Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?

1 021 vues

Publié le

Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.

Publié dans : Technologie
  • Soyez le premier à commenter

SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?

  1. 1. SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR? Ertugrul.akbas@anetyazilim.com.tr eakbas@gmail.com Taxonomybasitanlamdasınıflandırmaolsada gelişkinSIEMçözümlerindekorelasyon motorununbir parçası ve ilkadımıdır. SIEMçözümleri Taxonomyyi “Loglarısınıflandırmakiçinkullanılanbir yöntemdir”şeklindetanımlarkengelişmişSIEMçözümleri ile diğerlerini sınıflandırmanınderinliği ayırt eder.GelişmişbirSIEMçözümünde Taxonomymodülü  Compromised  Compromised->CommandShell  Compromised->RemoteControlApp  Compromised->RemoteControlApp->Response  UnusualTCPTraffic  UnusualUDPTraffic Şeklindealtkırınımları ile birlikte binlerce sınıftanoluşmaktadır. BasitLogYönetimi çözümlerinde ise 10 ile 50 adetarasında bir sınıflandırmaile yetinilmektedir. 1. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi Örnek olarak siz bir şirket kullanıcısının Ostinato Network Traffic Generator veya benzeri bir paket oluşturucu ile paket oluşturup backbone switch üzerinden SNMP açıklıklılarını bulmaya çalıştığını düşünelim. Böyle bir durumu tespit etmek için 2 seçeneğiniz var 1-Manual tespitişlemi.Bununiçin:  Kullandığınız güvenlikçözümünün(Firewall, IDS, IDPSvb..) butürolağanolmayanpaketler içinnasıl log ürettiğini bilmenizveyabulmanızlazım.
  2. 2. o Bu bulduğunuz bilginintamve eksiksiz(mümkünolduğunca!) olmasılazım.Yani bu logualdığınız çözümün(Firewall, IDS,IDPSvb..) bütünlogkombinasyonlarınavakıf olmanızlazım. o TCP ve UDP içinayrı ayrı bu bilgilere sahipolmanızgerekir  2- SIEM çözümünün bunu otomatik yapıp UnusualUDPTraffic olarak işaretlemesi. Manual tespitişlemininneredeyseimkânsızolduğunuanlatmakiçinsadeceFortigate LogGuide ının [5] 169 sayfa olduğunubilmekteyararvar. Peki bize SIEMbu logunbir UnusualUDPTrafficolduğunusöyledi ne işimizeyarayacak?Aşağıdaki gibi senaryolarıtespitedebileceğiz  Swtichlerdenbirineoturumaçmayıdeneyipde başarısızolanbirmakinanıngeçen2 saat içerisinde UnusualUDPTrafficürettiğine şahitolunduysauyar  UnusualUDPTrafficeğerSwitchlerdenbirini hedefaldıysauyar  UnusualUDPTrafficüretenmakine tespit edilirse uyar Eğer bizbu tespitleri manuelyapmakistesekbirdenfazlacihaziçin(Checkpoint, tippingpoint, TrendMicroDeepSecurity, pulsesecure vb..) binlerce sayfalog dokümanıokumamızve yüzlerce regex yazmamızgerekirki ciddi zorve iş yükü gerektirenbiriştir. 2. Örnek:Taxonomy modülününsınıflandırmayapabilmesi Diğerbir örnekde Loginişlemi.Login işlemipekçokcihaz veyazılım üzerinden yapılabilir.  Bir routerloginişlemi  Bir switchloginişlemi  Bir Firewall loginişlemi  Bir Windowsserverloginişlemi  Bir Linux loginişlemi  Bir Proxyloginİşlemi(Websense vb..) Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hemraporlarken tekbirhareketle“Networkumdeki bütünloginişlemleriniraporla”hemde korelasyonda “UTMcihazım aynı IPdendakikada15 tane paketi virüslüolarak blokladıktansonraki 5dakikaiçerisinde networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi kurallar yazılmasına imkân tanır. 3. Örnek:Taxonomy modülününsınıflandırmayapabilmesi Benzer şekilde  Aruba Wireless  Fortinate Firewall  Windows Sunucu  Linux Server  McAffe IPS
  3. 3. den gelen yeni bir kullanıcı oluşturuldu olayı “Informational.Account.Created” taxonomy grubuna eklenmeli ki hem raporda hem de korelasyonda kullanabilelim. Şöyle ki:  Oluşturulan kullanıcıların raporlarını oluştur  Yeni bir kullanıcı oluşturulursa uyar gibi raporve korelasyonlaroluşturulabilmeli.Bunuyapabilmekiçinbütünloglarıbilenmodatabirle bir üst akıl yani her bir loguparça parça parse etmekyerine diğerleri ile ilişkisini bilerekparse edebilecek bütünleşikbirparsermotorunasahipolmalı. Yoksayeni birkullanıcıoluşturulduraporunuçekmekiçin en iyi durumda ayrı ayrı  Aruba Wireless  Fortinate Firewall  Windows Sunucu  Linux Server  McAffe IPS loglarından5 farklırapor çekmenizgerekmektedir.Eğerbirde bu loglarkullanıcıoluşturulduşeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. Aynı şekilde taxonomyözelliği olanbirürünlerle korelasyonkuralıolarak “Yeni bir kullanıcı oluşursa uyar” diyebilecekken  Aruba Wireless da yeni bir kullanıcı oluşursa uyar VEYA  Fortinate Firewall da yeni bir kullanıcı oluşursa uyar VEYA  Windows Sunucu da yeni bir kullanıcı oluşursa uyar VEYA  Linux Server da yeni bir kullanıcı oluşursa uyar VEYA  McAffe IPS da yeni bir kullanıcı oluşursa uyar Gibi yazmakgerekir.Hele birde eğer bir de bu loglarkullanıcı oluşturulduşeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. 4. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi Başka bir örnek vermek gerekirse Fortigate logları içinde Virüsün başarı bir şekilde karantinaya alınması ile ilgili loglarile TrendmicroOficeScanloglarıiçindeki Virüsünbaşarıbir şekilde karantinaya alınması loglarını anlayabilmeli (analizedebilmeli) ve aynı gruba ayırmalı ki hemraporlarda hemde korelasyonda karantinaya alınan virüs ile ilgili rapor ve korelasyonları konuşur gibi yazabilelim ve oluşturabilelim. Diğer türlü her üreticinin logunu son kullanıcı olarak bizim bilmemiz ve normalize edilmiş alanlarda ID,mesaj vb.. alanlara göre arama yaparak bizim bir şeyler yapmamız gerekir. 5. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi Diğer bir örnek de son 1 günde kötü niyetli (Malicious) bütün olayları raporla veya kötü niyetli (Malicious) bir olay olursa uyar gibi istekler eğer Taxonomy modülü olmazsa bütün log tiplerinin (Örnek: Aruba Wireless, Fortinate Firewall, Windows Sunucu, Linux Server, McAffe IPS, Fortigate) tanınması ve kötü niyetli olaylar için logun içindeki alanların kullanıcı tarafından bilinmesini vs.. gerektirir ki bu da son kullanıcı açısından neredeyse imkansızdır. Bütün Global SIEM ürünlerinde Taxonomy Özelliği mevcuttur [1,2,3,6] ayrıca global manadaki Taxonomy özelliği Gartner tarafından da kritik özelliklerden biri olarak kabul edilmektedir.[4]
  4. 4. Her ürünfarklı şekilde Taxonomyanalizi yapabilir.SureLogSIEMçözümününbununasıl yapabildiğiile ilgili teknikdetaylariçin http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution Örnek SureLog Taxonomy Çözümlemesi Referanslar 1. https://h20195.www2.hpe.com/V2/getpdf.aspx/4AA6-4436ENW.pdf?ver=1.0 2. https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATI ON/25000/PD25674/en_US/McAfee_SIEM_Taxonomy_Update.pdf 3. https://www.alienvault.com/documentation/usm-appliance/taxonomy/taxonomy-prod- types-categories.htm 4. https://www.gartner.com/doc/3406918/critical-capabilities-security-information-event 5. http://docs.fortinet.com/uploaded/files/2794/fortios-v5.4.0-log-reference.pdf 6. https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html

×