ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN

KORELASYON İLE İLGİLİ ÜSTÜNLÜKLERİ

İçindekiler ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN ÜSTÜNLÜKLERİ .................................... 1

Korelasyon Avantajları ............................................................................................................................. 3

Taxonomy ............................................................................................................................................ 3

Senaryo kuralları ................................................................................................................................. 7

Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme ................................................................ 8

Mantıksal Bağımsızlık .................................................................................................................... 11

Thrashold kuralları ......................................................................................................................... 11

Threat Intelligence ............................................................................................................................. 12

Örnek Kurallar ................................................................................................................................... 12

ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları,

hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve

korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.

SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false

positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a

bakar ve korelasyon sağlayarak doğru sonuca ulaşır.

ANET SURELOG International Edition ürününün korelasyon tarafının üstünlüklerine

geçmeden önce temel korelasyon özelliklerini açıklamak gerekirse:

Korelasyon gerçek zamanlıdır,

Korelasyon kuralı geliştirme editörü sorgu (SQL ,NoSQL, Flat File) temelli değildir. Özel bir

kural geliştirme sihirbazına sahiptir,

Korelasyon motoru her zaman aktif tir. Bazı ürünlerdeki gibi periyodik çalışma handikabına

sahip değildir.

Korelasyon motoru veri tabanı (SQL ,NoSQL, Flat File) üzerinden çalışmaz ve veri tabanı

kapatılsa bile korelasyon yapabilir.

Bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman

pencereli (time window) korelasyon yapabilir,

Korelasyon kurallarının yazılması için ürün görsel bir ara yüze sahiptir,

Kuralların belirli bir süre alarm üretmesinin durdurulması (Alarm Suspend),

Kuralların sadece belirlenen zaman dilimlerinde çalışması,

Birden fazla değişik olayın gerçekleşmesi (birleşik korelasyon) şeklindeki korelasyonları

destekler,

Pek çok global üründe dahi olmayan TAG (Kullanıcı tarafından otomatik veya manuel alan

ekleme),

Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,

Hafızada korelasyon yapabilmeyi destekler,

Tek kaynak korelasyon kurallarını destekler,

Çoklu kaynak korelasyon kurallarını destekler,

Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,

Pek çok global üründe dahi olmayan Context base korelasyonu destekler,

Pek çok global üründe dahi olmayan Hiyerarşik korelasyonu destekler,

Pek çok global üründe dahi olmayan Dinamik liste içerisinde kontrolü destekler,

Kuralları yazarken çok geniş operatör desteğine sahiptir. Örnek:

SureLog Korelasyon Avantajları

Bu bolümde SureLog ürününün mevcut SIEM ürünlerinin korelsayon yeteneklerine göre avantajları

açıklanacaktır. Bu avantajlar 3 ana grupta toplanabilir.

Taxonomy

Senaryo Kuralları

Threat Intelligence

Taxonomy

Taxonomy en basit şekilde gruplandırma olarak açıklanabilir. Örnek vermek gerekirse

Bir router login işlemi

Bir switch login işlemi

Bir Firewall login işlemi

Bir Windows server login işlemi

Bir Linux login işlemi

Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hem raporlarken

tek bir hareketle “Networkumdeki bütün login işlemlerini raporla” hem de korelasyonda “UTM

cihazım aynı IP den dakikada 15 tane paketi virüslü olarak blokladıktan sonraki 5 dakika içerisinde

networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi

kurallar yazılmasına imkân tanır.

Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki

işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int

untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga

eklenmesi işlemidir.

SureLog da mevcut 1537 gruptan bazıları

Reconnaissance->Scan->Host

• TCPTrafficAudit->TCP SYN Flag

• ICMPTrafficAudit

• NamingTrafficAudit

• Malicious->Web->SQL

• Flow->Fragmentation

• httpproxy->TrafficAudit accept

• HTTPDynamicContentAccess

• WebTrafficAudit.Web Content

• HealthStatus.Informational.Traffic.Start

• Malicious.BufferOverflow

• Malicious.Trojan

• PolicyViolation

• Malicious.Web.Attack

Loglar ve Tespit Edilen Taxonomy Örnekleri

Fortigate

o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686

logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root"

severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3"

policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1

attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024

sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024"

incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner,"

o Taxonamy :HTTPDynamicContentAccess

Netscreen

o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20:

NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic):

start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src

zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200

dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst-

xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000>

o Taxonamy :TCPTrafficAudit.

Paloalto

o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06

18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfresh\\mun001tr,,web-

browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06

18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,\"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat

is.aspx\",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0-

10.255.255.255,Turkey,0,text/html

o Taxonamy :WebTrafficAudit.Web Content

Sonicwall

o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237

pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1:

dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414

o Taxonamy :NamingTrafficAudit

Cisco Pix

o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection

2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to

inside:192.168.147.2/80 (212.109.105.3/80}

o Taxonamy :HealthStatus.Informational.Traffic.Start

Snort

o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**]

[Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 ->

192.168.3.65:1035

o Taxonamy : Malicious.BufferOverflow

o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC -

URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}

192.168.3.65:1036 -> 188.72.243.72:80

o Taxonamy : Malicious.Trojan

o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**]

[Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033

o Taxonamy : PolicyViolation

o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary

file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -

> 192.168.3.65:1033

o Taxonamy : Malicious.Web.Attack

Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.

SureLog Int. Ed. yaklaşık 350 farklı log tipi için yaklaşık 3 milyon imza (signature) taraması yapabilir.

SureLog tarafından yapılan sınıflandırmalara örnek:

“Successful Login”

“Malicious DNS Attack”

“Compromised Virus Attachment NotCleaned”

“Informational VPN Tunnel Failed”

“Informational.Traffic.Start”

Sınıflandırma işlemi

Kelime bazlı, Kalime(ler), servis kombinasyonları,

Verinin toplandığı sistem imzaları (signatures)

Operasyonel parmak izleri (fingerprints)

Vb..

Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır.

Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri

sonucu yapılır.

Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir.

Örnek olarak:

Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma

prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından

birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific)

hale getirilmesi çok başarılı sonuçlar elde edilir.

İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği

kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında

tarama yapılır.

Bu tarama basit bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki

adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza

(signature) örneği:

ERROR<vrrp>transmit-cannot-receive

Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere

(src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur.

Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve

oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta

Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp

“HealthStatus Abnormal”

Damgası vurularak korelasyona dâhil edilir.

ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit

gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir.

Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit

sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir

bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan

aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da

tamamlamış oluyoruz.

Örnek Kural

Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden

(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme

oturum açar ise haber ver.

Sistem kendisi saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel

sistemlerin verilerini analiz eder ve sonuçlarını korelasyona tabi tutar.

Taxonomy ile ilgili daha detaylı bilgiler için :

https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html

http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution

http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi

Senaryo kuralları

Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.

Örnek kural:

1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2

saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde

uyar.

Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz.

http://www.youtube.com/watch?v=pCSMezPxRhY

Senaryo temelli kural geliştirebilmek için:

Rule Severity: Birden fazla kuralı sıra veya aralarındaki zaman ilişkisine göre işletebilmelidir.

Birden çok korelasyondan başka bir korelasyon yazılabilmeli

Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi,

diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilmeli

Birden fazla değişik olayın belirli süre zarfında sıralı olarak gerçekleşmesi ( X ' Y) (sıralı

(sequential) korelasyon) kuralı yazılabilmeli

Her bir korelasyon kuralı için öncelik değeri verilebilmeli

Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme

Herhangi bir çıkarımı birden fazla kuralın kaynak IP, Hedef IP, Kullanıcı, Bilgisayar adı, kaynak ve

hedef portlarının aynı olması veya olmaması ilişkisi ile sıra veya zaman ilişkisi ile ilişkilendirip

sonuçlandırmak mümkündür.

Örnek:

Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar

Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa

uyar

Benzer şekilde yukarıdaki mantık ile birden fazla değişik olayın belirli süre zarfında sıralı olarak bir

kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilir.

Yukarıdaki editörden görüldüğü gibi

Önce Part_1 kuralı, sonra not_port kuralının oluşmaması ve ardından part_3 kuralının oluşması

seklinde kurallardan oluşan alarm oluşturmak mümkündür.

Mantıksal Bağımsızlık

Senaryo temelli bir kural geliştirebilmek için loglar arasında ilişkileri kurarken tam esneklik gerekir.

Normalize edilmiş herhangi bir logun herhangi bir özelliği (örnek: Kaynak IP) ile diğer bir logun

özelliği ilişkilendirilebilmeli ve daha sonra da loglar arası mantıksal işlemler yapılabilmelidir. SureLog

Int. Edt. Bunu sağlar.

Örnek: A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2

saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar.

Yukarıdaki kuralda görüldüğü gibi her 2 logda da kullanıcının (A) ı ve sunucunun (X) ayanı olması

bekleniyor. Ayrıca senaryonun 2. Adımında da 2. Olayın belirtilen süre zarfında olmamış olması

bekleniyor

Thrashold kuralları

Thrashold kuralları bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi

(zaman pencereli (time window) durumunun tespiti için kullanılır. Aşağıda bu kural geliştirme

sihirbazı görülmektedir. Bu tür kuralların yazıldığı benzer ürünlere göre Same Events ve Different

Events ayarları bir üstün özelliktir. Ayrıca bu sayma özelliği sonucunda çıkan sonuç diğer bir kurala

bağlanabilir.

Örnek: Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika

içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,

Threat Intelligence

Threat Intelligence global değişik kaynaklara (IP Block List, Spammers etc.. ) entegrasyonu

olarak oralardan kara listeleri çekip bunlarla ilgili uyarı sistemi oluşturmaya verilen addır.

Örnek Kurallar

Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi

bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme

oturum açar ise tespit et,

Port/Network Tarama Tespiti için örnek Log Korelasyon/SIEM kuralı:Bir saat içerisinde , aynı

kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi

yapılıyorsa alarm üret

Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde

3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7

gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.

Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar,

Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar

Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi

tespit et.

Fraud Tespiti için örnek Log Korelasyon/SIEM kuralı:Sisteminize, bir gün içerisinde , aynı

kullanıcı farklı ülkelerden geliyorsa, muhtemelen fraud işlemi yapılıyordur.

Birisi Networkünüzde DHCP server açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu

bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya

yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar

RDP taraması yapan var mı? Tespiti için örnek Log Korelasyon/SIEM kuralı: Aynı IP den

birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.

Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum

denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.

Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login

olunduysa uyar

Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika

içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,

Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız

olunursa uyar,

Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum

açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.

Danışmanlarınız uzaktan RDP ile şirketinize bağlanıyor ve bir portal üzerinden veya bir client

kullanarak danışmanlıklarını verdikleri sisteme bağlanıyorlar. Böyle durumlarda

kullabileceğiniz özel bir log korelasyon kuralı:

Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e

ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar.

Brute-force deneme tespiti için kullanılabilecek bir kural örneği:Eğer aynı IP’den, kısa

zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa, bu loglar bir

brute-force denemesine işaret ediyor olabilir.

Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika

içerisinde başka saldırının hedefi olmuş ise uyar,

Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu

kullanıcı ve bunu bloklayan kuralı tespit et,

A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2

saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde

uyarı almak veya aksiyon gerçekleştir,

Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı ve sonrasında D olayı olursa uyar.

Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı olmazsa ve sonrasında D olayı

olursa uyar.

Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan

işletilmek üzere gönderilirse uyar

W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı

login logu gelirse uyar

Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat

içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından

mail gönderildi ise uyar,

Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum

denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.

Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve

ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar.

Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı

oluşuyorsa uyar

Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar

Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar

Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir

defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca

paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)

UnusualUDPTraffic üreten kaynak IP yi bildir

IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar

Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar”

listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar

Bir IP taraması olursa uyar

WEB üzerinden SQL atağı olursa uyar

Mesai saatleri dışında sunuculara ulaşan olursa uyar

Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum

açmayı denerse uyar