Log Yönetimi ve SIEM Farkı

Dr. Ertuğrul AKBAŞ

eakbas@gmail.com

ertugrul.akbas@anetyazilim.com.tr

Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt

kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef

bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik

politikalarında indirgeyici bir yönetim sergilemiş olurlar. Şöyle ki Log Yönetimi logları toplama,

anlamlandırma (aggregate) ve raporlama içerir SIEM ise güvenlik açısından bu anlamlandırılan verileri gerçek zamanlı analiz etmeyi ve alarm üretmeyi içerir. SIEM ve log yönetimi farkı:

Sınıflandırma (Taxonomy)

Korelasyon

Alarm

Logları toplamak ve hızlı arama (search) veya raporlama yapabilmek SIEM demek değildir. Log

Yönetimi konusunda onlarca çok iyi ve hızlı açık kaynak kodlu ürün de mevcuttur

• Twitter log Storm (Apache Storm)

• Kibana/elasticsearch/logstash

• Graylog

• http://www.fluentd.org

Bu ürünler twitter , facebook gibi saatte TB larca dayı işleyebilen global firmalar tarafından geliştirilip

sonra da açık kaynak dünyasına sunulmuş sistemlerdir. Bu konuda pek çok açık kaynaklı komponenet

mevcuttur. Mesela Hadoop ve elasticsearch kullanarak çok çok hızlı bir log toplama ve arama

yazılımını çok kolay oluşturabilirsiniz. Bu komponentlere ve kaynak kodlarına hem ticari hem de akademik erişim mümkündür.

https://hadoop.apache.org/

https://www.elastic.co/

Sınıflandırma

Peki log toplama, arama ve raporlama ürünleri ile neleri yapamazsınız.

Aşağıdaki NetScreen logunu

Feb 15 22:01:35 [xx] ns5gt: NetScreen device_id=ns5gt [Root]system-alert-00016: Port scan! From

1.2.3.4:54886 to 2.3.4.5:406, proto TCP (zone Untrust, int untrust). Occurred 1 times. (2014-02-15 22:09:03)

Kaynak IP şu, Hedef IP, Kaynak ve Hedef portlar da bunalar gibi ayırmak hem kolay hem de yukarıda

da bahsettiğimiz için onlarca ücretsiz log yönetim ürünü mevcut. Hatta bunların içerisinde twitter ve

facebook tarafından geliştirilip ücretsiz dağıtılanlar da mevcut

Ama aynı logu " Reconnaissance->Scan->Host " şeklinde kategorize edip bunu korelasyona

sokmalıyım ve alarm üretmeliyim diyebilmek ayrı bir boyuttur. . Bu sınıflandırma (Taxonomy) ile yapılabilir ve SIEM ürünlerinden belirli bir seviyenin üstündekilerde mevcuttur.

Benzer şekilde

Aşağıdaki Sonıcwall logunu

id=firewall sn=0017C5598622 time="2015-02-13 16:20:31" fw=xxx.xxxx.xxx.xxx pri=6 c=1024 m=537

msg="Connection Closed" n=0 src=xxx.xxx.xxx.xxx:4854:X1:

dst=yyy.yyy.yyy.yyy:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414

Kaynak IP, Hedef IP, Kaynak port ve Hedef portlar şeklinde ayırabiliriz. Sonrasında Kaynak IP ye veya URL e göre listeleme yapabiliriz.

Ama aynı logu "NamingTrafficAudit" şeklinde kategorize etmek ayrıştırıcı bir özelliktir. Bu

Sınıflandırma (Taxonomy) ile yapılabilir ve SIEM ürünlerinden belirli bir seviyenin üstündekilerde

mevcuttur.

Korelasyon

Korelasyon sınıflandırma ile birlikte SIEM sisteminin en can alıcı 2 yapısal taşından biridir.

Bir SIEM çözümünün gerçek manada korelasyon motorunun olup olmadığını anlamak için

İndekslenmiş ihtiyaç duymaması gerekir. Çok nadiren ürünlerin bazıları indekslenmiş veri üzerinde

periyodik sorguları çalıştırıp adına korelasyon demektedir.

Temel olarak sorguların veri tabanı veya indekslenmiş veri üzerinde çalışmasından kaynaklanan zaaflar 3 adettir

1. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir

performans problemine sebep olur. Çok sayıda kural yazılamaz

2. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz

3. Script veya sorgu [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz

Ayrıca bu yöntem global olarak kullanılan bir yöntem de değildir. Bu yöntemin global referansları yoktur.

Bir korelasyon motorundan beklenen özellikler:

Görsel bir editör e sahip olması

Gelişmiş kurallar yazılabilmesi:

o Önce A olayı olursa ve Aynı kaynak ve Kullanıcı 15 dakika içerisinde B olayını

gerçekleştirmez ise ve sonrasında D olayı olursa uyar

o Sadece öğle yemeği sırasında A olayı olursa uyar

o Sadece hafta sonu D olayı olursa uyar

o Bir olay olduysa 1 saat bir daha uyarma

o Birbirinden farklı kaynak ve portlardan ama yanı kullanıcı tarafından dakikada X olay

olursa uyar.

Sınıflandırma modülü ile entegrasyon

o Port taraması olduğunda haber ver

Gerçek zamanlı olması ve hafızada çalışması. İndekslenmiş veri üzerinden sorgu şeklinde çalışmaması.

Yukarıdaki resimde de görüldüğü gibi en fazla saldırı alan ilk 5 ülkeden biriyiz. Çoğu zaman aldığımız saldırının bile farkında olamayabiliriz. SIEM güvenlik yönetiminde en önemli bilişenlerden biridir.