IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
1. ANET SureLog SIEM IntelligentResponse Özelliği
Korelasyon sistemleri 2 ana parçadan oluşur:
1. Tespit
2. Tepki.
Tepki kısmı alarm ve aksiyon alma olarak yine 2 temel alt gruba ayrılabilir.
ANET yazılım tarafından geliştirilen ANET SureLog SIEM ürününü tespit tarafında
muadillerine göre pek çok avantajlara sahiptir [1,2,3,4].
Tespit modülü ile aşağıda örnekleri verilen durumlar ve benzeri durumlar tespit
edilebilir:
Eğer, içerideki bir PC potansiyelzararlı alan adına DNS sorgusu yaparsa,daha sonra aynı PC
sonraki 24 saat içinde internete 1024’ten büyük TCP portlarından çıkmaya çalışıyorsa ve/veya
sonraki 1 hafta içerisinde aynı PC mesai saatleri dışında internet istekleri yapıyorsa uyar,
Protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef
IP si kayıtlı DHCP sunucularlistesinde olmayan bir trafik olursa uyar,
Aynı kullanıcı önce Linux sunucuda oturumaçıyor daha sonra da windows sunucuda oturum
açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise bildir,
Herhangi bir kullanıcı bir sunucuya login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyar,
Aynı kaynak IP den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa
uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket
bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz),
2. UnusualUDPTraffic üreten kaynak IP yi bildir,
IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar,
Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar”
listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar,
Tespit modülü gerekli işlemleri yerine getirdikten sonra yapılacak uyarılar ve alınacak
aksiyonlar en az tespit kadar önemlidir. ANET SureLog SIEM ürünü akıllı tepki sistemi
sayesinde bu uyarı ve aksiyonları akıllı bir şekilde yapabilir. IntelligentResponse olarak
adlandırdığımız bu modülün gücü aslında korelasyon motorunun gücünden
gelmektedir. SureLog ürününün korelasyon motoru tamamen görsel sihirbazlar ve
drag&drop lar üzerine bina edilmiş olmasına rağmen görsel olarak basitçe üretilen
kurallar aslında arka planda JAVA [5] koduna dönüştürülmekte ve bir program
parçacığı olarak çalışmaktadır. Bu sayede JAVA bilen kullanıcılar için dünyada sadece
SureLog ürünümüzde bulanan expert mode özelliği le java ile yazılan kodlar da
korelasyon kuralı olarak çalıştırılabilmekte ve böylece herhangi bir kısıt olmadan her
türlü mantık (logic) çalıştırılabilmektedir.
Sistem aynı zamanda oluşturulan java koddan SureLog korelasyon kural dosyalarını
da üretebilme yeteneğine sahiptir
Örnek java kodu Ek-1 kısmında gösterilmiştir.
Tespit modülü eğer bir olay tespit eder ise tepki modülü
Mail gönderme
Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
3. Java kod çalıştırma
Uygulama çalıştırma
Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya
çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi
yapanlara yeni bir kullanıcı ekleme veya çıkarma vb..
Aksiyonlarından birini veya birkaçını yerine getirir. Bu ANET SureLog SIEM
ürünün korelasyon modülünün değer bir üstünlüğüdür. Aşağıdaki ekran
kullanılarak yukarıda tanımlanan tepkilerin bir ya da birkaçı tanımlanabilir.
Bu modülde aşağıdaki ekranda görüleceği gibi mail atma, script veya program
çalıştırma veya dinamik liste yönetimi modülüne olay ile ilgili parametreler
verilebilir. Örnek
Olay kaynağı
Olay hedef IP
Kullanıcı adı
Bilgisayar adı
Process Name
Software Name
…….
4. Yukarıda IntelligentResponse modülünün alarm tanımlama ekranında görüldüğü üzere
tanımlanan tepki (response) ye parametre eklemek (Kaynak IP, Kullanıcı ADI vb..) mümkün
ve böylece
Atack yapılan makine gerekli scriptleri kullanarak kapatılabilir ya da daha önceden
oluşturulan bir liste güncellenebilir veya yeni bir liste oluşturulabilir ve bu listeler
otomatik olarak diğer kurallar veya yeni eklenecek kurallar tarafından kullanılır ya da
istenilen başka bir işlem yaptırılabilir.
Dinamik liste güncelleme ve oluşturma dünyada başka hiçbir ürün tarafından
sağlanmayan bir özelliktir. Bu özellik Tespit modülü için inanılmaz esneklik ve geniş
kullanım alanı sağlar. Örnek: Administrator grubundaki bir kullanıcı login failed oldu
ise uyar. Burada Administrator grubu dinamik olarak devamlı diğer kurallar (rule) ile
güncel tutulur. Örnek Admin grubuna bir kullancı eklendi ise Administrator kullanıcı
listesini güncelle gibi.
Referanslar
1. http://www.slideshare.net/anetertugrul/surelog-international-edition
5. 2. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-
gerek-siem-rn-ile-gvenlik-analiz-senaryolar
3. http://www.slideshare.net/anetertugrul/log-korelasyon-siem-kural-ornekleri-ve-
korelasyon-motoru-performans-verileri
4. http://www.slideshare.net/anetertugrul/log-yonetimi-ve-siemkontrol-listesi
5. https://www.java.com/tr/
Ek-1:
syslogcorrelationobject1:SyslogCorrelationObject(SRCNAME=='deneme')
w hen
$map: Map()
fromaccumulate ( $so: SyslogCorrelationObject( $SRC: SRC,$DST: DST,$SRC_PORT: SRC_PORT,$DST_PORT:
DST_PORT ) over w indow:time( 10s ) ,
init( Map m = new HashMap();Hashtable ht=new Hashtable(); ),
action( List list = (List)m.get($DST+"_"+$SRC_PORT+"_"+$DST_PORT);
if( list == null )
list = new ArrayList();
if (!ht.containsKey($so.getSRC())){
list.add( $so );
ht.put($so.getSRC(),$so.getSRC());
}
m.put($DST+"_"+$SRC_PORT+"_"+$DST_PORT,list);),
result( m ) )
then
Iterator s=$map.keySet().iterator() ;
if (s.hasNext()){
w hile (s.hasNext()){
String src_key=(String)s.next();
List list=(List)$map.get(src_key);
if (list.size()>2){
System.out.println(src_key+" DDOS Oldu "+list.size());
Mailer.mail("info@anetyazilim.com.tr",src_key+" DDOS Oldu "+list.size());
}
else{
// System.out.println(src_key+" DDOS olmadı size "+list.size());
// Mailer.mail("info@anetyazilim.com.tr",src_key+" DDOS olmadı size "+list.size());
}
}
}
else{
Mailer.mail("info@anetyazilim.com.tr","3. koşul");
}
end