Merhaba arkadaşlar,
Bugün sizlere SİEM , LOG , LOG kaynakları , kural ve korelasyonlardan bahsedeceğim. öncelikle bu kavramları bir tanıyalım:
1) LOG nedir ?
=> Sistemler üzerinde yapılan tüm hareketlerin dijital olarak kaydedilmiş halleridir.
LOG tutmak neden önemlidir?
=>Kanıtlanabilirlik ve denetlenebilirlik (mesela sizin bir şirketiniz var ve mehmet denilen bir elemanınız var . Eleman kapıdan giriş yapmamış veya kartını giriş yerine okutmadıysa fakat bilgisayarı açılmışsa sistemde alarm oluşur ve kanıt olarak ortaya bu loglar konulur)
LOG nasıl tutulur?
=> Belirlenen zaman aralıkları için oluşturulmuş, her bir dijital kaydı bir satır olarak olarak işlemiş .log dosyaları ile veya sistemin ürettiği JSON,csv,LEEF,CEF gibi formatlarda tutulabilir.
LOG'lar değiştirilebilir mi?
=>Zaman Damgası ve log dosyaları içerisindeki bütünlüğünü sağlayan hash değerleri sayesinde bütünlüğü korunur.
LOG YÖNETİMİ NEDİR?
Log Yönetimi Nedir?
=>Farklı kaynaklardan alınan logların güvenli bir şekilde(bozulmadan)merkezi bir yapıda saklanmasıdır.
Neden vardır ve neden gereklidir ?
=> Geçmişe yönelik bir denetimizini merkezi bir sistemden kolayca bulmayı sağlar. Gerçekleşmiş olayları incelerken,bütünsel bakış imkanı sunar. Bir güvenlik olayı kapsamında gerçekleşen bağlantılı olayları tespit etmek için gereklidir.
LOGLAR NASIL TOPLANIR?
1)AJANLI LOG TOPLAMA: Log kaynağına yüklenecek olan Log Yönetimi uygulaması ajanı kaynaktaki logları toplar ve uygulamaya göre değişiklik gösteren port ve protokollerle Merkezi Log Yönetimi uygulamasına transfereder
2)AJANSIZ LOG TOPLAMA: Herhangi bir makine verisi için (bilgisayar, kapı giriş sistemi vb) log toplama yöntemleridir.
2) LOG KAYNAKLARI NELERDİR?
ALTYAPI LOGLARI => Donanım Teçhizatı , Ağ envanteri, Zaafiyet raporları , Konfigirasyon
ÇEVRESEL SİSTEM LOGLARI => Buluttaki Sunucular, Endpoint, PAM, Mobil Aygıtlar, VeriTabanları-DAM, UygulamaSunucuları
AĞ LOGLARI => DNS , WAN , Veri transferi, WiFiAccess Point
GÜVENLİK LOGLARI =>IDS, DLP, Endpoint, Firewall, Proxy, VPN, WAF
SİEM NEDİR ?
3) SİEM (Security information and event management): Türkçe karşılığı => Güvenlik bilgileri ve olay yönetimi anlamını taşımaktadır. SIEM sistemlerini, logları toplayan, anlamlandıran ve alarm üreten bir log yönetimi bileşeni olarak tanıyabiliriz. Bir diğer tanımıyla Log kaynaklarından toplandığı logları belirli kural ve korelasyonlar çerçevesinde gerçek zamanlı olarak değerlendirir.[
Log Yönetimi ile farkı nedir?
=> Gerçek zamanlı olayları değerlendirme ve aksiyon alabilme özelliği vardır. Logları daha hızlı bir şekilde birbirleriyle ilişkilendirir.
Güvenlik Kuralı ve Güvenlik Korelasyonunun Farkı Nedir?
Güvenlik kuralı : Sadece bir log kaynağından gelen logları belirli zaman ve eşik değerler çerçevesinde değerlendirir.
Güvenlik korelasyonu: Birden fazla log kaynağından gelen logları uniqueid üzerinden ilişkilendirerir . Yani Kısaca değinmek gerekirse birbirine bağlı kuralların tümüne korelasyon denir.
ÖRNEK BİR KORELASYON OLUŞTURALIM BU KORELASYON 3 KURALDAN OLUŞSUN.
Bir sitemiz olsun ve bu sitemizin bir login sayfası olsun misal sitemin alan adı => [COLOR="Red"]www.kurabiye.com[/COLOR] => SİTEME AİT OLAN IP => 96.65.143.215
sitemin login sayfası => www.kurabiye.com/login => SİTEME AİT OLAN IP => 96.65.143.215
1) 96.65.143.215 IP'sine 5 dakika içinde 10'dan fazla giriş denmesi olursa ve 11. giriş denemesinde başarılı olunursa alarm üret. (burada alarmı tetikleyen log kaynağı WAF'dır)
2) 96.65.143.215 IP'sine 5 dakika içerisinde sabit bir IP'den 100'den fazla paket geliyorsa alarm üret(burada alarmı tetikleyen log kaynağı WAF'dır)
3) 96.65.143.215 IP'sine ( ', "1=1", "1 or 1", select*from, ...) istekleri gelirse alarm üret (burada alarmı tetikleyen log kaynağı WAF'dır)
unıqeıd = 96.65.143.215
UMARIM SİZLERE BİRŞEYLER KATABİLMİŞİMDİR , ELİMDEN GELDİĞİNCE SİZE AÇIKLAMAYA ÇALIŞTIM HERKESE KOLAY GELSİN.
Bugün sizlere SİEM , LOG , LOG kaynakları , kural ve korelasyonlardan bahsedeceğim. öncelikle bu kavramları bir tanıyalım:
1) LOG nedir ?
=> Sistemler üzerinde yapılan tüm hareketlerin dijital olarak kaydedilmiş halleridir.
LOG tutmak neden önemlidir?
=>Kanıtlanabilirlik ve denetlenebilirlik (mesela sizin bir şirketiniz var ve mehmet denilen bir elemanınız var . Eleman kapıdan giriş yapmamış veya kartını giriş yerine okutmadıysa fakat bilgisayarı açılmışsa sistemde alarm oluşur ve kanıt olarak ortaya bu loglar konulur)
LOG nasıl tutulur?
=> Belirlenen zaman aralıkları için oluşturulmuş, her bir dijital kaydı bir satır olarak olarak işlemiş .log dosyaları ile veya sistemin ürettiği JSON,csv,LEEF,CEF gibi formatlarda tutulabilir.
LOG'lar değiştirilebilir mi?
=>Zaman Damgası ve log dosyaları içerisindeki bütünlüğünü sağlayan hash değerleri sayesinde bütünlüğü korunur.
LOG YÖNETİMİ NEDİR?
Log Yönetimi Nedir?
=>Farklı kaynaklardan alınan logların güvenli bir şekilde(bozulmadan)merkezi bir yapıda saklanmasıdır.
Neden vardır ve neden gereklidir ?
=> Geçmişe yönelik bir denetimizini merkezi bir sistemden kolayca bulmayı sağlar. Gerçekleşmiş olayları incelerken,bütünsel bakış imkanı sunar. Bir güvenlik olayı kapsamında gerçekleşen bağlantılı olayları tespit etmek için gereklidir.
LOGLAR NASIL TOPLANIR?
1)AJANLI LOG TOPLAMA: Log kaynağına yüklenecek olan Log Yönetimi uygulaması ajanı kaynaktaki logları toplar ve uygulamaya göre değişiklik gösteren port ve protokollerle Merkezi Log Yönetimi uygulamasına transfereder
2)AJANSIZ LOG TOPLAMA: Herhangi bir makine verisi için (bilgisayar, kapı giriş sistemi vb) log toplama yöntemleridir.
2) LOG KAYNAKLARI NELERDİR?
ALTYAPI LOGLARI => Donanım Teçhizatı , Ağ envanteri, Zaafiyet raporları , Konfigirasyon
ÇEVRESEL SİSTEM LOGLARI => Buluttaki Sunucular, Endpoint, PAM, Mobil Aygıtlar, VeriTabanları-DAM, UygulamaSunucuları
AĞ LOGLARI => DNS , WAN , Veri transferi, WiFiAccess Point
GÜVENLİK LOGLARI =>IDS, DLP, Endpoint, Firewall, Proxy, VPN, WAF
SİEM NEDİR ?
3) SİEM (Security information and event management): Türkçe karşılığı => Güvenlik bilgileri ve olay yönetimi anlamını taşımaktadır. SIEM sistemlerini, logları toplayan, anlamlandıran ve alarm üreten bir log yönetimi bileşeni olarak tanıyabiliriz. Bir diğer tanımıyla Log kaynaklarından toplandığı logları belirli kural ve korelasyonlar çerçevesinde gerçek zamanlı olarak değerlendirir.[
Log Yönetimi ile farkı nedir?
=> Gerçek zamanlı olayları değerlendirme ve aksiyon alabilme özelliği vardır. Logları daha hızlı bir şekilde birbirleriyle ilişkilendirir.
Güvenlik Kuralı ve Güvenlik Korelasyonunun Farkı Nedir?
Güvenlik kuralı : Sadece bir log kaynağından gelen logları belirli zaman ve eşik değerler çerçevesinde değerlendirir.
Güvenlik korelasyonu: Birden fazla log kaynağından gelen logları uniqueid üzerinden ilişkilendirerir . Yani Kısaca değinmek gerekirse birbirine bağlı kuralların tümüne korelasyon denir.
ÖRNEK BİR KORELASYON OLUŞTURALIM BU KORELASYON 3 KURALDAN OLUŞSUN.
Bir sitemiz olsun ve bu sitemizin bir login sayfası olsun misal sitemin alan adı => [COLOR="Red"]www.kurabiye.com[/COLOR] => SİTEME AİT OLAN IP => 96.65.143.215
sitemin login sayfası => www.kurabiye.com/login => SİTEME AİT OLAN IP => 96.65.143.215
1) 96.65.143.215 IP'sine 5 dakika içinde 10'dan fazla giriş denmesi olursa ve 11. giriş denemesinde başarılı olunursa alarm üret. (burada alarmı tetikleyen log kaynağı WAF'dır)
2) 96.65.143.215 IP'sine 5 dakika içerisinde sabit bir IP'den 100'den fazla paket geliyorsa alarm üret(burada alarmı tetikleyen log kaynağı WAF'dır)
3) 96.65.143.215 IP'sine ( ', "1=1", "1 or 1", select*from, ...) istekleri gelirse alarm üret (burada alarmı tetikleyen log kaynağı WAF'dır)
unıqeıd = 96.65.143.215
UMARIM SİZLERE BİRŞEYLER KATABİLMİŞİMDİR , ELİMDEN GELDİĞİNCE SİZE AÇIKLAMAYA ÇALIŞTIM HERKESE KOLAY GELSİN.
Son düzenleme:
