Upload
ertugrul-akbas
View
209
Download
2
Embed Size (px)
Citation preview
İçindekiler ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN ÜSTÜNLÜKLERİ .................................... 1
Korelasyon Avantajları ............................................................................................................................. 3
Taxonomy ............................................................................................................................................ 3
Senaryo kuralları ................................................................................................................................. 7
Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme ................................................................ 8
Mantıksal Bağımsızlık .................................................................................................................... 11
Thrashold kuralları ......................................................................................................................... 11
Threat Intelligence ............................................................................................................................. 12
Örnek Kurallar ................................................................................................................................... 12
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları,
hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve
korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false
positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a
bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
ANET SURELOG International Edition ürününün korelasyon tarafının üstünlüklerine
geçmeden önce temel korelasyon özelliklerini açıklamak gerekirse:
Korelasyon gerçek zamanlıdır,
Korelasyon kuralı geliştirme editörü sorgu (SQL ,NoSQL, Flat File) temelli değildir. Özel bir
kural geliştirme sihirbazına sahiptir,
Korelasyon motoru her zaman aktif tir. Bazı ürünlerdeki gibi periyodik çalışma handikabına
sahip değildir.
Korelasyon motoru veri tabanı (SQL ,NoSQL, Flat File) üzerinden çalışmaz ve veri tabanı
kapatılsa bile korelasyon yapabilir.
Bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi (zaman
pencereli (time window) korelasyon yapabilir,
Korelasyon kurallarının yazılması için ürün görsel bir ara yüze sahiptir,
Kuralların belirli bir süre alarm üretmesinin durdurulması (Alarm Suspend),
Kuralların sadece belirlenen zaman dilimlerinde çalışması,
Birden fazla değişik olayın gerçekleşmesi (birleşik korelasyon) şeklindeki korelasyonları
destekler,
Pek çok global üründe dahi olmayan TAG (Kullanıcı tarafından otomatik veya manuel alan
ekleme),
Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,
Hafızada korelasyon yapabilmeyi destekler,
Tek kaynak korelasyon kurallarını destekler,
Çoklu kaynak korelasyon kurallarını destekler,
Pek çok global üründe dahi olmayan negatif durum kurallarını destekler,
Pek çok global üründe dahi olmayan Context base korelasyonu destekler,
Pek çok global üründe dahi olmayan Hiyerarşik korelasyonu destekler,
Pek çok global üründe dahi olmayan Dinamik liste içerisinde kontrolü destekler,
Kuralları yazarken çok geniş operatör desteğine sahiptir. Örnek:
SureLog Korelasyon Avantajları
Bu bolümde SureLog ürününün mevcut SIEM ürünlerinin korelsayon yeteneklerine göre avantajları
açıklanacaktır. Bu avantajlar 3 ana grupta toplanabilir.
Taxonomy
Senaryo Kuralları
Threat Intelligence
Taxonomy
Taxonomy en basit şekilde gruplandırma olarak açıklanabilir. Örnek vermek gerekirse
Bir router login işlemi
Bir switch login işlemi
Bir Firewall login işlemi
Bir Windows server login işlemi
Bir Linux login işlemi
Tek bir grup altında login hareketi olarak gruplandırmaya tabi tutulur ve sonrasında hem raporlarken
tek bir hareketle “Networkumdeki bütün login işlemlerini raporla” hem de korelasyonda “UTM
cihazım aynı IP den dakikada 15 tane paketi virüslü olarak blokladıktan sonraki 5 dakika içerisinde
networkuma bir login işlemi olmuşsa bu login işlemi yapan ve yapılan makine bilgilerin i mail at” gibi
kurallar yazılmasına imkân tanır.
Taxonomy, logun içinde olmayan veriyi logun kaynağının imza veritabanı (signature DB), logdaki
işaretçiler (system-alert-00016: gibi) ve logun barındırdığı direkt anlamların (zone Untrust, int
untrust gibi) birlikte değerlendirilmesi logda olmayan değerli taxonomy bilgisinin oluşturulup loga
eklenmesi işlemidir.
SureLog da mevcut 1537 gruptan bazıları
Reconnaissance->Scan->Host
• TCPTrafficAudit->TCP SYN Flag
• ICMPTrafficAudit
• NamingTrafficAudit
• Malicious->Web->SQL
• Flow->Fragmentation
• httpproxy->TrafficAudit accept
• HTTPDynamicContentAccess
• WebTrafficAudit.Web Content
• HealthStatus.Informational.Traffic.Start
• Malicious.BufferOverflow
• Malicious.Trojan
• PolicyViolation
• Malicious.Web.Attack
Loglar ve Tespit Edilen Taxonomy Örnekleri
Fortigate
o Log: date=2014-05-11 time=18:52:15 devname=JLL_FW devid=FG200B3910602686
logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root"
severity=low srcip=192.168.100.45 dstip=192.168.100.45 srcintf="port2" dstintf="Vlan_3"
policyid=49 identidx=0 sessionid=388914 status=detected proto=6 service=http count=1
attackname="ZmEu.Vulnerability.Scanner" srcport=38281 dstport=80 attackid=30024
sensor="all_default_pass" ref="http://www.fortinet.com/ids/VID30024"
incidentserialno=1432164121 msg="web_app3: ZmEu.Vulnerability.Scanner,"
o Taxonamy :HTTPDynamicContentAccess
Netscreen
o Log: 2010-05-27 10:52:57 Local0.Notice 192.168.0.251 Prolink_SSG20:
NetScreen device_id=Prolink_SSG20 [Root]system-notification-00257(traffic):
start_time="2010-05-27 09:53:44" duration=304 policy_id=190 service=http proto=6 src
zone=DMZ dst zone=Untrust action=Permit sent=788 rcvd=558 src=172.16.0.200
dst=91.191.162.21 src_port=57693 dst_port=80 src-xlated ip=85.99.239.110 port=2976 dst-
xlated ip=91.191.162.21 port=80 session_id=7456 reason=Close - AGE OUT<000>
o Taxonamy :TCPTrafficAudit.
Paloalto
o Log: Jan 6 18:26:27 1,2012/01/06 18:26:27,0004C100842,THREAT,url,1,2012/01/06
18:26:25,10.141.0.96,84.51.27.173,0.0.0.0,0.0.0.0,Default Out,superfresh\\mun001tr,,web-
browsing,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,anet,2012/01/06
18:26:26,51273,1,1924,80,0,0,0x8000,tcp,alert,\"mobis.ulker.com.tr/dss/raporlar/rap_anlik_sat
is.aspx\",(9999),Kerevitas_WhiteList,informational,client-to-server,0,0x0,10.0.0.0-
10.255.255.255,Turkey,0,text/html
o Taxonamy :WebTrafficAudit.Web Content
Sonicwall
o Log: <134>id=firewall sn=0017C5598622 time="2011-02-13 16:20:31" fw=81.214.84.237
pri=6 c=1024 m=537 msg="Connection Closed" n=0 src=81.214.84.237:4854:X1:
dst=195.175.39.40:53:X1:ttdns40.ttnet.net.tr proto=udp/dns sent=75 rcvd=414
o Taxonamy :NamingTrafficAudit
Cisco Pix
o Log: Aug 17 2011 15:04:42 212.109.105.1 : %PIX-6-302013: Built inbound TCP connection
2493108 for outside:78.187.203.198/16884 (78.187.203.198/16884) to
inside:192.168.147.2/80 (212.109.105.3/80}
o Taxonamy :HealthStatus.Informational.Traffic.Start
Snort
o Log:09/22-21:03:36.341625 [**] [1:12798:4] SHELLCODE base64 x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1] {TCP} 188.72.243.72:80 ->
192.168.3.65:1035
o Taxonamy : Malicious.BufferOverflow
o Log:09/22-21:03:36.341958 [**] [1:2013976:10] ET TROJAN Zeus POST Request to CnC -
URL agnostic [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}
192.168.3.65:1036 -> 188.72.243.72:80
o Taxonamy : Malicious.Trojan
o Log:09/22-21:03:36.306197 [**] [1:2014819:1] ET INFO Packed Executable Download [**]
[Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -> 192.168.3.65:1033
o Taxonamy : PolicyViolation
o Log:09/22-21:03:36.306197 [**] [1:15306:12] FILE-IDENTIFY Portable Executable binary
file magic detection [**] [Classification: Misc activity] [Priority: 3] {TCP} 188.72.243.72:80 -
> 192.168.3.65:1033
o Taxonamy : Malicious.Web.Attack
Aşağıdaki resimde Korelasyon sihirbazı içerisindeki taxonomy modülü göstermektedir.
SureLog Int. Ed. yaklaşık 350 farklı log tipi için yaklaşık 3 milyon imza (signature) taraması yapabilir.
SureLog tarafından yapılan sınıflandırmalara örnek:
“Successful Login”
“Malicious DNS Attack”
“Compromised Virus Attachment NotCleaned”
“Informational VPN Tunnel Failed”
“Informational.Traffic.Start”
Sınıflandırma işlemi
Kelime bazlı, Kalime(ler), servis kombinasyonları,
Verinin toplandığı sistem imzaları (signatures)
Operasyonel parmak izleri (fingerprints)
Vb..
Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır.
Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri
sonucu yapılır.
Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir.
Örnek olarak:
Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma
prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından
birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific)
hale getirilmesi çok başarılı sonuçlar elde edilir.
İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği
kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında
tarama yapılır.
Bu tarama basit bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki
adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza
(signature) örneği:
ERROR<vrrp>transmit-cannot-receive
Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere
(src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur.
Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve
oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta
Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp
“HealthStatus Abnormal”
Damgası vurularak korelasyona dâhil edilir.
ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit
gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir.
Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit
sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir
bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan
aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da
tamamlamış oluyoruz.
Örnek Kural
Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden
(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme
oturum açar ise haber ver.
Sistem kendisi saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel
sistemlerin verilerini analiz eder ve sonuçlarını korelasyona tabi tutar.
Taxonomy ile ilgili daha detaylı bilgiler için :
https://www.novell.com/developer/plugin-sdk/sentinel_taxonomy.html
http://www.slideshare.net/anetertugrul/sure-log-context-sensitive-scalable-siem-solution
http://www.slideshare.net/anetertugrul/siniflandirma-temell-korelasyon-yaklaimi
Senaryo kuralları
Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.
Örnek kural:
1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyar.
Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz.
http://www.youtube.com/watch?v=pCSMezPxRhY
Senaryo temelli kural geliştirebilmek için:
Rule Severity: Birden fazla kuralı sıra veya aralarındaki zaman ilişkisine göre işletebilmelidir.
Birden çok korelasyondan başka bir korelasyon yazılabilmeli
Birden fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının gerçekleşmesi,
diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilmeli
Birden fazla değişik olayın belirli süre zarfında sıralı olarak gerçekleşmesi ( X ' Y) (sıralı
(sequential) korelasyon) kuralı yazılabilmeli
Her bir korelasyon kuralı için öncelik değeri verilebilmeli
Birden fazla kuralı sıra veya zamana bağlı ilişkilendirme
Herhangi bir çıkarımı birden fazla kuralın kaynak IP, Hedef IP, Kullanıcı, Bilgisayar adı, kaynak ve
hedef portlarının aynı olması veya olmaması ilişkisi ile sıra veya zaman ilişkisi ile ilişkilendirip
sonuçlandırmak mümkündür.
Örnek:
Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar
Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login olunduysa
uyar
Benzer şekilde yukarıdaki mantık ile birden fazla değişik olayın belirli süre zarfında sıralı olarak bir
kısmının gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) kuralı yazılabilir.
Yukarıdaki editörden görüldüğü gibi
Önce Part_1 kuralı, sonra not_port kuralının oluşmaması ve ardından part_3 kuralının oluşması
seklinde kurallardan oluşan alarm oluşturmak mümkündür.
Mantıksal Bağımsızlık
Senaryo temelli bir kural geliştirebilmek için loglar arasında ilişkileri kurarken tam esneklik gerekir.
Normalize edilmiş herhangi bir logun herhangi bir özelliği (örnek: Kaynak IP) ile diğer bir logun
özelliği ilişkilendirilebilmeli ve daha sonra da loglar arası mantıksal işlemler yapılabilmelidir. SureLog
Int. Edt. Bunu sağlar.
Örnek: A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar.
Yukarıdaki kuralda görüldüğü gibi her 2 logda da kullanıcının (A) ı ve sunucunun (X) ayanı olması
bekleniyor. Ayrıca senaryonun 2. Adımında da 2. Olayın belirtilen süre zarfında olmamış olması
bekleniyor
Thrashold kuralları
Thrashold kuralları bir yada bir çok değişik olayın belirli bir süre zarfında birçok kere gerçekleşmesi
(zaman pencereli (time window) durumunun tespiti için kullanılır. Aşağıda bu kural geliştirme
sihirbazı görülmektedir. Bu tür kuralların yazıldığı benzer ürünlere göre Same Events ve Different
Events ayarları bir üstün özelliktir. Ayrıca bu sayma özelliği sonucunda çıkan sonuç diğer bir kurala
bağlanabilir.
Örnek: Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika
içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
Threat Intelligence
Threat Intelligence global değişik kaynaklara (IP Block List, Spammers etc.. ) entegrasyonu
olarak oralardan kara listeleri çekip bunlarla ilgili uyarı sistemi oluşturmaya verilen addır.
Örnek Kurallar
Güvenlik cihazı aynı kaynaktan 15 adet paketi blokladıktan sonra 5 dakika içerisinde herhangi
bir noktadan (Sunucu (Linux,Windows) ,router, switch, firewall, modem vb..) birileri sisteme
oturum açar ise tespit et,
Port/Network Tarama Tespiti için örnek Log Korelasyon/SIEM kuralı:Bir saat içerisinde , aynı
kaynak IP’den, aynı hedef IP’ye doğru 100 adet birbirinden farklı porta erişim denemesi
yapılıyorsa alarm üret
Herhangi bir kullanıcı herhangi bir sisteme (Firewall,Windows,Linux,Switch..) 1 saat içerisinde
3 veya daha fazla başarısız oturum denemesi yaptıktan sonra o kullanıcının önümüzdeki 7
gün (X gün) boyunca oluşturacağı tüm başarısız oturum açma olaylarını bildir.
Birbirinden farklı kaynaklardan aynı IP ve aynı Port a dakikada 60 adet bağlantı olursa uyar,
Dakikada 15 tane paket aynı IP den bloklandıktan sonra O IP ye login olunduysa uyar
Aynı IP den birbirinden farklı IP lerin TCP 22 portuna 1 saat içerisinde 100 istek oluşturan IP yi
tespit et.
Fraud Tespiti için örnek Log Korelasyon/SIEM kuralı:Sisteminize, bir gün içerisinde , aynı
kullanıcı farklı ülkelerden geliyorsa, muhtemelen fraud işlemi yapılıyordur.
Birisi Networkünüzde DHCP server açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu
bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya
yönelen ve hedef IP si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar
RDP taraması yapan var mı? Tespiti için örnek Log Korelasyon/SIEM kuralı: Aynı IP den
birbirinden farklı IP lerin TCP 3389 portuna 1 saat içerisinde 100 istek oluşturan IP yi tespit et.
Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum
denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.
Dakikada 15 tane paket aynı IP den bloklandıktan sonra 5 dakika içerisinde O IP ye login
olunduysa uyar
Sistemdeki aynı kaynaktan dakikada 15 paket virüslü sebebi ile bloklanıyorsa, 5 dakika
içerisinde aynı kaynağa bir oturum açılmışsa bu oturumu açan makinayı tespit et,
Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız
olunursa uyar,
Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da windows sunucuda oturum
açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir.
Danışmanlarınız uzaktan RDP ile şirketinize bağlanıyor ve bir portal üzerinden veya bir client
kullanarak danışmanlıklarını verdikleri sisteme bağlanıyorlar. Böyle durumlarda
kullabileceğiniz özel bir log korelasyon kuralı:
Bir kullanıcı sistemde oturum açıyor ve ardından 10 dakika içerisinde portaldan login.html e
ulaşılmadı veya saplogon.exe yi çalıştırmadı ise uyar.
Brute-force deneme tespiti için kullanılabilecek bir kural örneği:Eğer aynı IP’den, kısa
zamanda, çok sayıda, aynı ya da farklı kullanıcılar için hatalı giriş logu oluşuyorsa, bu loglar bir
brute-force denemesine işaret ediyor olabilir.
Eğer bir UTM/IDS/IPS sistemi tarafından atak kaynağı olarak raporlanan bir IP son 15 dakika
içerisinde başka saldırının hedefi olmuş ise uyar,
Herhangi bir kullanıcının trafiği bir firewall kuralı tarafından saniyede X adet bloklanıyorsa bu
kullanıcı ve bunu bloklayan kuralı tespit et,
A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyarı almak veya aksiyon gerçekleştir,
Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı ve sonrasında D olayı olursa uyar.
Önce A olayı, sonrasında B olayı, 5 dakika içerisinde C olayı olmazsa ve sonrasında D olayı
olursa uyar.
Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan
işletilmek üzere gönderilirse uyar
W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı
login logu gelirse uyar
Bir kullanıcı sisteme login olamayıp authentication failure a sebep olduktan sonra 2 saat
içerisinde aynı kullanıcının sisteme başarılı oturum açmadığı halde onun mail hesabından
mail gönderildi ise uyar,
Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum
denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı ise uyar.
Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve
ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu ise uyar.
Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada 100 adetten fazla bağlantı
oluşuyorsa uyar
Aynı Dış IP ve farklı portlardan aynı hedef IP ye dakikada 100 adet bağlantı olursa uyar
Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denerse uyar
Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir
defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca
paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz)
UnusualUDPTraffic üreten kaynak IP yi bildir
IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar
Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar”
listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar
Bir IP taraması olursa uyar
WEB üzerinden SQL atağı olursa uyar
Mesai saatleri dışında sunuculara ulaşan olursa uyar
Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3 den fazla başarısız oturum
açmayı denerse uyar