SureLog SIEM ile Saldırı Tespitinin Anatomisi
SIEM ile log yönetimi aynı manaya gelmez. SIEM de amaç şüpheli olayları veya saldırıları tespit edebilmektir. Günümüz saldırı yöntemleri ve dolayısı ile saldırı tespit yöntemleri de
15 dakikada firewall 500 tane paketi bloklarsa tespit et 15 dakikada veritabanına 500 tane TCP trafiği oluşursa uyar
gibi senaryolardan çok daha gelişmiştir.
- Yeni bir domain admin kullanıcı oluşturuldu
- Yeni bir enterprise admin kullanıcı oluşturuldu Başarısız oturum isteklerinden sonra başarılı oturum açılması
- Mesai saati dışındaki oturum açmalar
- Spam mail olayından sonra şüpheli dosya tespit edildi
gibi gözlenmesi faydalı bir çok olay yine SIEM ile yapılabilecekler arasında olmakla birlikte bu senaryoları geliştirerek daha gelişmiş bir saldırı tespit mekanizmasına ihtiyaç vardır.
Gelişmiş bir saldırı nasıl SIEM ile tespit edilir? Bu konu ile ilgili örnek bir senaryo çözümlemesi aşağıdadır:
1- Bir kullanıcı arka arkaya 5 dakika içerisinde 2 defa başarısız oturum yapıyor (Neden 3 olmadığı malum!),
2) Sonra aynı kullanıcı ile 3–5 dakika içerisinde başarılı oturum gerçekleştiriliyor.
3) 1–2 dakika içerisinde bu kullanıcıya özel yetkiler (Special privileges ) veriliyor,
4) 5–10 dakika içinde yeni bir kullanıcı oluşturuluyor,
5) 2–3 dakika sonra Security-disabled özelliği aktif yeni bir global grup oluşturuluyor,
6) 2–3 dakika içinde Explorer gibi, psexec gibi gözlenmesi gereken bir process başlıyor,
7) 1–2 dakika içinde “4905: An attempt was made to unregister a security event source” olayı gerçekleşiyor,
8) Hemen sonra 4. adımda oluşturulan kullanıcı aktif ediliyor (Enabled),
9) 2–3 dakika içinde event kategorisi “Object Access “ olan bir olay gerçekleşiyor,
10) Ve kullanıcı oturumu kapatıyor(4679,4634 ,4779).
Görüldüğü üzere birbiri ardına adım, adım oluşan bir senaryo silsilesi ile bir analiz yapabildi. Aşağıda da SureLog SIEM kural arayüzü kullanılarak bu çözümlemenin yapılmış hali gösterilmiştir.
