİT KURALLARI
  • 10. Raporlama Log yönetimi ve SIEM uygulamalarının tamamında raporlama yeteneği mevcut.Dolayısı ile ürünler arasındaki farklılık sorgulama kolaylığı ve raporların anlaşılırlığı noktasında olmakta. Özellikle güvenlik amaçlı kullanılacak bir üründe  En çok indirme (download) yapan Kullanıcılar, Makineler Kimler?  Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa kim?  Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler bu işlemleri gerçekleştirdi?  Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne zaman gerçekleştirdi?  Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne zaman bu işlem gerçekleşti?  Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler neden oldu?  Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden olanlar kim?  Taşınabilir bellek kullananlar kimler?  Kim hangi uygulamayı çalıştırdı?  Kim hangi uygulamayı kapattı?  Kim “tasarım.dwg” dokümanını sildi?  Kim Hangi URL’e gitmiş? - Kullanıcılara göre ziyaret edilen URL ler, - IP adreslerine Göre Ziyaret edilen URL ler - Makine Adlarına Göre ziyaret edilen URL ler  Kim Hangi Hedef Host’a gitmiş? (www.facebook.com) - Kullanıcı adına Göre ziyaret edilen Sayfalar - IP adresine Göre Ziyaret edilen Sayfalar - Makine Adına Göre ziyaret edilen sayfalar  Ağ içerisindeki hangi bilgisayardan www.xxx.com sayfasına belirli bir kullanıcının(aaa bbb ismi gibi) ile erişilip erişilmediğinin kontrolü  Hedef Hosta Giderken Kullanılan Port ve Protokoller?  Kim Hangi IP ile iletişim gerçekleştirmiş?  İki IP arasındaki iletişimden Doğan trafiğin Boyutu ne kadardır?  İki IP arasındaki Paket transferi ne kadardır?  İki IP arasında en çok kullanılan Port ve Protokoller hangileri?  En Çok Mail trafiği oluşturan kullanıcılar?  Unix Sistemlerden Alınan raporlar  Başarılı LogOn Raporları  Unix tabanlı sistemlere kimlerin LogOn olduğu bilgisini tutar.  Başarısız LogOn Girişimleri  Unix sistemlere LogOn olmaya çalışıp ta başarısız olanları gösterir.  Başarılı LogOff Raporları  Unix sistemlerden başarılı bir şekilde LogOff olanları gösteren rapor ekranıdır.  Başarılı LogOn Raporları(Yöneticilere ait)  Unix sistemlere başarılı LogOn yapan adminleri listeler.  Başarısız LogOn Girişimleri(Yöneticilere ait)  Unix sistemlere admin hesabıyla LogOn olmaya çalışıp başarısız olanları listeler.  Başarılı LogOff Raporları(Yöneticilere ait)  Unix sistemlerden başarılı bir şekilde LogOff olan Adminleri gösteren rapor ekranıdır.  Başarılı SSH LogOn Raporları  Unix sistemlere SSH Protokolü kullanarak LogOn olan kullanıcıları gösterir.  Başarısız SSH LogOn Girişimleri
  • 11. Unix sistemlere SSH Protokolü kullanarak LogOn olmaya çalışıp başarısız olan kullanıcıları gösterir.(Dünya üzerinde gerçekleşen Unix saldırılarının büyük çoğunluğu SSH üzerinden gerçekleşmektedir.)  Başarılı SSH LogOff Raporları  Unix sistemlere SSH ile logon olup başarılı bir şekilde LogOff olan kullanıcıların listelendiği rapordur.  Başarılı SFTP LogOn Raporları  Unix sistemlere SFTP aracılığıyla başarılı LogOn olan kullanıcıları gösterir.  Başarılı SFTP LogOff Raporları  Unix sistemlere SFTP ile LogOn olup daha sonra başarılı bir şekilde LogOff olan kullanıcılar bu raporda listelenir.  Zamanlanmış görevler Raporu  Oluşturulan ve uygulanan cronjob ların listelenerek kullanıcıya sunulduğu raporlama aracıdır.  Misafir Girişleri Raporu  Dosya Erişim Raporları  Unix sistemlerde kimlerin hangi özel dosyalara eriştiğini gösteren rapor aracıdır.  Windows sistemlerden Alınan raporlar  Printer Kullanım Raporları  Başarılı LogOn Raporları  Başarısız LogOn Girişimleri  Başarılı LogOff Raporları  Dosya Erişim Raporları  USB Erişim Raporları  Çalıştırılan Programların Raporu  Kapatılan Programların Raporu  Oluşturulan Kullanıcıların Raporu  Silinen Kullanıcıların Raporu  Windows Event Raporları  Kablosuz Erişim raporları  Sanal makinelerden alınan raporlar  Sanal makine oluşturma raporları  Kimin ne zaman hangi sanal sistemi oluşturduğunun kayıt altına alır.  Sanal makine silme raporları  Kimin ne zaman hangi sanal sistemi Sildiğini kayıt altına alır.  Sanal makinelerdeki durum değişiklikleri  Kullanıcıların sanal sistemler üzerinde yaptığı değişiklikleri kayıt altına alır  Sanal makine erişimleri  Kimin ne zaman hangi sanal sisteme eriştiğini kayıt altına alır. Gibi raporların hazır sunulması yada tık tıkla sorgulanabilmesi önemli bir ayırt edici özelliktir. Kaynakça [1] Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf [2] http://en.wikipedia.org/wiki/Log_management_and_intelligence, 2011. [3] http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard, 2011. [4] http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf, 2006 [5] Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006. [6] http://en.wikipedia.org/wiki/Regular_expression [7] Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010. [8] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archives/logging-notes.pdf