log yönetimi ve siem
DESCRIPTION
Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme, SIEM,SYSLOG,SNMPTRANSCRIPT
LOG YÖNETİMİ ve SIEM Dr. Ertuğrul AKBAŞ
Kelimeler: Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin
Gerekliliği, 5651 Sayılı Yasa, Log Yönetimi, Log Normalleştirme,SIEM,SYSLOG,SNMP
Log Analizi
Bilgisayar ağlarında kullanılan ağ cihazları olaylar hakkında kayıt yapma özelliğine sahiptirler. Bu kayıtlar sayesinde ağ
üzerinde güvenlik olaylarının belirlenmesi ve önlem alınması sağlanmaktadır. Buna Log Analizi denilmektedir.
Log analizi sayesinde sisteme girmeye çalışan kişilerin adres bilgilerine ulaşılmaktadır. Ayrıca sistem içinde bulunan
kullanıcıların yaptıkları (dosya kaydetme , yazıcıdan çıktı alama gibi) işler kontrol edilmesi mümkün olmaktadır.
Büyük firmalarda ise internet ortamında kullanıcıların hangi siteye girdikleri , hangi aşamada terk ettikleri , hangi
sayfada daha çok / az zaman harcadıkları gibi bilgilere kolaylıkla ulaşmaları sağlanır.
Log Yönetimi
Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar
log yönetimini zorunlu kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir.
Ayrıca, 04.05.2007 tarihli 5651 sayılı kanunda internet suçlarını önlemeye yönelik olarak kurumların log yönetimi ile
ilgili yükümlülükleri belirlemiştir.
Log sistemleri karakterleri itibari ile dağıtık yapıya sahip sistemlerdir.
Log Yönetimi: Log Toplama, Log Normalleştirme, Log Indexleme, Korelasyon ve Filtreleme/Raporlama ve Alarm
yönetimi katmanlarından oluşur.
Bu özelliklere sahip sistemlerin özellikleri:
Logların merkeze toplanması
Log Saklama
Verilere hızlı erişimi ve gösterimi
Desteklediği Log formatının çokluğu
Veri analizi
Kayıtların saklanması
Arşivleme ve geri getirme
Verilerin yetkiler ve ilişkiler seviyesinde erişimi
Veri bütünlüğünün sağlanması
Loglara erişim auditlerinin tutulması
Sistemlerden pek çok kaynaktan log toplanabilir.Örnek:
İşletim Sistemleri:
Windows XP/Vista/7,Windows Server 2000/2003/2008/R2,Unix/Linux Türevleri,Nas Cihazları (NetApp),
Uygulamalar:
Dhcp,IIS 6/7/7.5 (W3C),Apache (Syslog),Text-Based Log (Csv/Tsv/W3C/Txt/Custom ),Dansguardain,Postfix
Firewall/Proxy:
ISA/TMG Server,BlueCoat,3Com,Astaro,CheckPoint,Cisco Systems,Clavister,CyberGuard,D-
Link,Fortinet,FreeBSD,IPCop,Juniper,Drytek,Kerio,Lucent,McAfee-Secure
Computing,NetApp,NetFilter,Snort,SonicWALL,Netopia,Network-1,St. Bernard Software,Sun
Microsystems,WatchGuard,Zywall,Anchiva,Applied Identity,ARKOON,Aventail,AWStats,Cimcor,DP Firewalls,Electronic
Consultants,Global Technologies,Ingate,Inktomi,Lenovo Security Technologies,NetASQ,Websense
Network Cihazları:
Syslog Gönderen Cihazlar, SNMP Trap Gönderen Cihazlar, Cisco router,Cisco switch
Email:
Exchange 2003,Exchange 2007,Exchange 2010,IIS SMTP,SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler
Veritabanları:
Oracle,MSSQL,MySQL,Sybase
Log Yönetimi ile ilgili pek çok açık kaynaklı sistem bulunabilir. Bunların en bilinenleri OSSIM,LASSO,SNARE-
AGENT,SPLUNK sayılabilir.
Sistemlerden loglar ya agent kurarak yada log sunucu tarafından uzaktan çekilerek toplanır. Her ikisinin de avantaj ve
dezavantajları vardır.
Ajanlı Yöntem:
Avantajları: Log sunucu kapalı da olsa veri Kaybı olmaz,Log sunucu ne zaman toplayacağına karar verebilir,Log
sunucu istemcinin durumunu tespit edebilir.
Dezavantajları:Bütün makinelerin önceden konfigurasyona ihtiyacı olması,Sistem ele geçirilirse ajanın log
göndermesi engellenebilir.Kurulum ve konfigurasyon uzun zaman alır ve yaşam döngüsünde bakım,tutum ve yaşatmak
için çok fazla işgücü gerektirir. Ayrıca sistem eğer merkezde değil de ajan tarafında logları filtrelemek üzere ayarlanmış
ise güvenlik aracı olarak iş görmeleri çok zayıflar. Logu ajan tarafında filtrelemenin zararları ve bu logların
daha sonra işe yarayacağı ile ilgili LosAlamosNationalLaboratory de bu konuda uzun süre çalışan Dr.
Ben Uphoff’un [http://people.msoe.edu/~uphoff/] çalışması incelenebilir.
[http://code.google.com/p/netfse/wiki/NetworkEventAnalysis]
Ajansız Yöntem:
Avantajları: Kurulum ve konfigürasyonu çok kolay, çok esnek ve çok büyük sistemler için ölçeklenebilir
Dezavantajları: Syslog UDP temelli bir protokol ve veri kaybı olabilir, bazı durumlarda log sunucu istemcileri
takip edemez.
Özellikle ülkemizde 2007 yılında kanunlaşan 5651 sayılı kanundan sonra log yönetimi yapan şirketlerin neredeyse
tamamı yukarıda listelenen yada benzeri açık kaynaklı ürünleri ticari olarak kullanma yoluna gitmiştir*Açık kaynaklı
ürünlerin Lisans Kuralları Ticari Ürün olarak yeniden isimlendirmesini yasaklamaktadır]. Bunun en önemli sebebi bu
çalışmada açıklamaya çalıştığımız log normalleştirme ve sonraki süreçleri özgün olarak geliştirmenin akademik ve saha
birikimine ihtiyaç duymasıdır.Çok az firma kendi çözümünü akademik ve AR-GE birikimine dayanarak geliştirebilmiştir.
Log Analizi ve Bilgi Güvenliği
Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara
bir de sunucular ve istemcilerin logları da eklendiğinde hareketlere ve trafiğe ilişkin değerli olabilecek bir çok bilginin
süzülmesi, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz edilmesi, takibi ve anlamlı sonuçlar verebilecek
şekilde raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür bilgilerin yeterince etkili şekilde
değerlendirilemediği durumlarda, kontrol gerçek anlamda sağlanamamakta ve kontrol edilemeyen bilgi sistemleri alt
yapılarına yönelik yatırımlar da, verimli kullanılamamış olacaktır.
Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın
ihtiyaçlarına göre bunun hangi sistemler için gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, ayrıca bunun
sonuçları üzerinde nasıl bir değerlendirme yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir
organizmanın çeşitli birimleri ile görüşülerek bilgi toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi
sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan log kayıtlarını işaret eder. Log yönetim çalışmalarında
ele alınması gereken ilk konunun, bilgi sistemlerinin hangi süreçlerinde, hangi log verilerinin log yönetimi amacı ile
değerlendirilmesi gerektiğine karar verilmesidir.
Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile
oldukça yakın ilişkideki bir yönetim sistemidir.(Network güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için
gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi için, dikkat edilmesi gereken önemli bir mesele, network
üzerindeki atakların saptanabilmesi ve bunları doğru olarak tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok
çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere
ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Güvenlik Raporları birer birer sistemlerin kendisinden
alınabilecek raporlardan çok, farklı veritabanlarında bulunan veriler kullanılarak; otomatik olarak oluşturuldukları
takdirde, güvenlik durumuna ait daha kapsamlı genel bir görüntü sunabilecek ve farklı bakış açılarına ait verileri bir
araya getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak
kullanılması, log yönetimindeki amaçlardan biridir.
Log Toplama
Log toplama süreci aşağıda gösterilen bir formül ile ifade edilmiştir. Denklemdesistemler (domain) R ile simgelenmiş,
bu sistem içindeki tüm cihazlar D ilegösterilmiştir. Denklem 2.1 log kayıtları kümesi, 2.2 bilgi sistemleri cihazlarının
farklılog tiplerini, 2.3 ise her sistem cihazının farklı olay logları kümesine sahip olduğunugöstermektedir.
R = {D1 D2,...., Dn}
Her sistem cihazının kendi loglarının olması, B log türleri olmak üzere,
Di = {Bi1, Bi2,....., Bim}, iЄ [1,n]
Her indeksin bir cihazı temsil etmesi durumunda, her cihazın farklı tip olay kayıtları oluşturması durumu
(Örneğin windows sistemlerinde, uygulama (application), sistem (system), güvenlik (security) loglarının ayrı
ayrı olması gibi...), e olay tipi olmak üzere; log modellemesini formüle edebiliriz.
Bij = {eij1, eij2,....., eip}, iЄ [1,n], jЄ [1,m]
Log Toplama Sitrmlerinde Karşılaşılan Başlıca Problemler
1. Çok yüksek sayılarda ve büyüklüklerde log kayıtları,
2. Log kayıt desenlerinin farklılığı,
3. İçeriklerin oldukça farklı olması
Log Normalleştirme
Log kaynakları birbirinden farklı formatlarda log üretirler:
Cisco Router
Jul 20 14:59:32 router 20: *Mar 1 01:39:25: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160)
Jul 20 15:01:07 router 21: *Mar 1 01:41:00: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160)
Jul 20 15:10:43 router 22: *Mar 1 01:50:36: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165
Jul 20 15:18:06 router 24: *Mar 1 01:57:58: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165
Jul 20 15:18:06 router 25: *Mar 1 01:57:59: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165
Remote Apache logging
Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client 202.56.224.218] File does not exist: /htdocs/default.ida
Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] [client 202.197.181.203] File does not exist: /htdocs/default.ida
Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] [client 202.101.159.163] request failed: URI too long
Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll
Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll
Normalizasyon, kaynak verilerdeki bütünlüğü bozmayacak şekilde, Log dosyası verilerinden uygun bir bilgi ortaya
çıkarmak için, korelasyon aracının bu yeteneğe sahip olması gereğidir. Bu logları alıp ortak bir platformda ifade edip
bütün bu veriler üzerinde indexleme,korelasyon ve filtreleme/raporlama yapılabilmesini sağlama işlemine
normalleştirme denir.
Örneğin, bir Windows etki alanı denetleyicisi ile bir Windows veritabanına giriş hatalarını gösteren
"giriş-başarısız" olayını aynı adla kaydedemeyiz. Çünkü Windows Account_Expired ve MSSQLSVR gibi daha spesifik
detaylı bilgelere sahiptirler ve normalize edilmelidirler. Normalize işlemi logların parse edilmesiyle başlar. Her bir tür
log için özel parserler REGEX yardımı ile oluşturulur
Burada 2 farklı yöntem vardır.
1-Neyin logunun toplanacağının tanımlandığı sistemler
2-Özellikle Log Proxy kullanılan sistemlerdeki auto log discovery özelliği-Logların geldiği anda tipinin otomatik
tanımlanması.
Normalleştirme işlemi sırasında zaman bilgisi ve timezone hesaplaması da gerçekleşir.
Zaman Bilgisi
Pek çok farklı sistemden loglar toplanıp merkezi bir noktada toplanacağı için logların kendi içerisinde tutarlı ve
korelasyon kurallarının anlamlı veriler üretebilmesi için loglardaki zaman bilgisi çok önemlidir. Bu tutarlılığı sağlamak
için ağda NTP (Network Time Protocol) aktif edilmelidir.
Timezone Sistemlerden toplanan logların özellikle dağıtık bir altyapıda timezone bilgisi ve bu bilginin merkezi log toplama
merkezi ile uyumlulaştırılması logların analizi için gereklidir.Log kaynaklarının hepsinin aynı timezone ayarını alması ve
bu bilgisi her durumda göndermsinin sağlanması gerekir
Log Depolama
Logların deoplanması ve arşivlenmesi özellikle çok büyük sistemlerde kritik olmaktadır. Günde 100 lerce GB logu
saklamak ve üzerinden sorgu yapmak için özel deoplama sistemleri tasarlanmaktadır.
NIST(2007) tarafından yayınlanan Guide to Computer Security Log Management isimli yayından derlenmiştir
Loglanacak sistemlerin ne kadar log üreteceği ve bu loglar için ne kadarlık disk alanı ayrılacağı önemli bir mühendislik
hesabı gerektirir.
Örnek Kapasite Hesabı:
Bir yıllık loglama için ortalama disk alanı = 365 gün x 24 saat x 3600 saniye x 100 (yoğun sistemler saniyede çok daha
fazla log üretecektir) x 200 byte = 580~ gigabyte / yıl . Tabi bu değer sıkıştırılmamış ham veridir. İyi bir sıkıştırma ile
bu değer küçültülebilir. Eger loglar için veritabanı kullanıyorsanız bu sayıyı iki üç ile çarpmak gerekir. İlişkisel
veritabanı kullanımlarında OS seviyesinde sıkıştırma bu alana geri kazanmanızı sağlayabilir.
Korelasyon ve SIEM
Log Yönetimi ve SIEM (Security Information & Event Management) birbirini tamamlayıcı katmanlardır. Genellikle Log
Yönetiminden bahsedilirken korelasyondan da bahsedilir ve dolayısı ile SIEM katmanına çıkılmış olur.
Sistemlerin korelasyon yeteneği sayesinde farklı cihazlardaki logları otomatik olarak ilişkilendirir, anlamlı hale getirir ve
daha önemli uyarılar üreterek, sistem yöneticilerinin ortaya çıkabilecek bir sorunu önceden görmelerini veya ortaya
çıkmış bir sorunu daha kolay çözmelerini sağlar.
Korelasyon işlemi belli kuralların işletilmesi şeklinde oluşur. Örnek kurallar
İstenmeyen mesajları yok etmek
Tek mesaj eşleştirme ve aksiyon alma
Mesaj çiftlerini eşleştirme ve aksiyon alma
Belirlenen bir zaman dilimi içerisinde olay oluşum sayısına bakarak aksiyon alma
Farklı korelasyon teknikleri mevcuttur.Mesela:
Farklı olayların korelâsyonu (Mantıksal Korelasyon)
Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon),
Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu)
Korelasyon motorundan beklenen özellikler:
Hafızada Korelasyon Yapabilme.
Tek Kaynak Korelasyon Kuralları.
Çoklu Kaynak Korelasyon Kuralları.
Negatif Condition Kuralları.
Context Base Korelasyon.
Hiyerarşik Korelasyon.
Çok esnek kural oluşturma yapısı.
Rule Base.
Complex Event Processing(CEP).
Forward Chaning.
Backward Chaining.
Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını
hızlandırmak için bellek içi korelasyon kullanır.
Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.
Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük
avantajdır.
Kural Örnekleri:
Hedef:445 nolu port ataklarını tespit etmek
• Gereksiz yanlış atak loglarından kurtulmak isteniyor
• 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor
• 1 saatlik zaman diliminde en az 100 atak logu
• 4 saatlik bir zaman diliminde 200 atak logu isteniyor
Hedef: Windows makinelere brute force login ataklarının tespit etmek
60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin
bulunması ve
Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının
korelasyonunun yapılması isteniyor.
Hedef: Atak Tespiti
5 dakika içerisinde 10 tane login failure olayı gelirse atak uyarısı yap.
Hedef:Performans Problemi Tespiti:
Hedef: Cihazdandan sıcaklık değeri yüksek uyarısı gelir ve 5 saniye boyunca da olay kaydı gelmezse
performans problemi maili oluştur.
Hedef: Ağdaki kötü niyetli yazılımlarının tespiti.
– Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir
– Senaryo:
• Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1)
• (1) durumu art arda 5 defa gerçekleşiyorsa
• Bilgilendir/ müdahale et
– Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir.
Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.
– Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1)
• IDS veya güvenlik duvarından alınan kayıtlar
– (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse
• Güvenlik duvarından alınan ACCEPT kaydı
– (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa
• Veri tabanından alınan LOGON ATTEMPT kaydı
– Bilgilendir/ müdahale et
• Birden fazla kaynaktan alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir
Korelasyon motorunun yukarıdaki kuralları ve benzerlerini işletecek bir altyapıya sahip olması beklenir
Alarm Yönetimi İyi bir sistem ortamda oluşan bütün olayları logları toplamak suretiyle takip edebildiği için proaktif bir
güvenlik yönetim sistemi kurulmasını sağlar. Güvenlik yöneticileri kendileri alarmlar tanımlayabileceği
gibi sistem hazır alarmlar da içerirmelidir.
Örnek hazır alarmlar:
Database de Acount değişikliği durumunda Kullanıcıyı uyarabilme,
Active Directory başarılı bir şekilde çalıştığında Kullanıcıyı bilgilendirme özelliği,
Active Directory servisi durduğunda Kullanıcıyı uyarabilme özelliği,
ISA Servisi Başlatılırken Hata oluşursa kullanıcıyı uyarabilme özelliği,
Makinelere Program kurulduğunda Yöneticileri uyarabilir,
Makinelerden Uygulamalar Uninstall edildiğinde Yöneticileri uyarabilme özelliği,
Makinelerden Audit logları temizlendiğinde Yöneticileri haberdar edebilme özelliği,
Audit Policy de değişiklik yapıldığında Yöneticilere bildirme,
Bad Disc Sector oluştuğunda yöneticileri bilgilendirme özelliği,
Bilgisayar hesaplarında değişiklik yapılması durumunda yöneticileri bilgilendirme özelliği,
Bilgisayarlar da yeni bir kullanıcı oluşturulduğunda yöneticileri bilgilendirme özelliği,
Bilgisayar hesaplarından herhangi biri silindiğinde yöneticileri bilgilendirme özelliği,
DNS serverin başarılı bir şekilde başlaması durumunda yöneticileri bilgilendirme özelliği,
DNS serverin başlatılamaması durumunda yöneticileri uyarma özelliği,
DNS Server TimeOut’a düştüğünde Yöneticileri uyarabilir.
DNS Server Update aldığında yöneticileri haberdar edebilir.
Domain Policy değişikliği olduğunda yöneticileri haberdar edebilir.
Eventlog servisi durduğunda yöneticileri uyarır,
Sistemlere LogOn olma işlemi denendiğinde(başarılı ve Başarısız LogOn durumlarında)
yöneticileri uyarabilir,
Insufficient Memory durumu tespit edildiğinde yöneticileri uyarabilir.
Yeni uygulamalar çalıştırıldığında yöneticileri haberdar edebilir,
NTDS Databse Engine(Active Directory database file) başladığında yöneticileri bilgilendirebilir,
NTDS Database Engine(Active Directory database file) durduğunda yöneticileri uyarabilir,
Nesne silerken hata olursa yöneticileri uyarabilir,
İşletim sistemi başlatıldığında ya da kapatıldığında yöneticileri uyarabilir.
Yeni bir Printer eklendiğinde ve oluşturulduğunda yöneticileri uyarabilir,
Sistem dosyalarında değişiklik olduğunda yöneticileri uyarabilir,
File Replication Service başladığında yöneticileri haberdar edebilir,
FTP LogOn durumu ya da LogOf durumunda Yöneticileri uyarabilir,
Hesap şifre sıfırlama işlemlerinde yöneticileri uyarabilir,
Kullanıcı hesapları dondurulduğunda yöneticileri uyarabilir,
Sisteme yeni makine eklendiğinde yöneticileri uyarabilir,
MAC-IP Değişikliğini algılama sistemi. Sisteminizde bulunan kritik cihazların MAC ve IP
değiştirmeleri durumunda yöneticileri uyarabilir.
Sisteme yeni bir cihaz dahil olması durumunun takibi.Ağınızda daha önce olmayan bir cihaz dahil
olduğunda yöneticileri uyarabilir.
Loglar ile ilgili alarmlar üretebilmekte sistem yöneticilerini mail,sms,snmp gibi yöntemler ile uyarabilmektedir
Güvenlik Çıkarım Motoru Yeni nesil ürünlerin bir kısmında yukarıda bahsedilen özelliklerle birlikte aşağıdaki özelliklere sahip ürünler
geliştirmişlerdir.
NETWORK ERİŞİM TAKİBİ
SABİT İP KULLANIMLARININ TAKİBİ
ARP SPOOFING TESPİTİ
DDOS TESPİT KURALLARI
HACKER TOOLS TESPİT KURALLARI
Raporlama Log yönetimi ve SIEM uygulamalarının tamamında raporlama yeteneği mevcut.Dolayısı ile ürünler arasındaki farklılık
sorgulama kolaylığı ve raporların anlaşılırlığı noktasında olmakta.
Özellikle güvenlik amaçlı kullanılacak bir üründe
En çok indirme (download) yapan Kullanıcılar, Makineler Kimler?
Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa kim?
Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler bu işlemleri
gerçekleştirdi?
Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne zaman
gerçekleştirdi?
Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne zaman bu işlem
gerçekleşti?
Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler neden oldu?
Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden olanlar kim?
Taşınabilir bellek kullananlar kimler?
Kim hangi uygulamayı çalıştırdı?
Kim hangi uygulamayı kapattı? Kim “tasarım.dwg” dokümanını sildi? Kim Hangi URL’e gitmiş?
- Kullanıcılara göre ziyaret edilen URL ler,
- IP adreslerine Göre Ziyaret edilen URL ler
- Makine Adlarına Göre ziyaret edilen URL ler
Kim Hangi Hedef Host’a gitmiş? (www.facebook.com)
- Kullanıcı adına Göre ziyaret edilen Sayfalar
- IP adresine Göre Ziyaret edilen Sayfalar
- Makine Adına Göre ziyaret edilen sayfalar
Ağ içerisindeki hangi bilgisayardan www.xxx.com sayfasına
belirli bir kullanıcının(aaa bbb ismi gibi) ile erişilip
erişilmediğinin kontrolü
Hedef Hosta Giderken Kullanılan Port ve Protokoller?
Kim Hangi IP ile iletişim gerçekleştirmiş?
İki IP arasındaki iletişimden Doğan trafiğin Boyutu ne
kadardır?
İki IP arasındaki Paket transferi ne kadardır?
İki IP arasında en çok kullanılan Port ve Protokoller
hangileri?
En Çok Mail trafiği oluşturan kullanıcılar?
Unix Sistemlerden Alınan raporlar
Başarılı LogOn Raporları
Unix tabanlı sistemlere kimlerin LogOn olduğu bilgisini tutar.
Başarısız LogOn Girişimleri
Unix sistemlere LogOn olmaya çalışıp ta başarısız olanları gösterir.
Başarılı LogOff Raporları
Unix sistemlerden başarılı bir şekilde LogOff olanları gösteren rapor ekranıdır.
Başarılı LogOn Raporları(Yöneticilere ait)
Unix sistemlere başarılı LogOn yapan adminleri listeler.
Başarısız LogOn Girişimleri(Yöneticilere ait)
Unix sistemlere admin hesabıyla LogOn olmaya çalışıp başarısız olanları listeler.
Başarılı LogOff Raporları(Yöneticilere ait)
Unix sistemlerden başarılı bir şekilde LogOff olan Adminleri gösteren rapor ekranıdır.
Başarılı SSH LogOn Raporları
Unix sistemlere SSH Protokolü kullanarak LogOn olan kullanıcıları gösterir.
Başarısız SSH LogOn Girişimleri
Unix sistemlere SSH Protokolü kullanarak LogOn olmaya çalışıp başarısız olan kullanıcıları
gösterir.(Dünya üzerinde gerçekleşen Unix saldırılarının büyük çoğunluğu SSH üzerinden
gerçekleşmektedir.)
Başarılı SSH LogOff Raporları
Unix sistemlere SSH ile logon olup başarılı bir şekilde LogOff olan kullanıcıların listelendiği
rapordur.
Başarılı SFTP LogOn Raporları
Unix sistemlere SFTP aracılığıyla başarılı LogOn olan kullanıcıları gösterir.
Başarılı SFTP LogOff Raporları
Unix sistemlere SFTP ile LogOn olup daha sonra başarılı bir şekilde LogOff olan kullanıcılar
bu raporda listelenir.
Zamanlanmış görevler Raporu
Oluşturulan ve uygulanan cronjob ların listelenerek kullanıcıya sunulduğu raporlama
aracıdır.
Misafir Girişleri Raporu
Dosya Erişim Raporları
Unix sistemlerde kimlerin hangi özel dosyalara eriştiğini gösteren rapor aracıdır.
Windows sistemlerden Alınan raporlar
Printer Kullanım Raporları
Başarılı LogOn Raporları
Başarısız LogOn Girişimleri
Başarılı LogOff Raporları
Dosya Erişim Raporları
USB Erişim Raporları
Çalıştırılan Programların Raporu
Kapatılan Programların Raporu
Oluşturulan Kullanıcıların Raporu
Silinen Kullanıcıların Raporu
Windows Event Raporları
Kablosuz Erişim raporları
Sanal makinelerden alınan raporlar
Sanal makine oluşturma raporları
Kimin ne zaman hangi sanal sistemi oluşturduğunun kayıt altına alır.
Sanal makine silme raporları
Kimin ne zaman hangi sanal sistemi Sildiğini kayıt altına alır.
Sanal makinelerdeki durum değişiklikleri
Kullanıcıların sanal sistemler üzerinde yaptığı değişiklikleri kayıt altına alır
Sanal makine erişimleri
Kimin ne zaman hangi sanal sisteme eriştiğini kayıt altına alır.
Gibi raporların hazır sunulması yada tık tıkla sorgulanabilmesi önemli bir ayırt edici özelliktir.
Kaynakça [1] Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer
Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf
[2] http://en.wikipedia.org/wiki/Log_management_and_intelligence, 2011.
[3] http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard, 2011.
[4] http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf, 2006
[5] Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006.
[6] http://en.wikipedia.org/wiki/Regular_expression
[7] Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on
Large Installation System Administration. San Jose CA, November 2010.
[8] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archives/logging-notes.pdf