Korelasyon Senaryoları – Bölüm I

Kavramlar ve Derecelendirme (Skorlama)

Soğuk bir kış akşamında siber güvenlik dünyasında hızla yayılan korelasyonlar hakkında 6-7 bölümlük bir blog serisi hazırlayalım dedik. Çayımızın da sıcak ve taze olduğunu da belirteyim. Yazıyı okumaya başlamadan siz de çayınızı alın yudumlayın ve SIEM (Security Information & Event Management) dünyasına dalalım ne var ne yok :)) . Firewall, switch, AP, AD ilgilenen arkadaşların SIEM ile dirsek teması log toplama aşamasında log format, SIEM ip ve SIEM port ayarlamadan öteye geçmiyordu. Ve bu ayarlama süresi de oldukça kısadır zaten bu arkadaşlarında SIEM ile alakalı araştırma yapmak için fazla zamanları yoktur. Bu blog serimizde SIEM olayını kitabın tam ortasında konuşacağız. Direkt taze, canlı ve girişik senaryolar konuşacağız. Sizin de varsa senaryolarınız yorum kısmına yazarsanız bilgiyi paylaştırdıkça çoğaltmış olacağız.

Korelasyon senaryolarından bahsetmeden önce SIEM ürünlerinde kullanılan tanımlardan bahsetmek istiyorum. Aşağıdaki tanımlamalardan sonra bir sonraki blog yazımız ile devam edeceğiz.

Korelasyon sistemi, tanım ve motor olmak üzere başlıca iki ana parçadan oluşur. Tanım da olaylar arasındaki ilişkilerin belirlenebilmesi için gerekli bağıntılar, kurallar, kategoriler, şartlar vb. elemanlar içerir. Motor kısmında ise olaylar (event, log) teker teker incelenip, tanım kısmında verilen kuralları sağlayan olaylar ve olaylar kümesinin var olup olmadığı tespit edilir. Eğer olaylar arasında bu tanımlara uygun bir ilişki tespit edilmişse uyarı ve alarmlar üretilecektir. Motor olayları çok daha hızlı işlemek için belleği (in-memory) kullanır. Korelasyon kuralı ile eşleşen kayıtları hafızaya gönderip hesaplamalar başlatılır. Ayrıca sistem çevrimdışı (offline) çalışmayı da desteklemektedir. Yeni yazılan bir kuralın geçmiş veriler içerisinde gerçekleşip gerçekleşmediği sorgular ile kontrol edilir. Bu özelliği Geçmişe Yönelik İlişkilendirme (Tarihsel Korelasyon) olarak da adlandırılır. Sistem bu özellikleri sağlayabilmek için pasif olarak çalışır, yani aktif sistemlerin çalışmasını etkilemez, onları yavaşlatmaz veya bozmaz. Olaylar arasındaki ilişkilerin tespiti çok fazla olayın hafızada tutulmasına gerek duyabileceğinden, sistemin hafıza ve işlemci gereksinimleri kontrol altında tutulmalıdır.

Tanım sistemi aşağıda verilen parçalardan oluşmaktadır.

Korelasyon (İlişki, bağıntı)
Kural
Hiyerarşik Yapı
Kategori
Grup
Ayarlar
Skorlama (Risk Hesaplama) – Karar Mekanizması
Kod Tablosu (Aktif Listeler)
Aksiyonlar

Korelasyon

Her bir tanım korelasyon kuralı olarak anılır. Korelasyon birbiriyle ilişkili kuralları barındırır ancak diğer korelasyon tanımları ile arasında bir ilişki yoktur. Korelasyonun kendisi alarm üretmez, çünkü asıl alarm üreten ona bağlı kurallardan herhangi biri olmaktadır. Alanları ID, adı, durum, öncelik, tipi şartlar vb. olacaktır.

Öncelik 1-5 arasındadır. 5 en yüksek değerdir. Korelasyon da tanımlanan ilişki kullanıcı için ne kadar önemli ise öncelik değeri o kadar yüksek olmalıdır. Öncelik değeri ayarlanarak bir korelasyonun alarm üretme potansiyeli artırılıp azaltılabilir.

Korelasyon tipi olarak normal ve hızlı olmak üzere iki değer kullanılmaktadır. Normal korelasyonda her bir olay ayrı ayrı dikkate alınıp yeni bir korelasyon örneği (instance) olup olmadığı incelenir. Hızlı korelasyonda ise bir korelasyon örneği (instance) başladığında sonradan gelen olaylar o örneğin devamı kabul edilir, o örnek kapatılana kadar başka korelasyon örnekleri başlatılmaz. Bu yöntem port taraması tespiti gibi çok sayıda (binlerce) olayın ardarda gerçekleşmesinin gerektiği durumlarda kullanılır. Aksi halde binlerce olay binlerce korelasyon örneği açacak, hem hafıza kullanımı üstel olarak artacak hem de işlemci kullanımı artacaktır.

Korelasyonda tüm alt kurallar için geçerli olmak üzere olayların elenmesinde yardımcı olacak şartlar girilebilmektedir.

Kural

Korelasyon tanımları hiyerarşik bir kural topluluğundan oluşmaktadır. Her tanım daima tek bir kural (initial rule) ile başlamaktadır. İlk kuralın altında ve / veya dalları şeklinde N seviye alt kural tanımlanabilmektedir. Tek bir olay ilk kuralın şartlarını yerine getirirse o korelasyonun bir örneği açılıp hafızada tutulacak, daha sonra gelen olayların sonraki kuralları sağlayıp sağlayamadığı kontrol edilecektir. Alanları ID, adı, güvenilirlik, olay sayısı, süre aşımı, negatif kural mı, kaynak ip, kaynak port, hedef ip, hedef port, plugin ID, plugin SID, kategori ID, yeni olay başlatma, farklı değerleri say, şartlar vb. şeklinde olacaktır.

Hiyerarşik Yapı


Şekil 1 - Korelasyon Kural Ağacı

Güvenilirlik 1-10 arasında bir değerdir (10 en yüksek değerdir). Güvenilirlik bir kuralın istenen ilişkinin gerçekten var olup olmadığının derecesini gösteren bir değerdir. Yani 1 oluşan sonuca güvenilemeyeceğini, 10 ise sonucun tam güvenilir olduğunu gösterir. Ayrıca güvenilirlik seçenekleri arasında 1,2,...,10 olduğu gibi +1,+2,…,+9 şeklinde değerler de vardır. Tam rakamlar o kural gerçekleştiğinde korelasyonun güvenilirliğini verilen değer yapmaktadır. Artı ile başlayan seçeneklerde ise korelasyonun güvenilirliği önceki değere eklenmektedir. (En fazla 10’a yükseltebilir). Böylece her alt kural sağlandığında güvenilirlik artmış olmakta ve hedeflenen sonuca gitgide yaklaşılmaktadır.

Olay sayısı ve süre aşımı kaç tane olayın ne kadar süre (sn) içinde gerçekleşmesi beklendiğini  göstermektedir.

Negatif kural” istenen olayın gerçekleşmemesi halinde kuralın doğrulanması durumudur. Yani istenen bir olay belirli bir süre içinde gerçekleşmezse kural sağlanmış olur. Örnekle açıklamak gerekirse bir sistem kapandıktan 5 dakika sonra sistemin tekrar açıldığına dair bir olay gerçekleşmezse alarm üretilmesinin istenmesi gibi. 

Kurallar statik olarak kaynak ip/port, hedef ip/port, plugin ID ve plugin SID alanlarını kullanmaktadır. Bunlar dışındaki olaylara ilişkin alanlar şart olarak verilebilmektedir. Genel olarak Plugin ID olayın kaynağını Plugin SID olayın tipini belirtmektedir. Kaynak ip/port, hedef ip/port, plugin ID, plugin SID, kategori ID için “ANY” değeri seçilebilmektedir. Bu değer herhangi bir değer olabilir, dikkate alma anlamına gelmektedir. Ayrıca kaynak ip/port, hedef ip/port için virgülle ayrılmış birden fazla değer girilebileceği gibi önceki kuralları sağlayan ip ve port bilgilerinin aynısını kullan gibi seçenekler de olabilir.

Kategori ID, plugin ID ve plugin SID’ler arasında ilişkiyi tutan bir tablo sunmaktadır. Böylece her bir plugin için ayrı ayrı korelasyon kuralları yazılmasına gerek olmadan, farklı olay kaynaklarını içeren ortak kurallar yazılabilmektedir.

Yeni olay başlatma” seçeneği, eğer bir olay herhangi bir kuralı sağlıyorsa, o olayın başka kuralları sağlayıp sağlamadığı kontrol edilmeyecektir anlamı taşır. Bu sistemin daha hızlı çalışmasını sağlayacaktır. Ancak bazı durumlarda olaylar arasındaki ilişkilerin gözden kaçmasına sebep olabilir. Bu duruma dikkat edilmelidir.

Farklı değerleri say” seçeneği, örnek olarak port taramalarında vb. ilişkilerin tespitinde kullanılmak üzere her portu değil de birbirinden farklı portları dikkate alan bir özelliktir. Kaynak ip/port, hedef ip/port için geçerli olmaktadır.

Sabit alanlar ve diğer olaylara bağlı alanlar üzerinde şartlar girilebilmektedir.

Kategori

Plugin ID (olay kaynağı) ve Plugin SID (olay tipi) alanları arasındaki ilişki tutulur. Kuralda bu kategori kullanılır. Böylece bir kuralın hangi olay kaynakları üzerinde çalışacağı daha esnek belirlenmiş olur. Kategoriler farklı sunucular üzerindeki aynı türdeki olayları birlikte inceleme şansı verir. Örnek bir kategori yapısı aşağıdaki verilmiştir.

Plugin ID
Plugin SID 
100
1401
100
1402
101
ANY
103
1402
Tablo 1 - Korelasyon Kategorisi

Grup

Korelasyon tanımlarını hiyerarşik bir düzende tutmak için gruplama yapılabilmektedir. Aynı tip korelasyon tanımları ve kategori tanımları gruplanabilmektedir.

Ayarlar

Ayarlarda korelasyonun çalışıp çalışmayacağı, minimum risk seviyesi (ilerde açıklanacak) ve saklanacak log (olay, kayıt) sayısı yer almaktadır. Kurallar işlenirken hesaplanan risk seviyesi burada verilen risk seviyesine eşit ve yüksek ise alarm üretilmektedir. Alarm üretildiğinde kuralı tetikleyen olayların kaç tanesinin saklanacağı da burada belirlenmektedir. Tüm olaylar saklanmamaktadır, çünkü bazı kuralların tetiklenmesi için binlerce olay gerekebilir.


Şekil 2 - Korelasyon Ayarları

Motor(Engine)

Tanımda verilen kurallar çalıştıran, eğer istenen kural (lar) sağlanmışsa uyarı / alarm üreten, kaydeden veya aksiyon tanımlarını tetikleyen parçadır. Motorun çalışma şekli ve teknolojisi CRYPTTECH'e ait bir teknolojidir ve hakları korunmuştur. Bu motor, CRYPTOSIM sistemi ile entegre çalışabildiği gibi ayrı bir serviste ya da sunucuda çalışabilmektedir. Dağıtık mimarideki senaryolarda birden fazla korelasyon motoru çalışıp kuyruklama mekanizması olarak Kafka konularından (topic) akan veriyi çekip işleyip hesaplama yapabilmektedir.

Uyarı ve Olay Yönetim Sistemi

Olayların işlenmesi sonucunda, korelasyon kuralları örnekleri belirli risk seviyesini aşarsa alarmlar üretilecek.  Bu risk seviyesi aşağıdaki gibi hesaplanacaktır. İlgili bildirimler, mail, sms, snmp olarak iletilebilir. Alarmlar CRYPTOSIM üzerindeki yerel olay yönetim sistemine bilet açılabilir. Bu bilet/görevlerin takibi ve atamaları sistem kullanıcıları tarafından yapılabilir. 

Skorlama (Risk Hesaplama) – Karar Mekanizması

Risk üç parametreyle hesaplanır. Bunlar korelasyon önceliği (priority), kural güvenilirliği (reliability), varlık değeri (asset value). Öncelik 1 ie 5 arasındadır,  güvenilirlik 1 ile 10 arasında ve varlık değeri 1 ile 5 arasında bir değerdir (5 ve 10 en yüksek değerdir).  Risk aşağıdaki gibi hesaplanır:

       Öncelik  X  Güvenilirlik  X  Varlık Değeri
Risk  =  ------------------------------------------------------------------------
25

Varlıklar için değer kullanılmayacaksa en yüksek değer olan 5 değeri alınır. Sonuç 1 ile 10 arasında bir risk değeridir. Risk değeri istenen bir değerden itibaren alarm üretmek için kullanılır. Bu değer mantıksal olarak 5 olabilir. Hesaplanan risk, Ayarlar > Sunucu Konfigurasyon > Korelasyon kısmında Minimum Risk Alarm Seviyesi olarak belirlenen bu değeri aştığında alarm üretilir.

İlerleyen bölümlerimizde Şekil 3'te görseldeki gibi çeşitli korelasyona senaryoları paylaşarak SIEM ürünümüz SIEM 1 gibi çevik ve hızlı hale getirmeyi konuşacağız.

Şekil 3 - Genel SIEM görünümü

Ve böylelikle SIEM'e ait tanımları yaparak korelasyonlar için temelleri oluşturduk. Bir sonraki kış akşamında yeni yazımla görüşmek dileğiyle.

Fatih ÜNLÜ
@SOC
Yer: Ankara, Turkey

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun