SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Download as DOCX, PDF•3 likes•1,925 views
Taxonomy basit anlamda sınıflandırma olsa da gelişkin SIEM çözümlerinde korelasyon motorunun bir parçası ve ilk adımıdır. SIEM çözümleri Taxonomy yi “Logları sınıflandırmak için kullanılan bir yöntemdir” şeklinde tanımlarken gelişmiş SIEM çözümleri ile diğerlerini sınıflandırmanın derinliği ayırt eder. Gelişmiş bir SIEM çözümünde Taxonomy modülü binlerce sınıflandırma yapabilir.
![o Bu bulduğunuz bilginintamve eksiksiz(mümkünolduğunca!) olmasılazım.Yani bu
logualdığınız çözümün(Firewall, IDS,IDPSvb..) bütünlogkombinasyonlarınavakıf
olmanızlazım.
o TCP ve UDP içinayrı ayrı bu bilgilere sahipolmanızgerekir
2- SIEM çözümünün bunu otomatik yapıp UnusualUDPTraffic olarak işaretlemesi.
Manual tespitişlemininneredeyseimkânsızolduğunuanlatmakiçinsadeceFortigate LogGuide ının
[5] 169 sayfa olduğunubilmekteyararvar.
Peki bize SIEMbu logunbir UnusualUDPTrafficolduğunusöyledi ne işimizeyarayacak?Aşağıdaki gibi
senaryolarıtespitedebileceğiz
Swtichlerdenbirineoturumaçmayıdeneyipde başarısızolanbirmakinanıngeçen2 saat
içerisinde UnusualUDPTrafficürettiğine şahitolunduysauyar
UnusualUDPTrafficeğerSwitchlerdenbirini hedefaldıysauyar
UnusualUDPTrafficüretenmakine tespit edilirse uyar
Eğer bizbu tespitleri manuelyapmakistesekbirdenfazlacihaziçin(Checkpoint, tippingpoint,
TrendMicroDeepSecurity, pulsesecure vb..) binlerce sayfalog dokümanıokumamızve yüzlerce
regex yazmamızgerekirki ciddi zorve iş yükü gerektirenbiriştir.
2. Örnek:Taxonomy modülününsınıflandırmayapabilmesi
Diğerbir örnekde Loginişlemi.Login işlemipekçokcihaz veyazılım üzerinden yapılabilir.
Bir routerloginişlemi
Bir switchloginişlemi
Bir Firewall loginişlemi
Bir Windowsserverloginişlemi
Bir Linux loginişlemi
Bir Proxyloginİşlemi(Websense vb..)
Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hemraporlarken
tekbirhareketle“Networkumdeki bütünloginişlemleriniraporla”hemde korelasyonda “UTMcihazım
aynı IPdendakikada15 tane paketi virüslüolarak blokladıktansonraki 5dakikaiçerisinde networkuma
bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi kurallar
yazılmasına imkân tanır.
3. Örnek:Taxonomy modülününsınıflandırmayapabilmesi
Benzer şekilde
Aruba Wireless
Fortinate Firewall
Windows Sunucu
Linux Server
McAffe IPS](https://image.slidesharecdn.com/taxonomynedir-170212125718/85/SIEM-COZUMLERINDE-TAXONOMY-NE-ISE-YARAR-2-320.jpg)
![den gelen yeni bir kullanıcı oluşturuldu olayı “Informational.Account.Created” taxonomy grubuna
eklenmeli ki hem raporda hem de korelasyonda kullanabilelim. Şöyle ki:
Oluşturulan kullanıcıların raporlarını oluştur
Yeni bir kullanıcı oluşturulursa uyar
gibi raporve korelasyonlaroluşturulabilmeli.Bunuyapabilmekiçinbütünloglarıbilenmodatabirle bir
üst akıl yani her bir loguparça parça parse etmekyerine diğerleri ile ilişkisini bilerekparse edebilecek
bütünleşikbirparsermotorunasahipolmalı. Yoksayeni birkullanıcıoluşturulduraporunuçekmekiçin
en iyi durumda ayrı ayrı
Aruba Wireless
Fortinate Firewall
Windows Sunucu
Linux Server
McAffe IPS
loglarından5 farklırapor çekmenizgerekmektedir.Eğerbirde bu loglarkullanıcıoluşturulduşeklinde
parse edilmiyorsa işin içinden çıkmak iyice zorlaşır.
Aynı şekilde taxonomyözelliği olanbirürünlerle korelasyonkuralıolarak “Yeni bir kullanıcı oluşursa
uyar” diyebilecekken
Aruba Wireless da yeni bir kullanıcı oluşursa uyar VEYA
Fortinate Firewall da yeni bir kullanıcı oluşursa uyar VEYA
Windows Sunucu da yeni bir kullanıcı oluşursa uyar VEYA
Linux Server da yeni bir kullanıcı oluşursa uyar VEYA
McAffe IPS da yeni bir kullanıcı oluşursa uyar
Gibi yazmakgerekir.Hele birde eğer bir de bu loglarkullanıcı oluşturulduşeklinde parse edilmiyorsa
işin içinden çıkmak iyice zorlaşır.
4. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi
Başka bir örnek vermek gerekirse Fortigate logları içinde Virüsün başarı bir şekilde karantinaya
alınması ile ilgili loglarile TrendmicroOficeScanloglarıiçindeki Virüsünbaşarıbir şekilde karantinaya
alınması loglarını anlayabilmeli (analizedebilmeli) ve aynı gruba ayırmalı ki hemraporlarda hemde
korelasyonda karantinaya alınan virüs ile ilgili rapor ve korelasyonları konuşur gibi yazabilelim ve
oluşturabilelim. Diğer türlü her üreticinin logunu son kullanıcı olarak bizim bilmemiz ve normalize
edilmiş alanlarda ID,mesaj vb.. alanlara göre arama yaparak bizim bir şeyler yapmamız gerekir.
5. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi
Diğer bir örnek de son 1 günde kötü niyetli (Malicious) bütün olayları raporla veya kötü niyetli
(Malicious) bir olay olursa uyar gibi istekler eğer Taxonomy modülü olmazsa bütün log tiplerinin
(Örnek: Aruba Wireless, Fortinate Firewall, Windows Sunucu, Linux Server, McAffe IPS, Fortigate)
tanınması ve kötü niyetli olaylar için logun içindeki alanların kullanıcı tarafından bilinmesini vs..
gerektirir ki bu da son kullanıcı açısından neredeyse imkansızdır.
Bütün Global SIEM ürünlerinde Taxonomy Özelliği mevcuttur [1,2,3,6] ayrıca global manadaki
Taxonomy özelliği Gartner tarafından da kritik özelliklerden biri olarak kabul edilmektedir.[4]](https://image.slidesharecdn.com/taxonomynedir-170212125718/85/SIEM-COZUMLERINDE-TAXONOMY-NE-ISE-YARAR-3-320.jpg)
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
- 1. SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR? [email protected] [email protected] Taxonomybasitanlamdasınıflandırmaolsada gelişkinSIEMçözümlerindekorelasyon motorununbir parçası ve ilkadımıdır. SIEMçözümleri Taxonomyyi “Loglarısınıflandırmakiçinkullanılanbir yöntemdir”şeklindetanımlarkengelişmişSIEMçözümleri ile diğerlerini sınıflandırmanınderinliği ayırt eder.GelişmişbirSIEMçözümünde Taxonomymodülü Compromised Compromised->CommandShell Compromised->RemoteControlApp Compromised->RemoteControlApp->Response UnusualTCPTraffic UnusualUDPTraffic Şeklindealtkırınımları ile birlikte binlerce sınıftanoluşmaktadır. BasitLogYönetimi çözümlerinde ise 10 ile 50 adetarasında bir sınıflandırmaile yetinilmektedir. 1. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi Örnek olarak siz bir şirket kullanıcısının Ostinato Network Traffic Generator veya benzeri bir paket oluşturucu ile paket oluşturup backbone switch üzerinden SNMP açıklıklılarını bulmaya çalıştığını düşünelim. Böyle bir durumu tespit etmek için 2 seçeneğiniz var 1-Manual tespitişlemi.Bununiçin: Kullandığınız güvenlikçözümünün(Firewall, IDS, IDPSvb..) butürolağanolmayanpaketler içinnasıl log ürettiğini bilmenizveyabulmanızlazım.
- 2. o Bu bulduğunuz bilginintamve eksiksiz(mümkünolduğunca!) olmasılazım.Yani bu logualdığınız çözümün(Firewall, IDS,IDPSvb..) bütünlogkombinasyonlarınavakıf olmanızlazım. o TCP ve UDP içinayrı ayrı bu bilgilere sahipolmanızgerekir 2- SIEM çözümünün bunu otomatik yapıp UnusualUDPTraffic olarak işaretlemesi. Manual tespitişlemininneredeyseimkânsızolduğunuanlatmakiçinsadeceFortigate LogGuide ının [5] 169 sayfa olduğunubilmekteyararvar. Peki bize SIEMbu logunbir UnusualUDPTrafficolduğunusöyledi ne işimizeyarayacak?Aşağıdaki gibi senaryolarıtespitedebileceğiz Swtichlerdenbirineoturumaçmayıdeneyipde başarısızolanbirmakinanıngeçen2 saat içerisinde UnusualUDPTrafficürettiğine şahitolunduysauyar UnusualUDPTrafficeğerSwitchlerdenbirini hedefaldıysauyar UnusualUDPTrafficüretenmakine tespit edilirse uyar Eğer bizbu tespitleri manuelyapmakistesekbirdenfazlacihaziçin(Checkpoint, tippingpoint, TrendMicroDeepSecurity, pulsesecure vb..) binlerce sayfalog dokümanıokumamızve yüzlerce regex yazmamızgerekirki ciddi zorve iş yükü gerektirenbiriştir. 2. Örnek:Taxonomy modülününsınıflandırmayapabilmesi Diğerbir örnekde Loginişlemi.Login işlemipekçokcihaz veyazılım üzerinden yapılabilir. Bir routerloginişlemi Bir switchloginişlemi Bir Firewall loginişlemi Bir Windowsserverloginişlemi Bir Linux loginişlemi Bir Proxyloginİşlemi(Websense vb..) Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hemraporlarken tekbirhareketle“Networkumdeki bütünloginişlemleriniraporla”hemde korelasyonda “UTMcihazım aynı IPdendakikada15 tane paketi virüslüolarak blokladıktansonraki 5dakikaiçerisinde networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi kurallar yazılmasına imkân tanır. 3. Örnek:Taxonomy modülününsınıflandırmayapabilmesi Benzer şekilde Aruba Wireless Fortinate Firewall Windows Sunucu Linux Server McAffe IPS
- 3. den gelen yeni bir kullanıcı oluşturuldu olayı “Informational.Account.Created” taxonomy grubuna eklenmeli ki hem raporda hem de korelasyonda kullanabilelim. Şöyle ki: Oluşturulan kullanıcıların raporlarını oluştur Yeni bir kullanıcı oluşturulursa uyar gibi raporve korelasyonlaroluşturulabilmeli.Bunuyapabilmekiçinbütünloglarıbilenmodatabirle bir üst akıl yani her bir loguparça parça parse etmekyerine diğerleri ile ilişkisini bilerekparse edebilecek bütünleşikbirparsermotorunasahipolmalı. Yoksayeni birkullanıcıoluşturulduraporunuçekmekiçin en iyi durumda ayrı ayrı Aruba Wireless Fortinate Firewall Windows Sunucu Linux Server McAffe IPS loglarından5 farklırapor çekmenizgerekmektedir.Eğerbirde bu loglarkullanıcıoluşturulduşeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. Aynı şekilde taxonomyözelliği olanbirürünlerle korelasyonkuralıolarak “Yeni bir kullanıcı oluşursa uyar” diyebilecekken Aruba Wireless da yeni bir kullanıcı oluşursa uyar VEYA Fortinate Firewall da yeni bir kullanıcı oluşursa uyar VEYA Windows Sunucu da yeni bir kullanıcı oluşursa uyar VEYA Linux Server da yeni bir kullanıcı oluşursa uyar VEYA McAffe IPS da yeni bir kullanıcı oluşursa uyar Gibi yazmakgerekir.Hele birde eğer bir de bu loglarkullanıcı oluşturulduşeklinde parse edilmiyorsa işin içinden çıkmak iyice zorlaşır. 4. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi Başka bir örnek vermek gerekirse Fortigate logları içinde Virüsün başarı bir şekilde karantinaya alınması ile ilgili loglarile TrendmicroOficeScanloglarıiçindeki Virüsünbaşarıbir şekilde karantinaya alınması loglarını anlayabilmeli (analizedebilmeli) ve aynı gruba ayırmalı ki hemraporlarda hemde korelasyonda karantinaya alınan virüs ile ilgili rapor ve korelasyonları konuşur gibi yazabilelim ve oluşturabilelim. Diğer türlü her üreticinin logunu son kullanıcı olarak bizim bilmemiz ve normalize edilmiş alanlarda ID,mesaj vb.. alanlara göre arama yaparak bizim bir şeyler yapmamız gerekir. 5. Örnek: Taxonomy modülününlogda derinsınıflandırmayapabilmesi Diğer bir örnek de son 1 günde kötü niyetli (Malicious) bütün olayları raporla veya kötü niyetli (Malicious) bir olay olursa uyar gibi istekler eğer Taxonomy modülü olmazsa bütün log tiplerinin (Örnek: Aruba Wireless, Fortinate Firewall, Windows Sunucu, Linux Server, McAffe IPS, Fortigate) tanınması ve kötü niyetli olaylar için logun içindeki alanların kullanıcı tarafından bilinmesini vs.. gerektirir ki bu da son kullanıcı açısından neredeyse imkansızdır. Bütün Global SIEM ürünlerinde Taxonomy Özelliği mevcuttur [1,2,3,6] ayrıca global manadaki Taxonomy özelliği Gartner tarafından da kritik özelliklerden biri olarak kabul edilmektedir.[4]
- 4. Her ürünfarklı şekilde Taxonomyanalizi yapabilir.SureLogSIEMçözümününbununasıl yapabildiğiile ilgili teknikdetaylariçin http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution Örnek SureLog Taxonomy Çözümlemesi Referanslar 1. https://h20195.www2.hpe.com/V2/getpdf.aspx/4AA6-4436ENW.pdf?ver=1.0 2. https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATI ON/25000/PD25674/en_US/McAfee_SIEM_Taxonomy_Update.pdf 3. https://www.alienvault.com/documentation/usm-appliance/taxonomy/taxonomy-prod- types-categories.htm 4. https://www.gartner.com/doc/3406918/critical-capabilities-security-information-event 5. http://docs.fortinet.com/uploaded/files/2794/fortios-v5.4.0-log-reference.pdf 6. https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html