Open in app

Sign in

Write

Sign in

Neden SureLog SIEM Korelasyon Motoru Çok Güçlü?

SureLog SIEM
6 min readNov 20, 2022

--

SIEM ürünlerinin korelasyon özelliği SIEM çözümlerinin en önemli özelliğidir.

SIEM çözümleri açısından korelasyon motorun güçlü olması kadar
bilgi birikiminin (know-how) kendisinde ve orjinal olması da çok önemlidir. Her ne kadar her yazılım pek çok kütüphane kullansa da SIEM çözümlerinin en önemli özelliği olan korelasyon motorunun kodunun ve bütün haklarının kendisinde olması önemlidir. Bu nokta SureLog SIEM bütün kod ve bilgi birikimi kendisinin olan bir korelasyon motoru geliştirmiştir. Bu konuda dünyanın en meşhur ürünlerinden bazılarından bile ayrılmaktadır. Aşağıda IBM Qradar’ın Eventgnosis korelasyon motorunu kullandığını gösteren ekran görüntüsü görülebilir.

IBM Qradar GUI

Ayrıca bir korelasyon motorunun yük altında kaç adet ve ne kadar gelişmiş kural çalıştırabildiği de önemlidir. Aşağıdaki tablo SureLog SIEM in 40 000 EPS değerlere çıkan ve yaklaşık 3 ay süren bir PoC raporundan alınan verilerdir. Sanal ve aynı zamanda CPU ve RAM in paylaşımlı olarak kullanıldığı aşağıdaki gibi bir sistemde stres testi gerçekleştirilmiştir. Teste göre daha önce yazılan kurallarla birlikte toplam 250 adet korelasyon kuralı aktif edilmiştir.

Test Sonuçları;

  • Testlerin gerçekleştiği sanal sunucuda paylaşımlı 48 Core CPU ve 256 GB ram bulunmaktadır.
  • Test yaklaşık 2 saat boyunca yapılmıştır.
  • 250 adet korelasyon kuralının etkinleştirildiğinde minimum 7000 EPS, maksimum 12000 EPS ve ortalama 10000 EPS yük altında sunucunun ortalama %13–20 CPU ve %30–40 arası RAM tükettiği gözlemlenmiştir. Bu da demektir ki eğer sistem kaynaklarını optimize etmek istenirse bu yük altında 16 core ve 128 GB Ram rahatlıkla yeterli olacaktır.
  • Korelasyonların başarılı bir şekilde gecikme, kaçırma yaşamadan tetiklendiği görülmüştür.

Bütün bu özelliklerden sonra korelasyon yeteneklerine gelirsek SureLog SIEM en temel korelasyon formatları olan

  • A olayı olursa (Domain admin grubuna bir kullanıcı eklenirse)
  • X sürede Y olayı olursa (Aynı makineden 5 dakika içerisnde 10 adetten fazla başarısız oturum olursa )
  • Önce A olayı sonra X dakika sonra B olayı olursa (Bir kullanıcı oluşturulur ve 30 dakika içinde aynı kullanıcı silinirse)

formatları desteklediği gibi daha gelişmiş formatları da destekler. Aşağıda paylaşılan senaryoların bazılarının oluşması ihtimali binde bir olabilir. Ama bu senaryoların oluşması ihtimali kadar seçilen, kullanılan SIEM çözümünün korelasyon kapasitesini ortaya çıkarmak amaçlı tasarlanan senaryolardır. Yani “işe yaramayan korelasyonla uğraşmıyoruz” diye bir cevabı SureLog SIEM’den duyamazsınız. Yukarıdaki formatlara ek olarak SureLog SIEM aşağıdaki formatları da destekler.

  • 15 dakika içerisinde 1500 benzersiz (unique) IP’den 350000 den fazla olay olursa uyar
  • Bir kullanıcı oluşturulur ve kullanılmadan ilk 5 dakika içerisinde silinirse uyarma ama eğer kullanılır ve 30 dakika içinde (Aynı gün içinde) silinirse uyar
  • Saatlik fail/success auth oranı anormalleşirse tespit et
  • Saatlik HTTP/DNS oranı anormalleşirse tespit et
  • Aynı IP önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde task schedule ediliyorsa ise uyar
  • Aynı kullanıcı 2 farklı makinada 15 dakika içinde başarısız oturum deniyor ve 2. Başarısız oturumdan sonraki 5 dakika içerisinde bu makinalardan birinden kullanıcı oluşturulursa uyar
  • Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en az 3 defa başarısız oturum açarsa uyar.

tipindeki formatları da destekler.

Ayrıca gerekli ek modüllerle aşağıdaki formattaki kuralları da kolaylıkla tespit edebilir.

  • Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de değilse uyar
  • DGA detection (ML)
  • Hunting malware and viruses by detecting random strings
  • Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar
  • 3 aydan daha uzun süredir login olmayan varsa uyar
  • Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya daha fazla kez firewall tarafından bloklanıyorsa tespit et
  • En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar.
  • En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan standart proxy target portları harici bir port yeniden kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir portsa birden fazla farklı dst ip adresine 5 dk içerisinde requestMethod=POST olacak şekilde çoklu istek yapıyorsa alarm trigger etsin
  • Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla başarısız oturum açarsa tespit et.
  • Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock olmadı ise uyar
  • Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar. Örnek :
    ertugrula@anetsoft.com.tr olan mail adresinden errtugrula@anetsoft.com olarak mail geliyor ise uyar
    (bir oltalama yöntemi)
  • Oracle veritabanı kullanıcı ara yüzünden (Oracle Management Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama hatası verirse, uyar
  • En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90 gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
  • 2 aydan daha uzun süredir login olmayan kullanıcı varsa uyar
  • 30 günden daha uzun süredir şifre değiştirmeyen kullanıcı olursa uyar
  • 4 saatten uzun RDP i açık kalan olursa uyar
  • 4 saatten uzun VPN i açık kalan olursa uyar
  • 72 saatten uzun süredir IP değiştirmeyen cihaz (MAC) olursa uyar
  • Abnormal Email counts
  • Abnormal session start time
  • Access to internal applications / servers/ peers
  • Account creation/ disable/ lockout / deletion rates
  • Activity duration/ session counts
  • Authentication anomaly-Country Mismatch
  • Aynı anda aynı kullanıcı bir makinaya VPN yaparken baska bir makinaya da RDP yaparsa uyar
  • Ayni kullanıcı aynı makinaya gün içerisinde hiç başarılı oturum açmadan iki den fazla basarisiz oturum açarsa tespit et
  • Bir kullanıcı daha önce şirkette kimsenin gitmediği bir domaine günde en az 1 kere ve haftada 2 den fazla erişirse uyar
  • New city access for the first time
  • En az 15 gündür (20–30–40–365 gün) hiç VPN yapmamış bir kullanıcı kısa süre içerisinde 1 den fazla workstationda Remote interactive logon olmuşsa uyar
  • Entropy Mismatch
  • Excessive user logons on hosts
  • First access to database mssql for user
  • First access to device for the user
  • First activity from ISP
  • First connection from Source IP
  • First time user is performing an activity from this device
  • First VPN connection from device for the user
  • High number of accounts from the same ipaddress for authentication failures or lockout events
  • High number of accounts from the same ipaddress for successful authentications or run as events
  • High number of accounts used on a workstation for authentication failures or lockout events
  • High number of accounts used on a workstation for successful authentications or run as events
  • High number of hosts accessed for authentication failures or lockout events
  • High number of hosts accessed for successful authentication events or run as events
  • High number of hosts accessed while enumerating critical ports
  • High number of redirected/blocked attempts
  • High number of run as activity across hosts
  • High number of server errors
  • If a user accesses sensitive files and at the same time the same user has a connection to file sharing sites then notify
  • If an account not used in at least the last 30 days (31–40–60–90–180 days etc.) notify/lock/delete the account automatically
  • Iki login arasindaki süre 1 dakikadan az ise uyar
  • Iki login failed arasindaki süre 1 dakikadan az ise uyar
  • Impossible Travel Detection in Real-Time (VPN Anomaly)
  • Kapanan bir sunucu 4 saattir ayağa kalkmadı ise uyar
  • Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
  • Logon from a rare country
  • New host logins
  • New processes / Registry changes
  • Odd time of access (first and last access)
  • Odd time of email activity
  • Odd time of logins
  • Orijinal mail adresine benzer mail adreslerinden mail gelirse uyar
  • Password change rates
  • Successful/Failed login activity rates
  • Upload/download deviations
  • Virüs bulundu ve 8 saaten fazladir temizlenmedi ise uyar
  • VPN connection from a known anonymous proxy
  • Suspicious creation of new network ACL
  • Suspicious creation of security group
  • Suspicious deleting a rule from a network ACL
  • Suspicious deletion of customer gateway
  • Abnormal number of discover requests from a client

Yukarıdaki senaryolar ve senaryo formatları SureLog SIEM i çok güçlü yapar.

Surelog
Siem
Soc
Tehdit Avcılığı
Korelasyon

--

--

SureLog SIEM
SureLog SIEM

Written by SureLog SIEM

44 Followers
1 Following

Next Generation SIEM&UEBA

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams