Korelasyon Senaryoları – Bölüm III

Korelasyon Senaryoları 

Herkese merhaba uzun bir aradan sonra Korelasyon Senaryoları Bölüm III ile karşınızdayım. Bölüm III'te artık senaryolarımızın üzerinden geçmeye başlayalım.

Her korelasyon kuralı çalıştığında, onun bir örneği oluşturulur ve kurallar işlenmeye başlanır, kurallar olaylarla uyuştukça risk seviyesi artar. Risk seviyesi ayarlarda verilen risk seviyesini aştığında ise alarm üretilir. Ancak işlenecek daha fazla alt kural varsa, bunlara bağlı olarak risk seviyesi daha da yükselir ve yeni alarmlar üretilmeye devam edilir. Yani alarmlar birbirine bağlı olmalıdır. Bunu örnekle açıklamak gerekirse, bir kişi 3 kez yanlış şifre girdiğinde risk seviyesi 5 olsun ve alarm üretilsin, devamında belirli bir süre içerisinde aynı kişi 5 kez daha yanlış şifre girdiğinde risk seviyesi 8 olsun ve alarm üretilsin, daha sonra aynı kişi belirli bir süre içerisinde 10 kez daha yanlış şifre girdiğinde risk seviyesi 10 olsun ve alarm üretilsin. Bu durum aşağıdaki gibi gösterilmiştir.

Korelasyon Senaryosu
Şekil 1 - Korelasyon Senaryosu

Her bir alarma ilişkin ayarlarda verilen miktarda olay (log) kaydı saklanmalıdır. Böylece alarmları oluşturan olaylar hakkında kullanıcıya yeterli bilgi verilebilmektedir. Ayrıca uyarılarla ilgili korelasyon tanımına ve kurala ulaşılabilmektedir. Bu durum negatif kurallar için geçerli değildir. Çünkü negatif kurallarda olayın olmama durumu söz konusu olduğu için kaydedecek herhangi bir bilgi bulunmamaktadır.

  • Kaba kuvvet denemeleri
  • Tek bir kaynaktan kısa sürede çok sık tekrar eden erişimler
  • Bir kimliğe yönelik giriş denemeleri
  • Yetkisiz bir bilgisayarda SMTP erişim denemeleri
  • Uçnokta güvenlik cihazlarından zararlı yazılım analizleri
  • IPS/IDS kayıtları içerisinde tehdit seviyesi 7’den yukarıda olup siber istihbarat servislerinde zararlı bir IP’ye erişim yapabilen kaynakların tespiti
  • İnternet erişim sağlayan hizmet hesapları
  • Karantinaya alınamayan ya da temizlenemeyen zararlı bulaşmış bilgisayarlar
  • Belirli sürede belirli adetin üstünden engellenen kullanıcılar
  • Aşırı trafik gelen tek hedef sunucu
  • Kritik olarak belirlenen sunucularda log dosyalarının silinmesi
  • Port taraması yaptıktan sonra aynı kaynaktan başarılı giriş denemeleri
  • Bir kaynak dışarı giden trafikte 25 portunda kısa sürede fazla adette olay oluşturması
  • Kısa sürede ağ cihazından 3’ten fazla konfigürasyon değişikliği
  • Belirli saatler dışında VPN erişimi sağlayan kullanıcıların farklı bir IP bloğuna erişim durumları

Aşağıda CRYPTOSIM ile yakalanabilecek genel korelasyon kullanım senaryoları listelenmiştir;

Kavram tanımlamalarından sonra Siber Güvenlik Modülü ve Korelasyon Kuralları CRYPTOSIM Web Yönetim Paneli üzerinden anlatılacaktır. Bundan sonraki maddeler arayüz üzerinde bu kavramların kullanımlarından bahsetmektedir.

Aşağıdaki senaryolar CRYPTOSIM tarafından uygulanabilmektedir. Listelenmiş senaryolar detaylı olarak örneklendirilmektedir. Bazı senaryolarda korelasyon sonucu gösterilmiştir. Bu senaryolar laboratuvar ortamında gerçekleştirilmiştir.

Senaryo: Farklı cihazlar ile VPN yapan kullanıcıların takibi

Kural Adı: VPN yapan cihazların takibi

 Kural Açıklaması: Senaryomuz iki adet korelasyon kuralı ile gerçekleştireceğiz. İlk korelasyon kuralımız ağ içerisinde VPN yapan kullanıcıların VPN uygulamasının üzerinde koştuğu makine adını[shost], kaynak IP’si[src_ip], kullanıcı adı[suser] ve VPN başarılı oturum açma tarihini[date1] “VPN kuıllanıcı takibi” adlı Aktif listede tutulacaktır. İkinci korelasyon kuralımızda ise “VPN kullanıcı takibi” adlı Aktif listesinden faydalanarak VPN oturum açma girişimi yapan kullanıcının adı[suser], kaynak IP si[src_ip] ve oturum açmak için kullandıkları VPN uygulamasının üzerinden koştuğu makine adını[shost] ilişkilendirecektir. Eğer daha önce Aktif listemizde olmayan bir kullanıcı[suser],kaynak IP si[src_ip] ve oturum açmak için kullandıkları VPN uygulamasının üzerinden koştuğu makine adını[shost] 3'lü kolondan herhangi biri yok ise uyarı üretecektir çünkü yeni bir VPN ile başarılı oturum açma durumu olarak değerlendirelecektir. İkinci korelasyon kuralında Aktif Listede var olan bilgiler güncellenebilir,eklenebilir ve silinebilir ayrıca veri zenginleştirme yapılarak ikinci korelasyonda kullanılan log kaynağından örneğin ülke bilgisi çekilebilir.

Şekil 2 - Aktif Liste
Şekil 2'de Aktif Liste genel görünümü görülmektedir. Kolonlar [src_ip],[suser],[shost] ve [date1] olmak üzere 4 adettir. Aktif listede azami tutma süresi 1gündür, azami adet sayısı ise 1.000 adettir.


Şekil 3 - Birinci Korelasyon Kuralı
Şekil 3'te Birinci korelasyon kurallında şart olarak "eventid=globalprotectgateway-agent-msg" uygun olanlar Şekil 2 'deki Aktif listemizde yerini alacaktır.

Şekil 4 - Birinci Korelasyon İçin Aktif Liste Kullanımı
Şekil 4'te Birinci korelasyon kuralında Aktif listeye atama genel görünümü görülmektedir. Güvenlik duvarında yer alan kolonlar [src_ip],[suser],[shost] ve [date1] direk olarak Aktif listeye atanmaktadır.


Şekil 5 - İkinci Korelasyon İçin Aktif Liste Kullanımı
Şekil 6 - İkinci korelasyon için Aktif Liste Kullanımı
Şekil 6'da İkinci korelasyon kuralında var olan Aktif listede kullanıcı[suser] karşılaştırmak için yeni gelen VPN bağlantısında yeni kullanıcının[suser],kaynak IP si[src_ip] ve oturum açmak için kullandıkları VPN uygulamasının üzerinden koştuğu makine adını[shost] durumu değerlendirelecektir. Farklı bir kullanıcı[suser],kaynak IP si[src_ip] ve makine adını[shost] kolonlarında herhangi biri değişirse alarm üretilecektir.


Fatih ÜNLÜ
Technical Support Engineer



Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,...
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is...
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değer...
Devamını okuyun