Örnek SIEM Korelasyonları

Kurulumu yapılan SIEM sistemlerinde en büyük sıkıntı genelde 'içerik' (kural) sıkıntısı oluyor. Bu seride -görece az false positive üreten- örnek SIEM kurallarına yer vermeye çalışacağım. Özellikle Windows EventID içermeyen kurallara yer vermeye çalışacağım çünkü işin Windows kısmı için zaten epey kaynak var.

  • Aynı kaynak IP'den bir yada birden fazla hedef IP'ye 5 dk içinde 100'den fazla IPS/IDS imzası tespit edilirse uyar

  • Host kısmı aynı kalmak şartıyla, xxxxxxx.domain.com şeklinde DNS taleplerinde 5 dk içinde 10'dan fazla ve farklı çeşitte xxxxxxx kısmı görülürse uyar. (DNS-tunneling)

  • base64 formatlı ve 100 karakterden uzun Powershell komutu görülürse uyar

  • Parent'ı Word yada Excel olan cmd.exe yada powershell.exe uygulaması görülürse uyar

  • Komut satırı loglarında "vssadmin delete shadows" komutu görülürse uyar

  • Alexa Top 1.000.000 URL içinde olmayan ve tehdit istihbaratı kaynaklarından 10 üzrinden 7 ve üzeri riskliliğe ve 1'den düşük entropi değerine sahip (freq_server) URL'lere erişim denemelerinde uyar

  • SANS "Find evil" posterindeki parent-child process ilişkisi haricindeki proces oluşumlarında uyar

  • Proxy loglarında Powershell User-Agent'ı (WindowsPowerShell) görülürse uyar

  • Proxy loglarında IP ile bir URL talebi varsa ve URI kısmında exe varsa (http://12.32.123.32/aaa.exe) uyar

Furkan ÇALIŞKAN

Read more posts by this author.