Üye Girişi yap | Üye Ol

Tüm Makaleler

Gerçek Zamanlı Uyarı Sistemleri ve Korelasyon

Ocak 12, 2012

Log yönetimi çözümlerinde en önemli ve artık işin meyvesinin toplanacağı aşama “Alert” mekanizmasıdır. Uygulama, sunucu, istemci, firewall ve benzeri log kaynaklarından logların toplanması, anlamlandırılması ve filtrelemeler sonucunda ilgili log veritabanına alınmasından sonra kurum için gerekli politikaların uygulanması ve tehdit modeline göre ilgili kuralların tanımlanması gerekmektedir.

Aşağıda görüldüğü gibi “Alert” modulü log admin personelinin veya monitoring ekibinin son noktada gördüğü verilerdir. Burada alert mekanizmasının kurulmasında ilgili kuralların ve korelasyon senaryolarının çıkarılması ilgili iş birimlerinin ve sistem sorumlusu personel ile ortak hareket edilmesi gerekmektedir.

 

 

Alert mimarisinde  önemli olan, hangi durumlarda, kime, nasıl, ne bilgisinin verileceğidir. Örneğin web sunucusuna  yapılan yetkisiz  erişimlerin, mail ortamında, sunucu sorumlusuna, şifre denemesi yapılan kullanıcı adı, kaynak ip ve logon tipi v.b. bilgilerin gönderilmesi.

 

 

RealTime Alert

 

Gelen uyarı ve bildirimlerde  “false positive” oranını düşürmek için veya gereksiz uyarıların içinde boğulmamak için belli eşik değerleri koyarak, nokta atışı tespitler yapabilir ve ilgili personelin doğru  ve yerinde müdehale etmesini sağlayabilirsiniz.

Herhangi bir sunucudan gelen “login failed” log kaydını olduğu gibi monitoring ekibine veya sunucu sorumlusu  personele gönderilmesi (mail, sms v.b.) mantıklı değildir. Çünkü 1000 kullanıcının olduğu bir ortamda dc üzerinden gelecek login failed maillerini hiç kimsenin oturup okuyacak zamanı yoktur, mantıklı da değildir. Bu noktada korelasyon senaryoları devreye girmektedir. Örneğin;

 

Sunucu Adı 

Web_Server_1

Event ID   

529 (Win2003) veya 4625 (Win2008)

Logon Type

10 (Remote Desktop)

Sub Status 

C000006A (Kullanıcı Adı Ok, Şifre Hatalı)

Time

1 dk içerisinde

Event Count

10

 

Kısacası “Web_Server_1” sunucusuna, Uzak Masaüstü Erişimi (RDP) ile 1 dk içerisinde 10’ dan fazla login failed log kaydı düşüyorsa ve bu login failed sebebi hatalı şifre ise ilgili sunucu sorumlusuna veya monitorin ekibinin İzleme ekranlarına  “password attack alert” şeklinde bir uyarı göndermek isabetli olmaktadır.

 

 RealTime Alert

 

Log korelasyon aşamasında ve oluşacak log kayıtlarının alert olarak uyarı bildirim ekranlarına düşmesinde değerlendireceğimiz kriterler şu şekildedir;

Aynı Kaynak-Farklı Hedef : Oluşan log kayıtlarında kaynağın aynı fakat hedefin farklı olması anlamındadır. Örneğin bir ip adresinden bize ait ip bloklarına yapılacak yapılacak bir port tarama işleminde “88.98.56.122” ip adresinden “121.75.144.0/24” adreslerine “Port: 1433” taraması yapıldığında  oluşan senaryo.

Aynı Hedef-Farklı Kaynak : Bir ip adresine  ddos atak yapıldığında kaynak ip adresi farklı hedef ip adresi  aynı olduğunda oluşur. Ip adresinin spoof edildiğinde de oluşan senaryo aynıdır.


Burada temel 2 senaryodan bahsettim. Bu sayı tehdit modeli ve ihtiyaçlara göre arttırılabilir. Örneğin;

  1. Webmail uygulamanıza yapılan password ataklarda kullanıcı adı sabit tutularak password listesi verilerek şifre denemeleri yapılabilir.
  2. Şifre sabit tutularak kullanıcı adı değiştirilerek atak yapılabilir. 
  3. Herhangi bir sunucuya admin dışında bir kullanıcı hesabı ile bağlanılması durumunda şu şekilde bir senaryo oluşturulabilir.

 

Kullanıcı adı    osman.dogan (kullanıcı adı osman.dogan değilse)

Sunucu  Adı = Web_server

Event ID = 4624 or 528

Logon type = 10 or 2 (RDP veya interactive logon)

 

Olduğu durumda sistem admine uyarı bildirimi gönderilebilir.

 4. Kurum politikalarınız gereği AD ortamında 3 den fazla yanlış şifre girildiğinde lock olan kullanıcı veya servis hesapları ile ilgili olarak uygulanabilecek senaryo şu şekilde olabilir,

Hostname      : DC_1

Event Id          : 4740

Log Kaynağı  : Security   olduğu durumda yani herhangi bir hesap lock olduğunda, hangi istemci veya sunucudan lock olduğu bilgisi log kaydından çekilerek ilgili personele veya monitorin ekibine mail auto mail gönderilerek açılan  serviceticket lara hızlı geri dönüş yapılması sağlanabilir.

 5. Birden fazla log kaynağından gelen bilgiler korelasyona tabi tutularak farklı kazanımlar sağlayabilirsiniz. Örneğin bir system admin personelinin  son 24 saat içerisinde “event log clear=517” log kaydı düşüyorsa, birtakım dosyaları  usb aygıtına  kopyalıyorsa, TMg v.b. proxy loglarında ilgili personele ait girilen web site kayıtlarında havayolları şirketlerine ve otel rezervasyonu yapılan siteler mevcut ve müşteri datalarının olduğu veritabanına giriş yapmış ise ilgili personeli takibe almakta fayda vardır :)


 6. İnternet bankacılığı tarafında müşteri adı ve şifre girişlerini kontrol ederek sms şifreden bir önceki adımları takip ederek, aynı ip adresinden farklı müşteri  hesabına yapılan başarılı başarısız erişimler tespit edilerek ilgili fraud ekibine kaynak müşteri no, ip adresi v.s. bilgiler gönderilebilir.

Kısacası sağlıklı ve düzgün yapılandırılmış bir log çözümü ile birden fazla uygulama ile tespit edilen aktivitelerin veya ihlallerin monitor edilmesini sağlayabilirsiniz. Burada giriş seviyesi bir kaç örnek ile konuyu anlatmaya çalştım. Uygulanabilecek senaryoların sayısı yüzlerce olabilir, bu tamamen kurum politikalarına göre değişiklik göstermektedir.

 

 

Osman Doğan

Real Time Alert Korelasyon Gerçek Zamanlı Uyarı Sistemleri

Facebook Twitter DZone It! Digg It! StumbleUpon Technorati Del.icio.us NewsVine Reddit Blinklist Add diigo bookmark

Post a comment

  1. Formatting options
       
     
    		 
    		 
     
       

     

      

      

      

  

        

 

 

 

Contact: admin@logyonetimi.com