SIEM Neden Gerekli?

Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Ayrıca ülkeden ülkeye değişin kanuni zorunluluklar da log yönetimini şart koşmaktadır. Loglara bakarak aşağıdaki sorulara cevap bulabiliriz.[1,2,3] Kim hangi bağlantıları kurdu? USB bellek kullanımı oldu mu? Belirli zaman aralıklarında kimler oturum açtı? Sistem yöneticileri takip ediliyor mu? Bilgisayar adı, IP adresi, MAC adresi değişikliği oldu mu? Kimler hangi IP adresini aldı? Bu IP adresleri ile nerelere erişidi? Sisteme uzak bağlantı sağlandı mı? Kimler hangi saatle VPN bağlantısı kurdu? Donanım değişikliği yapıldı mı? P2P program kullanan var mı? Kim hangi dosya ya erişti ? Erişilen dosyalardan silinen var mı? Başarılı password değişiklikleri? Bilgisayar hesabı yada kullanıcı hesabı yaratıldı mı? Port scan yapıldı mı? Kimler hangi dokümanları print etti? (print server mimarisi ile) Domain admin hesabına kullanıcı eklendi mi? Virüs bulaştı mı? Virüslü bir siteye erişi denemesi oldu mu? BT altyapısını oluşturan log kayıtlarını toplayan, inkar edilemez bir şekilde saklayan, analiz yapan log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır Her ne kadar, log yönetim sistemleriyle logları toplamak gerekli olsa da yeterli değildir. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin ve bu sebeple SIEM sistemleri büyük önem taşımaktadır. Tanımlanan koşulların oluşması durumunda haber veren gerçek bir SIEM çözümü kurmak gerekir. Peki, bir SIEM ürünü almanın avantajları nedir?

SIEM ürünlerinin, birçok noktadan ve yüzlerce cihazdan aldığı loglar ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki logları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar. Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur. Bu loglar arasında oluşabilecek kombinasyonları düşünürsek birikmiş logların üzerinden arama tarama, raporlama ve arşivleme ile herhangi bir tehditlerin yakalanması mümkün değildir. Bunun için gerçek bir korelasyon özelliğine sahip SIEM ürünlerinin gücüne başvurmak gerekir. Böylece aşağıdaki gibi tehdit içeren durumları milyarlarca veri içerisinden anında tespit etmek mümkün olur.

1. Aynı IPdenfarklı kullanıcıadları ile aynıbilgisayara15 dakikada5 adetbaşarısız oturum denemesiyapıldıktansonraaynıIP denherhangi bir makinayaoturumaçıldıise uyar.

2. Bir IPdentarama yapıldıise ve sonrasındaaynı IP denbaşarılı bir bağlantıkurulduise ve ardından bağlantıkurulanIPdentarama yapılan IPye geriye bağlantıkurulduise uyar.

3. BirbirindentamamenfarklıdışIP lerdenaynıhedef IPye dakikada100 adettenfazlabağlantı oluşuyorsauyar

4. Aynı Dış IP ve farklıportlardanaynı hedef IPye dakikada100 adetbağlantıolursauyar

5. Aynı kullanıcı,aynımakineye saatte 3denfazlabaşarısız oturumaçmayı denerse uyar

6. Bir kullanıcıherhangi birsunucuya login olamayıp authentication failurea sebepol duktan sonra 2 saat içerisinde aynıkullanıcıaynısunucuyabaşarılı oturum açmazsa uyar

7. Aynı kaynakIPden 1 dakikada100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştuise saatte milyonlarca paketbloklanır. Hepsi içinmail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)

8. Unusual UDP Traffic üreten kaynak IP yi bildir

9. IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar

10. Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar

11. Birisi Networkünüzde DHCP serverı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar

12. Bir IP taraması olursa uyar

13. WEB üzerinden SQL atağı olursa uyar

14. Mesai saatleri dışında sunuculara ulaşan olursa uyar

15. Aynı kullanıcı ,birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum açmayı denerse uyar

Genel olarak bir SIEM ile sistem ve network’ lerinizdeki mevcut tehdit ve zaafiyetlerin tespiti, gerçekleşen olayların takibi. Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve takibi. Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi. Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım sağlanması. Kurumsal güvenlik standart ihlallerinin takibi. ISO 27001, SOX, PCI, HIPAA, NERC, FFIEC, FISMA, GLBA, NCUA, COBIT, vb. uyumluluk (Compliance) raporlama ve denetimleri. SOME uygulamaları için uygun raporlama olanakları. USOM tarafından yayınlanan zararlı bağlantı listeleri ile “online” entegrasyonlar ve sistemleriniz için denetleme olanakları. Threat Intelligence özelliği ile dinamik olarak zararlı IP ve Domain listelerine erişim yapılınca otomatik uyarının sağlanması.

Dr. Ertuğrul AKBAŞ