SIEM Correlation Rules Nedir?

Qué es SIEM y cómo funciona? Alcance e implementación - Nsit

Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır.  Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. 

Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. Geçmişte, güvenlik bilgileri ve olay yönetimi ( SIEM ) teknolojisi, istenmeyen davranışları tespit etmek için öncelikle imzalara güveniyordu. Bu ilk günlerin aksine, modern SIEM çözümleri artık çok çeşitli anormal davranış ve olayları ortaya çıkarmak için kutudan çıkarılmış korelasyon kuralları ve sofistike modeller sunmaktadır. Nasıl çalıştıklarını anladıktan sonra, muhtemelen bu kaynakları özelleştirirken, kuruluşunuzun benzersiz durumuna uyacaktır. Sonrasında kendi kurallarınızı ve modellerinizi de eklemek isteyeceğinize emin olabilirsiniz. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.

Korelasyon kuralı örnekleri

Gerçek dünya korelasyon kurallarına bazı örnekler:

  • Bir kullanıcı bir saat içinde aynı bilgisayarda üçten fazla oturum açma denemesinde başarısız olursa,
    bir uyarıyı tetikle.
  • Çok sayıda başarısız giriş denemesini başarılı olan bir girişim izlerse, bir uyarıyı tetikleyin.
  • Şirket genelindeki bir işten çıkarma sırasında, belirli türlerde ondan fazla dosya USB sürücülere kopyalanırsa veya şirket dışı alanlara e-posta eki olarak gönderilirse bir uyarıyı tetikleyin.

Buna benzer örnekler çoğaltılabilir. Ancak biz kolerasyon yapmadan önce sisteme hangi loglarımı almamız gerektiğini inceleyelim.

Windows Server & Client

  • SAM User Logon, Logof, Password Reset, Enable, Disable, Create, Change, Remove, Move
  • SAM Group User add, remove and Group Create, Change, Remove, Move
  • Scheduled Tasks
  • CMD and PowerShell
  • Installed and Remove Programs
  • Delete Security Log
  • RDP, VNC, SSH and Other Connection
  • Creation of New Services and Processes
  • UNC path (c$)
  • SMB Share
  • Server Sudden Shutdown & Shutdown & Reboot
  • Client Sudden Shutdown

File Server

  • Folder/File Create, Rename, Delete,Move

DNS Server 

  • DNS Log

DHCP Server 

  • DHCP Log

GNU/Linux

  • User Logon, Logof, Password Reset, Enable, Disable, Create, Change, Remove, Move
  • Group User add, remove and Group Create, Change, Remove, Move
  • shell, bash, zsh and Other Session History
  • Crontab
  • Creation of New Services and Processes
  • Installed and Remove Programs
  • Server Sudden Shutdown & Shutdown & Reboot
  • Client Sudden Shutdown

Active Directory

  • Domain User Logon, Logof, Password Reset, Enable, Disable, Create, Change, Remove, Move
  • Domain Group User add, remove and Group Create, Change, Remove, Move
  • FSMO Role Change

Database

  • Log on
  • Table Create, Change, Remove

WEB SERVER

  • ISS, Nginx, Apache Access Log

Virtulatizion

  • Log on
  • VM Create, Change, Remove, Move

Network

  • Static IP Detection
  • NAT Usage
  • SSLVPN
  • Port Scanning
  • Brute Force

Hotspot

 

NAS/Storage

  • Log on
Blog'a Dön