Arama motorloarından bir şekilde bu yazıya ulaştıysanız şunu söyleyeyim ben de sizden biriyim. Her işe başlamadan önce, yapılacak işlerin ve atılacak adımların yol haritasının olduğu bir kaynak ararım. Bulamayınca da kendi yöntemlerimle çözmeye çalışırım.
SIEM konusu da işte bu işlerden birisi. Hakkında çok fazla döküman var ve bu fazlalık aslında bir belirsizliğe kapı aralıyor. Hatta döküman okumaktan iş yapmaya fırsat kalmayabiliyor. O kadar çok yani. Herkesin(artık benim de) konu ile ilgili ucundan kıyısından ya da tam ortasından kaleme aldığı birşeyler var.Ben de uzunca bir süre SIEM ile ilgili döküman okuma işlerine daldım. Okuduk, okuduk ama sonuca varamadık. SIEM ürününü log yönetimi olarak kullanmayı da kendimize yediremedik açıkçası. Ama bir yerlerden başlanmalıydı ve öyle de oldu.
Yazının geri kalan kısmının %80+'sı tecrübeyle sabit, gerisi ise hayal gücümün ürünüdür. Yazının içinde çok fazla teknik detaylarla ve kavram kargaşaları ile kafa karıştırmamak için olabildiğince yalın ve yüzeysel değinmeye çalıştım.
Make SIEM Great again!
İşe Yarar Bir SIEM Kurmanın Adımları
FAZ 1: En Azından Bir Log Management Sistemi Olsun
Bu faz ürünü temel bileşenleri ile kurup devreye alma işlerini kapsıyor.
Log Toplama: Log alacağımız kaynaklardan logları toplamak elbette en önemli ve hammaliye iş. Nelerdir bu loglar;
- Kimliklendirme Logları (Authentication)
- Windows, MacOS, Linux/UNIX yönetimsel işletim sistemi logları (OS Logs)
- Firewall
- VPN
- Antimalware
- Dosya ve Klasör işlemlerinin logları (audit)
- Kurumsal uygulamaların logları(hem servis hem de uygulama yazanların tavsiyeleri ile alınan loglar. IIS, apache vb. burada işlenmeli)
- Veritabanı işlemlerinin logları(audit)... (Veritabanı yöneticiniz yeterince gıcık biri değilse)
- Network cihazlarının logları
- Eğer iyi konumlandırıldı ve aktif kullanılıyorsa IPS (Eğer IPS iyi ayarlanamadı ise tam bir log üretecine döndüğünü ve işimizi zorlaştıracağını bilmeliyiz.)
- Ağ akışları(Netflow/sflow)
- Zaafiyet Tarama Logları (Aynı zamanda basit düzeyde asset management için de kullanılabilir.)
- Bir çırpıda aklıma gelen ve siem'inize dahil etmenizi tavsiye edeceğim kaynaklar bunlar.
Sadeleştirme: Tüm bu kaynaklardan logları toplayabildiğimiz anda elimizde artık bir log yönetimi sistemi var demektir. Ancak işimiz henüz bitmedi. Gelen logların yoğunluğu ne olacak peki? İşte burada SIEM'in kritik süreçlerinden birisi olan parse etme ve sadeleştirme kısımları var. İşte burada herşeyden emin değilsek okumalara tekrar başlamalı ve hangi logların işimize yarayıp hangilerinin yaramayacağını öğrenmeli, bu logları belli bir formata göre parse etmeli ve SIEM için okunabilir, işlenebilir kılmalıyız. Burası detaylı ve yorucu bir kısım olduğu için size kolay gelsin. Eğer bu yol haritasını kullanıyorsanız bu aşamayı geçtikten sonra yazının devamını okuyunuz :)
Kullanılan Ürün'ün Kendi Korelasyon Kurallarını Devreye Alma: Bu adım hem çalışmaların meyvelerini ilk defa toplamak için hem de motivasyon açısından çok güzel bir adımdır. Artık biz de korelasyon yapıyoruz diye ortalarda gezinebilirsiniz, hayırlı olsun :)
Ürünün kendi içinde size sunduğu korelasyon kurallarını aktif hale getirip false-pozitif'leri elemeye burada başlamalıyız. Bu adımda kazancımız sadece korelasyon değil, aynı zamanda sorgu yazma, false pozitif eleme, veriyi zenginleştirme vs. gibi teknik detaylar konusunda da tecrübe kazanmaya başlamak olacaktır.
FAZ-2: SIEM'in fantastik dünyasına hoşgeldiniz.
Artık burada hiçbir konuda sınır tanımama hatta paranoya ataklarına hazır olmalıyız. Elbette bu aşamada artık daha fazla oku daha fazla öğren mottosu takip edilmeli. Çünkü büyük SIEM evrenin bir toz zerreceği ile iş yapmak olanaksız.
Önce use case nasıl tanımlanır. Bu konuda nerelerden beslenmeliyim sorusunu sorup cevabını araştırmaya başlamalıyız.
Tanımladığımız use case'ler için sorgu yazabilme yeteneğine sahip olmalı, gelen sonuçları anlamlandırabilmeliyiz.
Farklı kaynaklardan beslemeler alarak atak vektörlerini takip eden hareketleri farkedebilir hale gelmeliyiz(threat intelligence dedikleri)
Buraya kadar geldiysek artık bundan sonrası hayal gücünüze bağlı; davranışsal analizler mi dersiniz, kişi ve varlık risk puanlamaları mı dersiniz, artık Allah ne verdiyse....
Umarım keyifli ve faydalı bir yazı olmuştur.
