03 Haz, 2021

[:tr]Merkezi Güvenlik İzleme ve Olay Yönetimi[:en]Central Security Monitoring and Incident Management[:]

[:tr]Bilgi ve iletişim teknolojilerinin yaygın kullanımı sayesinde siber ortam tehditlerinin niteliğinde ve niceliğinde gelişmeler yaşanmaktadır. Siber tehditler; bireyleri, kurum ve kuruluşları hatta devletleri hedef almaktadır. Ülkeler siber güvenliklerini sağlamak amacıyla idari yapılandırmalar gerçekleştirmekte, teknik önlemler almakta ve hukuki altyapılara uygun hale gelmektedir. Gerçekleşebilecek bir siber saldırıyı engellemek amacıyla kurumlar kendi içerisinde bulunan bilgi sistemleri ve ağ bileşenlerine ait günlük kayıt (log kaydı) tutar. Bu log kayıtlarının izlenildiği gibi bir siber olay sırasında filtrelenerek saldırı tekniklerinin tespit edilmesi ve yaşanabilecek siber olayların tespit edilmesi gereklidir. Bu tespiti, merkezi güvenlik izleme ve olay yönetimi sistemleri ile sağlamak mümkündür. Farklı sistemlerden gelen birçok olayın ilişkilendirilmesi ve anlamlı sonuçlar elde edilmesi oldukça zordur. Aynı zamanda hayati bir önem taşımaktadır. Kritik Altyapı Sektörü (enerji, elektronik, haberleşme, finans, su yönetimi, kritik kamu hizmetleri, ulaştırma vb.) ve kendi bünyesinde sistemleri kontrol eden tüm kuruluşların merkezi güvenlik izleme ve olay yönetimi sistemine ihtiyaçları vardır.

Merkezi güvenlik izleme ve olay yönetiminde iz kayıtlarının merkezi olarak yönetilmesi gibi avantajları da bulunmaktadır. Bu avantajlara geçmeden önce log kayıtları hakkında kısaca bilgi verecek olursak;

Log Nedir? Dijital ortamda gerçekleşen tüm faaliyetlerin kayıt altına alınmasıdır. Üretilen log sayesinde yaşanılan herhangi bir durumda delil niteliğine sahip veriler bulunur.

Tutulan loglar sayesinde 5N1K sorularına cevap vermek mümkündür. Örneğin;

-Ne?
-Yetkisiz erişimin olması, kayıtların silinmesi, yetkili kullanıcı oluşturulması…
-Ne zaman?
-Cuma 28 15:44:28 2015, 10/08/2015, 2015-01-30 15:45:44
-12350495043800345345, 12.01.2015 10:33:56
-Nerede?
-Dosya sunucusunda, e-postada, web servisinde, aktif dizinde
-Nereden?
-Saldırı 99.214.77.13 adresinden Guanjou Internet Sağlayıcı, Beijing Çin
-Ofisin 3.katından biri
-Çalınan veri 56.2.3.5 adresine Karachi, Pakistan’a gönderildi
-Nasıl?
-SQL enjeksiyonu, kaba kuvvet saldırısı, spam, sosyal mühendislik…
-Kim?
-10.2.2.4, mehmet, FF01::101, 01:23:45:67:89:AB

Kayıtlı loglar sayesinde merkezi güvenlik izleme ve olay yönetiminde görev alan ekipler;

-Logları izleyebilir.
-İzlediği logları analiz edebilir.
-Oluşan bir problemi loglar sayesinde giderebilir.
-Elindeki loglar sayesinde geçmişte ne olduğu hakkında bilgi verebilir.
-Adli delil inceleme yapılabilir.
-Bir siber olay müdahalesinde bulunulabilir.

Log Türleri;
-Windows Event Log
-UNIX Syslog
-Cisco Netflow
-Performans Logları
-Uygulama Logları
-Firewall
-Checkpoint
-Juniper Netscreen
-Cisco PIX/ASA/FWSM
-IDS log formatları
-Sourcefire Snort
-McAfee Intrushield
-Cisco IPS
-Tippingpoint
-Web sunucuları
-Apache
-Tomcat
-Internet Information Systems (IIS)

LOG Toplanırken Karşılaşılan Problemler

-İzlenecek çok sayıda envanter olduğundan hangi log güvenlik için değerli olduğu karşılaştırılabilir.
-Loglar farklı yerlerde dağınık olarak durduğunda tek tek bakılması ve analiz edilmesi zorlaşmaktadır.
-Kayıt inceleme yazılımları tek başlarına yetersiz kalmaktadır, gelen alarmlara müdahale etmek adına ek sistemler kullanılmalıdır.
-Farklı biçim ve türde çok fazla log kaydı bulunmaktadır.
-Log üreticilerinin farklı yapılandırma ayarları mevcuttur yani standart bir formatı yoktur.
-Uygulama bazlı loglar üretilmektedir.

Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekibin temelde üstlenmiş olduğu görevler vardır. Bu görevleri siber olay öncesinde, esnasında ve sonrasında olmak üzere 3 ana başlığa ayırabiliriz.

Sırayla açıklamak gerekirse;

Siber Olay Öncesi
Kurumda bir siber olayın yaşanmadığı veya gerçekleşmediği durumda merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekibin yapması gerekenler;

-Kurum içi farkındalık çalışmalarının gerçekleştirilmesi.
-Siber güvenlik ile ilgili periyodik olarak kurum içi bülten hazırlanması.
-Kurumun bilgi güvenliği farkındalığını ölçecek anketlerin düzenli olarak yapılması.
-Kurumsal bilişim sistemlerine yönelik sızma testlerinin yapılması veya yaptırılması.
-Kayıtların düzenli olarak incelenmesi.
-Log kayıtlarının merkezi olarak yönetilmesi gerekir. Merkezi olarak yönetilen olay sonrasında incelenmek üzere güvenilir delillerin elde edilmesi için tutulacak -kayıtların asgari niteliklerini dokümanına uygun olarak, merkezi bir şekilde tutulmasını ve yönetilmesini sağlar.
-Kurumsal SOME, siber olay öncesinde, esnasında ve sonrasındaki görev ve sorumlulukları ile kurumun diğer birimlerle ilişkilerini düzenler, siber olay yönetim -talimatlarının (siber olay müdahale, siber olay bildirim süreci vb.) hazırlanması
-Siber güvenlik tatbikatlarının gerçekleştirilmesi.

Siber Olay Esnası
Kurumda bir siber olay gerçekleştikten ve olaya müdahale edildikten sonra Merkezi güvenlik izleme ve olay yönetiminde görev alan ekip aşağıdaki görevleri icra ederler:

-Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.
-Siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde, siber olay değerlendirme formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel SOME’ye gönderip kayıt altına alır.
-Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
-Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.
-Yaşanan siber olaya ilişkin işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır. Üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.

Kurum bir merkezi güvenlik izleme ve olay yönetimi sistemi oluşturduktan sonra hemen ardından faaliyet raporu oluşturmalıdır. Faaliyet raporu sayesinde bir siber saldırıya maruz kalındığı andan itibaren planlı bir şekilde hareket etmesini sağlar. Tavsiye olarak faaliyet raporunda bulunması gereken başlıklar;

İnsan Kaynağı

-Personel durumu
-Kurum içi farkındalık çalışmaları
-Alınan eğitimler, konferanslar

Risk Analizi Süreci

-Bilişim sistemleri test faaliyetleri
-İz kayıtları inceleme faaliyetleri
-Müdahale ve koordine edilen siber olaylar

Edinilen tecrübeler ve uygulanan düzeltici faaliyetler

Kurum içi ve dışı paydaşlarla yapılan çalışmalar

Diğer faaliyetler

Merkezi Kayıt Yönetiminin Yetenekleri

– BT altyapısından olan olaylar hakkında bilgi sahibi olma
– Sistemde olan kritik olaylar hakkında haber verme yetenekleri
– Gelişmiş saldırıların tespiti
– Olay ilişkilendirme
– Risk hesaplama
– Detaylı raporlama ve olay takibi
– Aynı kayıtların birleştirilebilmesi
– Uyarı, alarm mekanizmaları
– Dashboard’lar yardımı ile görsel analiz
– Mevzuata uyumluluk
– Kayıtların uzun süreli saklanabilmesi
– Adli analiz
– Gerçek zamanlı veri ve kullanıcı izleme
– Tehdit bilgisi
– Uygulamaların izlenmesi
– Tek merkezden yönetim

Merkezi Kayıt Yönetimi sistemlerin kurulum aşamaları;

Planlama
– Kurum bilgi sistemlerinin varlık envanterinin çıkartılması
– Varlık envanterindeki varlıklara risk değeri ataması
– Kurum ağ topolojisinin çıkartılması
– Toplanacak logların önceliklendirilmesi ve belirlenmesi
– Merkezi Kayıt Yönetimi ve Güvenlik İzleme Sistemi bileşenlerinin planlanması

Bileşenlerin Kurulumu
– Log sunucularının kurulumu
– Merkezi güvenlik izleme sunucusunu kurulumu
– Sensörlerin kurulumu
– Raporlama araçlarının kurulumu
– Depolama alanlarının kurulumu

Kayıtların Toplanması
– Uygulamalar
– Web / uygulama sunucuları
– Veri tabanları
– Yetkilendirme sunucuları
• LDAP
• AD
• Aruba Radius
– İşletim sistemleri
– Windows
– Linux
– Sanallaştırma sistemi
– Yedekleme sistemi
– Güvenlik cihazları
• Güvenlik duvarı
• Saldırı tespit ve önleme sistemi (IDS/IPS)
• Antivirus sistemleri
• İçerik filtreleyiciler
• Veri kaçağı önleme sistemi
– Ağ ve aktif cihazlar
• Yönlendiriciler ve anahtarlama cihazları
• Ağ akış kayıtları (Netflow)

Saldırı Tespit Sistemlerin Entegre Edilmesi

Saldırı Tespit Sistemleri, ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da kurum içerisinde olan politik ihlalleri izlemeye yarayan cihaz/yazılımlardır. Tespit edilen herhangi bir zararlı aktivite bildirim olarak STS sistemleri sayesinde merkezi olarak toplanıp sunulduğunu gösteren dashboard üzerinden takibi yapılır. STS sistemleri, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır. En yaygın STS sistemlerine örnek olarak; ağ saldırı tespit sistemleri (NIDS), bilgisayar tabanlı saldırı tespit sistemleri (HIDS), SIEM, SOAR, IDS, IPS örnek verilebilir. Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.

– IDS kurulumu ve yapılandırılması
– IPS kurulumu ve yapılandırılması
– DMZ saldırı tespit ve önleme kurulumu ve yapılandırılması
– Kritik sunucularda denetim (loglarının açılması) kayıtlarının tutulması için
yapılandırmaların yapılması
– SIEM sistemleri kurulumu ve yapılandırılması
– Olay ilişkilendirme sistemleri (SIM) kurulumu ve yapılandırılması
– SOAR sistemlerini kurulumu ve yapılandırılması

Ücretsiz Açık Kaynak Sistemleri

•ACARM-ng
•AIDE
•Bro NIDS
•Fail2ban
•OSSEC HIDS
•Prelude Hybrid IDS
•Samhain
•Snort
•Suricata

İlişkilendirme ve Saldırı Senaryoları

– Hazır ilişkilendirme kurallarının uyarlanması ve muhtemel saldırı senaryolarının belirlenip kuralların oluşturulması
– Brute force
– Port scan
– Pass the hash
– Simetrik bağlantılar
– Mesai dışı hareketler
– Aşırı bandwith kullanımı
– Aynı hesabın birden çok makinada login olması
– Sistem yönetici makinalarına erişim denemeleri
– Kritik kullanıcılara erişim denemeleri
– Kritik sunuculara yetkisiz ağlardan erişim denemeleri

– Uyarı/önlem mekanizmalarının belirlenmesi
– E-posta uyarı mekanizmalarının oluşturulması
– Saldırı engelleme ya da saldırı tespit sistemi olarak çalışma modunun ayarlanması

Dashboard Tasarımı

Olay Müdahale ve Alarm Üretimi

– Üretilen alarmlar incelenir
– Gerekli durumlarda ilgili birimler harekete geçirilir
– Gerekli aksiyonlar alınarak sorun giderilir
– Sistem eski haline getirilir
– Sorunun kaynağı raporlanır
– Gerçekleştirilen tüm işlemler kayıt altına alınır
– Aynı sorunun tekrar yaşanmaması için ilgili önlemler alınır

Raporlama
– Üretilecek raporların belirlenmesi

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]Central Security Monitoring and Incident Management
Thanks to the widespread use of information and communication technologies, there are developments in the quality and quantity of cyber threats. Cyber ​​threats; It targets individuals, institutions and organizations and even states. Countries carry out administrative restructuring, take technical measures and become compatible with legal infrastructures in order to ensure their cyber security. In order to prevent a possible cyber attack, institutions keep a log record of their information systems and network components. As these log records are monitored, it is necessary to detect attack techniques and detect possible cyber events by filtering them during a cyber event. It is possible to provide this detection with central security monitoring and event management systems. It is very difficult to correlate many events from different systems and to obtain meaningful results. It is also of vital importance. The Critical Infrastructure Sector (energy, electronics, communications, finance, water management, critical utilities, transportation, etc.) and all organizations that control systems within their own body need a centralized security monitoring and event management system.

It also has advantages such as centralized management of trace records in central security monitoring and incident management. Before moving on to these advantages, if we give brief information about the log records;

What is Log ? It is the recording of all activities that take place in the digital environment. Thanks to the generated log, there are data that have the quality of evidence in any situation experienced.
Thanks to the logs kept, it is possible to answer the 5W1K questions. E.g;

-What?
-Unauthorized access, deletion of records, creation of authorized user…
-When?
-Friday 28 15:44:28 2015, 10/08/2015, 2015-01-30 15:45:44
-12350495043800345345, 12.01.2015 10:33:56
-Where?
-On file server, e-mail, web service, active directory
-From where?
-Attack from 99.214.77.13 Guanjou Internet Provider, Beijing China -One
of the
3rd floor of the office -Stolen data was sent to 56.2.3.5 address Karachi, Pakistan
-How?
-SQL injection, brute force attack, spam, social engineering…
-Who?
-10.2.2.4, mehmet, FF01::101, 01:23:45:67:89:AB

Teams involved in central security monitoring and event management, thanks to recorded logs;

-Can monitor logs.
-Can analyze the logs watched.
-It can fix a problem with logs.
– Thanks to the logs in his hand, he can give information about what happened in the past.
-Forensic evidence can be examined.
-A cyber incident response can be made.

Log Types;
-Windows Event Log
-UNIX Syslog
-Cisco Netflow
-Performance Logs
-Application Logs
-Firewall
-Checkpoint
-Juniper Netscreen
-Cisco PIX / ASA / FWSM
-IDS log formats
-Sourcefir the Snort
-mcafe the IntruShield
-Cisco IPS
-Tippingpoint
-Web servers
-Apach to
-Tomcat
-Internet Information Systems (IIS)

Problems Encountered While Collecting LOGS
-Comparable which log is valuable for security as there is a large amount of inventory to monitor.
– When logs are scattered in different places, it becomes difficult to look and analyze one by one.
-Record inspection software is insufficient on its own, additional systems should be used to intervene incoming alarms.
-There are many log records of different formats and types.
-Log manufacturers have different configuration settings, so they do not have a standard format.
-Application-based logs are produced.
There are fundamental tasks undertaken by the team involved in creating centralized security monitoring and incident management. We can divide these tasks into 3 main headings: before, during and after the cyber incident.
To explain in order;

Pre-Cyber ​​Incident In the event
that a cyber incident does not occur or does not occur in the institution, what the team involved in creating central security monitoring and incident management should do;
– Carrying out in-house awareness activities.
-Preparing periodical in-house bulletins on cyber security.
– Regularly conducting surveys to measure the information security awareness of the institution.
-Performing or making penetration tests for corporate information systems.
– Regular review of records.
-Log records need to be managed centrally. Centrally managed ensures that the minimum qualifications of records to be kept for obtaining reliable evidence for post-incident review are centrally maintained and managed in accordance with the document.
-Corporate SOME organizes its duties and responsibilities before, during and after the cyber incident, and the relations of the institution with other units, preparation of cyber incident management-instructions (cyber incident response, cyber incident notification process, etc.)
-Performing cyber security exercises.

During the Cyber ​​Incident After
a cyber incident occurs in the institution and the incident is intervened, the team involved in Central security monitoring and incident management performs the following tasks:
– The opening that caused the incident is determined without delay and the lessons learned are recorded.
– Fills out the cyber incident evaluation form in accordance with the criteria determined by the USOM, sends the information about the cyber incident to USOM and, if any, to the Sectoral SOME to which it is affiliated, and records it.
– Suggestions regarding the corrective/preventive actions that can be taken in relation to the incident are submitted to the management of the institution.
The types, quantities and costs of cyber incidents are measured and monitored.
– A cyber incident response report is prepared, in which the processes related to the cyber incident are explained in detail. It is forwarded to the top management, the USOM and the Sectoral SOME, if any.

After the institution establishes a central security monitoring and incident management system, it should immediately create an annual report. Thanks to its annual report, it enables it to act in a planned manner from the moment it is exposed to a cyber attack. The headings that should be included in the annual report as recommendations;

Human Resources
-Staff situation -Internal awareness studies
-Trainings, conferences

Risk Analysis Process
-Information systems testing activities -Trace
record review activities
-Intervention and coordinated cyber incidents

Experiences gained and corrective actions implemented
Studies with internal and external stakeholders
Other activities
Capabilities of Central Records Management
– Being informed about the events from the IT infrastructure
– Ability to notify about critical events in the system
– Detection of advanced attacks
– Event association
– Risk calculation
– Detailed reporting and event tracking
– Combination of the same records
– Warning, alarm mechanisms
– Visualization with the help of Dashboards analysis
– Regulatory compliance
– Long-term storage of records
– Forensic analysis
– Real-time data and user monitoring
– Threat information
– Application monitoring
– Centralized management

Installation stages of Central Records Management systems;
Planning

Asset inventory of corporate information systems – Assigning risk value to assets in the asset inventory – Extracting the
organization network topology
– Prioritizing and determining the logs to be collected
– Planning the components of the Central Records Management and Security Monitoring System
Installation of Components
– Installation of log servers – Installation of
central security monitoring server
– Installation of sensors
– Installation of reporting tools
– Installation of storage areas
Record Collection
– Applications
– Web / application servers
– Databases
– Authorization servers
• LDAP
• AD
• Aruba Radius
– Operating systems
– Windows
– Linux
– Virtualization system
– Backup system
– Security devices
• Firewall
• Intrusion detection and prevention system (IDS/ IPS)
• Antivirus systems
• Content filterers
• Data leakage prevention system
– Network and active devices
• Routers and switching devices
• Network flow logs (Netflow)
Integrating Intrusion Detection Systems
Intrusion Detection Systems are devices/software used to monitor malicious activities against networks or systems, or political violations within the organization. Any malicious activity detected is monitored on the dashboard, which shows that it is collected and presented centrally thanks to STS systems as a notification. STS systems combine output from various sources and use alarm filtering techniques to separate malicious alarm from false alarms. As an example of the most common STS systems; network intrusion detection systems (NIDS), computer-based intrusion detection systems (HIDS), SIEM, SOAR, IDS, IPS. The main task of this system is to identify malicious activities and report the type of attack.
– IDS installation and configuration
– IPS setup and configuration
– DMZ intrusion detection and prevention installation and configuration
– control at critical servers (opening of the log) for keeping the records
the embodiments made
– SIEM systems installation and configuration
– Event correlation systems (SIM) installation and configuration
– SO Installing and configuring systems

Free Open Source Systems
•ACARM-ng
•AIDE
•Bro NIDS
•Fail2ban
•OSSEC HIDS
•Prelude Hybrid IDS
•Samhain
•Snort
•Suricata

Attribution and Attack Scenarios
– Adapting ready-made association rules and determining possible attack scenarios and creating rules
– Brute force
– Port scan
– Pass the hash
– Symmetrical connections
– Out-of-hours transactions
– Excessive bandwith usage
– Login of the same account on more than one machine
– Attempts to access system administrator machines
– Critical users access attempts
– Attempts to access critical servers from unauthorized networks

– Determination of warning/prevention mechanisms
– Creation of e-mail alert mechanisms
– Setting the operating mode as an intrusion prevention or intrusion detection system

Dashboard Design
Incident Response and Alarm Generation
– The generated alarms are examined
– Relevant units are taken into action when
necessary – The problem is resolved by taking the necessary actions
– The system is restored
– The source of the problem is reported
– All actions taken are recorded
– Relevant measures are taken to prevent the same problem from happening agai

Reporting
– Determining the reports to be produced[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram