SIEM Seçerken Sorulacak Sorular
Gartner ve benzeri SIEM raporlarındaki değerlendirmelerde başka bir bakış açısı ile ürünü üreten firmaların mali durumundan, tanınırlığına kadar teknik/teknolojik olmayan parametreleri de kullanırlar. Aşağıda sadece teknik/teknolojik parametreleri sıralayacağız. Makalenin sonunda ise SureLog SIEM de dahil Qradar, Splunk gibi onlarca ürünün derin teknik analizlerini detaya inmek isteyenler için paylaşacağız
Sorular:
1. Ayrı bir korelasyon motoruna sahip mi?
Periyodik sorgular korelasyon motoru demek değildir.
2. Gerçek Zamanlı korelasyon yapabiliyor mu?
Sisteme domain admin eklenince anında (real time) bilmek isterim ama
C&C “şüphesi” varsa geç bilsem de olur. Dolayısı ile real time çalışması kritik. yüksek fidelity ye sahip neredeyse 0 FP üretiyor ve çıktıları actionable ise real time olmalı.
3. Korelasyon uyguladığı log miktarında kısıt var mı?
Bazı ürünlerin default olarak son 100 bin veya 250 bin logu hafızada tut(korelasyona sok) gibi ayarlanabilir bir parametre kısıtı vardır. Bir kural yazdınız 15 dakika içinde arka arkaya X->Y-Z olayları olursa alarm üret. Ama ürünün başka bir yerinde bir ayar daha var ve son 100 bin veya 250 bin logu hafızada tut(korelasyona sok) gibi. Dolayısı ile 15 dakika içindeki log sayısı (1000 EPS için 900 000 adet yapar) ile bu ayar aynı değilse aslında son 15 dakikaya değil de bu son ayara göre davranacaktır.
4. Birden fazla senaryo bağlayabiliyor mu?
Önce A olayı sonra 5 dakika içinde aynı IP de ama farklı cihazda B olayı ve B olayından sonra 15 dakika içinde A dan farklı kullanıcı ile C olayı gibi
5. Senaryoları bağlarken her senaryoya birbirinden bağımsız süreler tanımlayabiliyor mu?
Önce A olayı sonra 5 dakika içinde aynı IP de ama farklı cihazda B olayı ve B olayından sonra 15 dakika içinde A dan farklı kullanıcı ile C olayı
ile
15 dakika içinde Önce A olayı sonra aynı IP de ama farklı cihazda B olayı ve daha sonra A dan farklı kullanıcı ile C olayı farklı senaryolardır.
6. Senaryo parametrelerinin tamamı sınırsız olarak bağlayabiliyor mu?
A olayının bütün parametreleri ile B veya C olayının bütün parametreleri arasında herhangi bir kısıt olmadan ilişki kurulabiliyor olması. Bazı ürünlerde sadece SRC_IP, DST_IP, SRC_PORT, DST_PORT, PROTOCOL, COMPUTERNAME, Filename, Userdata 1–9 korelasyona girebilir gibi kısıt vardır.
7. Senaryo parametrelerini sınırsız esneklikte bağlanabiliyor mu?
A olayı ile B olayını dosya adı farklı olsun ama kullanıcı adı ile bilgisayar adı aynı olsun gibi ilişkilendirmeler sınırsız şekilde yapılabiliyor olmalı. Bazı ürünlerde NONE, PLUGIN_SID, SRC_IP, DST_IP, SRC_PORT, DST_PORT, PROTOCOL, SENSOR parametreleri haricinde farklı olsun denemez.
8. Olay (Event) operatörleri ne kadar çeşitli?
A senaryosunun kullanıcı adında muhasebe geçerse, muhasebe ile başlarsa gibi desteklediği operatör çeşitliliği. Örnek :Equals,Not Equals, Matches, Not Maches, Starts with, Ends with, is null, is not null, IP Range Equals, IP Range Not Equals, in list, not in list, starts with in list, starts with in list case insensitive, not starts with in list, not starts with in list case insensitive, contains list key in data, not contains string in list, not contains string in list case insensitive, is contained in string, regex in list, check data in regex list, Contains in list, not contains in list, contains credit card number, contains TC identity number
9. Senaryo operatörleri ne kadar çeşitli? A olayından sonra B olayı olmazsa, A olayından sonra 5 dakika içinde B olayı olursa, A ile B aynı anda aynı cihazda olursa gibi kurallar için. Örnek: Fallowed, Not Fallowed, AND,OR, After, Before, At the same time gibi senaryo operatörleri destekleniyor mu?
10. Özel fonksiyonları destekliyor mu? Percentile, outlier gibi
11.Gelişmiş listeler destekleniyor mu? 2,3,5,15,20 boyutlu listeleri kullanabiliyor mu?
12. False/Pozitive lere karşı ince ayar yapılabiliyor mu? Genelde 15 dakikada 3 veya daha fazla başarısız oturum açan olursa bayrak kaldır şeklindeki klasik bir alarm vardır. Bunun gerçekten şifreyi unutup arka arkaya yanlış şifre girilmesini yakalama ihtimali de mevcuttur. Bunu korelasyona çevirerek false pozitifleri azaltabiliriz. Şöyle ki: Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5–10 dakika bekledi ve sonra tekrar oluşturdu. Ayrıca senaryonun karakteristiği itibari ile de şüpheli bir işlemdir. Dolayısı ile A olayından sonraki 3 ile 5 dakika içerisinde B olayı gibi operatörlerin desteklenmesi
13. Profil Temelli Kurallar destekleniyor mu? Bir kullanıcının mesai ye geldiği günlerde oturum açmalarının %99 u mesai saati bitimine 1 saat kalaya kadar oluyor ise ve bu kullanıcı mesai bitime 5 dakika kala oturum açtı ise uyar
14. Kullanıcı Davranışı Analizi Özelliği Destekleniyor Mu? Normal mesai saatleri içinde hiç başarısız oturum kaydı olmayan bir kullanıcı öğle yemeği saatlerinde 2 gün arka arkaya başarısız oturum kaydı oluşturuyorsa uyar
15. Sistem Davranış Analizi Özelliği Destekleniyor Mu? Bir uygulama çalıştırıldıktan sonra 5 dakika içeresinde aynı cihaza erişilen aynı dosyalar 20 dakika içerisinde 1 den fazla cihazda aynı uygulama ve aynı dosya şeklinde ve aynı zaman dilimlerinde (uygulama sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.
16. AL/ML kullanılabiliyor mu? Java/Phyton gibi yüksek seviyeli dillerle yazılan programlar/algoritmalar korelasyon kuralı olarak kullanılabiliyor mu?
17. Tehdit İstihbaratı kaynak listesi ve IP/URL/Domain sayısı Nedir?
18. Periyodik kural çalıştırmayı destekliyor mu? Saate bir kontrol et gibi
19. Alarmlarda uyarı/bilgi/mail olarak senaryonun bütün koşul şartları ve filtreler de alınabiliyor mu? Aynı makine ve kullanıcı tarafından 1 dakika içinde 10 dan fazla dosya silinirse şeklinde bir kuralınız var size gelen uyarı makine adı, kullanıcı adı ve farklı dosyaların hepsinin adını içeren bir bilgi sunabiliyor mu?
20. Performanslı çalışması için isterler nelerdir? 2500 EPS de -en azından 5 dakikada 100 MB fazla indiren varsa uyar,Bir kullanıcının mesai ye geldiği günlerde oturum açmalarının %99 u mesai saati bitimine 1 saat kalaya kadar oluyor ise ve bu kullanıcı mesai bitime 5 dakika kala oturum açtı ise uyar — gibi 200 aktif kural ile CPU ve RAM ihtiyacı nedir?
21. Kişisel Verileri Koruma Kurumu (KVKK) ve GDPR benzeri kanun ve yönetmeliklere özel yetenekleri var mı?
• Gönderilen maillerin konu kısmında Kredi Kartı veya T.C Kimlik Numarası varsa alarm üret.
• File Server da erişilen dosyaların adında kredi kartı veya TC kimlik kartı geçerse uyar
• E-mail eklentisindeki dosya adında kredi kartı veya TC kimlik kartı geçerse uyar
• Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, Sonicwall SSL VPN cihazları da entegre ederek kredi kartı bilgisi tespit edilirse uyar
• Veritabanından çekilen SQL sorgularında TC kimlik veya kredi kartı bilgisi varsa uyar?
· Dosyalara erişimlerin yetki bazlı takibi (X dizinindeki dosyalara sadece A,B,C kullanıcıları erişebilir başka birisi erişirse uyar)
SureLog ile birlikte Qradar, Splunk gibi global onlarca ürünün de pek çok özelliğinin detaylı analiz edildiği aşağıdaki makaleleri derine dalmak ve daha fazla bilgi almak isteyenler inceleyebilir.
