SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI

Benzer belgeler
Central Security Logger. Log Yönetimi Platformu

SureLog. Log Yönetimi & SIEM. Anet Yazılım

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

SURESEC: Entegre Güvenlik ve Ağ Yönetimi Sistemi

Firewall/IPS Güvenlik Testleri Eğitimi

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

Infraskope Server. Murat Eraydın Karmasis

Açık Kod yazılımlar ile Ağ ve Güvenlik Çözümleri. Huzeyfe ÖNAL

İstanbul caddesi Bakırköy / Istanbul / Türkiye

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

Açık Kaynak Kodlu Saldırı Tespit Sistemi

Süleyman ALTAY Bilgi Teknolojileri Uzmanı

Derviş ARPACI Tel:

AĞ GÜVENLİĞİNDE YENİ NESİL ÇÖZÜMLER

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Açık Kod Dünyasında Ağ ve Sistem Güvenliği Afşin Taşkıran

Dinamik Altyapı Radarında Güvenlik Çözümleri Yol Haritası

Doğum Yeri : Gölcük Askerlik Durumu : Yapıldı. Uyruğu : T.C Sürücü Belgesi : B Sınıfı (2001)

FortiGate & FortiAP WiFi Controller

Topluluğun gücü düşündüğünüzden daha yakın IBM Lotusphere Comes to You 2009

Ağ Trafik ve Forensik Analizi

Computer and Network Security Cemalettin Kaya Güz Dönemi

Bilgi ve Olay Yönetim Sistemi

Secure Networks Capabilities Dragon Network Defense

NextGeneration USG Series

SİBER SUÇLARA KARŞI SİBER ZEKA

Useroam Cloud Kurulum Rehberi

SİMET TEKNOLOJİ SAN.TİC.AŞ. TEKNOLOJİLER SUNUMU

Clonera Bütünleşik İş Sürekliliği Gereksinimler ve Kurulum Dökümanı

BioAffix Ones Technology nin tescilli markasıdır.

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

FortiGate Endpoint Control. v4.00-build /08

BioAffix Ones Technology nin tescilli markasıdır.

Yerel Disk Üzerinde CentOS 7.0 Kurulumu 17 Red Hat Enterprise Linux 6 Kurulumu 32. Sisteme Giriş ve Çıkış 49 İÇİNDEKİLER 1 LINUX HAKKINDA 1

KABLOLU AĞLAR Switch tarafında 802.1x desteğini etkinleştirmek için aşağıdaki temel yapılandırma yapılır;

Açık Kod Dünyasında Ağ ve Sistem Güvenliği. EnderUnix Çekirdek Takımı Üyesi afsin ~ enderunix.org

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

Bilgi ve Olay Yönetim Sistemi

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Ali Akcan. Bilgi İşlem. Kişisel Bilgiler. Eğitim Bilgileri 1 / 6. Adres Bilgileri

IBM Bilgi Teknolojileri ve Altyapı Hizmetleri & Dış Kaynak Çözümleri IBM Corporation

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

FortiMail Gateway Modunda Kurulum. v4.00-build /08

Merak serverı MS Exchange için Antispam ve AntiVirus olarak nasıl kullanabiliriz?

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

APT Tehditlerine karsı 7x24 Güvenlik İzlemesi SOC. Serkan ÖZDEN

Sunucuda E Posta Filtreleme Serdar KÖYLÜ Gizem Telekomünikasyon Hizmetleri

1 Milyon Kullanıcıya Nasıl Hizmet Veriyoruz? CloudLMS Teknik Alt Yapı ve Mimarimiz

RoamAbout Wireless Access Points

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Disk Alanı 100 Mb Mb Mb Mb Mb Mb. Aylık Trafik (Bandwidth) 1 Gb 5 Gb 10 Gb 15 Gb 25 Gb 35 Gb

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

Useroam Cloud Kurulum Rehberi Sophos

Fortinet Hakkında; Fortinet Shipment Revenue. (millions USD)

İÇİNDEKİLER VII İÇİNDEKİLER

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

BioAffix Ones Technology nin tescilli markasıdır.

SAVUNMA YÖNTEMLERY NTEMLERİ. ASES Bilgi Güvenlik G Teknolojileri

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Hybrid Software Veritabanı ve Sistem 7x24 Destek &Danışmanlık Hizmetleri Veritabanı ve Sistem 7x24 Destek & Danışmanlık Hizmetleri

Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

1.Mailbox Server Role:

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

Erdem Gündoğan Sistem Mühendisi - Ağ Yönetici

Mehmet Fatih Zeyveli CISSP Kullanıcı Tarafı Güvenliği

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Yeni Nesil Ağ Güvenliği

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Veri Merkezi & Sanallaştırma

ISCOM Kurumsal ISCOM KURUMSAL BİLİŞİM TEKNOLOJİLERİ EĞİTİM KATALOĞU

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

BioAffix Ones Technology nin tescilli markasıdır.

Veri Yönetiminde Son Nokta. Sedat Zencirci, Teknoloji Satış Danışmanlığı Direktörü, Orta Asya ve Türkiye

CISCO IRONPORT C-SERİSİNİ TERCİH ETMEK İÇİN ÖNE ÇIKAN 10 ÖNEMLİ ÖZELLİK

İlk Yayın Tarihi:

FortiGate (Terminal Server) Terminal Sunucu Üzerinden Gelen Kullanıcılar

Cyberoam Single Sing On İle

SAÜ.NET. Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri SAKARYA ÜNİVERSİTESİ 1/ 22. Bilgi İşlem Dairesi Başkanlığı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Vitel. Manage Engine. Opmanager Yönetici Özeti

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)

Nordic Edge ile kurumsal kimlik yöne4mi

Güvenli Switching. Başka Bir Switch: ARUBA Tunneled Node. Semih Kavala ARUBA Sistem Mühendisi. #ArubaAirheads

BİLGİSAYAR VE AĞ GÜVENLİĞİ ÖĞR. GÖR. MUSTAFA ÇETİNKAYA DERS 2 > AĞ VE UYGULAMA GÜVENLİĞİ

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Transkript:

SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI ertugrul.akbas@anetyazilim.com.tr eakbas@gmail.com Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Bunun için SIEM sistemleri hazır bir kütüphane ile gelir. Bu kütüphanede ne kadar sayıda kural, ne kadar geniş alanı tarıyor önemli bir kriterdir. Taradığı alan : IPS/IDP kuralları Cisco Firewalls Connections General Applications Windows o User Management o Group Management o Machine Management o Authentication o Windows Firewall o Authorization o Audit Policy o Software Management o Access Violation o File Management o Risk Management o Password Management o Service Management o Performance Monitoring o File Replication o Windows File Protection o Printer o System Uptime o NTDS Defragmentation o Network o Hardware Errors FTP DNS Security Network Monitor Telnet URL Operating Systems Sunucu güvenliği

WEB server güvenliği Network Cihaları o Cisco o HP o Dell o Aruba o Vb.. gibi alt bileşenlerden oluşur. Ve bu bileşenler için hem güvenlik hem de hata durumu analizi kuralları içerir. Bundan başka ve daha önemli bir özellik ise ihtiyaçlar kapsamında kendi kurallarınızı geliştirebiliyor olmaktır. Kural geliştirme yeteneğini ise 4 farklı seviye olarak ele alabiliriz: Basit periyodik kurallar Basit gerçek zamanlı kurallar Senaryo kuralları Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar. KORELASYON KURALLARI Kullanıcıların kendi geliştirebileceği kuralları yukarıda 4 farklı kategoriye ayrılmıştık. Bunlara kısa kısa örnekler verip, ANET tarafından geliştirilen ANALİZSEL KORELASYON YAKLAŞIMI açıklayacağız Basit periyodik kurallar Bu tarz ürünlerin gerçek bir korelasyon motoru olduğundan bahsedilemez. Bu tarz sistemler kullanıcının ara yüzde seçtiği değerlere göre arka planda bir sorgu oluşturur ve aşağıdaki resimdeki gibi sorguyu veya bazen alarm diye de adlandırılan betiği her xxx saniye bir çalıştır gibi ayarlar yaptırırlar. Dolayısı ile bu tarz ayarlar aslında bir motor olmadığına ve sonucun DB (SQL,NoSQL, Flat File) üzerinde periyodik sorgu çalıştırmakla üretilmeye çalışıldığını gösterir. Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan zaaflara sahiptirler. Bu zaaflar 4 adettir 1. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod içindeki olaylar anında yakalanamaz 2. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir performans problemine sebep olur 3. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz

4. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz Basit gerçek zamanlı kurallar Gerçek zamanlı bir korelasyon kuralına sahip olup, senaryo yazmaya elverişli olmasalar bile bazı temel kuralları işletebilirler. Örnek kurallar: 1. Her hangi bir log kaynağına ait loglarda bir olay gerçekleşirse, 2. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay gerçekleşirse, 3. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay gerçekleşmez ise, 4. A kaynağına ait bir olay gerçekleştikten sonra t süresi içerisinde gene A kaynağına ait olaydan bir ya da n adet gerçekleşirse (hakeza bu n kere tekrarlanabilir), 5. A tipindeki herhangi bir cihazdan X türünde bir log geldikten sonraki 5 dakika içerisinde diğer cihazların herhangi birinden Y türündeki veya Z türündeki bir log 20 defadan fazla gelirse alarm oluştur v.b 6. Ayrıştırılan alanlar üzerinden korelasyon adımlarında filtreleme yapılabilmelidir. Örnek: IDS attack info = buffer overflow ise, hedef IP = 10.10.10.10 ise gibi, Senaryo kuralları Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar. Örnek kural: 1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz. http://www.youtube.com/watch?v=pcsmezpxrhy Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar. Bu yaklaşım, çeşitli parametrelere logları kategorize eden otomatik bir süreçtir ( genellikle mesajlar paternlere göre analize edilir.). Bu sınıflar önceden belirlenmiş olup patter sınıf ilişkisi kurulmuştur. Sistem loglar akarken sınıfsal korelasyona tabi tutulur ve daha önceden belirlemiş sınıflardan birine dahil edilir. Böylece aşağıdaki gibi kurallar yazılabilir. Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver.

ANET SureLog Sınıflandırma temelli korelasyon özellikleri: SureLog http://www.anetyazilim.com.tr/surelog yaklaşık 300 farklı sınıf için yaklaşık 400 000 imza (signature) taraması yapabilir. SureLog tarafından yapılan sınıflandırmalara örnek: Malicious DNS Attack Compromised Virus Attachment NotCleaned Informational VPN Tunnel Failed Sınıflandırma işlemi Kelime bazlı,kalime(ler), servis kombinasyonları, Verinin toplandığı sistem imzaları (signatures) Operasyonel parmak izleri (fingerprints) Vb.. Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır.

Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri sonucu yapılır. Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir. Örnek olarak : Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific) hale getirilmesi çok başarılı sonuçlar elde edilir. İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında tarama yapılır. Bu tarama basıt bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza (signature) örneği: ERROR<vrrp>transmit-cannot-receive Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere (src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur. Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp HealthStatus Abnormal Damgası vurularak korelasyona dahil edilir. ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir. Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da tamamlamış oluyoruz. Örnek Kural Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver. Sistem kendisi Saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel sistemlerin verilerini analiz eder ve sonuçalrını korelasyonu tabi tutar.

Bu sınıflandırmalar için entegre olunan sistemler 3Com Office Connect Firewall eeye Digital Retina Network Security Scanner 3Com Secure Router EgeWave WEB Security AhnLab Malware Defense System EgeWave EMAIL Security Airlive Firewall Enforcive Systems Cross Platform Audit Anchiva FW Enterasys Dragon IDS Apache WEB Server F5 F5-BIGIP Apple Mac F5 FirePass SSL VPN Aruba Wireless LAN FireEye Malware Protection System Astaro FW ForeScout CounterACT NAC Aventail Aventail SSL VPN Fortinet Fortigate Barracuda Barracuda Web Filter Fortinet Fortimail Barracuda NG Firewall Fortinet DHCP Barracuda Spam Virus Firewall Free Radius Radius Server BlueCoat SGOS Gateprotect Firewall BlueCoat WebProxy Global Technology Associates GNAT Box Brocade NetIron XMR/MLX HP Wireless LAN Controller Check Point Firewall Ingate Firewall Checkpoint SafeOffice IPCop Firewall Cimcor Firewall Iptables Firewall Cisco ACE IronPort C350 Cisco ASA IronPort ESA Archive Logs Cisco Access Control Server IronPort WSA Access Logs Cisco CSA Ironport Email Security Gateway Cisco CSA Management Center Juniper IDP Cisco CatOS Juniper Juniper System Logs Cisco Firewall Service Module Juniper NSM Cisco IOS Juniper SSL VPN IVE Cisco IPS Kerio Firewall Cisco Nexus Switches Lancope StealthWatch Cisco PIX LeadSec LeadSec Firewall Cisco VPN 3000 Lenovo Security Technologies LeadSec Cisco Wireless LAN Controller Linux Linux Clavister Firewall Linux DHCP Clavister DHCP Linux DNS Cyberoam UTM Mcafee EPO AV-HIPS-Solidcore Dell PC 5324 Switch Mcafee EPO-AV Drytek Firewall Mcafee EPO-FW Drytek DHCP Mcafee EPO-IPS Drytek DNS Mcafee Foundscan Enterprise

Mcafee IntruShield IPS Secure Computing Sidewinder Mcafee Web Gateway Appliance Securepoint FW Mcafee Mail Gateway Sendmail, Inc. Sentrion MP Mcafee Firewall SMC Networks SMCWBR14T-G MetaTrader Forex Trading Platform Snort ALL Microsoft IIS SonicWALL Firewall Microsoft IIS SMTP SonicWALL SSL VPN 2000 Microsoft Windows Sonicwall DHCP Microsoft DHCP Sophos UTM Microsoft DNS SourceFire SourceFire Microsoft Exchange Squid URL Filter Microsoft ISA StoneSoft Firewall Microsoft MS SQL StoneSoft IPS Nessus Nessus StoneSoft StoneGate Management Center Net Filter IP Tables Sun Microsystems Solaris NetApp NAS Symantec Antivirus NETASQ Firewall Symantec Endpoint Protection Netscreen Firewall TippingPoint IPS NetScreen DHCP TopLayer TopLayer IPS Nortel VPN Router Trend Micro OfficeScan Open Source FreeBSD TrendMicro InterScan Web Security Appliance Open Source Snort TrendMicro Intrusion Defense Firewall (IDF) Open Source Apache(via syslog) Tripwire Enterprise Open Source Sendmail on Solaris V8 Tripwire for Windows (Snare) Open Source dhcpd Untangle Firewall Opzoon Firewall VMWare ESX and ESXi VMWare ESX and ESXi Oracle Common Audit Trail VMWare ESX and ESXi VMWare vcloud Director Oracle for Windows VMWare ESX and ESXi vshield Zones Palo Alto Network Firewall Watchguard Firebox SOHO PaloAlto URL Filter Watchguard Firebox X Edge Pfsense DHCP Websense Enterprise Pfsense Firewall Websense Email Security Gateway Point-to-Point Protocol PPP Zimbra Mail Server Postfix Mail server Zyxel Modem PowerTech Interact Zyxel ZyAir G-4100 QNAP NAS Zyxel Firewall Qualys QualysGuard Rhinosoft Serv-U FTP RSA Authentication Manager

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim