SIEM Introduction


1. Kısım-Sistem ve Log toplama

Günlük Toplama

Günlük, zaman, kaynak sistem ve bir mesaj içerir. Örnek olarak bir Ubuntu sunucusundaki “/var/log/auth.log” dosyasının içeriğine baktığımız zaman kaynak, saat ve mesaj bilgilerini görürüz.

Günlükler Genellikle iki yolla toplanır:
  • Log Agents
  • Agentless


Log Agents (Günlük Araçları)

Bu methodu uygulamak için bir log agent yazılımı gereklidir. Agent yazılımı, Topladığı günlükleri hedefe iletmeden önce işlem yapabilir.

Örneğin, agent yazılımı ile “username: LetsDefend; account: Administrator” olan bir logu 2 parçaya bölerek şu şekilde iletebiliriz:
  • mesaj1 = “kullanıcı adı: LetsDefend”
  • mesaj2 = “hesap: Yönetici”


Syslog

Syslog, günlük aktarımları için çok popüler bir ağ protokolüdür. TCP/UDP ile çalışabilir. Syslogu destekleyen bazı cihazlar: Firewall, Router, Switch, IDS, Linux, Mac, Windows cihazları ek yazılımlar sayesinde syslog destekli hale gelebilir.

Syslog TCP ile gönderilecek maksimum paket boyutu 4096 bayttır. UDP için ise maksimum 1024 bayttır.


Agentless (Aracısız)

Agentless log gönderme işlemi kurulum ve güncelleme masrafları olmadığı için tercih edilir. Loglar genellikle hedefe SSH veya WMI ile bağlanarak gönderilir. Bu method için günlük sunucusunun kullanıcı adı ve şifresi gereklidir, bu yüzden şifrenin çalınma tehlikesi vardır.


Soru 1:







Agent yazılımlarını yönetmek istemeyenler için en iyi yöntem nedir?

Cevap: {Agentless}

Yukarı da Agentless’ in ne olduğunu ve neden kullandığını belirttim.


2. Kısım-Log Aggregation and Parsing (Günlük Toplama ve Ayrıştırma)

Oluşturulan loglar ilk olarak log aggregator a gönderilir. Buraya gelen loglar hedefe gönderilmeden önce düzenlenebilir. Örneğin bir web server loglarından sadece durum kodlarını almak istersek gelen loglar arasında filtreleme yaparak hedefe istenilen kısımları gönderebiliriz.


Aggregator EPS (Toplayıcı)

EPS Nedir?

EPSdeğerleri , açılımı “Event Per Second” olan EPS, bir saniye içerisinde sisteme ulaşan data miktarını tanımlayan değerdir.


Scaling the Aggregator (Toplayıcıyı Ölçeklendirme)

Gelen logların her defasında aynı toplayıcıyı yeklemesin diye birden fazla toplayıcı eklenebilir.



Log Aggregator Process (Günlük Toplayıcı Süreci)

Toplayıcıya gelen log işlenir ve sonrasında hedefe yönlendirilir. Ardından bu süreç ayrıştırma, filtreleme ve zenginleştirme olarak hedefe yönlendirilir.



Log Enrichment (Günlük Zenginleştirme)

Günlük zenginleştirme yapılmasının amacı toplanan logların verimini artımak ve zamandan tasarruf etmekdir.

Örnek Zenginleştirmeler:
  • Geolocation(Coğrafi konum)
  • DNS

Geolocation (Coğrafi konum)

Belirtilen IP adresinin coğrafi konumu bulunabilir ve loga eklenebilir. Bu sayede logu görüntüleyen kişi zamandan tasarruf etmiş olur.


DNS (Domain Name System)

DNS alan adlarını IP adreslerine çevirir.


Soru 2:


Hangisi log toplayıcının becerisi değildir?
-filtreleme
-ayrıştırma
-analiz
-zenginleştirme


Cevap: {analysis}

Yukarıda ki görselde log toplayıcısının özelliklerini “parse/filter/enrichment” olarak görmüştük. Bu yüzden cevabımız “analysis” olacaktır.


3. Kısım-Log Storage (Günlük Depolama)

SIEM depolama da amacımız verilere en hızlı şekilde ulaşmaktır. Bunun için WORM (bir kez yaz çok oku) tabanlı teknolojilerin SIEM’de kullanılmalıdır. 


Soru 3:


SIEM veri depolama için veri güncelleme (değer değiştirme, değer silme vb.) çok mu önemli? (Yes/No)


Cevap: No

SIEM veri depolama da bizim için çok önemli olan şey verilere en hızlı bir şekilde ulaşabilmektir. O yüzden cevabımız “no” olacaktır. 


Soru 4:


SIEM depolama için hangisi daha önemlidir?
-Speed (Hız)
-Features (Özellikler)
-Price (Fiyat)


Cevap: Speed

Yukarıda da bahsettiğim gibi SIEM depolama da en önemli olan şey verilere hızlıca ulaşabilmekitr. Bu yüzden cevabımız “Speed” olacaktır.


4.Kısım-Alerting (Uyarı)

Bu kısma kadar logları topladık, işledik ve depoladık. Şimdi ise sırada elimizdeki verileri kullanarak anormal davranışları tespit edip sonrasında uyarılar oluşturmamız gerekiyor.


Uyarıların zamanında ortaya çıkması, arama hızımıza bağlı olarak değişir. Mesela bugün oluşturulan bir log için iki gün sonra uyarı oluşturmaktansa hemen uyarı oluşturmak istiyoruz. Bunun için uygun bir depolama ortamı oluşturmalıdır.

Bir alarm oluşturabilmek için elinizdeki verileri anlamanız gerekir. Daha iyi log aramaları yapmak için belirli bazı teknikler vardır. Bunlar: blacklisting (kara listeye alma), whitelisting (beyaz listeye alma) ve long tail analysis (uzun kuyruk analizidir).


Blacklist

Yasaklanmış işlem adlarını toplayıp bir listeye yazabiliriz. Daha sonra bu listedeki bir işlem loglarda gözükürse uyarı oluşturabiliriz. Benzer şekilde, yasaklı bir IP listesi oluşturan ve bu listeye erişen bir cihaz olduğunda bir alarm oluşturulabilir.


Whitelist

Whitelist istenilen durumlar için kullanılır. Örnek vericek olursak, normal iletişime sahip IP adreslerinin bir listesi tutulabilir. Bu liste dışında herhangi bir adresle iletişim kurulması halinde alarm oluşturulabilir.


Long Tail Log Analysis

Bu method, daima meydana gelen davranışların, olayların normal olduğunu varsayar. Yani bir cihazda sürekli aynı hesabın oturum açtığının logu oluşuyor ise bunu normal kabul etmeliyiz. Bunun yerine en az oluşan günlüklere şüpheli yaklaşmalıyız.

Yorum Gönder

0 Yorumlar