SlideShare a Scribd company logo

SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları nelerdir? Global ürünler (Gartner listesinde olanlar), ödüllü olanlar ve SureLog

Download as DOCX, PDF
Ertugrul Akbas
Ertugrul Akbas

"Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz. Bu yazıya devam etmeden önce iki kavramı açıklayalım Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir. Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil.

Technology
1 of 5
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları nelerdir? Global ürünler (Gartner listesinde olanlar), ödüllü olanlar ve SureLog "Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz. Bu yazıya devam etmeden önce iki kavramı açıklayalım Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir. Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil. Bu iki kavram birbirinden çok farklı ama çokça aynı imiş gibi algılanmakta ve çok önemli iki kavram olduğu için yazının devamın da da sık sık tekrarlanacaktır. SIEM çözümü size log yönetimi ile elde edemeyeceğiniz bilgiler sunabilmeli. Bir logu SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. gibi parçalara neredeyse bütün ücretli/ücretsiz log ürünleri yapabilir durumda ve bu iş için ücretsiz de pek çok alternatif mevcut. Aşağıda örneklerini verdiğimiz logların çoğunu bütün ürünler SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. alanlara başarı ile bölebilmekte ki buna parse işlemi deniyor. Ama esas iş parse edilmiş loga context koyma işi ki buna taxonomy deniyor. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Onu bulmaya çalışıyorsunuz SIEM çözümü size log yönetimi ile elde edemeyeceğiniz bilgiler sunabilmeli demiştik. Bu sunulan bilgiler de her SIEM ürününde aynı derinlikte, kapsamda ve aynı oranda faydalı değildir. Aşağıdaki örneklerde ürünler logları SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. alanlara başarı ile ayrıştırabilmekte (ayrıştıramayanları de parser desteği ile parçalamak kolaylıkla mümkün) ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapabilmekte ama bu logların ne için oluştuğu mesela “birisi FW a login olmuş” veya “login olmayı denemiş“ gibi bulamıyor ya da bulduğu durumlarda bu bir SQL injection saldırısıdır demek yerine bir atak var demekle yetiniyor. Loga bir context eklem işi parser yazmak kadar kolay değil ve daha sonra danışman veya son kullanıcıların kolaylıkla yapabileceği bir iş değil çünkü 400 a yakın cihazın 32 000 civarı log formatının yazılımın tasarımında nasıl gruplandığı da bilinmeli. Bu bölümde ürünlerin taxonomy özelliklerinden bahsedeceğiz. İlk log formatımız SSH kullanarak bir fortigate firewall a yönetmek üzere bağlanmaya çalışma denemesini gösteren bir log. Burada birileri Fortigate a bağlanıp onu yönetmeyi denemiş.
Log formatı : “date=XXXXX time=00:20:15 devname=ANET_PRIMARY devid=FG200E4Q17901634 logid=0001000014 type=traffic subtype=local level=notice vd=root srcip=##### srcport=63911 srcintf=wan1 dstip=##### dstport=22 dstintf=root sessionid=50693980 proto=6 action=deny policyid=0 policytype=local-in-policy dstcountry=Turkey srccountry=Latvia trandisp=noop service=SSH app=Console Management(SSH) duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 appcat=unscanned crscore=30 craction=131072 crlevel=high” Bu logun Gartner SIEM magic quadrantta olan bir ürün tarafından analizi sonucunda “Fortigate/Fortigate: Traffic End Local” tipinde olduğunu söylerken Aynı loga yine Gartner tarafından ödül verilen başka bir ürüne ile bakarsak logu hiç tanıyamadığını (context ekleyememiş, taxonomy belirleyememiş) hatta parse bile edememiş (ama bunu bir parser yazarak halledebiliriz ama bu loga taxonomy eklemek için bütün fortigate FW log kombinasyonunu (çünkü bu üründe başka hangi taxonomy lerin eksik olduğunu bilmiyoruz) ve parser ile atayacağımız taxonomy lerin SIEM ürününü genel çerçevesine uygun olması gerekir ki son kullanıcı açısından son derece zor bir durumdur) olduğunu görürüz. ANET SureLog bunu “SSH Attack” olarak tanıyabiliyor. NOT: Bu log SureLog tarafından“Informational.Authentication.Failed” olarak da tanınabilirdi. Ama Üretici veritabanına bakarak (signature database) ve data mining ile bunun bir SSH Atack olduğuna karar verdi. Yani SureLog bir adım daha öteye götürdü.
Aşağıdaki log da Fortigate firewall tarafından bir saldırı olarak tespit edilen bir durumda oluşan bir log. Log formatı: “date=DATE time=TIME device_id=FG100D3G12812498 log_id=0421073001 type=ips subtype=anomaly pri=alert vd=root attack_id=285212775 src=SRC dst=DST src_port=SRC_PORT dst_port=DST_PORT src_int=port4 dst_int=n/a status=detected proto=17 service=2967/udp msg="anomaly: udp_dst_session, 5110 > threshold 5000, repeated 42 times"” Test ettiğimiz ve Gartner referansı olan 2. ürün tarafından aşağıdaki Fortigate log formatının taxonomy bilgisine erişemediğini görüyoruz. Aynı logu ANET SureLog a gönderdiğimiz zaman “Flow.Fragmentation” olarak tespit ediyor. Yukarıda örnek log formatları global olarak tanınan ve Gartner SIEM Magic Quadrant’ta kendine yer bulmuş ürünlerin de logu doğru tanıyamamasına (her ürün src, dst, portlar, username vs... bulur ama logu tanıma/tanımlama yani taxonomy bu demek değil) örnek olacak bir durum olarak verildi. Ayrıca bazı SIEM çözümleri logu tanısa/tanımlasa bile yüzeysel ve basit bir tanıma yapma ve gerekli derinliği erişememekte Bu duruma bir örnek vermek gerekirse; Log formatı : “date=DATE time=TIME devname=FGT100D devid=FG100D3G13809338 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=high srcip=SRC dstip=DST srcintf="PUBLIC" dstintf="INTERNAL" policyid=183 identidx=0 sessionid=105176668 status=detected proto=6 service=http count=1 attackname="HTTP.URI.SQL.Injection" srcport=SRC_PORT dstport=80 attackid=15621 sensor="default" ref="http://www.fortinet.com/ids/VID15621" incidentserialno=1362017780 msg="web_misc: HTTP.URI.SQL.Injection,"” şeklindeki bir logun 1. Test ettiğimiz ürün tarafından analizi sonucunda “Fortigate: Attack log - Signature: An attacksignature (TCP/UDP)” tipinde olduğunu söylerken Aynı loga 2. Test ettiğimiz ürün ile bakarsak taxonomy olarak yukarıdaki ile neredeyse bire bir aynı tanımlama yaptığı yani “Attack Signature TCP UDP olarak ” bulduğu görülür.
Her iki ürün de Taxonomy olarak bir tanıma/tanımlama yaptı ama çok genel bir tanımlama oldu. Aynı logu ANET SureLog a gönderdiğimiz zaman “Malicious.Web.SQL” olarak tespit ediyor. Yani çok daha detay ve derin bir anlamlandırma yapıyor. Örnekleri arttırmak gerekirse Log formatı: “date=DATE time=TIME device_id=FG100D3G12812498 log_id=0421073001 type=ips subtype=anomaly pri=alert vd=root attack_id=285212775 src=SRC dst=DST src_port=SRC_PORT dst_port=DST_PORT src_int=port4 dst_int=n/a status=detected proto=17 service=2967/udp msg="anomaly: udp_dst_session, 5110 > threshold 5000, repeated 42 times"” Olan bir log gartner listesindeki ilk üründe Fortigate: Attack Log Anomaly evet olarak tanımlanıyor 2. test ettiğimiz ürün ise logu sadece SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. alanlara başarı ile bölebilmekte ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapabilmekte ama bu logların ne için oluştuğunu yani Taxonomy sini bulamamakta. Aynı logu ANET SureLog a gönderdiğimiz zaman “Flow.Fragmentation” olarak tespit ediyor. Aşağıda Fortigate FW un arayüzüne (hhtps) login olan bir kullanıcı logu gözükmekte. Log formatı : “date=DATE time=TIME devname=ANETFW devid=FGT60C3G10010847 logid=0100032001 type=event subtype=system level=information vd="root" logdesc="Admin logged in successfully" user="mrdgqv" ui=https(192.168.2.60) action=login status=success reason=none profile="super_admin" msg="Administrator mrdgqv logged in successfully from https(192.168.2.60)"” Ama bu log test ettiğimiz 1. Ürün ile incelenirse tanıma/tanımlama( Taxonomy) yapamadığı ve sadece SRC, DST, SRCPORT, DSTPORT, URL, USER vb. alanlara ayırıp bırakmakta Aynı loga yine Gartner tarafından ödül verilen başka bir ürün ile bakarsak hiç tanıma/tanımlama (taxonomy) yapamadığı sadece yine logu SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. parçalara ayırabildiğini görürüz
Aynı log ANET SureLog tarafında “Informational.Authentication.Succesful” olarak tanınmaktadır. Bu ürünler arasındaki logu tanıma/tanımlama farkı veri madenciliği (data mining) kapasitelerinden gelmektedir. NOT: Yazı dizisine korelasyon ile devam edeceğiz

Recommended

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
Ertugrul Akbas
 

Recommended

SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
Ertugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
Ertugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
Ertugrul Akbas
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Ertugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
Ertugrul Akbas
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
Ertugrul Akbas
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Ertugrul Akbas
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
 

More Related Content

What's hot

SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 

What's hot (20)

Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 

Similar to SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları nelerdir? Global ürünler (Gartner listesinde olanlar), ödüllü olanlar ve SureLog

Database Vault / Verinin Güvenliği
Database Vault / Verinin GüvenliğiDatabase Vault / Verinin Güvenliği
Database Vault / Verinin Güvenliği
Anar Godjaev
 
Veri̇tabani ve Kullanici Yöneti̇mi̇
Veri̇tabani ve Kullanici Yöneti̇mi̇Veri̇tabani ve Kullanici Yöneti̇mi̇
Veri̇tabani ve Kullanici Yöneti̇mi̇
Anar Godjaev
 
Oracle Golden Gate
Oracle Golden GateOracle Golden Gate
Oracle Golden Gate
Anar Godjaev
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
mtcakmak
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
Mehmet Ince
 
Redologlar ve Yöneti̇mi̇
Redologlar ve Yöneti̇mi̇Redologlar ve Yöneti̇mi̇
Redologlar ve Yöneti̇mi̇
Anar Godjaev
 
İleri Seviye Programlama 2
İleri Seviye Programlama 2İleri Seviye Programlama 2
İleri Seviye Programlama 2
Caner Bovatekin
 

Similar to SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları nelerdir? Global ürünler (Gartner listesinde olanlar), ödüllü olanlar ve SureLog (20)

Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı AnalizLog Yönetiminde Gerçek Veriler ve Tutarlı Analiz
Log Yönetiminde Gerçek Veriler ve Tutarlı Analiz
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Database Vault / Verinin Güvenliği
Database Vault / Verinin GüvenliğiDatabase Vault / Verinin Güvenliği
Database Vault / Verinin Güvenliği
 
Java EE Struts
Java EE StrutsJava EE Struts
Java EE Struts
 
Veri̇tabani ve Kullanici Yöneti̇mi̇
Veri̇tabani ve Kullanici Yöneti̇mi̇Veri̇tabani ve Kullanici Yöneti̇mi̇
Veri̇tabani ve Kullanici Yöneti̇mi̇
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
Oracle Golden Gate
Oracle Golden GateOracle Golden Gate
Oracle Golden Gate
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008Kurumsal Yazılım Geliştirme ve Visual Studio 2008
Kurumsal Yazılım Geliştirme ve Visual Studio 2008
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysis
 
Redologlar ve Yöneti̇mi̇
Redologlar ve Yöneti̇mi̇Redologlar ve Yöneti̇mi̇
Redologlar ve Yöneti̇mi̇
 
Visual Studio Developer Tools
Visual Studio Developer ToolsVisual Studio Developer Tools
Visual Studio Developer Tools
 
Bitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonBitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyon
 
İleri Seviye Programlama 2
İleri Seviye Programlama 2İleri Seviye Programlama 2
İleri Seviye Programlama 2
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 

More from Ertugrul Akbas

Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
Ertugrul Akbas
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
 

SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları nelerdir? Global ürünler (Gartner listesinde olanlar), ödüllü olanlar ve SureLog

  • 1. SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları nelerdir? Global ürünler (Gartner listesinde olanlar), ödüllü olanlar ve SureLog "Security" SIEM çözümlerinin asıl amacı. Güvenlik olaylarını yakalayabilmek için SIEM kuruyoruz log toplamak için değil, eğer tek amaç log toplamaksa log yönetimi çözümü mesela ücretsiz ELK kullanabilirsiniz. Bu yazıya devam etmeden önce iki kavramı açıklayalım Parse etme: Logu ayrıştırma demektir. Logun SRC,DST,SRCPORT,DSTPORT,URL,USER vb.. alanlara bölünmesi ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapılabilmesini sağlamak. Eğer bir üründe bir log parse edilemiyorsa kolaylıkla o ürünün sağladığı API, XML formatı veya ara yüz ile parser geliştirilebilir. Taxonomy: Parse edilmiş loga context koyma işi. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Gibi bilgileri bulma işine taxonoym diyoruz. Ayrıca diğer log kaynağı ürünlerle tutarlı bir şekilde gruplanması da yine bu modülün işi ve parser yazarak halledilebilecek bir durum değil. Bu iki kavram birbirinden çok farklı ama çokça aynı imiş gibi algılanmakta ve çok önemli iki kavram olduğu için yazının devamın da da sık sık tekrarlanacaktır. SIEM çözümü size log yönetimi ile elde edemeyeceğiniz bilgiler sunabilmeli. Bir logu SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. gibi parçalara neredeyse bütün ücretli/ücretsiz log ürünleri yapabilir durumda ve bu iş için ücretsiz de pek çok alternatif mevcut. Aşağıda örneklerini verdiğimiz logların çoğunu bütün ürünler SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. alanlara başarı ile bölebilmekte ki buna parse işlemi deniyor. Ama esas iş parse edilmiş loga context koyma işi ki buna taxonomy deniyor. Yani bu log ne ile ilintili? Neden oluşmuş ? Hangi olayın bir parçası? Onu bulmaya çalışıyorsunuz SIEM çözümü size log yönetimi ile elde edemeyeceğiniz bilgiler sunabilmeli demiştik. Bu sunulan bilgiler de her SIEM ürününde aynı derinlikte, kapsamda ve aynı oranda faydalı değildir. Aşağıdaki örneklerde ürünler logları SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. alanlara başarı ile ayrıştırabilmekte (ayrıştıramayanları de parser desteği ile parçalamak kolaylıkla mümkün) ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapabilmekte ama bu logların ne için oluştuğu mesela “birisi FW a login olmuş” veya “login olmayı denemiş“ gibi bulamıyor ya da bulduğu durumlarda bu bir SQL injection saldırısıdır demek yerine bir atak var demekle yetiniyor. Loga bir context eklem işi parser yazmak kadar kolay değil ve daha sonra danışman veya son kullanıcıların kolaylıkla yapabileceği bir iş değil çünkü 400 a yakın cihazın 32 000 civarı log formatının yazılımın tasarımında nasıl gruplandığı da bilinmeli. Bu bölümde ürünlerin taxonomy özelliklerinden bahsedeceğiz. İlk log formatımız SSH kullanarak bir fortigate firewall a yönetmek üzere bağlanmaya çalışma denemesini gösteren bir log. Burada birileri Fortigate a bağlanıp onu yönetmeyi denemiş.
  • 2. Log formatı : “date=XXXXX time=00:20:15 devname=ANET_PRIMARY devid=FG200E4Q17901634 logid=0001000014 type=traffic subtype=local level=notice vd=root srcip=##### srcport=63911 srcintf=wan1 dstip=##### dstport=22 dstintf=root sessionid=50693980 proto=6 action=deny policyid=0 policytype=local-in-policy dstcountry=Turkey srccountry=Latvia trandisp=noop service=SSH app=Console Management(SSH) duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 appcat=unscanned crscore=30 craction=131072 crlevel=high” Bu logun Gartner SIEM magic quadrantta olan bir ürün tarafından analizi sonucunda “Fortigate/Fortigate: Traffic End Local” tipinde olduğunu söylerken Aynı loga yine Gartner tarafından ödül verilen başka bir ürüne ile bakarsak logu hiç tanıyamadığını (context ekleyememiş, taxonomy belirleyememiş) hatta parse bile edememiş (ama bunu bir parser yazarak halledebiliriz ama bu loga taxonomy eklemek için bütün fortigate FW log kombinasyonunu (çünkü bu üründe başka hangi taxonomy lerin eksik olduğunu bilmiyoruz) ve parser ile atayacağımız taxonomy lerin SIEM ürününü genel çerçevesine uygun olması gerekir ki son kullanıcı açısından son derece zor bir durumdur) olduğunu görürüz. ANET SureLog bunu “SSH Attack” olarak tanıyabiliyor. NOT: Bu log SureLog tarafından“Informational.Authentication.Failed” olarak da tanınabilirdi. Ama Üretici veritabanına bakarak (signature database) ve data mining ile bunun bir SSH Atack olduğuna karar verdi. Yani SureLog bir adım daha öteye götürdü.
  • 3. Aşağıdaki log da Fortigate firewall tarafından bir saldırı olarak tespit edilen bir durumda oluşan bir log. Log formatı: “date=DATE time=TIME device_id=FG100D3G12812498 log_id=0421073001 type=ips subtype=anomaly pri=alert vd=root attack_id=285212775 src=SRC dst=DST src_port=SRC_PORT dst_port=DST_PORT src_int=port4 dst_int=n/a status=detected proto=17 service=2967/udp msg="anomaly: udp_dst_session, 5110 > threshold 5000, repeated 42 times"” Test ettiğimiz ve Gartner referansı olan 2. ürün tarafından aşağıdaki Fortigate log formatının taxonomy bilgisine erişemediğini görüyoruz. Aynı logu ANET SureLog a gönderdiğimiz zaman “Flow.Fragmentation” olarak tespit ediyor. Yukarıda örnek log formatları global olarak tanınan ve Gartner SIEM Magic Quadrant’ta kendine yer bulmuş ürünlerin de logu doğru tanıyamamasına (her ürün src, dst, portlar, username vs... bulur ama logu tanıma/tanımlama yani taxonomy bu demek değil) örnek olacak bir durum olarak verildi. Ayrıca bazı SIEM çözümleri logu tanısa/tanımlasa bile yüzeysel ve basit bir tanıma yapma ve gerekli derinliği erişememekte Bu duruma bir örnek vermek gerekirse; Log formatı : “date=DATE time=TIME devname=FGT100D devid=FG100D3G13809338 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=high srcip=SRC dstip=DST srcintf="PUBLIC" dstintf="INTERNAL" policyid=183 identidx=0 sessionid=105176668 status=detected proto=6 service=http count=1 attackname="HTTP.URI.SQL.Injection" srcport=SRC_PORT dstport=80 attackid=15621 sensor="default" ref="http://www.fortinet.com/ids/VID15621" incidentserialno=1362017780 msg="web_misc: HTTP.URI.SQL.Injection,"” şeklindeki bir logun 1. Test ettiğimiz ürün tarafından analizi sonucunda “Fortigate: Attack log - Signature: An attacksignature (TCP/UDP)” tipinde olduğunu söylerken Aynı loga 2. Test ettiğimiz ürün ile bakarsak taxonomy olarak yukarıdaki ile neredeyse bire bir aynı tanımlama yaptığı yani “Attack Signature TCP UDP olarak ” bulduğu görülür.
  • 4. Her iki ürün de Taxonomy olarak bir tanıma/tanımlama yaptı ama çok genel bir tanımlama oldu. Aynı logu ANET SureLog a gönderdiğimiz zaman “Malicious.Web.SQL” olarak tespit ediyor. Yani çok daha detay ve derin bir anlamlandırma yapıyor. Örnekleri arttırmak gerekirse Log formatı: “date=DATE time=TIME device_id=FG100D3G12812498 log_id=0421073001 type=ips subtype=anomaly pri=alert vd=root attack_id=285212775 src=SRC dst=DST src_port=SRC_PORT dst_port=DST_PORT src_int=port4 dst_int=n/a status=detected proto=17 service=2967/udp msg="anomaly: udp_dst_session, 5110 > threshold 5000, repeated 42 times"” Olan bir log gartner listesindeki ilk üründe Fortigate: Attack Log Anomaly evet olarak tanımlanıyor 2. test ettiğimiz ürün ise logu sadece SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. alanlara başarı ile bölebilmekte ve daha sonra da bu alanlar üzerinden arama, tarama ve raporlama yapabilmekte ama bu logların ne için oluştuğunu yani Taxonomy sini bulamamakta. Aynı logu ANET SureLog a gönderdiğimiz zaman “Flow.Fragmentation” olarak tespit ediyor. Aşağıda Fortigate FW un arayüzüne (hhtps) login olan bir kullanıcı logu gözükmekte. Log formatı : “date=DATE time=TIME devname=ANETFW devid=FGT60C3G10010847 logid=0100032001 type=event subtype=system level=information vd="root" logdesc="Admin logged in successfully" user="mrdgqv" ui=https(192.168.2.60) action=login status=success reason=none profile="super_admin" msg="Administrator mrdgqv logged in successfully from https(192.168.2.60)"” Ama bu log test ettiğimiz 1. Ürün ile incelenirse tanıma/tanımlama( Taxonomy) yapamadığı ve sadece SRC, DST, SRCPORT, DSTPORT, URL, USER vb. alanlara ayırıp bırakmakta Aynı loga yine Gartner tarafından ödül verilen başka bir ürün ile bakarsak hiç tanıma/tanımlama (taxonomy) yapamadığı sadece yine logu SRC, DST, SRCPORT, DSTPORT, URL, USER vb.. parçalara ayırabildiğini görürüz
  • 5. Aynı log ANET SureLog tarafında “Informational.Authentication.Succesful” olarak tanınmaktadır. Bu ürünler arasındaki logu tanıma/tanımlama farkı veri madenciliği (data mining) kapasitelerinden gelmektedir. NOT: Yazı dizisine korelasyon ile devam edeceğiz