SIEM Kural Örnekleri -4 PROFİLLER

·      Bir uygulama/yazılım çalıştırıldıktan sonraki 15 dakika içerisinde aynı makinada erişilen dosyalar 20 dakika içerisinde 1 den fazla makinada aynı process ve aynı dosyalar şeklinde ve aynı zaman dilimlerinde (process sonra 15 dakika içerisinde erişilen dosyalar gibi) gözleniyorsa uyar.

·      Bir kullanıcı 80 portundan X adresine erişim yaptıktan sonra 15 dakika içerisinde aynı kullanıcı Y mail adresine mail atarsa ve bu X->Y deseni (pattern) 30 dakika içerisinde 1 den fazla kullanıcıda görülürse uyar.

·      Son 10-15 gün, her saat dilimi için trafiğin boyutu hesaplanıp bir normal/baseline çıkarılıp, belli zamanlarda o zaman dilimlerinin karakteristiğine uygun olmayan(i.e.,+/-%30) trafik oluşursa uyar.

·      Kullanıcıların 180 günlük A->B ye trafik oluşturma profili son 1 saatlik A->B profili ile karşılaştır ve %30 fark varsa uyar.

·      Son 1 saatlik ortalamalarda IP başına düşen ortalama trafik miktarında %30 artış varsa uyar

·      Son 10-15 gün, her saat dilimi için trafiğin boyutu hesaplanıp bir normal/baseline çıkarılıp, belli zamanlarda o zaman dilimlerinin karakteristiğine uygun olmayan(i.e.,+/-%30) trafik oluşursa uyar

·      Normal mesai saatleri içinde hiç başarısız oturum kaydı olmayan bir kullanıcı öğle yemeği saatlerinde 2 gün arka arkaya başarısız oturum kaydı oluşturuyorsa uyar

·      Gelen günlükleri her bir IP için haftalık olarak takip edip ve canlı verilerle karşılaştırıp %30 ve üstü fark varsa uyar

·      10 dakikalık zaman dilimleri içerisinde oluşan bir trafik deseni (pattern) eğer hedef (Destination IP) Alexa ilk 1000 000 da değilse ve (SRC->DST1:DSTPORT1,SRC->DST2:DSTPORT2,SRC->DST3:DSTPORT3 ) yarım saat içinde başka bir makinadan daha tekrarlanırsa uyar.

·      VPN yapan bir kullanıcı eğer son 1 ayda hiç bulunmadığı bir lokasyondan VPN yaptıysa ve bu VPN kullanıcısı VPN yaptıktan sonra 20 dakika içinde 100 MB dan fazla upload yaptı ise uyar

·      Kullanıcıların DNS trafiğinin HTTP trafiğine oranındaki değişiklik %30 ve üstü ise uyar

·      IPS/IDS loglarının dakikalık toplam log miktarındaki anormallikleri takip etmek gerekir. Ortalama ve standart sapma değerlerine göre anormallikleri uyar.

·      Kullanıcıların son 1 ay içinde başarısız oturum açma profilini çıkarın. Örnek Ertugrul.Akbas A makinasından x,y,z makinalarına ve B makinasından s,t,u makinasına gibi ve bunu referans noktası olarak alın ve bu makinalar dışında bir makinadan->makinaya başarısız oturum oluştururlarsa uyar şeklinde bir alarm oluşturun. Ama eger SuspiciousUserActivities listesinde veri varsa bunu normalden profilden çıkararak profili güncelleyin.

·      Bir kullanıcının mesai ye geldiği günlerde oturum açmalarının %99 u mesai saati bitimine 1 saat kalaya kadar oluyor ise ve bu kullanıcı mesai bitime 5 dakika kala oturum açtı ise

·      Mesai saatleri içerisinde hiç login olmadığı bir sunucuya sadece mesai sonrası login olan olursa ve bunu 3 gün veya daha fazla arka arkaya tekrarlarsa uyar

·      Bir uygulama/yazılım  (prosess) çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1 den fazla makinada aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.

·      Aynı uygulama/yazılım (process) , dosya (file), kayıt defteri (registry) desenleri (pattern) (uygulama adı, dosya adı, kayıt da nereye ulaşıyor vb.. şeyleri bilmeye gerek olmadan) 30 dakika içerisinde birden fazla farklı makinada tespit edilirse uyar.

www.anetyazilim.com.tr SURELOG www.anetusa.net