icerige gec

LOG YÖNETİMİ ve SIEM

Şubat 6, 2012 yazan ertugrul.akbas

LOG YÖNETİMİ ve SIEM
Dr. Ertuğrul AKBAŞ

ertugrul.akbas@anetyazilim.com.tr


Kelimeler: Bilgi Güvenliği, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin Gerekliliği, 5651 Sayılı Yasa,  Log Yönetimi,  Log Normalleştirme,SIEM,SYSLOG,SNMP

Log Analizi

Bilgisayar ağlarında kullanılan ağ cihazları olaylar hakkında kayıt yapma özelliğine sahiptirler. Bu kayıtlar sayesinde ağ üzerinde güvenlik olaylarının belirlenmesi ve önlem alınması sağlanmaktadır. Buna Log Analizi denilmektedir.
Log analizi sayesinde sisteme girmeye çalışan kişilerin adres bilgilerine ulaşılmaktadır. Ayrıca sistem içinde bulunan kullanıcıların yaptıkları (dosya kaydetme , yazıcıdan çıktı alama gibi) işler kontrol edilmesi mümkün olmaktadır.
Büyük firmalarda ise internet ortamında kullanıcıların hangi siteye girdikleri , hangi aşamada terk ettikleri , hangi sayfada daha çok / az zaman harcadıkları gibi bilgilere kolaylıkla ulaşmaları sağlanır.

Log Yönetimi

Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir. Ayrıca, 04.05.2007 tarihli 5651 sayılı kanunda internet suçlarını önlemeye yönelik olarak kurumların log yönetimi ile ilgili yükümlülükleri belirlemiştir.
Log sistemleri karakterleri itibari ile dağıtık yapıya sahip sistemlerdir.
Log Yönetimi: Log Toplama, Log Normalleştirme, Log Indexleme, Korelasyon ve Filtreleme/Raporlama ve Alarm yönetimi  katmanlarından oluşur.
Bu özelliklere sahip sistemlerin özellikleri:
•    Logların merkeze toplanması
•    Log Saklama
•    Verilere hızlı erişimi ve gösterimi
•    Desteklediği Log formatının çokluğu
•    Veri analizi
•    Kayıtların saklanması
•    Arşivleme ve geri getirme
•    Verilerin yetkiler ve ilişkiler seviyesinde erişimi
•    Veri bütünlüğünün sağlanması
•    Loglara erişim auditlerinin tutulması

 

Sistemlerden pek çok kaynaktan log toplanabilir.Örnek:
İşletim Sistemleri:
Windows XP/Vista/7,Windows Server 2000/2003/2008/R2,Unix/Linux Türevleri,Nas Cihazları (NetApp),
Uygulamalar:
Dhcp,IIS 6/7/7.5 (W3C),Apache (Syslog),Text-Based Log (Csv/Tsv/W3C/Txt/Custom ),Dansguardain,Postfix
Firewall/Proxy:
ISA/TMG Server,BlueCoat,3Com,Astaro,CheckPoint,Cisco Systems,Clavister,CyberGuard,D-Link,Fortinet,FreeBSD,IPCop,Juniper,Drytek,Kerio,Lucent,McAfee-Secure Computing,NetApp,NetFilter,Snort,SonicWALL,Netopia,Network-1,St. Bernard Software,Sun Microsystems,WatchGuard,Zywall,Anchiva,Applied Identity,ARKOON,Aventail,AWStats,Cimcor,DP Firewalls,Electronic Consultants,Global Technologies,Ingate,Inktomi,Lenovo Security Technologies,NetASQ,Websense
Network Cihazları:
Syslog Gönderen Cihazlar, SNMP Trap Gönderen Cihazlar, Cisco router,Cisco switch
Email:
Exchange 2003,Exchange 2007,Exchange 2010,IIS SMTP,SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler
Veritabanları:
Oracle,MSSQL,MySQL,Sybase
Log Yönetimi ile ilgili pek çok açık kaynaklı sistem bulunabilir. Bunların en bilinenleri OSSIM,LASSO,SNARE-AGENT,SPLUNK sayılabilir.
Sistemlerden loglar ya agent kurarak yada log sunucu tarafından uzaktan çekilerek toplanır. Her ikisinin de avantaj ve dezavantajları vardır.
Ajanlı Yöntem:
    Avantajları: Log sunucu kapalı da olsa veri Kaybı olmaz,Log sunucu ne zaman toplayacağına karar verebilir,Log sunucu istemcinin durumunu tespit edebilir.
    Dezavantajları:Bütün makinelerin önceden konfigurasyona ihtiyacı olması,Sistem ele geçirilirse ajanın log göndermesi engellenebilir.Kurulum ve konfigurasyon uzun zaman alır ve yaşam döngüsünde bakım,tutum ve yaşatmak için çok fazla işgücü gerektirir. Ayrıca sistem eğer merkezde değil de ajan tarafında logları filtrelemek üzere ayarlanmış ise güvenlik aracı olarak iş görmeleri çok zayıflar. Logu ajan tarafında filtrelemenin zararları ve bu logların daha sonra işe yarayacağı ile ilgili  LosAlamosNationalLaboratory de bu konuda uzun süre çalışan  Dr. Ben Uphoff’un [http://people.msoe.edu/~uphoff/] çalışması incelenebilir.
 [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis]

Ajansız Yöntem:
    Avantajları: Kurulum ve konfigürasyonu çok kolay, çok esnek ve çok büyük sistemler için ölçeklenebilir
    Dezavantajları: Syslog UDP temelli bir protokol ve veri kaybı olabilir, bazı durumlarda log sunucu istemcileri  takip edemez.
 

Özellikle ülkemizde 2007 yılında kanunlaşan 5651 sayılı kanundan sonra log yönetimi yapan şirketlerin neredeyse tamamı yukarıda listelenen yada benzeri açık kaynaklı ürünleri ticari olarak kullanma yoluna gitmiştir[Açık kaynaklı ürünlerin Lisans Kuralları Ticari Ürün olarak yeniden isimlendirmesini yasaklamaktadır]. Bunun en önemli sebebi bu çalışmada açıklamaya çalıştığımız log normalleştirme ve sonraki süreçleri özgün olarak geliştirmenin akademik ve saha birikimine ihtiyaç duymasıdır.Çok az firma kendi çözümünü akademik ve AR-GE birikimine dayanarak geliştirebilmiştir.

Log Analizi ve Bilgi Güvenliği

Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara bir de sunucular ve istemcilerin logları da eklendiğinde hareketlere ve trafiğe ilişkin değerli olabilecek bir çok bilginin süzülmesi, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz edilmesi, takibi ve anlamlı sonuçlar verebilecek şekilde raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür bilgilerin yeterince etkili şekilde değerlendirilemediği durumlarda, kontrol gerçek anlamda sağlanamamakta ve kontrol edilemeyen bilgi sistemleri alt yapılarına yönelik yatırımlar da, verimli kullanılamamış olacaktır.
Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın ihtiyaçlarına göre bunun hangi sistemler için gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, ayrıca bunun sonuçları üzerinde nasıl bir değerlendirme yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir organizmanın çeşitli birimleri ile görüşülerek bilgi toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan log kayıtlarını işaret eder. Log yönetim çalışmalarında ele alınması gereken ilk konunun, bilgi sistemlerinin hangi süreçlerinde, hangi log verilerinin log yönetimi amacı ile değerlendirilmesi gerektiğine karar verilmesidir.
Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile oldukça yakın ilişkideki bir yönetim sistemidir.(Network güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi için, dikkat edilmesi gereken önemli bir mesele, network üzerindeki atakların saptanabilmesi ve bunları doğru olarak tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Güvenlik Raporları birer birer sistemlerin kendisinden  alınabilecek raporlardan çok, farklı veritabanlarında bulunan veriler kullanılarak; otomatik olarak oluşturuldukları takdirde, güvenlik durumuna ait daha kapsamlı genel bir görüntü sunabilecek ve farklı bakış açılarına ait verileri bir araya getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak kullanılması, log yönetimindeki amaçlardan biridir.
 
 

Log Toplama

Log toplama süreci aşağıda gösterilen bir formül ile ifade edilmiştir. Denklemdesistemler (domain) R ile simgelenmiş, bu sistem içindeki tüm cihazlar D ilegösterilmiştir. Denklem 2.1 log kayıtları kümesi, 2.2 bilgi sistemleri cihazlarının farklılog tiplerini, 2.3 ise her sistem cihazının farklı olay logları kümesine sahip olduğunugöstermektedir.
R = {D1 D2,...., Dn}
Her sistem cihazının kendi loglarının olması, B log türleri olmak üzere,
Di = {Bi1, Bi2,....., Bim}, iЄ [1,n]
Her indeksin bir cihazı temsil etmesi durumunda, her cihazın farklı tip olay kayıtları oluşturması durumu (Örneğin windows sistemlerinde, uygulama (application), sistem (system), güvenlik (security) loglarının ayrı ayrı olması gibi...), e olay tipi olmak üzere; log modellemesini formüle edebiliriz.

Bij = {eij1, eij2,....., eip}, iЄ [1,n], jЄ [1,m]

Log Toplama Sitrmlerinde Karşılaşılan Başlıca Problemler
1.    Çok yüksek sayılarda ve büyüklüklerde log kayıtları,
2.    Log kayıt desenlerinin farklılığı,
3.    İçeriklerin oldukça farklı olması


Log Normalleştirme

Log kaynakları birbirinden farklı formatlarda log üretirler:
Cisco Router
Jul 20 14:59:32 router 20: *Mar  1 01:39:25: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160)
Jul 20 15:01:07 router 21: *Mar  1 01:41:00: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160)
Jul 20 15:10:43 router 22: *Mar  1 01:50:36: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165
Jul 20 15:18:06 router 24: *Mar  1 01:57:58: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165
Jul 20 15:18:06 router 25: *Mar  1 01:57:59: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165
Remote Apache logging
Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client 202.56.224.218] File does not exist: /htdocs/default.ida
Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] [client 202.197.181.203] File does not exist: /htdocs/default.ida
Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] [client 202.101.159.163] request failed: URI  too long
Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll
Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll
Normalizasyon, kaynak verilerdeki bütünlüğü bozmayacak şekilde, Log dosyası verilerinden uygun bir bilgi ortaya çıkarmak için, korelasyon aracının bu yeteneğe sahip olması gereğidir. Bu logları alıp ortak bir platformda ifade edip bütün bu veriler üzerinde indexleme,korelasyon ve filtreleme/raporlama yapılabilmesini sağlama işlemine normalleştirme denir.
Örneğin, bir Windows etki alanı denetleyicisi ile bir Windows veritabanına giriş hatalarını gösteren 
"giriş-başarısız" olayını aynı adla kaydedemeyiz. Çünkü Windows Account_Expired ve MSSQLSVR gibi daha spesifik detaylı bilgelere sahiptirler ve normalize edilmelidirler. Normalize işlemi logların parse edilmesiyle başlar. Her bir tür log için özel parserler REGEX yardımı ile oluşturulur
Burada 2 farklı yöntem vardır.
1-Neyin logunun toplanacağının tanımlandığı sistemler
2-Özellikle Log Proxy kullanılan sistemlerdeki auto log discovery özelliği-Logların geldiği anda tipinin otomatik tanımlanması.
Normalleştirme işlemi sırasında zaman bilgisi ve timezone hesaplaması da gerçekleşir.
Zaman Bilgisi

Pek çok farklı sistemden loglar toplanıp merkezi bir noktada toplanacağı için logların kendi içerisinde tutarlı ve korelasyon kurallarının anlamlı veriler üretebilmesi için loglardaki zaman bilgisi çok önemlidir. Bu tutarlılığı sağlamak için ağda NTP (Network Time Protocol) aktif edilmelidir.
Timezone
Sistemlerden toplanan logların özellikle dağıtık bir altyapıda timezone bilgisi ve bu bilginin merkezi log toplama merkezi ile uyumlulaştırılması logların analizi için gereklidir.Log kaynaklarının  hepsinin aynı timezone ayarını alması ve bu bilgisi her durumda göndermsinin sağlanması gerekir

Log Depolama

Logların deoplanması ve arşivlenmesi özellikle çok büyük sistemlerde kritik olmaktadır. Günde 100 lerce GB logu saklamak ve üzerinden sorgu yapmak için özel deoplama sistemleri tasarlanmaktadır.
 
NIST(2007)  tarafından yayınlanan Guide to Computer Security Log Management isimli yayından derlenmiştir
Loglanacak sistemlerin ne kadar log üreteceği ve bu loglar için ne kadarlık disk alanı ayrılacağı önemli bir mühendislik  hesabı gerektirir.
Örnek Kapasite Hesabı:
Bir yıllık loglama için ortalama disk alanı  = 365 gün  x 24 saat  x 3600 saniye  x 100 (yoğun sistemler saniyede çok daha fazla log üretecektir) x 200 byte = 580~ gigabyte / yıl . Tabi bu değer sıkıştırılmamış ham veridir.  İyi bir sıkıştırma ile  bu değer küçültülebilir.  Eger  loglar için veritabanı kullanıyorsanız bu sayıyı iki üç ile çarpmak gerekir. İlişkisel veritabanı kullanımlarında OS seviyesinde sıkıştırma bu alana geri kazanmanızı sağlayabilir.

Korelasyon ve SIEM

Log Yönetimi ve SIEM (Security Information & Event Management)  birbirini tamamlayıcı katmanlardır. Genellikle Log Yönetiminden bahsedilirken korelasyondan da bahsedilir ve dolayısı ile SIEM katmanına çıkılmış olur.
Sistemlerin korelasyon yeteneği sayesinde farklı cihazlardaki logları otomatik olarak ilişkilendirir, anlamlı hale getirir ve daha önemli uyarılar üreterek, sistem yöneticilerinin ortaya çıkabilecek bir sorunu önceden görmelerini veya ortaya çıkmış bir sorunu daha kolay çözmelerini sağlar.

Korelasyon işlemi belli kuralların işletilmesi şeklinde oluşur. Örnek kurallar
•    İstenmeyen mesajları yok etmek
•    Tek mesaj eşleştirme ve aksiyon alma
•    Mesaj çiftlerini eşleştirme ve aksiyon alma
•    Belirlenen bir zaman dilimi içerisinde olay oluşum sayısına bakarak aksiyon alma
Farklı korelasyon teknikleri mevcuttur.Mesela:
•    Farklı olayların korelâsyonu (Mantıksal Korelasyon)
•    Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon),
•    Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu)
Korelasyon motorundan beklenen özellikler:
•    Hafızada Korelasyon Yapabilme.
•    Tek Kaynak Korelasyon Kuralları.
•    Çoklu Kaynak Korelasyon Kuralları.
•    Negatif Condition Kuralları.
•    Context Base Korelasyon.
•    Hiyerarşik Korelasyon.
•    Çok esnek kural oluşturma yapısı.
•    Rule Base.
•    Complex Event Processing(CEP).
•    Forward Chaning.
•    Backward Chaining.
•    Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay  verilerinin alımını hızlandırmak için bellek içi korelasyon kullanır.
•    Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olması.
•    Üst seviye bir programlama dili ve/veya script dili desteği korelasyon motoru için büyük avantajdır.
Kural Örnekleri:
Hedef:445 nolu port ataklarını tespit etmek
•    Gereksiz yanlış atak loglarından kurtulmak isteniyor
•    5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor
•    1 saatlik zaman diliminde en az 100 atak logu
•    4 saatlik bir zaman diliminde 200 atak logu isteniyor


Hedef: Windows makinelere brute force login ataklarının tespit etmek
•    60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması ve
•    Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor.

Hedef: Atak Tespiti
5 dakika içerisinde 10 tane login failure olayı gelirse atak uyarısı yap.

Hedef:Performans Problemi Tespiti:
Hedef: Cihazdandan sıcaklık değeri yüksek uyarısı gelir ve 5 saniye boyunca da olay kaydı gelmezse performans problemi maili oluştur.
Hedef:  Ağdaki kötü niyetli yazılımlarının tespiti.
– Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir
– Senaryo:
• Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1)
• (1) durumu art arda 5 defa gerçekleşiyorsa
• Bilgilendir/ müdahale et
– Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir.

Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.
– Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1)
• IDS veya güvenlik duvarından alınan kayıtlar
– (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse
• Güvenlik duvarından alınan ACCEPT kaydı
– (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa
• Veri tabanından alınan LOGON ATTEMPT kaydı
– Bilgilendir/ müdahale et
• Birden fazla kaynaktan alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir
Korelasyon motorunun yukarıdaki kuralları ve benzerlerini işletecek bir altyapıya sahip olması beklenir

Alarm Yönetimi


İyi bir sistem ortamda oluşan bütün olayları logları toplamak suretiyle takip edebildiği için proaktif bir güvenlik yönetim sistemi kurulmasını sağlar. Güvenlik yöneticileri kendileri alarmlar tanımlayabileceği gibi sistem hazır alarmlar da içerirmelidir.

     Örnek hazır alarmlar:

•    Database de Acount değişikliği durumunda Kullanıcıyı uyarabilme,
•    Active Directory başarılı bir şekilde çalıştığında Kullanıcıyı bilgilendirme özelliği,
•    Active Directory servisi durduğunda Kullanıcıyı uyarabilme özelliği,
•    ISA Servisi Başlatılırken Hata oluşursa kullanıcıyı uyarabilme özelliği,
•    Makinelere Program kurulduğunda Yöneticileri uyarabilir,
•    Makinelerden Uygulamalar Uninstall edildiğinde Yöneticileri uyarabilme özelliği,
•    Makinelerden Audit logları temizlendiğinde Yöneticileri haberdar edebilme özelliği,
•    Audit Policy de değişiklik yapıldığında Yöneticilere bildirme,
•    Bad Disc Sector oluştuğunda yöneticileri bilgilendirme özelliği,
•    Bilgisayar hesaplarında değişiklik yapılması durumunda yöneticileri bilgilendirme özelliği,
•    Bilgisayarlar da yeni bir kullanıcı oluşturulduğunda yöneticileri bilgilendirme özelliği,
•     Bilgisayar hesaplarından herhangi biri silindiğinde yöneticileri bilgilendirme özelliği,
•    DNS serverin başarılı bir şekilde  başlaması durumunda yöneticileri bilgilendirme özelliği,
•    DNS serverin başlatılamaması durumunda yöneticileri uyarma özelliği,
•    DNS Server TimeOut’a düştüğünde Yöneticileri uyarabilir.
•    DNS Server Update aldığında yöneticileri haberdar edebilir.
•    Domain Policy değişikliği olduğunda yöneticileri haberdar edebilir.
•    Eventlog servisi durduğunda yöneticileri uyarır,
•    Sistemlere LogOn olma işlemi denendiğinde(başarılı ve Başarısız LogOn durumlarında) yöneticileri uyarabilir,
•    Insufficient Memory durumu tespit edildiğinde yöneticileri uyarabilir.
•    Yeni uygulamalar çalıştırıldığında yöneticileri haberdar edebilir,
•    NTDS Databse Engine(Active Directory database file) başladığında yöneticileri bilgilendirebilir,
•    NTDS Database Engine(Active Directory database file) durduğunda yöneticileri uyarabilir,
•    Nesne silerken hata olursa yöneticileri uyarabilir,
•    İşletim sistemi başlatıldığında ya da kapatıldığında yöneticileri uyarabilir.
•    Yeni bir Printer eklendiğinde ve oluşturulduğunda yöneticileri uyarabilir,
•    Sistem dosyalarında değişiklik olduğunda yöneticileri uyarabilir,
•    File Replication Service başladığında yöneticileri haberdar edebilir,
•    FTP LogOn durumu ya da LogOf durumunda Yöneticileri uyarabilir,
•    Hesap şifre sıfırlama işlemlerinde yöneticileri uyarabilir,
•    Kullanıcı hesapları dondurulduğunda yöneticileri uyarabilir,
•    Sisteme yeni makine eklendiğinde yöneticileri uyarabilir,
•    MAC-IP Değişikliğini algılama sistemi. Sisteminizde bulunan kritik cihazların MAC ve IP değiştirmeleri durumunda yöneticileri uyarabilir.
•    Sisteme yeni bir cihaz dahil olması durumunun takibi.Ağınızda daha önce olmayan bir cihaz dahil olduğunda yöneticileri uyarabilir.

Loglar ile ilgili alarmlar üretebilmekte sistem yöneticilerini mail,sms,snmp gibi yöntemler ile uyarabilmektedir

Güvenlik Çıkarım Motoru
Yeni nesil ürünlerin bir kısmında yukarıda bahsedilen özelliklerle birlikte aşağıdaki özelliklere sahip ürünler geliştirmişlerdir.
•    NETWORK ERİŞİM TAKİBİ
•    SABİT İP KULLANIMLARININ TAKİBİ
•    ARP SPOOFING TESPİTİ
•    DDOS TESPİT KURALLARI
•    HACKER TOOLS TESPİT KURALLARI

Raporlama


Log yönetimi ve SIEM uygulamalarının tamamında raporlama yeteneği mevcut.Dolayısı ile ürünler arasındaki farklılık sorgulama kolaylığı ve raporların anlaşılırlığı noktasında olmakta.
Özellikle güvenlik amaçlı kullanılacak bir üründe
•    En çok indirme (download) yapan Kullanıcılar, Makineler Kimler?
•    Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa kim?
•    Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler bu işlemleri gerçekleştirdi?
•    Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne zaman gerçekleştirdi?
•    Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne zaman bu işlem gerçekleşti?
•    Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler neden oldu?
•    Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden olanlar kim?
•    Taşınabilir bellek kullananlar kimler?
•    Kim hangi uygulamayı çalıştırdı?
•    Kim hangi uygulamayı kapattı?
•    Kim “tasarım.dwg” dokümanını sildi?
•    Kim Hangi URL’e gitmiş?
-    Kullanıcılara göre ziyaret edilen URL ler,
-    IP adreslerine Göre Ziyaret edilen URL ler
-    Makine Adlarına Göre ziyaret edilen URL ler
•    Kim Hangi Hedef Host’a gitmiş? (www.facebook.com)
-    Kullanıcı adına Göre ziyaret edilen Sayfalar
-    IP adresine Göre Ziyaret edilen Sayfalar
-    Makine Adına Göre ziyaret edilen sayfalar
•    Ağ içerisindeki hangi bilgisayardan www.xxx.com sayfasına belirli bir kullanıcının(aaa bbb ismi gibi) ile erişilip erişilmediğinin kontrolü
•    Hedef Hosta Giderken Kullanılan Port ve Protokoller?
•    Kim Hangi IP ile iletişim gerçekleştirmiş?
•    İki IP arasındaki iletişimden Doğan trafiğin Boyutu ne kadardır?
•    İki IP arasındaki Paket transferi ne kadardır?
•    İki IP arasında en çok kullanılan Port ve Protokoller hangileri?
•    En Çok Mail trafiği oluşturan kullanıcılar?
•    Unix Sistemlerden Alınan raporlar

    Başarılı LogOn Raporları
    Unix tabanlı sistemlere kimlerin LogOn olduğu bilgisini tutar.
    Başarısız LogOn Girişimleri
    Unix sistemlere LogOn olmaya çalışıp ta başarısız olanları gösterir.
    Başarılı LogOff Raporları
    Unix sistemlerden başarılı bir şekilde LogOff olanları gösteren rapor ekranıdır.
    Başarılı LogOn Raporları(Yöneticilere ait)
    Unix sistemlere başarılı LogOn yapan adminleri listeler.
    Başarısız LogOn Girişimleri(Yöneticilere ait)
    Unix sistemlere admin hesabıyla LogOn olmaya çalışıp başarısız olanları listeler.
    Başarılı LogOff Raporları(Yöneticilere ait)
    Unix sistemlerden başarılı bir şekilde LogOff olan Adminleri gösteren rapor ekranıdır.
    Başarılı SSH LogOn Raporları
    Unix sistemlere SSH Protokolü kullanarak LogOn olan kullanıcıları gösterir.
    Başarısız SSH LogOn Girişimleri
    Unix sistemlere SSH Protokolü kullanarak LogOn olmaya çalışıp başarısız olan kullanıcıları gösterir.(Dünya üzerinde gerçekleşen Unix saldırılarının büyük çoğunluğu SSH üzerinden gerçekleşmektedir.)
    Başarılı SSH LogOff Raporları
    Unix sistemlere SSH ile logon olup başarılı bir şekilde LogOff olan kullanıcıların listelendiği rapordur.
    Başarılı SFTP LogOn Raporları
    Unix sistemlere SFTP aracılığıyla başarılı LogOn olan kullanıcıları gösterir.
    Başarılı SFTP LogOff Raporları
    Unix sistemlere SFTP ile LogOn olup daha sonra başarılı bir şekilde LogOff olan kullanıcılar bu raporda listelenir.
    Zamanlanmış görevler Raporu
    Oluşturulan ve uygulanan cronjob ların listelenerek kullanıcıya sunulduğu raporlama aracıdır.
    Misafir Girişleri Raporu
    Dosya Erişim Raporları
    Unix sistemlerde kimlerin hangi özel dosyalara eriştiğini gösteren rapor aracıdır.
 

•    Windows sistemlerden Alınan raporlar
 
    Printer Kullanım Raporları
    Başarılı LogOn Raporları
    Başarısız LogOn Girişimleri
    Başarılı LogOff Raporları
    Dosya Erişim Raporları
    USB Erişim Raporları
    Çalıştırılan Programların Raporu
    Kapatılan Programların Raporu
    Oluşturulan Kullanıcıların Raporu
    Silinen Kullanıcıların Raporu
    Windows Event Raporları
•    Kablosuz Erişim raporları
•    Sanal makinelerden alınan raporlar
    Sanal makine oluşturma raporları
    Kimin ne zaman hangi sanal sistemi oluşturduğunun kayıt altına alır.
    Sanal makine silme raporları
    Kimin ne zaman hangi sanal sistemi Sildiğini kayıt altına alır.
    Sanal makinelerdeki durum değişiklikleri
    Kullanıcıların sanal sistemler üzerinde yaptığı değişiklikleri kayıt altına alır
    Sanal makine erişimleri
    Kimin ne zaman hangi sanal sisteme eriştiğini kayıt altına alır.

Gibi raporların hazır sunulması yada tık tıkla sorgulanabilmesi önemli bir ayırt edici özelliktir.

Kaynakça
[1]    Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf
[2]    http://en.wikipedia.org/wiki/Log_management_and_intelligence, 2011.
[3]    http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard, 2011.
[4]    http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf, 2006
[5]    Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006.
[6]    http://en.wikipedia.org/wiki/Regular_expression
[7]    Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010.
[8]    Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archives/logging-notes.pdf