SureLog: Vakit Nakittir
Logların vakit nakittir atasözündeki gibi nakde dönüşmesi için canlıda durması gerekir. Logların canlıda durması ile arşivde durması arasındaki farkı anlamak gerekirse:
Bildiğiniz gibi canlı loglar her an elinizin altında ve ne sorsanız hemen cevap alabileceğiniz loglardır.
Arşiv loglar ise bir eti derin dondurucuda, buzda beklettiğinizi düşünün, işte arşiv loglar etin o hali gibidir. İşinize yaraması için mutlaka arşivden açılması gerekir. Yani etin dondurucudan çıkması, buzunun çözülmesinin beklenmesi gerekir ki bu loglarda bazı durumlarda haftalar sürebilir (Mesela son 6 ayın tamamını içeren arama ve raporlarda).
O zaman ikinci soruyu sormanın vakti geldi. O zaman neden loglar devamlı canlıda durmuyor? Bunun nedeni ihtiyaç duyulan disk miktarının büyüklüğü. Bu yüksek disk kullanımı probleminden kurtulmak için loglar birkaç ay sona arşive kaldırılır.
Öncelikle loglara denetimler açısından bakalım.
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
https://www.resmigazete.gov.tr/eskiler/2018/01/20180105-9.htm
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) Bilgi ve belge saklamaya ilişkin diğer mevzuat hükümleri saklı kalmak kaydıyla denetim izleri asgari 3 yıl süreyle denetime hazır bulundurulur ve yedek alınması suretiyle, yaşanacak olası felaketler sonrasında da erişilebilir olmaları temin edilir.
https://www.bddk.org.tr/Mevzuat/DokumanGetir/21
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ”
Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
Dikkat edilirse SPK sadece loglar saklanır derken BDDK ve TCMB denetime hazır saklanır diyor.
Son zamanlarda yapılan denetimlerde tebliğlerdeki “denetime hazır” kısmı makul bir sürede görmek şeklinde yorumlayan denetmen ve denetim süreçlerine şahit oldum.
Bir de olaya vakit nakittir açısın bakalım. Mesela Sermaye Piyasası Kurulu denetimi son1 yılı kapsadığı için ve son 1 yıldan rastgele günler seçildiği için, log arşivdeyse geri yükleme vs. ile uğraşmamak için bazı firmaların teftiş birimi 1 yıllık log canlıda olsun, hızlıca cevap verelim diyor denetim taleplerine. Peki canlıda değil de arşivde dursa ne olurdu.
Mesela rastgele seçilen 25 gün istendiğini düşünün. Her bir günün arşivden dönmesi 1 saat sürse hepsinin arşivden dönmesi 25 saat yani 3 mesai gününden fazla sürer. Eğer bir günü dönmesi 2 saat sürse 50 mesai saati yani 6 mesai günü sürer. Arşivden dönülememesini hiç hesaba katmıyorum bile.
Son olarak da vakit nakittir meselesine şüpheli olayların tespiti ve siber güvenlik açısından birkaç senaryo (use case) örneği ile bakalım:
✅ Gerçek bir senaryo: Personel 2021 Temmuz ayında yönetime “Ortak Alan’da bazı dosyalar yok” diye talepte bulunmuş.
IT ekibi, Kullandığı SIEM ile toplam 2 saat içerisinde bu personelin kendi bilgisayarından, kendi kullanıcısı ile 2021 Ocak ayında dosyaları kendisinin silmiş olduğunu ortaya çıkarmış ve gerekli raporları oluşturarak yönetime sunmuş. Yani 6 ay önce.
Bunu en az 6 ay canlıda tutmasalardı arşivden günlerce uğraşarak bile bulamayabilirlerdi!
✅ Yine bir üniversiteden yaşanmış bir senaryo: Kullandıkları SIEM çözümünde ortalama 3000 EPS trafik var. İstedikleri 2 IP nin son 1 yıl içerisindeki erişim listesi. Kullandıkları SIEM ile bu raporun hazır olma süresi 1 ay geçmesine rağmen oluşmamış. İşte bu duruma düşmemenin yolu logları en azından son 1 yıl canlıda tutmaktır.
✅ Son 12 ay içerisinde X hedef IP sine erişen cihazların listesi pek çok durumda lazım olacak raporlardan biridir. Neden derseniz son birkaç senede tespit edilen sadece meşhur saldırılara bakmanız bile yeterli.
✅ Son 1 sene içinde SA hangi databaselere login olmuş ve hangi queryleri çalıştırmış?
✅ X servis hesabının son 6 ay içerisinde yaptığı bütün işlemler (Firewall dahil)
✅ Son 1 aydır hiç trafik üretmeyen makinelerin listesini
✅ Son 12 ay içerisinde X veya Y tablolarına (kişisel veri içeren tablolar) veya dosya sunucusundaki A veya B dosyasına (kişisel veri içeren dosyalar) erişenlerin listesi, daha sonra bu listedeki kullanıcıların son 12 ayda eriştiği bütün URL ve IP lerin port bilgileri dahil listesi ve en son olarak da son 12 ay içerisinde bu listedeki IP veya URL lere erişen diğer kullanıcıların listesi
✅ Saldırı için kullanıldığı çok sonra ortaya çıkan/deşifre olan bir siteye örnek: deftsecurity[.]com (Solarwinds olayında olduğu gibi) son 6,12,18 ay içinde kendi sisteminizden erişenlerin listesi
✅ Son 6 aydır kullanılmayan firewall kurallarının listesi
✅ Örneğin SolarWinds hack ile ilişkili avsvmcloud.com sitesine şirketinizden son 6,12,18 aydır erişen var mı sorusu kritiktir. Bugün solarwinds yarın başka bir şey.
✅ Son 6 ay içerisinde solarwinds sunucularına DNS sorgusu yapanların listesi
✅ Son 6 ay içinde AV veya Endpoint Security de exception isteyen hep aynı kullanıcılarsa şüphelidir, listesi
✅ Son 6 ay içinde güncellemeleri alırken problem çıkan hep aynı kullanıcılarsa şüphelidir, listesi
✅ Şüphelendiğiniz bir kullanıcının son 6 ay içerisindeki aktivitelerin listesi
✅ Herhangi bir kullanıcı son 6 ay içerisinde kaç defa mov dosyası indirdi?
✅ Son 6 aydır dosya sunucusuna erişim yapmayan kullanıcıların listesi
✅ Son 6 ay içerisinde kapanan sunucu listesi
✅ Son 6 ay içinde aylık tehdit istihbarat listesine takılma sayıları nedir?
✅ Son 6 ay içinde aylık tehdit istihbarat listesine en çok takılan kullanıcıların listesi
✅ Son 6 ay içinde aynı hedef domain e erişirken firewall tarafından bloklanan kullanıcılar hangileri?
✅ Son 12 ay içerisinde örnek olarak avsvmcloud[.]com hedef IP sine erişen cihazların kaynak port ve kullanıcı adı ile birlikte listesi
✅ Bugünden itibaren 180 gün önceye gidip, o gün içinde firewall a yapılan başarısız oturumların listesi şüpheli bir firewall aktivitesi var mı diye aramak ihtiyacı hissedebilirsiniz.
✅ Son 180 gün içerisindeki bütün firewall a yapılan başarısız oturumların listesini de yine çok doğal bir araştırma raporudur.
SureLog SIEM logları dünyada en az disk kullanarak en uzun süre canlıda tutubilen SIEM çözümüdür.
