ANET SIEM ÇÖZÜMLERİ

Dr. Ertuğrul AKBAŞ
ertugrul.akbas@anetyazilim.com.tr

ANET&SIEM

SIEM ve KORELASYON
Aşağıdaki linklerden SIEM temel tanımı okunabilir http://en.wikipedia.org/wiki/Security_information_and_event_management Aşağıdaki linklerden ANET YAZILIM ekibinden Dr. Ertuğrul AKBAŞ’ın yazdığı SIEM makalelerini okuyabilirsiniz.
http://www.linkedin.com/groups/Log-Y%C3%B6netimi-ve-SIEM-4230485.S.94663393 http://www.olympos.net/belgeler/siem/log-yonetimi-ve-siem.html#axzz2LfPNm52U http://www.belgeler.com/blg/2pl0/log-ynetm-ve-siem

Aşağıdaki linklerden KORELASYON MOTORUNU temel tanımı okunabilir • http://en.wikipedia.org/wiki/Event_correlation Aşağıdaki linklerden ANET YAZILIM ekibinden Dr. Ertuğrul AKBAŞ’ın yazdığı KORELASYON MOTORU makalelerini okuyabilirsiniz.
http://www.belgeler.com/blg/2q91/korelasyon-motoru- er-analtk-yntemler-blg-gvenl-ve-log-ynetm http://www.olympos.net/belgeler/log-yonetimi/korelasyon-motoru-ileri-analitik-yontemler-bilgi-guvenligi-velog-yonetimi-29121324#axzz2LfPNm52U http://www.scribd.com/doc/82090752/KORELASYON-MOTORU-%C4%B0LER%C4%B0ANAL%C4%B0T%C4%B0K-YONTEMLER-B%C4%B0LG%C4%B0GUVENL%C4%B0%C4%9E%C4%B0-VE-LOG-YONET%C4%B0M%C4%B0

SIEM

ANET SIEM AR-GE
• ANET YAZILIM korelasyon motoru konusunda Türkiye’de AR-GE çalışması yapıp bunları yayınlamış ilk ve 2013 Mart itibari ile tek ticari firmadır.
• • E.Akbas, Enhancing SIEM Correlation Rules Through Baselining, 5th International Conference on Information Security and Cryptology,May 17-19, 2012,Ankara,Turkey http://www.iscturkey.org/index.php?option=com_content&view=article&id=46&Itemid=63&lang=tr E. Akbas ,NEXT GENERATION FILTERING: OFFLINE FILTERING ENHANCED PROXY ARCHITECTURE FOR WEB CONTENT FILTERING”, 23rd of the International Symposium on Computer and Information Sciences ( ISCIS 2008 ), İstanbul, Turkey, 2008 http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?isnumber=4717848&arnumber=4717892&count=124&index=43 Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, Mayıs,2008, Girne, KKTC. http://www.emo.org.tr/ekler/578fe27c90622d7_ek.pdf Ertuğrul Akbaş, Web İçerik Tarama ve Ebeveyn Kontrolü, Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, Mayıs,2008, 2008, Girne, KKTC. http://www.emo.org.tr/ekler/b91892416e732f1_ek.pdf Ertuğrul Akbaş "Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi", ISC'07 Bilgi Güvenliği ve Kriptoloji Konferansı, 13-14 Aralık,2007, Ankara, Turkiye. www.iscturkey.org/iscold/ISCTURKEY2007/papers/54.pdf Ertuğrul Akbaş , "Hata Yönetimi için Zeki Keşif ve Topoloji Oluşturma Yöntemi ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, pp 157-163, 9-11 Haziran,2005, Istanbul, Turkiye. www.emo.org.tr/resimler/ekler/b3fff6463464959_ek.pdf E. Akbas, E. Murat Esin, "Seamless Integration of Network Management Protocol with Distributed Control " The twelfth Turkish Symposium on Artificial Intelligence and Neural Networks,02-04 July 2003, Çanakkale, Turkey. E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and Communications,30 June-3 July 2003, Antalya, Turkey. http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1214302 E. Akbas, "Web Based Management: A Novel Architecture ", The Sixteenth International Symposium on Computer and Information Sciences (ISCIS XVI), October, 29-31, 2001, Antalya, Turkey

• • • • • • •

SIEM

ANET SIEM AR-GE
• ANET YAZILIM bugün kullandığı korelasyon teknolojisinin temellerini 2003 yılında başlattığı çalışmalarla atmıştır. • E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and Communications,30 June-3 July 2003, Antalya, Turkey. http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1214302

SIEM

ANET SIEM AR-GE
• ANET YAZILIM sosyal medya ve internet ortamında SIEM ve korelasyon motoru konusunda çok yoğun katkı vermektedir.
• Ertuğrul Akbaş, KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ, http://www.olympos.net/belgeler/log-yonetimi/korelasyon-motoru-ileri-analitik-yontemler-bilgi-guvenligive-log-yonetimi-29121324#axzz2AGe4adnG
Ertuğrul Akbaş ,LOG YÖNETİMİ ve SIEM, http://www.olympos.net/belgeler/siem/log-yonetimi-vesiem.html#axzz2AGe4adnG Ertuğrul Akbaş, http://www.linkedin.com/groups/Log-Y%C3%B6netimi-ve-SIEM-4230485.S.94663393

• •


Ertuğrul Akbaş, Yerli Yazılım Sanayi, Operatörler ve İçerik Filtreleme, Telekom Dünyası Dergisi, http://www.telekomdunyasi.com/
Ertuğrul Akbaş, Merkezi veya ISP Seviyesinde İçerik Filtreleme Çocuk Pornosu ve Zararlı Siteleri Engellemede Başarılı Olabilir mi?, http://www.olympos.org/belgeler/icerik-filtrelemede-hukumet-politikalari/merkezi-veya-isp-seviyesindeicerik-filtreleme-coc Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi, http://www.olympos.org Ertuğrul Akbaş , Bilgi Güvenliği, http://www.olympos.org Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, http://www.olympos.org

• • •

SIEM

ANET SIEM TEMEL ÖZELLİKLERİ
• • • • • • • • Script ve JAVA dillerini desteklemektedir JSR94 Çok esnek kural oluşturma yapısı Rule Base Complex Event Processing(CEP) Forward Chaning Backward Chaining Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olup yazım kuralları ve kural geliştirme yöntemleri uluslararası standartlardır.Dolayısı ile hem destek hem de öğrenilen bilginin global olması noktasında da avantaj sunur. • Tamamen ulaslararası standartlarda bir kural Veritabanı • JAVA API

SIEM

ANET SIEM TEMEL ÖZELLİKLERİ

SIEM

ANET FAUNA

SIEM

Raporlama
Log Yönetimi
SIEM

ANET FAUNA
Fauna : ANET SIEM Ürün adı. Dünyada ticari ürün olarak • Şablon Temelli Korelasyon Kuralları • Sihirbaz Temelli (Wizard) Korelasyon Kuralı Oluşturma • Script veya JAVA dili kullanarak Korelasyon Kuralı Oluşturma Uzman Modu (Expert Mode) Seçeneklerini birlikte destekleyen tek üründür

SIEM

ANET FAUNA: Kural Geliştirme Yöntemleri

Şablon

Sihirbaz

Expert

SIEM

ANET FAUNA: ŞABLON KURALLARI

Onlarca hazır kural kurulumla birlikte yüklenir. Yeni kural eklemek istendiğinde bu hazır kurallar kopyalanıp gerekli parametreler değiştirilerek yeni kurallar yeni isimleriyle sisteme kaydedilirler

SIEM

ANET FAUNA: ŞABLON KURALLARI
• • • • • • • • 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar Administrators grubuna kullanıcı eklenirse uyar Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile birlikte) Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile birlikte)

SIEM

ANET FAUNA: ŞABLON KURALLARI
• Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar. • Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere gönderilirse uyar • İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar • Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et) • Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et) • Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar • Mesai saatleri dışında sunuculara ulaşan olursa uyar • Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu gelirse uyar

SIEM

ANET FAUNA: SİHİRBAZ KURALLARI

Görsel bir arayüz kullanarak sisteme yeni kurallar eklenir.

SIEM

ANET FAUNA: SİHİRBAZ KURALLARI

SIEM

ANET FAUNA: EXPERT MOD KURALLARI

Sisteme JAVA ve Script kullanarak istenilen esneklikte kurallar eklenir.

SIEM

ANET FAUNA: EXPERT MOD KURALLARI
Rule “WINDOWS BRUTE FORCE ATTACK AND POSSIBLE ATTACKERS" when $firewallmap: Map() from accumulate ( $so: SyslogAlarmObject( $DST: DST ) over window:time( 60s ) from entry-point siem , init( Map m = new HashMap(); ), action( List list = (List)m.get( $DST ); if( list == null ) list = new ArrayList(); list.add( $so ); m.put($DST ,list);), result( m ) ) $map: Map() from accumulate ( $so: WindowsAlarmObject( $IP: IP,TYPE=12 ) over window:time( 60s ) from entry-point siem , init( Map m = new HashMap(); ), action( List list = (List)m.get( $IP ); if( list == null ) list = new ArrayList(); list.add( $so ); m.put($IP ,list);), result( m ) ) then Iterator s=$map.keySet().iterator() ; while (s.hasNext()){ String ip=(String)s.next(); System.out.println("Attacked Windows "+ip); List list=(List)$map.get(ip); if (list.size()>49){ if ($firewallmap.containsKey(ip)){ List attackers=(List) $firewallmap.get(ip); for (int i=0;i<attackers.size();i++){ String attacker_ip=((SyslogAlarmObject)attackers.get(i)).getSRC(); FireAlarm.fire((String)ip+" : "+attacker_ip); } } } } end

SIEM

YERLİ VE YABANCI ÇÖZÜMLERE KARŞI AVANTAJLARI

Yabancı Ürünlere Karşı Avantajları Yerli Ürünlere Karşı Avantajları

SIEM

BİZE GÜVENELERDEN BİR KISMI…

SIEM

ANET YAZILIM
İletişim Bilgileri
Doğu Mah Bilge Sok No:2 Kat 5 D:4 Pendik/İstanbul T: 0216 3540580 F: 0216 3540581 ertugrul.akbas@anetyazilim.com.tr www.anetyazilim.com.tr

Sign up to vote on this title
UsefulNot useful