Log yönetimi ve siem farkı
-
Upload
ertugrul-akbas -
Category
Technology
-
view
156 -
download
0
Transcript of Log yönetimi ve siem farkı
Log Yönetimi ve SIEM Farkı
Dr. Ertuğrul AKBAŞ
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt
kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef
bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik
politikalarında indirgeyici bir yönetim sergilemiş olurlar. Şöyle ki Log Yönetimi logları toplama,
anlamlandırma (aggregate) ve raporlama içerir SIEM ise güvenlik açısından bu anlamlandırılan verileri gerçek zamanlı analiz etmeyi ve alarm üretmeyi içerir. SIEM ve log yönetimi farkı:
Sınıflandırma (Taxonomy)
Korelasyon
Alarm
Logları toplamak ve hızlı arama (search) veya raporlama yapabilmek SIEM demek değildir. Log
Yönetimi konusunda onlarca çok iyi ve hızlı açık kaynak kodlu ürün de mevcuttur
• Twitter log Storm (Apache Storm)
• Kibana/elasticsearch/logstash
• Graylog
• http://www.fluentd.org
Bu ürünler twitter , facebook gibi saatte TB larca dayı işleyebilen global firmalar tarafından geliştirilip
sonra da açık kaynak dünyasına sunulmuş sistemlerdir. Bu konuda pek çok açık kaynaklı komponenet
mevcuttur. Mesela Hadoop ve elasticsearch kullanarak çok çok hızlı bir log toplama ve arama
yazılımını çok kolay oluşturabilirsiniz. Bu komponentlere ve kaynak kodlarına hem ticari hem de akademik erişim mümkündür.
https://hadoop.apache.org/
https://www.elastic.co/
Sınıflandırma
Peki log toplama, arama ve raporlama ürünleri ile neleri yapamazsınız.
Aşağıdaki NetScreen logunu
Feb 15 22:01:35 [xx] ns5gt: NetScreen device_id=ns5gt [Root]system-alert-00016: Port scan! From
1.2.3.4:54886 to 2.3.4.5:406, proto TCP (zone Untrust, int untrust). Occurred 1 times. (2014-02-15 22:09:03)
Kaynak IP şu, Hedef IP, Kaynak ve Hedef portlar da bunalar gibi ayırmak hem kolay hem de yukarıda
da bahsettiğimiz için onlarca ücretsiz log yönetim ürünü mevcut. Hatta bunların içerisinde twitter ve
facebook tarafından geliştirilip ücretsiz dağıtılanlar da mevcut
Ama aynı logu " Reconnaissance->Scan->Host " şeklinde kategorize edip bunu korelasyona
sokmalıyım ve alarm üretmeliyim diyebilmek ayrı bir boyuttur. . Bu sınıflandırma (Taxonomy) ile yapılabilir ve SIEM ürünlerinden belirli bir seviyenin üstündekilerde mevcuttur.
Benzer şekilde
Aşağıdaki Sonıcwall logunu
id=firewall sn=0017C5598622 time="2015-02-13 16:20:31" fw=xxx.xxxx.xxx.xxx pri=6 c=1024 m=537
msg="Connection Closed" n=0 src=xxx.xxx.xxx.xxx:4854:X1:
dst=yyy.yyy.yyy.yyy:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414
Kaynak IP, Hedef IP, Kaynak port ve Hedef portlar şeklinde ayırabiliriz. Sonrasında Kaynak IP ye veya URL e göre listeleme yapabiliriz.
Ama aynı logu "NamingTrafficAudit" şeklinde kategorize etmek ayrıştırıcı bir özelliktir. Bu
Sınıflandırma (Taxonomy) ile yapılabilir ve SIEM ürünlerinden belirli bir seviyenin üstündekilerde
mevcuttur.
Korelasyon
Korelasyon sınıflandırma ile birlikte SIEM sisteminin en can alıcı 2 yapısal taşından biridir.
Bir SIEM çözümünün gerçek manada korelasyon motorunun olup olmadığını anlamak için
İndekslenmiş ihtiyaç duymaması gerekir. Çok nadiren ürünlerin bazıları indekslenmiş veri üzerinde
periyodik sorguları çalıştırıp adına korelasyon demektedir.
Temel olarak sorguların veri tabanı veya indekslenmiş veri üzerinde çalışmasından kaynaklanan zaaflar 3 adettir
1. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir
performans problemine sebep olur. Çok sayıda kural yazılamaz
2. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz
3. Script veya sorgu [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz
Ayrıca bu yöntem global olarak kullanılan bir yöntem de değildir. Bu yöntemin global referansları yoktur.
Bir korelasyon motorundan beklenen özellikler:
Görsel bir editör e sahip olması
Gelişmiş kurallar yazılabilmesi:
o Önce A olayı olursa ve Aynı kaynak ve Kullanıcı 15 dakika içerisinde B olayını
gerçekleştirmez ise ve sonrasında D olayı olursa uyar
o Sadece öğle yemeği sırasında A olayı olursa uyar
o Sadece hafta sonu D olayı olursa uyar
o Bir olay olduysa 1 saat bir daha uyarma
o Birbirinden farklı kaynak ve portlardan ama yanı kullanıcı tarafından dakikada X olay
olursa uyar.
Sınıflandırma modülü ile entegrasyon
o Port taraması olduğunda haber ver
Gerçek zamanlı olması ve hafızada çalışması. İndekslenmiş veri üzerinden sorgu şeklinde çalışmaması.
Yukarıdaki resimde de görüldüğü gibi en fazla saldırı alan ilk 5 ülkeden biriyiz. Çoğu zaman aldığımız saldırının bile farkında olamayabiliriz. SIEM güvenlik yönetiminde en önemli bilişenlerden biridir.