HORMONSUZ SIEM

SIEM ürünlerinde satış, pazarlama, global olma, marka gücü, gibi

teknik olmayan, proje başarısına dayanmayan onlarca parametre
ürünlerin tercih edilmelerini sağlıyor ve proje adetlerini belirliyor.
Ama bu parametreler teknik olarak desteklenmezse ben bu tür
ürünlere hormonlu SIEM diyorum. Aşağıda 2017 yılında meşhur
Gartner Magic Quadrant’ta lider olunan ürünlerin 2022 de yani 5 yıl
içerisinde bu listeden tamamen düştüğüne şahit oluyoruz.
 DOĞAL SIEM ÜRÜNLERİ NASIL
ANLAŞILIR?

Aşağıda ülkemiz şartlarını da düşünerek doğal, hormonlu olmayan

SIEM ürünlerinin tespiti için bakılmasını önerdiğim hususları
paylaşıyorum.

Elasticsearch ve Elasticsearch Temelli SIEM

Kullananlar Ne Diyor?

Elasticsearch gerekli ve yeterli kaynak verildiği zaman çok hızlı arama

yapabilir. Ayrıca açık kaynak ve bedava sürümü olduğu için de çok
ama çok yaygındır. Elasticsearch’ün bu nimetlerinden faydalanmak
da doğal olarak insanların veya şirketlerin aklına gelir.

Bütün bu avantajlarına karşın Elasticsearch altyapısının 2 dezavantajı

vardır:
1- Loglarda arama yapmak için indekslemek gerekir. Son kullanıcıyı
duyarsa korkutacak kadar yüksek disk miktarını indexlemek için
kullanır. Bunun için de genelde bu son kullanıcıya söylenmez.

2-Yüksek EPS değerleri için insert zamanı yavaştır.

Yukarıdaki konuların detaylarını, kaynak kullanımının nedenlerini,

Apache Lucene den başlayarak matematiksel formüllerini yüzlerce
defa paylaştım ve medium hesabımda da yazdım. Şimdi Elasticsearch
veya Elasticsearch temelli SIEM kullanmış veya kullananlar ne diyor?
Onları paylaşacağım.
İlk paylaşacağım anket Elasticsearch temelli bir SIEM ile aşağıdaki
problemleri yaşadınız mı? diye sorduğum anket sonuçları var.
İkinci paylaşacağım anket yine benzer soruları sorduğum ve
birinciden aylar önce yaptığım bir anket. Yukarıdaki anketi aşağıdaki
anketten aylar sonra teyit etmek için yapmıştım. İkisi de birbirini teyit
eder nitelikte iki sonuç. Bu iki ankette de “Hayır” diyenlere erişmeye
çalıştım.

 Firewallunuzdan internete çıkan kullanıcı sayısı nedir?

 Kaç sunucudan log topluyorsunuz?

 EPS değeriniz ortalama ve maksimum nedir?

 Ne kadar süredir log topluyorsunuz?

 Ne kadar süredir log biriktiriyorsunuz?

 1 günlük sorgu hızınız nedir, 1 haftalık nedir, 1 aylık nedir, 6 aylık

nedir, 12 aylık nedir?

 SIEM veya Log sunucuya verdiğiniz cpu, ram, disk nedir?

 Ayrıca korelasyon kaç adet korelasyon kuralı kullanıyorsunuz?

Diye sordum. Şu ana kadar dönüş yapan olmadı.

Bir de bu konu ile ilgili anketlerde o veya bu şekilde oy kullanmamış

son kullanıcılar için yorum da yapabileceği ve şeffaf olarak
tecrübelerini paylaşabilmelerini kolaylaştırmak adına bir paylaşım
yaptım

Buna da hiçbir kimse sorun yaşamıyorum diye yorum yapmadı

Ayrıca dünyadaki ticari firmaların Elasticsearch den kaçtığını
referansları ile paylaştım. Bu paylaşımda Amazon, Fortinet ve 50
milyon dolar yatırım almış bir UEBA firmasının referanslarını
paylaştım ve yine itiraz ve yorum gelmedi. Bu paylaşımların view
sayılarını da dikkatinizi çekerim.
Bu konuda son anket olarak “Bu güne kadar 2000 EPS ve üstü olup,
elasticsearch veya elasticsearch kullanan bir siem veya log yönetimi
yazılımı ile son 6 ay içerisinde X (mit[.]edu gibi sizin
kullandıklarınızdan birini seçerek deneyebilirsiniz.) adresine
erişenlerin listesine en fazla birkaç saat içinde erişen bir çözüm
görmedim.

Siz gördünüz veya kulandınız mı?” sorusunu sorduğum anketin

sonucunu yayınlıyorum.

Evet diyen kitleye ulaşıp bilgi almak istediğimde ise kimsenin geri
dönüş yapmadığını da not olarak belirteyim.
Yukarıda bir şekilde elasticsearch kullanmış veya kullanmaya devam
eden insanların görüşlerini belirttiği anket ve paylaşımları paylaştım.

Umarım bu bilgiler faydalı olur.

Bir SIEM Çözümünde Güçlü ve Performanslı
Korelasyon Motorunun Olup Olmadığı Nasıl
Anlaşılır?

SIEM ürünlerinin korelasyon özelliği SIEM çözümlerinin en önemli

özelliğidir.

SIEM çözümleri açısından korelasyon motorun güçlü olması kadar

bilgi birikiminin (know-how) kendisinde ve orjinal olması da çok
önemlidir. Her ne kadar her yazılım pek çok kütüphane kullansa da
SIEM çözümlerinin en önemli özelliği olan korelasyon motorunun
kodunun ve bütün haklarının kendisinde olması önemlidir. Bu konu
olmazsa olmaz değildir ama üretici ve ürün esnekliği açısından önemli
bir parametredir. Aşağıda IBM Qradar’ın Eventgnosis korelasyon
motorunu kullandığını gösteren ekran görüntüsü görülebilir.
 IBM Qradar GUI

Ayrıca bir korelasyon motorunun yük altında kaç adet ve ne kadar

gelişmiş kural çalıştırabildiği de önemlidir. Mesela 40 000 EPS yük
altında 250 adet gelişmiş senaryoyu eksiksiz, çatlamadan,
patlamadan ve gecikmeden çalıştırabiliyor olması önemli. Ayrıca
çalıştırabildiği gibi bunun için ihtiyaç duyduğu kaynak da önemlidir.

Bütün bu özelliklerden sonra korelasyon yeteneklerine gelirsek iyi bir

SIEM en temel korelasyon formatları olan

A olayı olursa (Domain admin grubuna bir kullanıcı eklenirse)

X sürede Y olayı olursa (Aynı makineden 5 dakika içerisnde 10 adetten

fazla başarısız oturum olursa )
Önce A olayı sonra X dakika sonra B olayı olursa (Bir kullanıcı
oluşturulur ve 30 dakika içinde silinirse)

formatları desteklediği gibi daha gelişmiş formatları da destekler.

Aşağıda paylaştığım senaryoların bazılarının oluşması ihtimali binde
bir olabilir. Ama bu senaryoların oluşması ihtimali kadar seçilen,
kullanılan SIEM çözümünün korelasyon kapasitesini ortaya çıkarmak
amaçlı tasarlanan senaryolardır. Yani “işe yaramayan korelasyonla
uğraşmıyoruz” diye bir cevabı alırsanız iki kere düşünmelisiniz.
Yukarıdaki formatlara ek olarak iyi bir SIEM aşağıdaki formatları da
destekler.

15 dakika içerisinde 1500 benzersiz (unique) IP’den 350000 den fazla

olay olursa uyar

Bir kullanıcı oluşturulur ve kullanılmadan ilk 5 dakika içerisinde

silinirse uyarma ama eğer kullanılır ve 30 dakika içinde (Aynı gün
içinde) silinirse uyar

Saatlik fail/success auth oranı anormalleşirse tespit et

Saatlik Http/dns oranı anormalleşirse tespit et

Aynı IP önce Linux sunucuda oturum açıyor daha sonra da Windows

sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis
açılıyor / kapatılıyor ise uyar

Aynı kullanıcı 2 farklı makinada 15 dakka içinde başarısız oturum

deniyor ve 2. Başarısız oturumdan sonraki 5 dakka içerisinde bu
makinalardan birinden tehdit istihbarat listesindeki bir IP ye erişim
isteği oluyorsa uyar

Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde en

az 3 defa başarısız oturum açarsa uyar.

tipindeki formatları da destekler.

Ayrıca gerekli ek modüllerle aşağıdaki formattaki kuralları da

kolaylıkla tespit edebilir.

Eğer bir domain son 24 saatte oluşturuldu ise ve bu domain Alexa 1

milyon ve Cisco Umbrella 1 milyon listesinde ve bizim White liste de
değilse uyar

DGA detection (ML)

Hunting malware and viruses by detecting random strings

Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe,

svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe,
wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından
yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi
algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan
processler izin verilen processler içerisinde değil ise uyar

3 aydan daha uzun süredir login olmayan varsa uyar

Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar

5 dakika içerisinde 500 MB download eden veya 10 dakika içerisinde
aynı hedef IP/Domain e 250 MB upload edilen kullanıcıyı tespit et ve
uyar (Threshold ama her SIEM tarafından desteklenmediği için
buraya aldım)

Herhangi bir makine gün içerisinde farklı farklı saatlerde en az 3 veya

daha fazla kez firewall tarafından bloklanıyorsa tespit et

En az 15 gündür (20, 30, 40…365 gün) hiç VPN yapmamış bir

kullanıcı, kısa süre içerisinde 1 den fazla workstationda Remote
interactive logon olmuşsa uyar.

 En az son 30 gündür (20, 30, 40…365 gün) kullanılmayan

standart proxy target portları harici bir port yeniden
kullanılmaya başlamışsa ve bu port 1024 portundan büyük bir
portsa birden fazla farklı dst ip adresine 5 dk içerisinde
requestMethod=POST olacak şekilde çoklu istek yapıyorsa
alarm trigger etsin
 Aynı kullanıcı, aynı makinaya gün içerisinde hiç başarılı
oturum açmadan iki den fazla başarısız oturum açarsa tespit
et.
 Lock olan bir kullanıcı 72 saat geçmesine rağmen unlock
olmadı ise uyar
 Orijinal mail adresine benzer mail adreslerinden mail gelirse
uyar. Örnek :
ertugrula@anetsoft.com.tr olan mail adresinden
errtugrula@anetsoft.com olarak mail geliyor ise uyar
(bir oltalama yöntemi)
 Oracle veritabanı kullanıcı ara yüzünden (Oracle Management
Studio) ve konsoldan (SQL*Plus) aynı anda kimlik doğrulama
hatası verirse, uyar
 En az 30 gündür veya daha fazla süredir (40 gün, 60 gün,90
gün …. 365 gün gibi) suskun olan bir makine veya kullanıcı
tekrar ağda görülürse makinayı kapat ve kullanıcıyı disable et
 2 aydan daha uzun süredir login olmayan kullanıcı varsa uyar
 30 günden daha uzun süredir şifre değiştirmeyen kullanıcı
olursa uyar
 4 saatten uzun RDP i açık kalan olursa uyar
 4 saatten uzun VPN i açık kalan olursa uyar
 5 dakikada 1000 MB veya daha fazla download eden veya 10
dakikada aynı hedef IP/Domain den 500 MB download eden
olursa uyar
 72 saatten uzun süredir IP değiştirmeyen cihaz (MAC) olursa
uyar
 Abnormail mail to/from acbfgtysss.xy for the organization
 Abnormal activity duration/session count
 Abnormal amount of bytes transmitted
 Abnormal amount of data egressed to competitor domains
compared to past behavior
 Abnormal amount of data egressed to non-business domains
compared to past behavior
 Abnormal amount of data egressed to personal email account
compared to past behavior
 Abnormal amount of data egressed to removable media
compared to past behavior
 Abnormal amount of login attempt detected on MFA
 Abnormal Email counts
 Abnormal session start time
 Access to internal applications / servers/ peers
 Account creation/ disable/ lockout / deletion rates
 Activity duration/ session counts
 Authentication anomaly-Country Mismatch
 Aynı anda aynı kullanıcı bir makinaya VPN yaparken baska bir
makinaya da RDP yaparsa uyar
 Ayni kullanıcı aynı makinaya gün içerisinde hiç başarılı
oturum açmadan iki den fazla basarisiz oturum açarsa tespit et
 Bir kullanıcı daha önce şirkette kimsenin gitmediği bir
domaine günde en az 1 kere ve haftada 2 den fazla erişirse uyar
 New city access for the first time
 Eger bir domain son 24 saate oluşturuldu ise ve bu domain
Alexa 1 milyon ve Cisco Umbrella 1 milyon listesinde ve bizim
White liste de değilse uyar
 En az 15 gündür (20–30–40–365 gün) hiç VPN yapmamış bir
kullanıcı kısa süre içerisinde 1 den fazla workstationda Remote
interactive logon olmuşsa uyar
 En az 30 gündür veya daha fazla süredir (40 gün-60 gün-90
gün-365 gün gibi) suskun olan bir makine veya kullanıcı tekrar
ağda görülürse makinayı kapat ve kullanıcıyı disable et
 Entropy Mismatch
 Excessive user logons on hosts
 First access to database mssql for user
 First access to device for the user
 First activity from ISP
 First connection from Source IP
 First time user is performing an activity from this device
 First VPN connection from device for the user
 High number of accounts from the same ipaddress for
authentication failures or lockout events
 High number of accounts from the same ipaddress for
successful authentications or run as events
 High number of accounts used on a workstation for
authentication failures or lockout events
 High number of accounts used on a workstation for successful
authentications or run as events
 High number of hosts accessed for authentication failures or
lockout events
 High number of hosts accessed for successful authentication
events or run as events
 High number of hosts accessed while enumerating critical
ports
 High number of redirected/blocked attempts
 High number of run as activity across hosts
 High number of server errors
 If a user accesses sensitive files and at the same time the same
user has a connection to file sharing sites then notify
 If an account not used in at least the last 30 days (31–40–60–
90–180 days etc.) notify/lock/delete the account automatically
 Iki login arasindaki süre 1 dakikadan az ise uyar
 Iki login failed arasindaki süre 1 dakikadan az ise uyar
 Impossible Travel Detection in Real-Time (VPN Anomaly)
 Kapanan bir sunucu 4 saattir ayağa kalkmadı ise uyar
 Kullanıcı oluşturuldu ve 72 saattir kullanılmadı ise uyar
 Landspeed Anomaly detected
 Logon from a rare country
 New host logins
 New processes / Registry changes
  Odd time of access (first and last access)
 Odd time of email activity
 Odd time of logins
 Oracle veritabani kullanici arayüzünden (Oracle Management
Studio) ve konsoldan (SQL*Plus) ayni anda kimlik dogrulama
hatasi verirse uyar
 Orijinal mail adresine benzer mail adreslerinden mail gelirse
uyar
 Password change rates
 Successful/Failed login activity rates
 Upload/download deviations
 Virüs bulundu ve 8 saaten fazladir temizlenmedi ise uyar
 VPN connection from a known anonymous proxy
 Suspicious creation of new network ACL
 Suspicious creation of security group
 Suspicious deleting a rule from a network ACL
 Suspicious deletion of customer gateway
 Abnormal number of discover requests from a client

Yukarıdaki senaryolar ve senaryo formatları bir SIEM i çok güçlü

yapar.