CISA, Siber Güvenlik Profesyonelleri için Özel Siem & Soar Kılavuzu’nu yayınladı


Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) platformları, siber güvenlik tehditlerini gerçek zamanlı olarak tespit etmek, analiz etmek ve yanıtlamak için gereklidir.

Bununla birlikte, bir SIEM sisteminin etkinliği büyük ölçüde yutulan kütüklerin kalitesine ve önceliklendirilmesine bağlıdır.

Bu makalede SIEM kütük alımı, teknik hususlar için en iyi uygulamaları araştırmakta ve uygulayıcılar için yüksek öncelikli günlük kaynakları ve olay kodlarının referans tablosuna sunulmaktadır.

– Reklamcılık –
Google Haberleri

SIEM kütük yutulmasını anlamak

SIEM’de kütük yutulmasının rolü

SIEM günlük yutulması, analiz ve tehdit algılaması için bir SIEM platformuna bağlı olarak, uç noktalar, ağ cihazları, bulut platformları ve uygulamalar gibi çeşitli kaynaklardan günlük verilerinin toplanma, merkezileştirilmesi ve depolanması işlemidir.

İşlem, standartlaştırılmış günlük iletimi için yaygın olarak kullanılan syslog gibi protokollerle hem ajan tabanlı hem de ajansız yöntemleri içerir.

Kilit zorluklar

  • Hacim ve gürültü: Kuruluşlar, potansiyel kütük aşırı yüklenmesine yol açarak çok miktarda kütük üretir. Ezici analistlerden kaçınmak ve eyleme geçirilebilir güvenlik olaylarına odaklanmak için düşük öncelikli veya alakasız günlükleri filtrelemek çok önemlidir.
  • Uyumluluk: Farklı sistemler çeşitli formatlarda kütükler üretir. Uyumluluk ve normalleşmenin sağlanması etkili analiz için hayati önem taşır.
  • Önceliklendirme: Tüm günlükler güvenlik izleme için eşit derecede değerli değildir. Kritik günlük kaynaklarına ve olay türlerine öncelik vermek, algılama ve yanıt etkinliğini artırır.

Günlük kaynaklarına öncelik vermek:

Riske dayalı yaklaşım

Kuruluşlar, SIEM günlük yutma stratejilerini benzersiz risk profillerine, düzenleyici gereksinimlerine ve operasyonel ortamlara uyarlamalıdır.

Aşağıdaki günlük kaynakları, yüksek analitik değerleri ve tehdit tespiti ile ilgileri nedeniyle yutma için tipik olarak önceliklendirilir:

  • Son nokta algılama ve yanıt (EDR) günlükleri
  • Ağ aygıtı günlükleri (güvenlik duvarları, yönlendiriciler, anahtarlar)
  • Active Directory/Etki Alanı Denetleyici Günlükleri
  • Bulut Platform Günlükleri (AWS, Azure, GCP)
  • Uygulama ve Veritabanı Günlükleri
  • İşletim Sistemi Günlükleri (Windows, Linux, macOS)
  • Kimlik Doğrulama ve Erişim Kontrolü Etkinlikleri

Örnek: Windows olay kimlikleri

SIEM için kritik Windows olay kimlikleri şunları içerir:

  • 4624: Başarılı oturum açma
  • 4625: başarısız oturum açma
  • 4688: Süreç oluşturma
  • 4672: atanan özel ayrıcalıklar
  • 1102: Denetim günlüğü temizlendi

Bu olaylar, yetkisiz erişim, ayrıcalık artışı ve potansiyel log kurutma tespiti için hayati önem taşır.

Teknik Uygulama:

Güvenlik etkinlikleri için enstrümantasyon uygulamaları

Uygulamalar doğrudan SIEM’e güvenlikle ilgili olayları yaymak için aletlenebilir. Örneğin, Node.js:

javascriptfunction logSecurityEvent(eventType, details) {
  const event = {
    timestamp: new Date().toISOString(),
    service: process.env.SERVICE_NAME,
    event_type: eventType,
    environment: process.env.ENVIRONMENT,
    host: os.hostname(),
    ...details
  };
  console.log(JSON.stringify(event));
  if (process.env.SIEM_ENDPOINT) {
    axios.post(process.env.SIEM_ENDPOINT, event)
      .catch(err => console.error('Failed to send to SIEM:', err));
  }
}

Bu yaklaşım, hem başarılı hem de başarısız kimlik doğrulama girişimlerinin tutarlı, bağlamsal bir günlüğe kaydedilmesini sağlar ve güçlü tehdit algılamasını destekler.

SIEM verilerini sorgulamak

IBM Qradar gibi platformlar için uygulayıcılar, ilgili olayları çıkarmak için AQL sorguları çalıştırabilirler:

sqlSELECT qidname(qid) AS 'Event', username AS 'Username', devicetime AS 'Time'
FROM events
WHERE 'high-level category ID' AND 'low-level category ID'
AND LOGSOURCENAME(logsourceid) LIKE "%Low-level category name%"
LAST 3 DAYS

Bu, kimlik doğrulama hataları veya ayrıcalık kullanımı gibi belirli olay kategorilerinin hedefli analizini sağlar.

Yüksek öncelikli günlük kaynakları ve olay kodları

Kütük kaynağıÖrnek Olay/AlanAçıklama/Kod
Windows Güvenlik GünlükleriBaşarılı oturum açmaOlay Kimliği 4624
Başarısız Oturum AçmaOlay Kimliği 4625
Süreç oluşturmaOlay Kimliği 4688
Denetim günlüğü temizlendiOlay Kimliği 1102
Ağ aygıtı günlükleriGüvenlik duvarı inkar/izin verEylem, kaynak IP, Dest IP, protokol
VPN Bağlantısı/BağlantısıOlay Türü, Kullanıcı Kimliği, Genel IP
Bulut Platform GünlükleriAWS CloudTrail EtkinliğiHepsi (örn., GetObject, Runinstances)
Azure Unified Denetim GünlüğüTüm
Active Directory günlükleriKullanıcı hesabı oluşturuldu/değiştirildiOlay Kimlikleri 4720, 4738
Ayrıcalık kullanımıOlay Kimliği 4672
Uygulama GünlükleriKimlik Doğrulama Başarısı/BaşarısızlığıÖzel alanlar (user_id, source_ip)
Veritabanı GünlükleriSorgu yürütmeSorgu, Kullanıcı, Zaman

Etkili SIEM log alımı, yüksek değerli günlük kaynaklarının önceliklendirilmesine, gürültüyü filtrelemeye ve çeşitli sistemlerde uyumluluğun sağlanmasına bağlıdır.

Kritik olay kategorilerine odaklanarak ve standartlaştırılmış günlük formatlarından ve teknik enstrümantasyonlardan yararlanarak, kuruluşlar tehdit algılamalarını ve olay müdahale yeteneklerini geliştirebilir – SIEM’i modern siber güvenlik operasyonlarının temel taşı yapmak.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link