1. Kısım-Sistem ve Log toplama
Günlük Toplama
Günlük, zaman, kaynak sistem ve bir mesaj içerir. Örnek olarak bir Ubuntu sunucusundaki “/var/log/auth.log” dosyasının içeriğine baktığımız zaman kaynak, saat ve mesaj bilgilerini görürüz.
Günlükler Genellikle iki yolla toplanır:
- Log Agents
- Agentless
Log Agents (Günlük Araçları)
Bu methodu uygulamak için bir log agent yazılımı gereklidir. Agent yazılımı, Topladığı günlükleri hedefe iletmeden önce işlem yapabilir.
Örneğin, agent yazılımı ile “username: LetsDefend; account: Administrator” olan bir logu 2 parçaya bölerek şu şekilde iletebiliriz:
- mesaj1 = “kullanıcı adı: LetsDefend”
- mesaj2 = “hesap: Yönetici”
Syslog
Syslog, günlük aktarımları için çok popüler bir ağ protokolüdür. TCP/UDP ile çalışabilir. Syslogu destekleyen bazı cihazlar: Firewall, Router, Switch, IDS, Linux, Mac, Windows cihazları ek yazılımlar sayesinde syslog destekli hale gelebilir.
Syslog TCP ile gönderilecek maksimum paket boyutu 4096 bayttır. UDP için ise maksimum 1024 bayttır.
Agentless (Aracısız)
Agentless log gönderme işlemi kurulum ve güncelleme masrafları olmadığı için tercih edilir. Loglar genellikle hedefe SSH veya WMI ile bağlanarak gönderilir. Bu method için günlük sunucusunun kullanıcı adı ve şifresi gereklidir, bu yüzden şifrenin çalınma tehlikesi vardır.
Soru 1:
Agent yazılımlarını yönetmek istemeyenler için en iyi yöntem nedir?
Cevap: {Agentless}
Yukarı da Agentless’ in ne olduğunu ve neden kullandığını belirttim.
2. Kısım-Log Aggregation and Parsing (Günlük Toplama ve Ayrıştırma)
Oluşturulan loglar ilk olarak log aggregator a gönderilir. Buraya gelen loglar hedefe gönderilmeden önce düzenlenebilir. Örneğin bir web server loglarından sadece durum kodlarını almak istersek gelen loglar arasında filtreleme yaparak hedefe istenilen kısımları gönderebiliriz.
Aggregator EPS (Toplayıcı)
EPS Nedir?
EPSdeğerleri , açılımı “Event Per Second” olan EPS, bir saniye içerisinde sisteme ulaşan data miktarını tanımlayan değerdir.
Scaling the Aggregator (Toplayıcıyı Ölçeklendirme)
Gelen logların her defasında aynı toplayıcıyı yeklemesin diye birden fazla toplayıcı eklenebilir.
Log Aggregator Process (Günlük Toplayıcı Süreci)
Toplayıcıya gelen log işlenir ve sonrasında hedefe yönlendirilir. Ardından bu süreç ayrıştırma, filtreleme ve zenginleştirme olarak hedefe yönlendirilir.
Log Enrichment (Günlük Zenginleştirme)
Günlük zenginleştirme yapılmasının amacı toplanan logların verimini artımak ve zamandan tasarruf etmekdir.
Örnek Zenginleştirmeler:
- Geolocation(Coğrafi konum)
- DNS
Geolocation (Coğrafi konum)
Belirtilen IP adresinin coğrafi konumu bulunabilir ve loga eklenebilir. Bu sayede logu görüntüleyen kişi zamandan tasarruf etmiş olur.
DNS (Domain Name System)
DNS alan adlarını IP adreslerine çevirir.
Soru 2:
Hangisi log toplayıcının becerisi değildir?
-filtreleme
-ayrıştırma
-analiz
-zenginleştirme
Cevap: {analysis}
Yukarıda ki görselde log toplayıcısının özelliklerini “parse/filter/enrichment” olarak görmüştük. Bu yüzden cevabımız “analysis” olacaktır.
3. Kısım-Log Storage (Günlük Depolama)
SIEM depolama da amacımız verilere en hızlı şekilde ulaşmaktır. Bunun için WORM (bir kez yaz çok oku) tabanlı teknolojilerin SIEM’de kullanılmalıdır.
Soru 3:
SIEM veri depolama için veri güncelleme (değer değiştirme, değer silme vb.) çok mu önemli? (Yes/No)
Cevap: No
SIEM veri depolama da bizim için çok önemli olan şey verilere en hızlı bir şekilde ulaşabilmektir. O yüzden cevabımız “no” olacaktır.
Soru 4:
SIEM depolama için hangisi daha önemlidir?
-Speed (Hız)
-Features (Özellikler)
-Price (Fiyat)
Cevap: Speed
Yukarıda da bahsettiğim gibi SIEM depolama da en önemli olan şey verilere hızlıca ulaşabilmekitr. Bu yüzden cevabımız “Speed” olacaktır.
4.Kısım-Alerting (Uyarı)
Bu kısma kadar logları topladık, işledik ve depoladık. Şimdi ise sırada elimizdeki verileri kullanarak anormal davranışları tespit edip sonrasında uyarılar oluşturmamız gerekiyor.
Bir alarm oluşturabilmek için elinizdeki verileri anlamanız gerekir. Daha iyi log aramaları yapmak için belirli bazı teknikler vardır. Bunlar: blacklisting (kara listeye alma), whitelisting (beyaz listeye alma) ve long tail analysis (uzun kuyruk analizidir).
%20-%20Copy.png)
.png)
0 Yorumlar