SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI VE ANET SURELOG SIEM YAZILIMI

1. SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
ertugrul.akbas@anetyazilim.com.tr
eakbas@gmail.com
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç
kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır.
Bunun için SIEM sistemleri hazır bir kütüphane ile gelir. Bu kütüphanede ne kadar sayıda kural, ne
kadar geniş alanı tarıyor önemli bir kriterdir. Taradığı alan :
 IPS/IDP kuralları
 Cisco
 Firewalls
 Connections
 General Applications
 Windows
o User Management
o Group Management
o Machine Management
o Authentication
o Windows Firewall
o Authorization
o Audit Policy
o Software Management
o Access Violation
o File Management
o Risk Management
o Password Management
o Service Management
o Performance Monitoring
o File Replication
o Windows File Protection
o Printer
o System Uptime
o NTDS Defragmentation
o Network
o Hardware Errors

 FTP
 DNS
 Security
 Network Monitor
 Telnet
 URL
 Operating Systems
 Sunucu güvenliği

2.  WEB server güvenliği
 Network Cihaları
o Cisco
o HP
o Dell
o Aruba
o Vb..
gibi alt bileşenlerden oluşur. Ve bu bileşenler için hem güvenlik hem de hata durumu analizi kuralları
içerir.
Bundan başka ve daha önemli bir özellik ise ihtiyaçlar kapsamında kendi kurallarınızı geliştirebiliyor
olmaktır. Kural geliştirme yeteneğini ise 4 farklı seviye olarak ele alabiliriz:
Basit periyodik kurallar
Basit gerçek zamanlı kurallar
Senaryo kuralları
Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.
KORELASYON KURALLARI
Kullanıcıların kendi geliştirebileceği kuralları yukarıda 4 farklı kategoriye ayrılmıştık. Bunlara kısa
kısa örnekler verip, ANET tarafından geliştirilen ANALİZSEL KORELASYON YAKLAŞIMI
açıklayacağız
Basit periyodik kurallar
Bu tarz ürünlerin gerçek bir korelasyon motoru olduğundan bahsedilemez. Bu tarz sistemler
kullanıcının ara yüzde seçtiği değerlere göre arka planda bir sorgu oluşturur ve aşağıdaki resimdeki
gibi sorguyu veya bazen alarm diye de adlandırılan betiği her xxx saniye bir çalıştır gibi ayarlar
yaptırırlar. Dolayısı ile bu tarz ayarlar aslında bir motor olmadığına ve sonucun DB (SQL ,NoSQL, Flat
File) üzerinde periyodik sorgu çalıştırmakla üretilmeye çalışıldığını gösterir.
Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan zaaflara sahiptirler. Bu
zaaflar 4 adettir
1. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod
içindeki olaylar anında yakalanamaz
2. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir
performans problemine sebep olur
3. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz

3. 4. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz
Basit gerçek zamanlı kurallar
Gerçek zamanlı bir korelasyon kuralına sahip olup, senaryo yazmaya elverişli olmasalar bile bazı
temel kuralları işletebilirler. Örnek kurallar:
1. Her hangi bir log kaynağına ait loglarda bir olay gerçekleşirse,
2. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay
gerçekleşirse,
3. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay
gerçekleşmez ise,
4. A kaynağına ait bir olay gerçekleştikten sonra t süresi içerisinde gene A kaynağına ait
olaydan bir ya da n adet gerçekleşirse (hakeza bu n kere tekrarlanabilir),
5. A tipindeki herhangi bir cihazdan X türünde bir log geldikten sonraki 5 dakika içerisinde diğer
cihazların herhangi birinden Y türündeki veya Z türündeki bir log 20 defadan fazla gelirse
alarm oluştur v.b
6. Ayrıştırılan alanlar üzerinden korelasyon adımlarında filtreleme yapılabilmelidir.
Örnek: IDS attack info = buffer overflow ise, hedef IP = 10.10.10.10 ise gibi,
Senaryo kuralları
Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar.
Örnek kural:
1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2
saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde
uyar.
Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz.
http://www.youtube.com/watch?v=pCSMezPxRhY
Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar.
Bu yaklaşım, çeşitli parametrelere logları kategorize eden otomatik bir süreçtir ( genellikle mesajlar
paternlere göre analize edilir.). Bu sınıflar önceden belirlenmiş olup patter sınıf ilişkisi kurulmuştur.
Sistem loglar akarken sınıfsal korelasyona tabi tutulur ve daha önceden belirlemiş sınıflardan birine
dahil edilir. Böylece aşağıdaki gibi kurallar yazılabilir.
 Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden
(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme
oturum açar ise haber ver.

4. ANET SureLog Sınıflandırma temelli korelasyon özellikleri:
SureLog http://www.anetyazilim.com.tr/surelog yaklaşık 300 farklı sınıf için yaklaşık 400 000 imza
(signature) taraması yapabilir.
SureLog tarafından yapılan sınıflandırmalara örnek:
 “Malicious DNS Attack
 “Compromised Virus Attachment NotCleaned”
 “Informational VPN Tunnel Failed”
Sınıflandırma işlemi
 Kelime bazlı,Kalime(ler), servis kombinasyonları,
 Verinin toplandığı sistem imzaları (signatures)
 Operasyonel parmak izleri (fingerprints)
 Vb..
Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır.

5. Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri
sonucu yapılır.
Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir.
Örnek olarak :
Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma
prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından
birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific)
hale getirilmesi çok başarılı sonuçlar elde edilir.
İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği
kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında
tarama yapılır.
Bu tarama basıt bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki
adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza
(signature) örneği:
ERROR<vrrp>transmit-cannot-receive
Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere
(src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur.
Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve
oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta
Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp
“HealthStatus Abnormal”
Damgası vurularak korelasyona dahil edilir.
ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit
gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir.
Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit
sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir
bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan
aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da
tamamlamış oluyoruz.
Örnek Kural
 Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden
(Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme
oturum açar ise haber ver.
Sistem kendisi Saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış
profesyonel sistemlerin verilerini analiz eder ve sonuçalrını korelasyonu tabi tutar.

6. Bu sınıflandırmalar için entegre olunan sistemler
3Com Office Connect Firewall eEye Digital Retina Network Security Scanner
3Com Secure Router EgeWave WEB Security
AhnLab Malware Defense System EgeWave EMAIL Security
Airlive Firewall Enforcive Systems Cross Platform Audit
Anchiva FW Enterasys Dragon IDS
Apache WEB Server F5 F5-BIGIP
Apple Mac F5 FirePass SSL VPN
Aruba Wireless LAN FireEye Malware Protection System
Astaro FW ForeScout CounterACT NAC
Aventail Aventail SSL VPN Fortinet Fortigate
Barracuda Barracuda Web Filter Fortinet Fortimail
Barracuda NG Firewall Fortinet DHCP
Barracuda Spam Virus Firewall Free Radius Radius Server
BlueCoat SGOS Gateprotect Firewall
BlueCoat WebProxy Global Technology Associates GNAT Box
Brocade NetIron XMR/MLX HP Wireless LAN Controller
Check Point Firewall Ingate Firewall
Checkpoint SafeOffice IPCop Firewall
Cimcor Firewall Iptables Firewall
Cisco ACE IronPort C350
Cisco ASA IronPort ESA Archive Logs
Cisco Access Control Server IronPort WSA Access Logs
Cisco CSA Ironport Email Security Gateway
Cisco CSA Management Center Juniper IDP
Cisco CatOS Juniper Juniper System Logs
Cisco Firewall Service Module Juniper NSM
Cisco IOS Juniper SSL VPN IVE
Cisco IPS Kerio Firewall
Cisco Nexus Switches Lancope StealthWatch
Cisco PIX LeadSec LeadSec Firewall
Cisco VPN 3000 Lenovo Security Technologies LeadSec
Cisco Wireless LAN Controller Linux Linux
Clavister Firewall Linux DHCP
Clavister DHCP Linux DNS
Cyberoam UTM Mcafee EPO AV-HIPS-Solidcore
Dell PC 5324 Switch Mcafee EPO-AV
Drytek Firewall Mcafee EPO-FW
Drytek DHCP Mcafee EPO-IPS
Drytek DNS Mcafee Foundscan Enterprise

7. Mcafee IntruShield IPS Secure Computing Sidewinder
Mcafee Web Gateway Appliance Securepoint FW
Mcafee Mail Gateway Sendmail, Inc. Sentrion MP
Mcafee Firewall SMC Networks SMCWBR14T-G
MetaTrader Forex Trading Platform Snort ALL
Microsoft IIS SonicWALL Firewall
Microsoft IIS SMTP SonicWALL SSL VPN 2000
Microsoft Windows Sonicwall DHCP
Microsoft DHCP Sophos UTM
Microsoft DNS SourceFire SourceFire
Microsoft Exchange Squid URL Filter
Microsoft ISA StoneSoft Firewall
Microsoft MS SQL StoneSoft IPS
Nessus Nessus StoneSoft StoneGate Management Center
Net Filter IP Tables Sun Microsystems Solaris
NetApp NAS Symantec Antivirus
NETASQ Firewall Symantec Endpoint Protection
Netscreen Firewall TippingPoint IPS
NetScreen DHCP TopLayer TopLayer IPS
Nortel VPN Router Trend Micro OfficeScan
Open Source FreeBSD TrendMicro InterScan Web Security Appliance
Open Source Snort TrendMicro Intrusion Defense Firewall (IDF)
Open Source Apache(via syslog) Tripwire Enterprise
Open Source Sendmail on Solaris V8 Tripwire for Windows (Snare)
Open Source dhcpd Untangle Firewall
Opzoon Firewall VMWare ESX and ESXi VMWare ESX and ESXi
Oracle Common Audit Trail VMWare ESX and ESXi VMWare vCloud Director
Oracle for Windows VMWare ESX and ESXi vShield Zones
Palo Alto Network Firewall Watchguard Firebox SOHO
PaloAlto URL Filter Watchguard Firebox X Edge
Pfsense DHCP Websense Enterprise
Pfsense Firewall Websense Email Security Gateway
Point-to-Point Protocol PPP Zimbra Mail Server
Postfix Mail server Zyxel Modem
PowerTech Interact Zyxel ZyAir G-4100
QNAP NAS Zyxel Firewall
Qualys QualysGuard
Rhinosoft Serv-U FTP
RSA Authentication Manager