Günlükler SIEM’e iki farklı şekilde getirilir. Ajan tabanlı ve Ajan tabanlı olmayan. Aracı tabanlı yaklaşımda, günlüklerin toplandığı istemci makineye bir günlük gönderme aracısı kurulur.
Ardından bu aracı, günlükleri çözüme iletecek şekilde yapılandırılır. İkinci türde, istemci sistem, Syslog veya Windows Event Collector hizmeti vb. gibi bir hizmeti kullanarak günlükleri kendi başına gönderir.
Ayrıca, bir dizi satıcıya özel prosedürle entegre edilebilecek belirli uygulamalar ve cihazlar da vardır.
Artık farklı cihazlardan gelen günlüklerin SIEM’e iletildiğini biliyorsunuz. Bir örnek alın: Belirli bir makineye karşı bir bağlantı noktası taraması başlatılır. Böyle bir durumda, makine çok sayıda olağandışı günlük oluşturacaktır.
Günlükleri analiz ederek, düzenli aralıklarla farklı bağlantı noktalarında bir dizi bağlantı hatasının meydana geldiği açıkça görülecektir.
Mümkünse paket bilgilerini görerek, aynı IP’den aynı IP’ye ancak farklı portlara düzenli aralıklarla gönderilen SYN isteklerini tespit edebiliriz. Bu, birinin varlığımıza karşı bir SYN taraması başlattığı sonucuna varıyor.
SIEM bu süreci otomatikleştirir ve uyarılar verir. Farklı çözümler bunu farklı şekillerde yapar, ancak aynı sonuçları verir.
SIEM Başarısının Yolu
SIEM başarısına giden yol şuna benzer:
- Standart güvenlik kaynaklarından günlükleri toplayın.
- Günlükleri ek verilerle zenginleştirin.
- Küresel Tehdit İstihbaratı (Kara Listeler).
- İnsan Kaynakları / İnternet İndirme Yönetimi.
- Korelasyon – kütük samanlıklarında atasözü iğnelerini bulmak.
- Araştırın – takip edin ve düzeltin.
- Belge — Standart Çalıştırma Prosedürleri, Hizmet Seviyesi Anlaşmaları, Sorun Bildirimleri.
- Dahil Et – Beyaz listeler, yeni içerik oluşturun.
SIEM için En İyi 10 Kullanım Örneği
SIEM çözümlerinin artan kullanımıyla birlikte işletmeler, günlük operasyonları sırasında görülen bir dizi güvenlik ve iş kullanım vakasını çözme konusunda isteklidir. Bu yazıda, altyapınızda bu tür davranışları tespit etmek için nasıl kullanabileceğinize dair genel bir bakışla ilk 10 kullanım örneğini inceleyeceğiz.
Aşağıdakiler en iyi 10 kullanım durumudur:
1. Kimlik Doğrulama Faaliyetleri
Windows, Unix ve diğer herhangi bir kimlik doğrulama uygulamasından gelen verileri kullanarak anormal kimlik doğrulama denemeleri, mesai saatleri dışında kimlik doğrulama denemeleri vb.
2. Paylaşılan Hesaplar
Windows, Unix vb. kaynaklardan gelen oturum açma verilerini kullanarak belirli bir zaman aralığında belirli bir kullanıcı hesabı için oturum istekleri yapan birden çok kaynak (dahili/harici)
3. Oturum Etkinlikleri
Oturum süresi, etkin olmayan oturumlar vb., özellikle Windows sunucusundan alınan oturum açma oturumuyla ilgili verileri kullanarak.
4. Bağlantı Ayrıntıları
Bağlantılar gerçek veya sahte olabilir. Şüpheli davranış, kapalı portlarda bağlantı denemelerini, engellenen dahili bağlantıları, kötü hedeflere bağlantı kurmayı, güvenlik duvarlarından, ağ cihazlarından veya akış verilerinden gelen verileri kullanarak bağlantı kurmayı içerebilir. Alan adı, ülke ve coğrafi ayrıntıları keşfetmek için dış kaynaklar daha da zenginleştirilebilir.
5. Anormal İdari Davranış
AD hesap yönetimi ile ilgili faaliyetlerden elde edilen verileri kullanarak etkin olmayan hesapları, şifreleri değişmemiş hesapları, anormal hesap yönetimi faaliyetlerini vb. izleme.
6. Bilgi Hırsızlığı
Veri hırsızlığı girişimleri, e-posta yoluyla bilgi sızıntısı vb., posta sunucularından gelen verilerin kullanılması, dosya paylaşım uygulamaları vb.
7. Güvenlik Açığı Taraması ve Korelasyon
Qualys gibi uygulamalar tarafından tespit edilen güvenlik açıklarının diğer şüpheli olaylara karşı tanımlanması ve korelasyonu.
8. İstatistiksel Analiz
Verilerin doğasını incelemek için istatistiksel analiz yapılabilir. Bu amaçla ortalama, medyan, nicelik, çeyreklik vb. fonksiyonlar kullanılabilir. Her türlü kaynaktan gelen sayısal veriler, gelen bant genişliği kullanımına oranı, uygulama başına veri kullanımı, yanıt süresi karşılaştırması vb. gibi ilişkileri izlemek için kullanılabilir.
9. İzinsiz Giriş Tespiti ve Enfeksiyonlar
Bu, IDS/IPS, antivirüs, kötü amaçlı yazılımdan koruma uygulamaları vb. veriler kullanılarak yapılabilir.
10. Sistem Değişikliği Faaliyetleri
Bu, yapılandırmalardaki değişiklikler, denetim yapılandırması değişiklikleri, ilke değişiklikleri, ilke ihlalleri vb. için veriler kullanılarak yapılabilir.
Kritik Kontroller ve SIEM
Kritik Kontrol 1: Yetkili ve Yetkisiz Cihazların Envanteri
SIEM, en az ihlalleri tespit etmek için kullanıcı etkinliğini kullanıcı hakları ve rolleri ile ilişkilendirebilir.
Bu denetimin gerektirdiği ayrıcalık uygulaması.
Kritik Kontrol 2: Yetkili ve Yetkisiz Yazılım Envanteri
SIEM, yetkili yazılımların envanter veritabanı olarak kullanılmalıdır.
ağ ve uygulama etkinliği ile korelasyon için ürünler.
Kritik Kontrol 3: Dizüstü Bilgisayarlarda, İş İstasyonlarında ve Sunucularda Donanım ve Yazılım için Güvenli Konjürasyonlar
Bilinen güvenlik açıkları, başarılı istismarlar için hala önde gelen bir yoldur. eğer otomatik
aygıt tarama aracı, bir Ortak sırasında yanlış yapılandırılmış bir ağ sistemi keşfeder.
Yapılandırma Numaralandırması (CCE) taraması, bu yanlış yapılandırmanın
Bu uyarılar için merkezi bir kaynak olarak SIEM. Bu, aşağıdaki gibi sorun giderme olaylarına yardımcı olur:
genel güvenlik duruşunu iyileştirmenin yanı sıra.
Kritik Kontrol 4: Güvenlik Duvarları, Yönlendiriciler ve Anahtarlar gibi Ağ Cihazları için Güvenli Yapılandırmalar
Ağ cihazlarındaki herhangi bir yanlış yapılandırma, konsolide analiz için SIEM’e de bildirilmelidir.
Kritik Kontrol 5: Sınır Savunması
CCE keşifleri gibi ağ kuralı ihlalleri de tek bir merkeze bildirilmelidir.
SIEM’de depolanan yetkili envanter verileriyle korelasyon için kaynak (bir SIEM)
çözüm
Kritik Kontrol 6: Denetim Günlüklerinin Bakımı, İzlenmesi ve Analizi
Kontrol 6, temel olarak, toplama için önde gelen bir araç olan SIEM’ler hakkında bir kontroldür.
ve kritik günlük verilerinin merkezileştirilmesi; aslında, analiz için bir alt kontrol bile vardır.
SIEM’i özel olarak inceler. SIEM’ler, günlük olaylarını analiz edebilen temel analiz motorudur
olarak meydana gelirler.
Kritik Kontrol 7: Uygulama Yazılımı Güvenliği
CCE tarama sonuçları gibi, yazılım uygulamalarında keşfedilen güvenlik açıkları da
ayrıca, bu güvenlik açıklarının aşağıdakilerle ilişkilendirilebileceği merkezi bir kaynağa rapor edilmelidir.
belirli bir sistemle ilgili diğer olaylar. SIEM’ler bu taramaları saklamak için iyi bir yerdir
sonuçları ve bilgileri günlükler aracılığıyla yakalanan ağ verileriyle ilişkilendirin.
güvenlik açıklarından gerçek zamanlı olarak yararlanılıp yararlanılmadığını belirleyin.
Kritik Kontrol 8: İdari Ayrıcalıkların Kontrollü Kullanımı
Bu kontrolün ilkeleri karşılanmadığında (örn.
web tarayıcısı veya yönetici hesaplarının gereksiz kullanımı), SIEM erişimi ilişkilendirebilir
ihlali tespit etmek ve bir uyarı oluşturmak için günlükler.
Kritik Kontrol 9: Bilme Gerekenlerine Dayalı Kontrollü Erişim
SIEM, en az ihlalleri tespit etmek için kullanıcı etkinliğini kullanıcı hakları ve rolleri ile ilişkilendirebilir.
Bu denetimin gerektirdiği ayrıcalık uygulaması.
Kritik Kontrol 10: Sürekli Kritik Kontrol
SIEM, güvenlik açığı bağlamını gerçek sistem etkinliğiyle ilişkilendirebilir.
güvenlik açıklarından yararlanılıp yararlanılmadığı.