siem
Günümüzün siber saldırganları, kötü amaçlı faaliyetlerini normal süreçler gibi göstermek için çok çalışan, kılık değiştirme ustalarıdır. Meşru araçlar kullanırlar, kamu hizmetleri aracılığıyla komuta ve kontrol sunucularıyla iletişim kurarlar ve kötü amaçlı kodların çalıştırılmasını normal kullanıcı eylemleri gibi gösterirler. Bu tür etkinlikler geleneksel güvenlik çözümleri tarafından neredeyse görünmez; ancak belirli kullanıcıların, hizmet hesaplarının veya diğer varlıkların davranışları analiz edilerek bazı anormallikler ortaya çıkarılabilir. Bu, UEBA (Kullanıcı ve Varlık Davranış Analitiği) olarak adlandırılan bir tehdit algılama yönteminin temel kavramıdır. Biz de bu yöntemi SIEM sistemimizin en son sürümü olan Kaspersky Unified Monitoring and Analysis Platform’da uyguladık.
UEBA, SIEM sistemi içinde nasıl çalışır?
Tanımı gereği UEBA, bir bilgi sistemindeki kullanıcıların, cihazların, uygulamaların ve diğer nesnelerin davranışlarını analiz ederek tehditleri tanımlayan bir siber güvenlik teknolojisidir. Prensip olarak bu teknoloji herhangi bir güvenlik çözümüyle kullanılabilir, ancak bize göre en etkili sonuçları SIEM platformuna entegre edildiğinde verir. UEBA algılama kurallarıyla donatılmış bir SIEM sistemi; makine öğrenimi yoluyla bir kullanıcı veya nesnenin davranışına (bilgisayar, hizmet veya başka bir varlık) ilişkin normal bir temel oluşturarak, tipik davranışlardan sapmaları analiz edebilir. Bu, APT’lerin, hedefli saldırıların ve içeriden gelen tehditlerin zamanında tespit edilmesini sağlar.
Bu nedenle SIEM sistemimizi; kimlik doğrulama süreçleri, ağ etkinliği ve Windows tabanlı iş istasyonları ve sunuculardaki süreçlerin yürütülmesi sırasındaki anormallikleri tespit etmek için özel olarak tasarlanmış bir UEBA kural paketi ile donattık. Bu, sistemimizin; normal korelasyon kuralları, imzalar veya güvenlik ihlali göstergeleriyle tespit edilmesi zor olan yeni saldırıları daha akıllı bir şekilde bulmasını sağlar. UEBA paketindeki her kural, kullanıcıların ve nesnelerin davranışlarının profillenmesine dayanır. Kurallar iki ana kategoriye ayrılır:
- Geçerli davranış verilerine dayalı olarak anormallikleri tanımlamak için çeyrekler arası aralığı kullanan istatistiksel kurallar.
- Bir hesap veya nesnenin geçmiş etkinliğini analiz ederek belirlenen normal davranıştan sapmaları algılayan kurallar.
Tarihsel normdan veya istatistiksel beklentiden bir sapma tespit edildiğinde, sistem bir uyarı oluşturur ve ilgili nesnenin (kullanıcı veya ana bilgisayar) risk puanını artırır. (SIEM çözümümüzün risk puanlaması için yapay zekayı nasıl kullandığı hakkında daha fazla bilgi edinmek için bu makaleyi okuyabilirsiniz.)
UEBA kural paketinin yapısı
Bu kural paketi için, UEBA teknolojisinin; hesap koruması, ağ etkinliği izleme ve güvenli kimlik doğrulama gibi en iyi şekilde çalıştığı alanlara odaklandık. UEBA kural paketimiz şu anda aşağıdaki bölümleri içermektedir:
Kimlik doğrulama ve izin kontrolü
Bu kurallar; olağandışı oturum açma yöntemlerini, kimlik doğrulama hatalarındaki ani artışları, farklı bilgisayarlarda yerel gruplara eklenen hesapları ve normal çalışma saatleri dışında yapılan kimlik doğrulama girişimlerini algılar. Bu sapmaların her biri işaretlenir ve kullanıcının risk puanını artırır.
DNS profili oluşturma
Kurumsal ağdaki bilgisayarlar tarafından yapılan DNS sorgularının analizine adanmış olan bu bölümdeki kurallar; bilinmeyen kayıt türleri için sorgular, aşırı uzun etki alanı adları, olağandışı bölgeler veya atipik sorgu sıklıkları gibi anormallikleri belirlemek için geçmiş verileri toplar. Ayrıca DNS aracılığıyla geri gönderilen veri hacmini de izler. Bu tür sapmalar potansiyel tehditler olarak kabul edilir ve bu nedenle ana bilgisayarın risk puanını artırır.
Ağ etkinliği profili oluşturma
Ağ içindeki ve harici kaynaklara bağlı bilgisayarların arasındaki bağlantıların izlendiği bu bölümde kurallar; yeni portlara ilk kez yapılan bağlantıları, önceden bilinmeyen ana bilgisayarlara yapılan bağlantıları, olağandışı giden trafik hacimlerini ve yönetim hizmetlerine erişimi işaretler. Normal davranışlardan sapan tüm eylemler uyarılar oluşturur ve risk puanını yükseltir.
Süreç profili oluşturma
Bu bölüm, Windows sistem klasörlerinden başlatılan programları izler. Belirli bir bilgisayarda System32 veya SysWOW64 dizinlerinden yeni bir yürütülebilir dosya ilk kez çalıştırıldığında, bu durum bir anormallik olarak işaretlenir. Bu, işlemi başlatan kullanıcının risk puanını yükseltir.
PowerShell profili oluşturma
Bu bölüm, PowerShell komut dosyası yürütmelerinin kaynağını izler. Bir komut dosyası; Program Files, Windows veya başka bir ortak konum olmayan standart dışı bir dizinden ilk kez çalıştırılırsa, eylem şüpheli olarak işaretlenir ve kullanıcının risk puanı artar.
VPN izleme
Bu; kullanıcının profilinde daha önce ilişkili olmayan ülkelerden yapılan oturum açma işlemleri, coğrafi olarak imkansız seyahatler, VPN üzerinden olağandışı trafik hacimleri, VPN istemcisi değişiklikleri ve birden fazla başarısız oturum açma denemesi gibi çeşitli olayları riskli olarak işaretler. Bu olayların her biri, kullanıcının hesabının risk puanının yükselmesine neden olur.
Bu UEBA kurallarını kullanmak, davranış bağlamını analiz ederek sofistike saldırıları tespit etmemize ve yanlış pozitifleri azaltmamıza yardımcı olur. Bu, analizlerimizin doğruluğunu önemli ölçüde artırır ve güvenlik analistlerinin iş yükünü azaltır. UEBA ve AI kullanarak bir nesneye risk puanı atamak, olayları daha doğru bir şekilde önceliklendirerek her analistin tepki süresini hızlandırır ve iyileştirir. Tipik davranış temel değerlerinin otomatik olarak oluşturulmasıyla birleştirildiğinde, bu, güvenlik ekiplerinin genel verimliliğini önemli ölçüde artırır. Onları rutin görevlerden kurtarır ve tehdit algılama ve yanıt için daha zengin, daha doğru davranış bağlamı sağlar.
SIEM sistemimizin kullanılabilirliğini sürekli olarak iyileştiriyoruz. Kaspersky Unified Monitoring and Analysis Platform ile ilgili güncellemeler için resmi ürün sayfasını takipte kalın.
İpuçları