SIEM ve monitoring platformlarının temel bileşenlerinden biri olan iç ve dış ağ kaynaklı trafiğin şüpheli aktivitelere karşı izlenmesi işlemi tehditlerin kuruma herhangi bir etki yapamadan önlenebilmesi için kritik öneme sahiptir. Güvenlik açısından iç ağda hangi bileşenlerin, servislerin ya da etkileşimlerin izlenmesi gerektiği; dış ağa giden veya dış ağdan gelen trafikte hangi bağlantıların ya da aktivitelerin incelenmesinin daha doğru olacağı gibi politikaların tanımlanması ve elde edilecek logların ve bulguların bu tanımlamalar doğrultusunda analiz edilmesi atak vektörlerinin etkili bir şekilde değerlendirilmesi konusunda bütüncül bir yaklaşım sunmaktadır.
İç Ağ Log Kaynakları ve Üretilen Önemli Veriler
Kimlik Doğrulama Sistemleri:
– Hesap Giriş Bilgilerinin(Credentials) Geçerliliğinin Denetimi
– Kullanıcı Hesapları Denetimi
– Hesap Kilitlenmesi Denetimi
– Kerberos Kimlik Doğrulama Servisi Denetimi
– Kerberos Hizmet Bileti Denetimi
– Uygulama Grupları Denetimi (Grup oluşturma; grup üyelerini değiştirme, ekleme ve kaldırma gibi aktiviteleri gerçekleştiren uygulama grubu)
– Bilgisayar Hesapları Denetimi
– Dağıtım Grupları Denetimi (Eposta dağıtımını yapan grup türü)
– Güvenlik Grupları Denetimi (Erişim ve yetkilendirme işlemlerini yapan grup türü)
– Grup Üyelikleri Denetimi
– Logoff İşlemlerinin Denetimi
– Logon İşlemlerinin Denetimi
– Özel Logon Aktiviteleri Denetimi
– Kimlik Doğrulama Politikasındaki Değişikliklerin Denetimi
– Parola değişiklikleri
Güvenlik Duvarı:
– İzin verilen trafik
– Engellenen trafik
– Bloklama kuralına ait logların oranı
– Kullanıcı aktiviteleri
– Transfer edilen veri miktarı
– Bant genişliği ve kullanılan protokoller
– Karalistedeki sitelere erişim istekleri
– IDS’e ait olaylar
– NAT protokolüne ait olaylar
– SMTP bağlantıları
– Komuta-kontrol sunucuları veya botnetlerle IRC iletişimi
DNS sunucuları:
– İnternet erişimini izleme
– Karalistedeki web sitelerine giden istekler
– DNS tünelleme
– Trafik anomalileri ve DDoS atak tespiti
– Eski, kullanılmayan ya da şüpheli DNS kayıtlarını saptamak
– Aşırı istek yapan cihazları saptamak
– Dinamik DNS kayıtlarındaki hataları tespit
DHCP sunucuları:
– Bir cihaza atanan MAC adresi, IP adresi ve Hostname gibi önemli parametreler
– Ağa bağlanan şüpheli cihazları tespit
Web Sunucuları:
– IP adresleri
– Zaman damgası
– HTTP statüs kodları
– Erişim talep edilen kaynaklar
– İstemciye gönderilen verinin boyutu
– Çalıştırılabilir dosyalara(executables) yapılan istekler
– Dosya sistemi dizinlerini içeren istekler
– Fazla sayıda login girişimleri
– İzin verilmeyen dizinlere yapılan erişim istekleri
– TRACE ve OPTIONS metodları ile ilgili gelen istekler
– Çok fazla sayıda 404 ve 500 HTTP kodu dönülmesi
– XSS, SQL enjeksiyon, bellek taşırma, komut işletme ve zararlı yazılım bulaştırma gibi siber saldırı izlerini tespit
– Siteyi tarama ya da bilgi toplama faaliyetleri
Etki Alanı Denetleyicisi (Domain Controller):
– Aktif Dizin Kimlik Doğrulama Olayları
– Aktif Dizin Gruplarında Yapılan Değişiklikler
Web Proxy
– İnternet trafiğini izleme
– Erişime izin verilecek web sitelerini sınıflandırılması
– Sıkça iletişime geçilen siteleri saptamak
– Kullanıcı davranışları ya da ağ trafiği için baseline belirleme
– Dış sistemleri tarayan ya da atak yapan yerel kullanıcılar
– Zararlı yazılım bulaşmış yerel cihazlar
– Ağdaki geçersiz kullanıcılar
– Vekil sunucuyu kötüye kullanım ya da erişim ihlalleri
– Kural ihlalleri
Son Kullanıcı Cihazları
– Yetkisiz Yazılım Kurulumu
– Şüpheli prosesler ve Powershell aktiviteleri
– Host güvenlik duvarı, dizin ve dosyalar, Windows kayıt defteri(registry) ve ağ erişim gibi bileşenlerde gerçekleşen şüpheli değişiklikler
– Şüpheli IP adresleri yapılan iletişimler
– Zararlı yazılım tespiti
Saldırı tespit sistemleri – IDS
– Ağda en sık gerçekleşen saldırılar ve bunların kaynaklarıyla ilgili bilgiler
– Ağınızda en çok hedef alınan cihazlar
– Atak trendleri ile ilgili veriler
– Veri kaybı ile ilgili veriler
Router
– DoS atakları
– Ortadaki adam saldırıları(Man in the Middle Attack)
– TCP Reset atakları
– Open Shortest Path First (OSPF) atakları
– Login girişimleri
– Ağlar arası trafik
Switch
– TCP, UDP ve ICMP trafiği
– ARP Poisoning ve MAC Flooding atakları
Mobil cihazlar
– Mesajlama verileri
– Şüpheli internet trafiği
– Uygulama izinlerinin manipülasyonu
Uygulamalar
– Veri tabanları
– Web uygulamaları
– SaaS uygulamaları
– Cloud uygulamaları
– Mobil uygulamalar
– Komut işletme
– Deaktive edilen servisler
– Oturum ve timeout izleme
– Hatalar
– Veri transferlerini izleme
– Veri kaybı önleme-DLP
– VPN bağlantıları
– WAF
– Anti-Virus
Altyapı
– Konfigürasyonlar
– Lokasyonlar
– İzinler ve Sahiplik(Owner)
– Ağ Haritaları
– Zafiyet Raporları
– Yazılım ve Donanım Envanteri
– Ağ Segmentasyonu
– Kablosuz Ağ İletişimi
– Zayıf güvenlik politikaları
– Dış Kaynak Kullanımı (Outsourcing) )
– Bulut Bilişim Ağları
– WAN
Riskli Aktiviteler
– Verilerin sınıflandırılmaması veya yanlış sınıflandırılması nedeniyle gizli bilgilerin yanlışlıkla ya da kasti olarak paylaşılması
– Kimlik doğrulama ve yetkilendirmenin gerektiği gibi yapılandırılmaması
– Müşteri veya anlaşmalı tarafların kaynaklarına erişim için gerekli kuralların tanımlanmaması veya yanlış tanımlanması
– Açıkça tanımlanmaış roller ve sorumluluklar veya görevler ayrılığı
– Zayıf güvenlik yönetimi
– Zayıf yönetici parolaları
– Zayıf kullanıcı parolaları
– Uygulama kurulumu ve çalıştırılması ile ilgili whitelist oluşturmamak
– İzin verilen portların dışındaki portların hareketlerini izlememek
– Yanlış yapılandırılmış sistemler, servisler ve uygulamalar
– Lokal makineler ve ağ üzerinde kısıt uygulanmamış yönetici erişimleri
– USB veya kişisel bilgisayarlar gibi harici cihazlara kısıtsız erişim
– BYOD gibi kişisel cihazlara veya kimlik doğrulamasından geçirilmemiş ağlara kısıtsız erişim
– Servis sağlayıcılara kısıtsız erişim
– Kısıtsız web erişimi
– Kısıtsız kontrolsüz yazılım indirme
– Kontrolsüz veya kısıtsız uzaktan erişim
– Verileri yanlışlıkla kalıcı olarak silme
– Kritik dosyalarda oluşan şüpheli değişiklikler
– Güvenlik konfigürasyonlarının uygun bir şekilde yapılandırılmaması
– İşletim sistemi açıklıkları
– Kullanıcı farkındalığının düşük olması
– Zayıf parola
– Kurum güvenlik politikalarını takip etmemek
– Kullanıcı ID ve parolalarını paylaşmak
– Sosyal mühendislik ve oltalama saldırılarına maruz kalmak
– Zararlı yazılım bulaşmasına yol açacak uygulama veya modüller indirmek
– Email hesaplarını güvenli bir şekilde kullanmamak
– Mesajlaşma uygulamalarını güvenli bir şekilde kullanmamak
Dış Ağ Kaynaklı Riskler
– Ağ dinleme
– Kimlik doğrulama veya oturum çalma saldırıları
– Zararlı yazılım bulaştırma
– Web atakları
– Doğrulanmayan web form girdileri
– DoS/DDoS
– SQL enjeksiyonu
– Default parolaların istismarı
– Parametre manipülasyonu
– Bellek taşırma saldırıları(Buffer Overflow)
– Zayıf şifreleme algoritmalarını istismar
– Yetkisiz erişim
– Hak yükseltme
– Botnetler
– Ortadaki adam saldırısı(Man in the Middle Attack)
– Görevler ayrımının yanlış tanımlanması gibi zafiyetlerin istismarı
– Web uygulama açıklıklarının istismarı
– Sahte veya tarihi geçmiş SSL sertifikaları ile siber saldırı
– Güvenlik duvarı ve IPS/IDS cihazlarında gereği gibi tanımlanmayan kural veya konfigürasyonların manipüle edilmesi
– Oltalama (Phishing) veya sosyal mühendislik saldırıları
– Hassas verilerin kaçırılması
– APT atakları
– Kurum hakkında bilgi toplanması
– Port, dış IP aralığı ve alt ağ keşif çalışmaları
– Güvensiz uzaktan bağlantı servisleri
– Ransomware
– Güvensiz Bulut Bilişim servisleri
– Güvensiz üçüncü parti API’ler