2. SureLog
Next –Generation SIEM
ANET
ANET SureLog
SureLog global manada bir SIEM yazılımıdır. Tamamen yerli kaynaklarla
üretilen ve Log arama ve raporlamanın ötesinde üreticilerin Signature ID
veri tabanları ve data mining kullanarak Taxonomy üretebilen ve en
gelişmiş korelasyon senaryolarını kolayca geliştirip uygulayabileceğiniz
bir güvenlik çözümüdür
Taxonomy
Korelasyon Motoru
Korelasyon Kural Editörü
Tehdit İstihbaratı
3. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Log Arama Motoru
Elastic ve kendi özel log arama motoru sihirbazları olan bir log arama
motorudur.
4. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Raporlar
En çok saldırı alan makinalar
En uzun süre VPN yapanlar
En çok trafik kullananlar
5. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Raporlar
En fazla başarısız oturum açanlar
En çok mail gönderenler
Çalıştırılan programlar
Erişilen dosyalar
Günün en çok trafik oluşan
saatleri
En çok saldırı yiyen IP ler
Günün hangi satlerinde en çok
mail gönderiliyor/alınıyor
En çok VPN yapanlar ve VPN
saatleri
Gibi 1000 + hazır rapor şablonuna
sahip bir raporlama yazılımıdır
6. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Özel Raporlar
Bu Ay Ertuğrul AKBAŞ’ın geçen aykiler dışında login
olduğu yeni sunucular hangileri
Yeni kara liste acaba geçen ay güncellenseydi ne oludu?
gibi pek çok SIEM ürününde olmayan raporlama sistemleri
mevcuttur.
7. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Özel Raporlar
En karmaşık raporları tasarlamak için bile SQL, Query, Özel
notasyonlu cümlecikler, script vs.. yazmanıza gerek yok.
SureLog rapor sihirbazının temel felsefesi kullanıcı dostu
olması. Her şey drag&drop
12. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM- Uyumluluk
BTK,BDDK, ISO27001,PCI,SOX,HIPAA gibi uyumluluk yönetimi için veri
tabanı takibi
• Kim, ne zaman oturum açmış
• Kim, ne zaman oturumu kapatmış
• Kim ne zaman hangi tablolara erişmiş
• Kim hangi tabloda ne zaman hangi SQL query çalıştırmış.
13. SureLog
Next –Generation SIEM
ANET
Kişisel Verilerin Korunması
Kişisel verilerin korunması kanunu kapsamında bilgi
güvenliği alanındaki loglama ile ilgili adımlar
• Hesap, Şifre ve Erişim Denetimi
• Veri koruma ve veri kaçaklarını engelleme
• İç denetim ve uyum kurallarına uygun raporlama
Örnek olarak herhangi bir kurum veya şirket en basit
şekilde bile olsa müşteri kaydını tuttuğu sunucuları ve
veritabanlarını loglamalı kullanıcıların yapmış oldukları
sorguların kayıtlarının (log) tutmalı
14. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Eklentiler
Güvenlik yöneticilerinin işini kolaylaştıracak eklentilere sahiptir.
• VPN Takibi . http://www.slideshare.net/anetertugrul/anet-surelog-vpn-kullanc-
takibi-rdp-altrlan-programlar-dosya-lemleri-ve-nternet-eriimleri
• Sniffer eklentisi ile ağ trafik analizi
• Tehdit istihbaratı. http://www.slideshare.net/anetertugrul/threat-intelligence-
ve-siem
• Gerçek SIEM çözümlerinin diğer bir farkı da Tehdit istihbaratı verilerinin anında
işleyebilmesidir. Diğer çözümlerde sadece rapor alınabilirken SureLog anında uyarabilir.
• Netflow (LogStash Eklentisi)
15. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Eklentiler
Güvenlik yöneticilerinin işini kolaylaştıracak eklentilere sahiptir.
• Fortinate, Windows, TrendMicro Deep Security&Deep Discovery ve OfficeScan,
Qnap, Mail Sunucular vb.. İçin onlarca özel Add-On a sahiptir.
16. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Eklentiler
Güvenlik yöneticilerinin işini kolaylaştıracak eklentilere sahiptir.
• Anomaly Takibi
17. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Eklentiler
Güvenlik yöneticilerinin işini kolaylaştıracak eklentilere sahiptir.
• Değişim Takibi.
• Saatlik port kullanımı ile bu haftaki port kullanımı trendinin karşılaştırılması
• Haftalık başarısız oturum açma trendi ile bu haftakinin karşılaştırılması
• Saat saat olayların(taxonomy)
değişimi
Gibi onlarca özel eklenti.
18. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Taxonomy
• Taxonomy: Logun sadece SrcIP,DstIP,User,URL,PacketSize vb..
Alanlara bölmek değil bu logun neden oluştuğunu bulabilmektir.
Örnek olarak birisi paket boyutları ile oynayarak networkte bir UDP
trafik oluşturuyorsa bu logun sadece SrcIP,DstIP,User,URL,PacketSize
• Alanlarını parse etmekle kalmayıp ayrıca bu logun UnusualUDP trafik
olduğunu anlayabilmektir.
19. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Taxonomy
Taxonomy ye ikinci bir örnek de birisi networkde port tarama yaparak bir
tarfik oluşturuyorsa bunu sadece SrcIP,DstIP,User,URL,PacketSize
Alanları ile algılamakla yetinmeyip bunun ötesine geçip bu
logu " Reconnaissance->Scan->Host " şeklinde kategorize edip bunu
korelasyona sokmalıyım ve alarm üretmeliyim diyebilmektir.
20. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Korelasyon
Dünyanın en güçlü
korelasyon özelliklerinden
birine sahip SIEM
çözümüdür. En karmaşık
senaryoları bile tamamen
görsel unsurlarla kural
geliştirmeye imkan sağlar,
pek çok rakibi gibi
ekrandaki text alanlarına
sorgu , arama dili veya
özel notasyonlu cümlecik
yazmak zorunluluğu
YOKTUR!!!
21. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Korelasyon
Dünyanın en güçlü
korelasyon özelliklerinden
birine sahip olmasına
rağmen son derece
kullanıcı dostudur.
Korelasyon motorunun
kural geliştirme ara yüzü
drag&drop, çoktan seçme,
listelerden seçme vb. gibi
çok esnek ve tamamen
görsel unsurlarla kural
geliştirmeye imkan sağlar
Bazı rakiplerinde olduğu gibi
ekrandaki text alanlarına sorgu ,
arama dili veya özel notasyonlu
cümlecik yazmak zorunluluğu
gerektirmemektedir.
23. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Korelasyon
Bir DIŞ IP den birbirinden farklı İÇ IP lere 30 dakikada 150 paket
UTM/FW tarafından bloklanıyorsa ve daha sonra 2 saat içerisinde bu
İÇ IP lerin hepsinden birden bu DIŞ IP ye trafik oluşuyorsa uyar
• Bu senaryoyu daha basit bir forma sokmak için Hepsinden birden yerine
herhangi birinden de denebilir ama false pozitif ihtimali artar. Güçlü bir
korelasyon motorunun farkı bu gibi ince durumlarda daha belirgin olarak
ortaya çıkar.
• ANET SureLog buna benzer 100 lerce farklı senaryo oluşturabilecek güçtedir.
Peki SIEM çözümü bu kuralları siz kendiniz
geliştirecek kolaylıkta mı olacak yoksa üretici
yada danışman firmaya mı yazdırmak
zorundasınız?
24. SureLog
Next –Generation SIEM
ANET
Bir Bakışta ANET SureLog SIEM-Korelasyon
Pek çok global SIEM üreticisi hazır kuralların işe yaramadığı ve
kullanıcıların kendi kurallarını geliştirmesi gerektiğini açıkça söylüyor
Dolayısı ile Rule Wizard Kritik
Bununla birlikte bazı ürünler kullanıcının detaylarını göremediği
şekilde ve çoğu zaman kuralları oluşturdukları script vb.. Leri de çok
anlaşılmaz olan kurallar yazıp pazarlamaya çalışıyor. Bu dünyada da
olan bir şey https://avleonov.com/2017/01/15/post-siem-black-
boxes/
Bu maalesef ülkemizde çok daha yaygın
25. SureLog
Next –Generation SIEM
ANET
VE DAHA FAZLASI
VE DAHA FAZLASI İÇİN
http://www.slideshare.net/anetertugrul/surelog-siem
http://www.slideshare.net/anetertugrul/why-surelog