SureLog SIEM İle Mail Güvenliği Senaryosu Örnek 1 — Spam ve Oltalama (Phishing)
Bilindiği gibi Spam mesajlar günümüzde dünya günlük Internet posta trafiğinin %59 ‘unden fazlasını oluşturmaktadır. Bu maillerin önemli tehlikelerinden biri de Cryptolocker ve benzeri saldırıların bu yolla olmasıdır. Spam ve oltalama (phishing) saldırılarında rasgele domain oluşturma algortmaları[1] kullanılır. Şirketlerin %85 i bu oltalama saldırılarına maruz kalır [2,3].
SureLog SIEM kullanarak bu spam ve oltalama saldırılarını tespit etmek mümkün.
SIEM senaryo 1:
Eğer rasgele olarak oluşturulmuş bir domain e trafik veya o domain den bize doğru bir trafik oluşursa bizi uyar
Yine benzer şekilde domin bazlı atakların önlenmesini tamamlamak için başka bir yönteme daha ihtiyacımız var. Onu da aşağıdaki gibi bir kural ile tamamlıyoruz.
SIEM senaryo 2:
Eğer son 24 saat içinde oluşturulmuş ve Alexa da ilk 1 milyona girmeyen ve bizim White liste aldığımız listede olmayan bir domain e trafik veya o domain den bize doğru bir trafik oluşursa bizi uyar
Sonuç olarak bir SIEM çözümünden faydalanmak ve projede başarıyı yakalamak için üzerinde düşünülmüş, çalışılmış ve tecrübe ve bilgi birikimi ile yoğrulmuş bir süreç işletilmesi gerekir. SIEM ürünleri çeşit çeşit yetenekte ve kabiliyettedir. Ayrıca bu ürünleri kullanarak yapılacak proje ekibi de değişik, yetenek, bilgi birikimi ve tecrübededir. Başarıyı son kullanıcı tanımlamadığı sürece proje ucu açık kalabilir.
Bu senaryolar SureLog SIEM Enterprise ile tespit edilmek üzere hazır olarak gelir.
DGA — Spam ve Oltalama (Phishing) Tespit Kuralları
Serinin ikinci yazısı gelecek.
Referanslar
1. http://blog.trendmicro.com/domain-generating-algorithms-dgas/
2. https://securelist.com/spam-and-phishing-in-q1-2017/78221/
