SIEM ve Kural/Korelasyon
Günümüzün karmaşık siber tehditlerine karşı mücadele etmek, kuruluşların güvenlik önlemlerini sürekli olarak güçlendirmelerini gerektirmektedir. Bu nedenle güvenlik ekipleri ağlarını ve sistemlerini izlemek, potansiyel tehditleri tespit etmek ve bunlara yanıt vermek için etkili bir yaklaşım arıyor. İşte bu noktada SIEM sistemleri ve kural/korelasyon ilişkisi devreye giriyor. SIEM’in gerçek gücü, bu verileri analiz ederken kullanılan kurallardan ve korelasyon yeteneklerinden gelir.
SIEM sisteminin belirli olay veya durumları tespit etmek için kullandığı temel kurallara kural denir. Örneğin, belirli bir kullanıcının birden fazla başarısız oturum açma girişimi olması veya belirli bir bağlantı noktasındaki trafikte beklenmedik bir artış olması durumunda bir kural tetiklenebilir. Ancak karmaşık ve gelişmiş tehditler çoğu zaman tek bir olayda değil, aynı anda meydana gelen birden fazla olayın sonucu olarak ortaya çıkar. Korelasyonun rol oynadığı yer burasıdır.
Korelasyon, farklı olayların ve veri noktalarının çapraz analizi yoluyla potansiyel bir tehdidin tespit edilmesini sağlar. Spesifik olarak, bir arada meydana gelen bir dizi olaydan kaynaklanabilecek olası bir tehdidi tanımlamak için kullanılır. Örneğin, bir kullanıcının birçok başarısız oturum açma girişiminde bulunması veya hassas verileri başka bir cihazdan almaya çalışması gibi olayların bir kombinasyonu, bir korelasyon kuralını tetikleyebilir. Bu, izole olayların ötesine geçer ve daha karmaşık tehditlerin tespit edilmesine yardımcı olur.
SIEM ve kural/korelasyon ilişkisi, kuruluşların güvenlik olaylarını daha hızlı ve etkili bir şekilde tespit edip müdahale etmelerini sağlayarak, kuruluşların siber tehditlere karşı savunma yeteneğini geliştirir.
Kural Tabanlı Tehdit Tespiti
Kural tabanlı tehdit tespiti, bir güvenlik sistemi içerisinde belirli kuralların ve kalıpların tanımlanmasını ve bu kurallara uygun olay veya etkinliklerin belirlenmesini içeren bir güvenlik yaklaşımıdır.
Kural tabanlı tehdit tespiti, bir kuruluşun güvenlik altyapısında meydana gelen olayları ve etkinlikleri izlerken belirli bir dizi kurala dayanır. Bu kurallar, kuruluşun güvenlik politikalarına uygunluğu değerlendirmek, olası tehditleri tanımak ve belirli güvenlik olaylarını veya modellerini tespit etmek için kullanılır.
Kural tabanlı tehdit tespiti için kullanılan kurallar, bir veya daha fazla koşulun birleşimini temsil eder. Her kural, belirli bir olayı veya etkinliği tanımlayan bir koşul veya model içerir. Örnek bir kural şöyle olabilir: “Bir kullanıcı art arda üç kez yanlış şifre girerse bir güvenlik uyarısı oluşturun.”
Kurallara dayalı tehdit tespiti, veri kaynaklarından toplanan olaylara veya etkinliklere kuralların uygulanmasıyla başlar. Bir etkinlik veya etkinlik bir veya daha fazla kurala uyan bir koşul içeriyorsa bu kural tetiklenir. Kuralın tetiklenmesi bir güvenlik uyarısının oluşturulmasına veya belirli bir eylemin yürütülmesine yol açabilir.
Kural tabanlı tehdit tespiti ağ, uygulama, veri, sistem güvenliği gibi birçok güvenlik alanında kullanılmaktadır. Örneğin, ağ trafiği izleme ve kural tabanlı tehdit algılama, kötü amaçlı ağ trafiğini ve istenmeyen etkinlikleri tespit etmek için yaygın olarak kullanılır.
Kural tabanlı tehdit tespiti, belirli ve bilinen tehditlere karşı etkili savunma sağlar. Ancak bu yöntemin, bilinmeyen veya gelişmiş tehditlerin tespitinde potansiyel sınırlamalar ve false pozitif alarmlar üretme olasılığı gibi dezavantajları da vardır.
Güncel ve etkili kural tabanlı tehdit tespiti için kuralların düzenli olarak gözden geçirilmesi ve güncellenmesi gerekir. Mevcut kuralların hem kuruluşun güvenlik ihtiyaçlarına hem de gelişen tehdit ortamına uyum sağlaması gerekiyor.
Kural tabanlı tehdit tespiti, kuruluşlardaki güvenlik olaylarını izlemek ve belirli kurallara uygun olayları otomatik olarak tespit etmek için güçlü bir araçtır. Ancak sınırlamaları nedeniyle kuruluşlar genellikle kural tabanlı algılamayı diğer gelişmiş güvenlik yaklaşımları ve tehdit istihbaratıyla birleştirir.
Korelasyon Tabanlı Tehdit Tespiti
Korelasyon tabanlı tehdit algılama, bir kuruluşun ağ güvenliğini izler ve güvenlik olaylarını ve verilerini analiz ederek tehditleri tespit eder. Bu yaklaşım izole olayların ötesine geçer ve birden fazla olayın ve veri noktasının birlikte değerlendirilmesini içerir.
Korelasyon, olaylar ve veriler arasındaki anlamlı ilişkileri tanımlama sürecini ifade eder. Özellikle birçok ayrı olay veya faaliyetin bir araya gelmesi sonucu olası bir tehdidin tespit edilmesi amaçlanmaktadır. Bu yaklaşım genellikle ağ trafiği, sistem günlükleri, kullanıcı davranışı ve tehdit istihbaratı gibi farklı kaynaklardan gelen verileri içerir.
Korelasyonu kullanan senaryolar arasında ağdaki anormal etkinliklerin tespit edilmesi, kötü amaçlı yazılım saldırılarının izlenmesi, veri sızıntılarının tespit edilmesi ve gelişmiş tehditlerin tespit edilmesi yer alır. Örneğin, hassas verilere aynı anda erişmeye çalışan birden fazla kullanıcıyı tanımlamak veya farklı sistemlerde benzer davranışlar gösteren belirli bir kötü amaçlı yazılımı tanımak için korelasyonu kullanabilirsiniz.
Korelasyon tabanlı tehdit tespiti, özel korelasyon motorları veya SIEM sistemleri gibi güvenlik çözümleri kullanılarak uygulanır. Korelasyon motorları verileri belirli kurallar ve algoritmalar kullanarak analiz eder ve potansiyel tehditleri belirlemeye çalışır. Korelasyon motorları, yanlış alarm oranlarını azaltacak ve gerçek riskleri tanımlayacak şekilde özelleştirilebilir.
Korelasyonla Tehdit Tespitinin Avantajları ve Dezavantajları:
Avantajları:
- Gelişmiş tehditleri tespit etme yeteneği.
- Veri noktaları arasındaki ilişkileri anlama.
- Yüksek kişiselleştirme yeteneği.
Dezavantajları:
- Karmaşık ve zaman alıcı olabilir.
- False Pozitif sonuçlara (gerçek tehditlerin gözden kaçırılma riski) yol açabilir.
Korelasyon tabanlı tehdit tespiti, kuruluşların daha karmaşık ve gelişmiş siber tehditlere karşı daha etkili bir savunma stratejisi geliştirmesine yardımcı olur. Bu yöntem, güvenlik olaylarının daha kapsamlı bir analizini yaparak kuruluşların potansiyel tehditlere karşı daha hazırlıklı olmalarını sağlar.
Korelasyon Kuralının Temel Bileşenleri
Korelasyon kuralının temel bileşenleri karmaşık siber tehditleri tespit etmeyi amaçlarken, bu amaca yönelik birçok önemli bileşeni de içermektedir. Öncelikle Olaylar ve Veri Kaynağı bu bileşenlerin temelini oluşturur. Güvenlik olayları ve verileri kuruluşun ağlarından ve sistemlerinden toplanır. Bu kaynaklar ağ günlükleri, sistem olay günlükleri, uygulama günlükleri ve güvenlik cihazları gibi güvenlik altyapısını içerir.
Korelasyon kuralının ikinci önemli bileşeni Korelasyon Kuralının Temel Prensibidir. Bu ilke, belirli koşullar veya olaylar meydana geldiğinde bir korelasyon kuralının tetiklendiği koşulları tanımlar. Korelasyon kuralı, güvenlik olayları ve veriler arasındaki anlamlı ilişkileri analiz ederek kuruluşun güvenlik tehditlerine karşı daha hazırlıklı olmasına yardımcı olur.
Korelasyon kuralının bir diğer kritik bileşeni Koşullar ve Eşleşme koşullarıdır. Bu bileşen, kuralı oluşturmak ve tetiklemek için gereken koşulları ve eşleşme koşullarını içerir. Örneğin, belirli bir güvenlik olayı veya etkinliği, belirli koşulların veya gereksinimlerin karşılanması durumunda kuralı tetikleyebilir. Bu koşullar kuruluşun güvenlik politikalarına ve tehdit modeline uygun olarak belirlenir.
Son olarak korelasyon kuralının çalışmasını sağlayan bileşenlerden biri kuralın tetiklenmesidir. Bu, olaylar ve veriler analiz edildiğinde kuralın belirli bir durumun meydana geldiğini tespit ettiği anlamına gelir. Tetiklenen bir kural, belirli bir güvenlik olayının veya tehdidinin varlığını işaret eder ve uygun bir yanıtı başlatır. Bu bileşen, kuruluşun güvenlik tehditlerine hızlı ve etkili bir şekilde yanıt vermesini sağlar.
Olayların ve Verilerin Kaynağı
Korelasyon kuralının önemli bir bileşeni, güvenlik olaylarının ve verilerinin kaynaklarını içerir. Bu bileşen, korelasyon kuralının oluşturulmasında ve etkili bir şekilde çalışmasının sağlanmasında kritik bir rol oynar.
Güvenlik Olayları ve Verileri
Korelasyon kuralını oluştururken kullanılan ana unsurlar, güvenlik olayları ve kurumun güvenlik altyapısından gelen verilerdir. Bunlar ağ günlüklerini, sistem olay günlüklerini, uygulama günlüklerini, güvenlik cihazları tarafından oluşturulan verileri ve tehdit istihbaratını içerebilir.
Olayların Kaynağı
Güvenlik olaylarının kaynağı kuruluşun ağı ve sistemleridir. Örneğin, ağ günlükleri ağdaki trafik ve bağlantılar hakkında bilgi içerebilirken, sistem günlükleri işletim sistemi ve uygulamalarla ilgili olayları yakalayabilir.
Veri kaynağı
Korelasyon kuralını oluştururken kullanılan verilerin kaynağı da çok önemlidir. Bu kaynaklar, güvenlik duvarları, izinsiz giriş tespit ve önleme sistemleri (IDS/IPS), antivirüs yazılımı ve SIEM sistemleri gibi güvenlik altyapısı bileşenlerinden gelir.
Veri tipleri
Korelasyon kuralı oluşturulurken kullanılan veri türleri farklılık gösterebilir. Örneğin IP adresleri, kullanıcı kimlikleri, bağlantı noktası numaraları, zaman damgaları, dosya adları ve daha fazlası bu veri türlerine örnek olabilir.
Tehdit İstihbaratı
Tehdit istihbaratı, kuruluşun bilmesi gereken yeni tehditler ve kötü amaçlı faaliyetler hakkında bilgi sağlayarak korelasyon kuralının etkinliğini artırmak için de kullanılabilir. Bu, korelasyon kurallarının güncellenmesi ve yeni tehditlere karşı daha iyi hazırlıklı olunması açısından önemlidir.
Verilerin Toplanması ve Saklanması
Bu verilerin toplanması ve saklanması, güvenlik olaylarını analiz etmek ve korelasyon kurallarını uygulamak için kritik bir adımdır. Kuruluşlar genellikle bu verileri günlük yönetimi ve depolama sistemlerini kullanarak saklar.
Olayların ve verilerin kaynağı, korelasyon kuralının etkili bir şekilde çalışması için temel bir yapı taşıdır. Bu kaynakların doğru bir şekilde tanımlanması, güvenlik olaylarını tespit etme yeteneğini artırır ve kuruluşlara daha fazla görünürlük sağlar. Korelasyon kuralını oluştururken kurumun güvenlik ihtiyaçları doğrultusunda hangi veri kaynaklarının kullanılacağını ve ne tür verilerin analiz edileceğini göz önünde bulundurmalıyız.
Korelasyon Kuralının Temel Prensibi
Korelasyon kuralının temel prensibi, güvenlik olaylarını ve verilerini analiz ederek kuralın belirli bir güvenlik tehdidini veya olayını tespit etmek için nasıl çalıştığını açıklar. Bu ilke, kuruluşların siber tehditleri daha etkili bir şekilde izlemesine ve bunlara yanıt vermesine yardımcı olur.
Korelasyon kuralının temel prensibi hakkında daha fazla bilgi:
Güvenlik Olaylarının Korelasyonu
Korelasyon kuralının temel amacı güvenlik olayları ve veriler arasındaki ilişkileri tanımlamaktır. Bu ilişkiler kurumun güvenlik politikalarına ve tehdit modeline göre oluşturulur. Özellikle belirli güvenlik olaylarının veya etkinliklerinin birleşerek tehdit oluşturduğu senaryoları tanımlar.
Etkinliklerin Zaman Damgası
Korelasyon kuralının temel ilkesinin bir kısmı, zaman damgası olaylarını içerir. Bu, olayların sırasının ve zamanlamasının önemli olduğu durumları tanımlar. Örneğin, bir kullanıcının sürekli olarak yanlış şifre girmesi ve ardından hassas bir veri dosyasına erişmeye çalışması gibi olaylar, belirli bir sıra ve zamanlama gerektirebilir.
Korelasyon Kuralını Tetiklemek
Temel prensibin bir sonucu olarak korelasyon kuralı, belirli koşulların veya olayların bir kombinasyonunu tespit ettiğinde tetiklenir. Bu, güvenlik ekibine potansiyel tehditleri veya anormallikleri belirleme fırsatı sağlar. Özellikle karmaşık tehdit senaryolarının tespitinde kullanılır.
Uygun cevap
Korelasyon kuralının tetiklenmesi kuruluşun uygun bir yanıt vermesine yol açar. Bu yanıt, uyarılar, bildirimler veya güvenlik ekibine otomatik yanıtlar gibi çeşitli biçimlerde olabilir. Korelasyon kuralı sayesinde tehditlere daha hızlı ve etkili bir şekilde müdahale edilebilmektedir.
Özelleştirme ve İyileştirme
Korelasyon kuralının temel ilkesi, kuruluşların güvenlik politikalarına ve gereksinimlerine uyacak şekilde özelleştirilebilir ve geliştirilebilir. Bu, kuruluşların güvenlik tehditlerine karşı daha duyarlı hale gelmesine olanak tanır.
Korelasyon kuralının temel ilkesi, kuruluşların güvenlik operasyonlarını güçlendirmeleri ve daha karmaşık tehditleri tespit etmelerine yardımcı olmak için temel bir kılavuz sağlar. Bu prensip sayesinde kuruluşlar güvenlik olaylarını daha iyi anlayabilir ve daha etkili müdahale edebilir.
Koşullar ve Eşleşme Koşulları
Korelasyon kuralının temel bileşenlerinden biri, kuralın tetiklenmesi için gerekli koşulları ve eşleşme koşullarını tanımlamaktır. Bu bileşen, korelasyon kuralının işleyişini yönlendiren ve güvenlik olaylarını veya durumlarını belirli özelliklere bağlayan önemli bir unsurdur. Bu bileşenlerin daha ayrıntılı açıklamalarını burada bulabilirsiniz:
Koşulların Tanımı
Korelasyon kuralı, belirli bir güvenlik olayını veya koşulunu tanımlayan koşulları içerir. Her koşul, kuruluşun güvenlik hedeflerine ve tehdit modeline uygun olarak belirlenir. Örneğin, bir koşul “Belirli bir kullanıcının yanlışlıkla bir dosyayı birden fazla kez silmesi” olabilir.
Eşleştirme Koşulları
Korelasyon kuralının çalışması için belirli koşulların veya olayların bir araya geldiği durumlara eşleştirme koşulları denir. Bu koşullar, kuralın ne zaman tetikleneceğini belirler. Örneğin, bir eşleşme koşulu “Koşul 1 VE Koşul 2 VE Koşul 3 eşleşirse kuralı tetikleyin” şeklinde tanımlanabilir.
Bağlama Operatörleri
Bağlama operatörleri, eşleştirme koşullarını birleştirmek ve karmaşık korelasyon kuralları oluşturmak için kullanılır. En yaygın bağlama operatörleri “AND” ve “OR” operatörleridir. “AND” operatörü tüm koşulların aynı anda eşleşmesi gerektiği anlamına gelirken, “OR” operatörü en az bir koşulun eşleşmesi gerektiği anlamına gelir.
Öncelik ve Sıralama
Kuruluşların genellikle birden fazla korelasyon kuralı vardır. Her kuralın öncelik düzeyi, o kuralın öncelikli olarak uygulandığı durumları belirlemek üzere ayarlanır. Bu, aynı anda birden fazla kuralın tetiklendiği durumlarda hangi kuralın öncelikli olacağını ve uygulanacağını belirler.
Özelleştirme ve İyileştirme
Korelasyon kuralının koşulları ve eşleştirme koşulları, kuruluşun güvenlik ihtiyaçlarına uyacak şekilde özelleştirilebilir, düzenli olarak gözden geçirilebilir ve iyileştirilebilir. Bu, korelasyon kuralının doğruluğunu ve etkinliğini arttırmak için önemlidir.
Koşullar ve eşleştirme koşulları korelasyon kuralının temel yapı taşlarıdır. Bu bileşenlerin doğru şekilde tanımlanması, kuruluşların belirli tehdit senaryolarını tespit etme yeteneğini artırır ve yanlış alarmları azaltır. Korelasyon kuralı yaparken, organizasyonun güvenlik politikalarını, tehdit istihbaratını ve güvenlik hedeflerini göz önünde bulundurarak koşulların seçimini ve eşleştirme koşullarını dikkatli bir şekilde planlamalıyız.
Korelasyon Kuralını Tetiklemek
Korelasyon kuralının temel bileşenlerinden biri, belirli koşullar veya olaylar bir araya geldiğinde kuralın tetiklendiği mekanizmayı içerir. Bu, kuruluşların siber tehditleri daha etkili bir şekilde tespit etmesine ve bunlara yanıt vermesine yardımcı olur. Korelasyon kuralının nasıl tetiklendiğine ilişkin daha fazla bilgiyi burada bulabilirsiniz:
Koşulların Eşleşmesi
Korelasyon kuralının tetiklenmesi, kuralın koşulları veya eşleşme koşulları karşılandığında meydana gelir. Bu, güvenlik olaylarının ve verilerinin analizi sırasında kuralın belirli bir tehdidi veya anormalliği tespit ettiği anlamına gelir. Örneğin, belirli bir kullanıcının bir sisteme yanlış şifre girmesi ve ardından hassas verilere erişmeye çalışması gibi olaylar kuralın koşullarını karşılayabilir.
Etkinlik Zaman Damgası
Korelasyon kuralının tetiklenmesi olayların sırası ve zamanlamasının önemli olduğu durumları da içerir. Özellikle olayların belirli bir sırayı ve zamanlamayı takip etmesi gereken senaryoları açıklar. Bu, kuruluşların sıralı olayları veya belirli bir süre içinde meydana gelen olayları analiz etmesine olanak tanır.
Olayların Analizi
Korelasyon kuralını tetiklemek olayların ve verilerin derinlemesine analizini gerektirir. Kural, güvenlik olaylarını toplar ve bu olayların kuruluşun güvenlik politikalarına, tehdit modeline ve özelleştirilmiş kural koşullarına uygun olup olmadığını değerlendirir.
Yanıt Tetikleyici
Tetiklenen bir korelasyon kuralı, kuruluşun uygun bir yanıt başlatmasına olanak tanır. Bu yanıt, güvenlik ekibine uyarılar, bildirimler veya otomatik yanıtlar şeklinde olabilir. Özellikle kuruluşun potansiyel tehditlere hızla yanıt vermesine yardımcı olur.
Tetikleme Önceliği
Kuruluşların genellikle birden fazla korelasyon kuralı vardır. Korelasyon kuralının tetikleme önceliği belirli bir sırayla tanımlanır. Bu, birden fazla kuralın aynı anda tetiklendiği durumlarda ilk önce hangi kuralın uygulanacağını belirler.
Korelasyon kuralının tetikleme mekanizması, kuruluşların güvenlik tehditlerini daha hızlı ve etkili bir şekilde tespit etmesine ve bunlara yanıt vermesine yardımcı olan önemli bir bileşendir. Korelasyon kuralı oluşturulurken kuruluşların spesifik tehdit senaryoları ve güvenlik politikaları dikkate alınarak kullanılacak koşullar ve tetikleme mekanizması dikkatlice planlanmalıdır.
Kurallar/İlişki Oluşturma
SIEM, güvenlik olaylarını ve verilerini merkezi bir konumda toplar ve bu verileri analiz ederek olası tehditlerin tespit edilmesine yardımcı olur. Kurallar ve korelasyonlar SIEM’in etkili çalışmasını sağlayan temel bileşenlerdir. Kurallar ve korelasyonlar oluşturmak, SIEM’in güçlü analiz yeteneklerini kullanarak güvenlik olaylarını tespit etme ve bunlara yanıt verme kapasitesini artırır. Bu süreçler kuruluşların güvenlik operasyonlarını daha etkili yönetmelerine ve siber tehditlere karşı daha iyi koruma sağlamalarına yardımcı olur.
Kural Oluşturma
Amaç ve Hedeflerin Belirlenmesi:
Kuralları oluşturmadan önce kuruluşun güvenlik amaç ve hedeflerini belirlemek önemlidir. Hangi tür tehditlerin tespit edilmesi gerektiği, hangi sistem veya ağ alanlarının korunması gerektiği gibi bilgiler bu süreçte dikkate alınır.
Kural Koşullarını Tanımlama
Belirli bir güvenlik olayını veya koşulunu tanımlayan koşulların belirlenmesi, kural oluştururken kritik öneme sahiptir. Örneğin, belirli bir kullanıcının bir dosyayı silmesi veya ağ trafiğinin belirli bir düzeni takip etmesi gibi koşulları belirleyebilirsiniz.
Tetikleyici Eşleşme Koşullarını Belirleme
Kuralın tetiklenmesi için gereken eşleşme koşullarını tanımlamalıyız. Bu koşullar, belirli koşulların veya olayların bir araya geldiği koşulları belirler. Örneğin, “Eğer Koşul 1 VE Koşul 2 Eşleşiyorsa” gibi bir eşleştirme koşulu kullanılabilir.
Uyarı veya Yanıt Eylemlerini Tanımlama
Kuralın tetiklenmesi durumunda ne tür bir yanıt alınacağını belirlememiz gerekiyor. Bu, güvenlik ekibine verilen uyarıları, bildirimleri veya otomatik yanıtları içerebilir.
Kuralın Özelleştirilmesi ve İyileştirilmesi
Oluşturulan kural, kuruluşun ihtiyaçlarına uyacak şekilde özelleştirilebilir ve düzenli incelemelerle geliştirilebilir. Bu, kuralın doğruluğunu ve etkinliğini artırmak için önemlidir.
Korelasyon Oluşturma
Korelasyon İlişkilerini Tanımlama
Korelasyon kuralları, birden fazla güvenlik olayı veya verisi arasındaki ilişkileri tanımlar. Örneğin, bir kullanıcının belirli bir süre içinde birden fazla başarısız oturum açma girişiminde bulunması ve ardından hassas verilere erişme girişiminde bulunması gibi ilişkileri tanımlayabiliriz.
Korelasyon Kuralı Koşullarını Belirleme
Koşullar korelasyon kuralları için de benzer şekilde belirlenir. Ancak bu koşullar birden fazla güvenlik olayının veya verisinin birleşimini gerektirir.
Korelasyon Kuralını Tetiklemek İçin Koşulları Tanımlama
Korelasyon kuralı, birden fazla olayın veya verinin belirli bir sırada veya zamanlamada meydana geldiğini tespit ettiğinde tetiklenir. Bu, kuruluşun daha karmaşık tehdit senaryolarını tespit etmesine olanak tanır.
Korelasyon Kuralı Yanıtlarını Tanımlama
Tetiklenen bir korelasyon kuralı uygun bir yanıtı başlatır. Bu yanıt, kuruluşun potansiyel tehditlere hızlı ve etkili bir şekilde yanıt vermesini sağlar.
Örnek Kural/Korelasyonlar
Eğitimin bu bölümünde SIEM için önemli log kaynaklarına ilişkin kural/korelasyon örnekleri ele alınacaktır. Bu örneklerden yola çıkarak ilgili kaynaklar için farklı kurallar/korelasyonlar geliştirilebilir.
Ortak Kurallar
Ortak kurallar, güvenlik duvarı, işletim sistemleri, VPN ve VM platformu gibi log kaynakları için ortak oluşturulabilecek örnek kural havuzudur.
Kural/Korelasyon Örnekleri:
Kural Adı : Başarısız Oturum Açma Denemeleri
Koşullar : Güvenlik günlüklerinde art arda başarısız oturum açma girişimleri.
Tetikleme Durumu : Art arda başarısız oturum açma girişimleri algılandığında tetiklenir.
Kural Adı : Mesai saatleri dışında giriş yapma etkinliği.
Koşullar : Kritik sistemlere mesai saatleri dışında oturum açma etkinliği.
Tetikleme Durumu : Mesai saatleri dışında dahil olmayan oturum açma etkinliklerinde tetiklenir.
Kural Adı : Yeni Kullanıcı Hesabı Oluşturuldu
Koşullar : Güvenlik günlüklerinde yeni bir kullanıcı hesabının oluşturulması.
Tetikleme Durumu : Yeni bir kullanıcı hesabı oluşturulduğunda tetiklenir.
Kural Adı : Hesap Silme
Koşullar : Güvenlik günlüklerinde bir kullanıcı hesabının silinmesi.
Tetikleme Durumu : Bir kullanıcı hesabı silindiğinde tetiklenir.
Güvenlik duvarı
Güvenlik duvarı günlükleri ağ güvenliği açısından kritik öneme sahiptir. SIEM, güvenlik duvarı günlüklerini analiz ederek ağ trafiğindeki anormal etkinlikleri tespit eder ve kuruluşu olası tehditlere karşı korumak için tetikleyici kurallar oluşturabilir. Güvenlik duvarı günlüklerinin SIEM ile entegre edilmesi, güvenlik olaylarının hızlı tespit edilmesini ve bunlara yanıt verilmesini sağlar.
Kural/Korelasyon Örnekleri:
Kural Adı : Yasadışı Bağlantı Noktası Taramaları
Koşullar : Güvenlik duvarı kurallarındaki yasaklı veya yetkisiz bağlantı noktalarına erişmeye çalışır.
Tetikleme Durumu : Belirli bir süre içinde aynı IP adresinden birden fazla yasaklı bağlantı noktası erişim girişimi tespit edildiğinde tetiklenir.
Kural Adı : Yasa Dışı Ülke Kaynakları
Koşullar : Güvenlik duvarı günlüklerinde yasa dışı veya bilinmeyen ülkelerden gelen trafik.
Tetikleme Durumu : Belirli bir süre içinde yasa dışı ülkelerden gelen trafik tespit edildiğinde tetiklenir.
Kural Adı : Kritik Bağlantı Noktası Erişimleri
Koşullar : Kritik bağlantı noktalarına erişim (3389, 1433, 1521, 3306, vb.).
Tetikleme Durumu : Kritik bağlantı noktalarına erişim algılandığında tetiklenir.
Kural Adı : Herhangi Bir Erişim Kuralı Ekleme
Koşullar : Yeni eklenen veya düzenlenen güvenlik duvarı kurallarında kaynak_IP_adresi veya hedef_IP_adresi gibi değerlerin “herhangi biri” olarak eklenmesi.
Tetikleme koşulu : Böyle bir kural eklenirse ve mevcut kural düzenlenirse tetiklenir.
IPS/IDS
IPS/IDS sistemleri ağdaki saldırıların tespit edilmesine ve önlenmesine yardımcı olur. SIEM, IPS/IDS tarafından tespit edilen olayları toplayıp analiz eder ve bunların kuruluşun güvenlik politikalarına uygunluğunu izler. Bu sayede tehlikeli olaylar hızlı bir şekilde tespit edilip karşı önlemler alınabilmektedir.
Kural/Korelasyon Örnekleri:
Kural Adı : Anormal Trafik Davranışı
Koşullar : IDS/IPS günlüklerinde belirli bir süre boyunca anormal trafik davranışı.
Tetikleme Koşulu: Anormal trafik davranışı tespit edildiğinde tetiklenir .
Kural Adı : Kritik Güvenlik Açığı Saldırıları
Koşullar : Bilinen kritik güvenlik açıklarına karşı saldırı girişimleri.
Tetikleme Durumu : Kritik güvenlik açıklarına yönelik saldırı girişimleri tespit edildiğinde tetiklenir.
Kural Adı : Zararlı İçerik İndirmeleri
Koşullar : IDS/IPS günlüklerinde kötü amaçlı yazılım içeren dosyalar indiriliyor.
Tetikleme Durumu : Kötü amaçlı yazılım içeren dosyaların indirilmesi algılandığında tetiklenir.
WAF
WAF, web uygulamalarını güvende tutmak için kullanılır. SIEM, WAF tarafından tespit edilen web uygulaması saldırılarını izler ve bunlara karşı koruma sağlar. WAF günlüklerinin SIEM ile entegre edilmesi, web uygulaması güvenliğini artırır ve saldırı girişimlerinin anında tespit edilmesini sağlar.
Kural/Korelasyon Örnekleri:
Kural Adı : SQL Enjeksiyon Denemeleri
Koşullar : WAF günlüklerinde SQL Enjeksiyon girişimleri.
Tetikleme Durumu : Belirli bir süre içinde SQL Enjeksiyon girişimleri tespit edildiğinde tetiklenir.
Kural Adı : XSS Saldırıları
Koşullar : WAF günlüklerinde XSS (Siteler Arası Komut Dosyası Çalıştırma) saldırıları.
Tetikleme Durumu : XSS saldırıları tespit edildiğinde tetiklenir.
Kural Adı : CSRF Saldırıları
Koşullar : WAF günlüklerine CSRF (Siteler Arası İstek Sahteciliği) saldırıları.
Tetikleme Durumu : CSRF saldırıları tespit edildiğinde tetiklenir.
Kural Adı : Bot Trafiği Algılama
Koşullar : WAF günlüklerinde otomatik bot trafiği tespiti.
Tetikleme Durumu : Yüksek miktarda bot trafiği algılandığında tetiklenir.
Windows
Windows sunucuları ve işletim sistemleri kuruluşların büyük bir bölümünü oluşturur. SIEM, Windows günlüklerini izleyerek kimlik doğrulama, dosya erişimi ve olay günlükleri gibi önemli bilgileri izler. Bu, potansiyel tehditleri ve güvenlik ihlallerini tespit etmek için gereklidir.
Kural/Korelasyon Örnekleri:
Kural Adı : Log Silme
Koşullar : Silme olaylarını Windows güvenlik günlüklerine veya sistem günlüklerine kaydedin.
Tetikleme Durumu : Log silme olayları algılandığında tetiklenir.
Kural Adı : Domain Admins Grubuna Yeni Üye Eklendi
Koşullar : Windows güvenlik günlüklerinde “Domain Admins” grubuna yeni bir üye eklenmesi.
Tetikleme Durumu : “Domain Admins” grubuna yeni bir kullanıcı eklendiğinde tetiklenir.
Kural Adı : Üye Etki Alanı Yöneticileri Grubundan Silindi
Koşullar : Windows güvenlik günlüklerindeki “Domain Admins” grubundan bir üyenin silinmesi.
Tetikleme Durumu : Bir kullanıcı “Domain Admins” grubundan silindiğinde tetiklenir.
Kural Adı : Domain Admins Grubunun Üyeleri Değiştirildi
Koşullar : Windows güvenlik günlüklerindeki “Domain Admins” grubunun üyelerini değiştirme (eklenen veya silinen üyeler).
Tetikleme Durumu : “Enterprise Admins Yöneticileri” grubunun üyeleri değiştiğinde tetiklenir.
Kural Adı : Enterprise Admins Group’a Yeni Üye Eklendi
Koşullar : Windows güvenlik günlüklerindeki “Enterprise Admins” grubuna yeni bir üye ekleme.
Tetikleme Durumu : “Enterprise Admins” grubuna yeni bir kullanıcı eklendiğinde tetiklenir.
Kural Adı : Enterprise Admins Grubundan Üye Silindi
Koşullar : Windows güvenlik günlüklerindeki “Enterprise Admins” grubundan bir üyenin silinmesi.
Tetikleme Durumu : Bir kullanıcı “Enterprise Admins” grubundan silindiğinde tetiklenir.
Kural Adı : Enterprise Admins Grubunun Üyeleri Değiştirildi
Koşullar : Windows güvenlik günlüklerinde “Enterprise Admins” grubunun üyelerinin değiştirilmesi (eklenen veya silinen üyeler).
Tetikleme Durumu : “Enterprise Admins” grubunun üyeleri değiştiğinde tetiklenir.
Kural Adı : Şüpheli Hesaba Erişim
Koşullar : Windows güvenlik günlüklerinde şüpheli hesap erişimi.
Tetikleme Durumu : Şüpheli hesaba erişim tespit edildiğinde tetiklenir.
Kural Adı : Uzaktan Erişim Denemeleri
Koşullar : Windows RDP (Uzak Masaüstü Protokolü) aracılığıyla uzaktan erişim girişimleri.
Tetikleme Durumu : Uzaktan erişim girişimleri algılandığında tetiklenir.
Kural Adı : İzinsiz Kullanıcı Hesabı Oluşturma Denemesi
Koşullar : Windows güvenlik günlüklerinde yetkisiz kullanıcı hesabı oluşturma girişimleri.
Tetikleme Durumu : Yetkisiz kullanıcı hesabı oluşturma girişimleri tespit edildiğinde tetiklenir.
Linux
Linux sunucuları ve işletim sistemleri de kuruluşların altyapısının bir parçasıdır. SIEM, Linux günlüklerini izleyerek ağ trafiği, günlük dosyaları ve sistem olayları gibi önemli verileri analiz eder. Linux günlüklerinin SIEM ile entegrasyonu, kuruluşların birden fazla platformu merkezi olarak izlemesine ve güvenlik olaylarını yönetmesine olanak tanır.
Kural/Korelasyon Örnekleri:
Kural Adı : Yüksek Ayrıcalıklı İşlemler
Koşullar : Linux sistem günlüklerinde yüksek ayrıcalıklı işlemlerin (ayrıcalık yükseltme) tespiti.
Tetikleme Durumu : Yüksek ayrıcalıklı işlemler algılandığında tetiklenir.
Kural Adı : Yetkisiz root Erişimi Denemeleri
Koşullar : Linux güvenlik günlüklerinde root erişim girişimleri.
Tetikleme Durumu : Yetkisiz root erişim girişimleri tespit edildiğinde tetiklenir.
Kural Adı : SSH Erişim İzleme
Koşullar : Linux güvenlik günlüklerinde SSH erişiminin izlenmesi.
Tetikleme Durumu : SSH erişimiyle ilgili şüpheli etkinlik tespit edildiğinde tetiklenir.
Kural Adı : Doğrudan root Erişimi
Koşullar : Root kullanıcıyla doğrudan oturum açma etkinliği
Tetikleme Durumu : Root kullanıcı herhangi bir şekilde oturum açarsa tetiklenir.
Kural Adı : Kritik Dosya Değişikliği
Koşullar : Kritik dosyalardaki değişiklikler (/etc/passwd, /etc/shadows vb.)
Tetikleme Durumu : Kritik dosyalarda değişiklik algılanırsa tetiklenir.
Ağ Cihazları (Yönlendirici, Switch vb.)
Ağ cihazları kuruluşların iletişim altyapısının temelini oluşturur. SIEM, ağ cihazları tarafından oluşturulan günlükleri izler ve ağ trafiği, erişim girişimleri ve ağ performansı hakkında bilgi sağlar. Bu, ağ güvenliği ve performans sorunlarının tespit edilmesine yardımcı olur.
Kural/Korelasyon Örnekleri:
Kural Adı : Güvenli Olmayan Protokollerin Kullanımı
Koşullar : Ağ cihazlarında güvenli olmayan protokollerin (örn. Telnet) kullanılması.
Tetikleme Durumu : Güvenli olmayan protokollerin kullanımı tespit edildiğinde tetiklenir.
Kural Adı : Güvenlik Politikalarıyla Uyumlu Olmayan Yapılandırmalar
Koşullar : Ağ cihazlarının güvenlik politikalarına uymayan konfigürasyonları.
Tetikleme Durumu : Güvenlik politikalarına uymayan yapılandırmalar tespit edildiğinde tetiklenir.
Kural Adı : Kritik Bağlantı Noktası Kapalı
Koşullar : Bazı kritik bağlantı noktaları kapalı
Tetikleme Durumu : Kritik olarak belirtilen bağlantı noktalarında bir arıza kaydı oluşması durumunda tetiklenir.
Uç Nokta Güvenliği
Uç nokta güvenliği çözümleri kuruluşun uç noktalarını (bilgisayarlar, mobil cihazlar vb.) korur. SIEM, uç nokta güvenlik çözümlerinden gelen verileri analiz ederek kötü amaçlı yazılımlara, casus yazılımlara ve diğer tehditlere karşı koruma sağlar.
Kural/Korelasyon Örnekleri:
Kural Adı : Antivirüs Tarafından Karantinaya Alınan Dosyalar
Koşullar : Uç nokta güvenliği (antivirüs) tarafından karantinaya alınan dosyalar.
Tetikleme Durumu : Antivirüs tarafından karantinaya alınan dosyalar algılanırsa tetiklenir.
Kural Adı : EDR Sistemi Tarafından Tespit Edilen Tehditler
Koşullar : Uç Nokta Tespit ve Yanıt (EDR) sistemi tarafından tespit edilen tehlikeli davranış veya tehditler.
Tetikleme Durumu : EDR sistemi tarafından tehlikeli faaliyetler tespit edilirse tetiklenir.
Kural Adı : EPP Sistemi Tarafından Engellenen İşlemler
Koşullar : Kötü amaçlı işlemler veya uygulamalar Uç Nokta Koruma Platformu (EPP) tarafından engellendi.
Tetikleme Durumu : EPP sistemi tarafından engellenen kötü amaçlı etkinlikler tespit edilirse tetiklenir.
VPN
VPN’ler uzaktan erişim ve güvenli iletişim sağlamak için yaygın olarak kullanılır. SIEM, VPN günlüklerini izleyerek kimlik doğrulama ve erişim girişimlerini izler, böylece VPN üzerinden meydana gelen güvenlik olayları hakkında bilgi sağlar.
Kural/Korelasyon Örnekleri:
Kural Adı : VPN Erişimi Sonrası Anormallik Etkinliği
Koşullar : Normal çalışma saatleri veya normal kullanım kalıpları dışında aynı kullanıcı hesabından erişim.
Tetikleme Durumu : Başarılı VPN oturum açma işleminden sonra anormal etkinlik algılandığında tetiklenir.
Kural Adı : Şüpheli VPN Erişimi
Koşullar : Aynı kullanıcı hesabı, farklı coğrafi konumlardan art arda oturum açma denemeleri.
Tetikleme Durumu : Aynı kullanıcı hesabıyla farklı coğrafi konumlardan hızlı oturum açma girişimleri tespit edildiğinde tetiklenir.
Kural Adı : Şüpheli VPN Trafiği
Koşullar : VPN trafiğinde belirli kötü amaçlı yazılımların veya uygulama imzalarının algılanması.
Tetikleme Durumu : VPN trafiğinde yetkisiz yazılım veya uygulama tespit edildiğinde tetiklenir.
VM Platformu
Sanal makineler kuruluşların kaynakları etkili bir şekilde kullanmasına yardımcı olur. SIEM, sanal makine platformlarından gelen günlükleri izler ve sanallaştırma ortamının güvenliğini sağlar.
Kural/Korelasyon Örnekleri:
Kural Adı : Yüksek Erişim Yetkisi Değişiklikleri
Koşullar : VM platformunda yüksek erişim ayrıcalığı değişiklikleri.
Tetikleme Durumu : Yüksek erişim ayrıcalığı değişiklikleri tespit edilirse tetiklenir.
Kural Adı : VM Yedeklemelerini Düzenli Olarak Almamak
Koşullar : VM platformunda düzenli yedekleme almamak.
Tetikleme Durumu : VM yedeklerinin düzenli olarak alınmadığı tespit edilirse tetiklenir.
Kural Adı : VM Silme
Koşullar : VM platformundaki bir VM’nin silinmesi.
Tetikleme Durumu : Bir VM’nin silindiği tespit edilirse tetiklenir.
Kural Adı : VM Oluşturma
Koşullar : VM platformunda yeni bir VM oluşturma.
Tetikleme Durumu : Yeni bir VM oluşturulduğu tespit edilirse tetiklenir.
Güvenlik Açığı Yönetimi
Güvenlik açığı yönetimi çözümleri, kuruluşların güvenlik açıklarını tespit etmesine ve düzeltmesine yardımcı olur. Bu çözümlerin logları potansiyel zafiyetler ve zafiyet tarama sonuçları hakkında bilgiler içermektedir. SIEM, bu günlükleri analiz ederek öncelikli güvenlik açıklarını tespit eder ve hızlı yanıt sağlar.
Kural/Korelasyon Örnekleri:
Kural Adı : Kritik Zayıflıkların Hızlı Düzeltilmesi
Koşullar : Güvenlik Açığı Yönetimi sistemi tarafından kritik bir güvenlik açığının tespiti.
Tetikleme Durumu : Kritik bir güvenlik açığı tespit edilirse, hızlı bir şekilde yama uygulanmasını tetikleyin.
Kural Adı : Yüksek Skor Zayıflıklarının İzlenmesi
Koşullar : Güvenlik Açığı Yönetimi sistemi tarafından yüksek riskli (yüksek puanlı) güvenlik açıklarının tespiti.
Tetikleme Durumu : Yüksek riskli güvenlik açıkları tespit edilirse bu güvenlik açıklarının izlenmesini tetikleyin.
Kural Adı : Zayıf Taraflardan Uyarılar
Koşullar : Güvenlik Açığı Taraması sonuçlarına göre Güvenlik Açığı Yönetimi sistemi tarafından tespit edilen zayıflıklar.
Tetikleme Durumu : SIEM tarafına iletilecek güvenlik açığı taraması sonuçlarına göre tespit edilen güvenlik açıklarını tetikleyin.
Kural Adı : Güvenlik Açığı Tarama İşlemlerinin Başarısızlığı
Koşullar : Güvenlik açığı yönetimi sistemi tarafından güvenlik açığı taramasının başarısız olması veya engellenmesi.
Tetikleme Durumu : Güvenlik açığı tarama işlemlerinin başarısız olduğu veya engellendiği tespit edilirse tetiklenir.
Alarm Oluşturma
SIEM ile alarm verme, kuruluşların güvenlik olaylarına hızla tepki vermesini sağlar. Bu, bilgisayar korsanlarının veya tehdit aktörlerinin ne zaman sızmaya veya zarar vermeye çalıştığını belirlemeye yardımcı olur. SIEM, alarm vermek için birçok güvenlik olayını veya belirli koşulların karşılandığı günlük girişlerini izler. Örneğin başarısız oturum açma girişimi, virüs tespiti veya ağ trafiği anormallikleri gibi olaylar alarm koşulları olarak tanımlanabilir.
SIEM ile alarm oluşturulurken aşağıdaki temel adımlar takip edilir:
Kuralların ve Korelasyonların Tanımlanması: SIEM yöneticileri, hangi olayların veya günlük girişlerinin bir alarmı tetiklemesi gerektiğini belirler. Örneğin koşullar “belirli sayıda ardışık başarısız giriş denemesi” olarak tanımlanabilir.
Uyarı ve Bildirim: Alarm tetiklendiğinde güvenlik ekibine veya ilgili kişilere anlık bildirimler gönderilir. Bu bildirimler kuruluşun hızlı tepki vermesine yardımcı olur.
Yapılacak Aksiyonların Belirlenmesi: Alarm tetiklendiğinde yapılacak aksiyonlar belirlenir. Bu eylemler arasında güvenlik ekibine bildirimde bulunulması, olayın otomatik olarak izole edilmesi veya diğer müdahaleler yer alabilir. Bu aşamada SOAR teknolojisi de devreye giriyor.
Özetle; Oluşturulan kurallar/korelasyonlar için çeşitli alarm türleri oluşturulabilir. Her SIEM çözümü farklı alarm oluşturma yeteneklerine sahiptir. En sık kullanılan alarm oluşturma yöntemleri şunlardır:
E-posta Bildirimleri: SIEM, belirli bir alarm tetiklendiğinde güvenlik ekibine veya diğer ilgili kişilere otomatik e-posta bildirimleri gönderebilir. Bu, güvenlik olaylarına hızlı yanıt verilmesine yardımcı olur.
SMS Bildirimleri: Bazı SIEM çözümleri, kritik güvenlik olaylarında SMS bildirimleri gönderme olanağı sunar. Bu sayede acil durumlarda güvenlik ekibi hızlı bir şekilde bilgilendirilebilmektedir.
Web Tabanlı Bildirimler: SIEM konsolu aracılığıyla web tabanlı bildirimlerin gönderilmesi, güvenlik ekibinin uyarılara hızlı erişimini sağlar. Uyarılar genellikle kullanıcılar SIEM konsolunda oturum açtığında görünür.
Mobil Uygulama Bildirimleri: SIEM uygulamaları, mobil cihazlar üzerinden güvenlik ekiplerine alarm bildirimi gönderme özelliğine sahip olabilir. Bu, güvenlik profesyonellerinin hareket halindeyken uyarı almasına olanak tanır.
Webhooks ve API Entegrasyonları: SIEM, web kancaları ve API entegrasyonları aracılığıyla diğer uygulamalara veya mesajlaşma platformlarına (örn. Slack, Microsoft Teams) bildirim gönderebilir. Bu, güvenlik ekibinin farklı iletişim kanallarını kullanarak bilgi almasına olanak tanır.
Kontrol Paneli ve Konsol Bildirimleri: SIEM konsolu birçok uyarıyı ve güvenlik olayını görsel olarak görüntüler. Güvenlik ekibi, konsolu düzenli olarak izleyerek alarm durumunu izleyebilir.
Bu mekanizmalar, güvenlik ekibinin güvenlik olaylarına hızlı ve etkili bir şekilde tepki vermesini sağlar. İşletmeler genellikle bu mekanizmaları kuruluşlarına uygun şekilde yapılandırarak güvenlik alarm yönetimini optimize eder.