Bilgi Güvenliği ve Log Yönetimi

Bilgi Güvenliği ve Log Yönetimi

[email protected]

Dr. Ertuğrul AKBAŞ

www.issatr.org.

SIEM

İndex

Bilgi Güvenliği ve Log Yönetimi ilişkisi

Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?

Hangi Sistemlerden Log Almalıyız?

Loglardan Ne Tür Analizler Yapabiliriz

Suistimal Analizi

Standartlar ve Log Yönetimi

SIEM


Bildiğiniz üzere bir uçağın kara kutusu neyse bir IT sisteminin

Log Sunucusu da aynı şeydir

SIEM


Bildiğiniz üzere bir uçağın kara kutusu neyse bir IT sisteminin

Log Sunucusu da aynı şeydir ama bir farkla!!!

Modem loglar gerçek zamanlı toplanıyor neden gerçek

zamanlı yorumlar ve alarmlar üretilmesin!!!

SIEM


Log Yönetimine Neden İhtiyacımız Var?

Standartlara Uyumluluk:

PCI DSS, Sox, Cobit, HIPAA, GLBA, ISO 27001 ve

diğerleri

Yasalara uyumluluk

5651 Sayılı Yasa

Kurumsal politikaların daha etkili kullanılması

Kurumsal kurallara aykırı davrananların tespiti

SIEM


•Bilgi güvenliği ihlalleri ve vakaları

arttıkça log yönetiminin önemi ve

gerekliliği daha iyi anlaşılmaktadır.

•ISO 27001, Bilgi Güvenliği(BG)

Yönetim Standardında log(iz kaydı)

yönetimin önemi vurgulanmaktadır.

•COBIT, ISO-27001 ve PCI log

yönetimine özel vurgu yapmaktadır

SIEM


• Ürünün stabil olması

• Log kaçırmaması

• Log saklama işini güvenilir yapması

• Arşivden geri dönebilmesi

• Arşivde arama yapabilmesi

• Hazır kollektör sayısının fazla olması

• Kolay kollektör eklenebilmesi

• İhtiyacı olduğunda daha üst yapılara kolaylıkla ve eski logları

koruyarak geçiş yapabilmesi

• Raporlama

• Korelasyon

SIEM


Log Yakalama

Bir log yönetim sisteminin en önemli özelliği gelen bütün logları

yakalamak ve işlemektir. Sistemin bu özelliği bir proje yapılırken

göz önünde bulundurulacak en önemli kriterlerin başındadır.

50 EPS

250 EPS

500 EPS

2500 EPS

10000 EPS

……

SIEM


Log Yakalama- Nasıl Test Edilir

Simulatör

Sniffer

SIEM


SIEM


Logların Kaydedilmesi (Storage)

Özellikle yüksek EPS değerlerinde logların aynı hızla kaydedilebiliyor olması kritiktir.

Eğer raporlama ve istatistik analiz gerçek zamanlı kullanılacaksa logların bu hızla raporlama ve

istatistiksel analiz modülüne aktarımı sağlanmalı

Ayrıca loglar geldiği hızda kaydedilemiyorsa sistemin bazı boş anlara ihtiyacı var demektir ki

Biriktirdiği logları yazabilsin ve raporlama ve istatistik modüllerine aktarabilsin. Bu trafiğin benzer

trendlerde 7/24/365 çalışan sistemler için problem oluşturur.

SIEM


Log Sıkıştırma

Pek çok ihtiyaçtan dolayı logları sıkıştırmak gerekir. Mesela loglar yüksek trafiği olan sunucularda çok fazla

yerde kaplar.

Burada 2 önemli özellik vardır.

Gerçek zamanlı log sıkıştırma. Yani arşivden yükleme işlemi yapmadan arama yapılabilecek logların

sıkıştırılarak saklanması

Arşiv loglarının sıkıştırılması

Ürünlerin büyük bir kısmı arama yapılacak verileri sıkıştırmazken sadece arşivi sıkıştırmaktadır.

SIEM


Log Yedekleme

Sistem replikasyon desteklemiyorsa bile en azından yedeklenebilmelidir. Burada da yedeklerin alınma süresi

ve geri dönme süre ve başarısı önemlidir. Özellikle 100 lerce GB veri oluşunca yedeklerin nasıl alındığı

(mesela incremental ) ve nasıl geri dönüldüğü önemlidir. Eğer seçilen ürün ona göre tasarlanmadı ise 10

GB larla veri ile 100 GB lar veri arasında yedekleme başarısı açısından farklılık olma ihtimali yüksektir.

SIEM


Log Arama (Log Search)

Örnek Bir Arama Kriteri:

EPS : 5000

Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin)

Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon)

10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon)

Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180 milyon log oluştuğu ve

dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon kayıt arasından olacağı unutulmamalı.

Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve sıralaması istendiğinde

Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa

18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde arama , sayma ve sıralama

yapılmak zorunda olduğu unutulmamalı

SIEM


Ağ ve Güvenlik Cihazlarından Alınacak Loglar

Sınır Güvenliği Bileşenleri

Yönlendirici(Router) Sistemler

Güvenlik Duvarı

Erişim Logları

Denetim(Audit) Logları

SIEM


Ağ ve Güvenlik Cihazlarından Alınacak Loglar

• Sınır Güvenliği Bileşenleri

• Yönlendirici(Router) Sistemler

• Güvenlik Duvarı

• Erişim Logları

• Denetim(Audit) Logları

• Linux/UNIX Sistemler

• Windows Event Logları

• WEB Sunucu

• Mail Sunucu

• Veritabanı Aktviteleri

• DHCP/DNS Logları

• Proxy Logları

• AD Logları

• Elekronik/Fiziksel giriş sistemleri (Kapı giriş sistemi gibi)

• Datacenter sensör logları

SIEM


• Raporlar

• İstatistikler

• Kurallar (SIEM)

SIEM


SIEM

Raporlama

Log Yönetimi

SIEM


• Raporlar

• Kimler XXX sitesine erişti ?

• YYY dokümanını kim bastı ?

• ZZZ dosyasını kim edit etti ?

• Gibi yüzlerce rapor alınabilir

SIEM


• İstatistikler

• En çok XX sitesine kim erişti ?

• En çok internete hangi sitelere erişiliyor ?

• En çok hangi sunuculara login olunuyor

• Gibi yüzlerce istatistik alınabilir

SIEM


• SIEM

• Korelasyon özelliğini kullanmadan gerçek zamanlı tespit özelliği olmaz

• Güvenlik analizi için loglar kullanılacaksa korelasyon kuralları yazılabilmeli

• Maalesef bu özellik ülkemizde Log Analizi konularında verilen eğitimlerde

(ticari eğitimler) bile atlanıyor.

SIEM


• 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar

• 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar

• 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar

• 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye

trafik olursa uyar

• Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim

yapılmaya çalışılıp başarısız olunursa uyar

• Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı

erişim olursa bu brüte force atack olasılığıdır ve uyar

• Administrators grubuna kullanıcı eklenirse uyar

• Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa

uyar(Kullanıcı bilgileri ile birlikte)

• Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa

uyar(Kullanıcı bilgileri ile birlikte)

SIEM


• Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından

başarılı erişim olursa uyar.

• Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak

lokasyondna işletilmek üzere gönderilirse uyar

• İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus)

çalıştırıldığında uyar

• Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen

kullanıcıyı tespit et)

• Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı

tespit et)

• Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar

• Mesai saatleri dışında sunuculara ulaşan olursa uyar

• Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı

login loğu gelirse uyar

SIEM


Korelasyon Motoru ile ilgili detay bulabileceğiniz bir çalışma

http://www.olympos.net/belgeler/log-yonetimi/korelasyon-motoru-ileri-

analitik-yontemler-bilgi-guvenligi-ve-log-yonetimi-

29121324#axzz2S9ZJqVhM

Veya aynı çalışmanın kopyası

http://www.slideshare.net/anetertugrul/korelasyon-motoru-ler-analtk-

yntemler-blg-gvenl-ve-log-ynetm

http://www.olympos.net/belgeler/log-yonetimi/korelasyon-motoru-ileri-analitik-yontemler-bilgi-guvenligi-ve-log-yonetimi-29121324



























http://www.slideshare.net/anetertugrul/korelasyon-motoru-ler-analtk-yntemler-blg-gvenl-ve-log-ynetm



















SIEM

Suistimal Analizi

Bişilim suçları için iz kayıtları delil teşkil etmektedir. Ancak,

bir iz kaydının kanıt olabilmesi için değiştirilmediğinden

(integrity) emin olunması gerekmektedir. Bunun için zaman

damgası gibi Hash teknikleri kullanılmaktadır. Bilişim suçları

için Emniyet Amiri düzeyinde yöneticiler bulunmaktadır. Fraud

(Yolsuzluk) da suç olduğu için, delil teşkil edecek iz

kayıtlarının sistem kurulurken belirlenip kayıt altına alınması

ve değiştirilmediklerinden de emin olunması gerekmektedir.

SIEM

Standartlar ve Log Yönetimi

PCI(Payment Card Industry),

Health Insurance Portability and Accountability Act (HIPAA),

Federal Information Security Management Act (FISMA),

Sarbanes–Oxley(SOX),

5651 sayılı T.C kanunu,

ISO/IEC 27001

Teşekkürler

ISSA Turkey SIEM

Documents

Bilgi Güvenliği ve Log Yönetimi