Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri

 

Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümü, birçok noktadan ve yüzlerce cihazdan aldığı log’lar (ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur) ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki log’ları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.

 

SIEM Çözümü Neden Gereklidir?

Log Yönetimi Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği (BG) Yönetim Standardında log (iz kaydı) yönetimin önemi vurgulanmaktadır. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Ayrıca ülkeden ülkeye değişin kanuni zorunluluklar da log yönetimini şart koşmaktadır. Log’lara bakarak aşağıdaki sorulara cevap bulabiliriz:

  • Kim hangi bağlantıları kurdu?
  • USB bellek kullanımı oldu mu?
  • Belirli zaman aralıklarında kimler oturum açtı?
  • Sistem yöneticileri takip ediliyor mu?
  • Bilgisayar adı, IP adresi, MAC adresi değişikliği oldu mu?
  • Kimler hangi IP adresini aldı?
  • Bu IP adresleri ile nerelere erişildi?
  • Sisteme uzak bağlantı sağlandı mı?
  • Kimler hangi saatle VPN bağlantısı kurdu?
  • Donanım değişikliği yapıldı mı?
  • P2P program kullanan var mı?
  • Kim hangi dosyaya erişti?
  • Erişilen dosyalardan silinen var mı?
  • Başarılı password değişiklikleri?
  • Bilgisayar hesabı ya da kullanıcı hesabı yaratıldı mı?
  • Port scan yapıldı mı?
  • Kimler hangi dokümanları print etti? (print server mimarisi ile)
  • Domain admin hesabına kullanıcı eklendi mi?
  • Virüs bulaştı mı?
  • Virüslü bir siteye erişim denemesi oldu mu?

BT altyapısını oluşturan log kayıtlarını toplayan, inkar edilemez bir şekilde saklayan, analiz yapan log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır. Her ne kadar, log yönetim sistemleriyle log’ları toplamak gerekli olsa da yeterli değildir. Toplanan bu log’ların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin ve bu sebeple SIEM sistemleri büyük önem taşımaktadır. Tanımlanan koşulların oluşması durumunda haber veren gerçek bir SIEM çözümü kurmak gerekir.

SIEM Çözümü Almanın Avantajları Nelerdir?

SIEM çözümü, birçok noktadan ve yüzlerce cihazdan aldığı log’lar ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki log’ları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.

Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur. Bu log’lar arasında oluşabilecek kombinasyonları düşünürsek birikmiş log’ların üzerinden arama tarama, raporlama ve arşivleme ile herhangi bir tehditlerin yakalanması mümkün değildir. Bunun için gerçek bir korelasyon özelliğine sahip SIEM ürünlerinin gücüne başvurmak gerekir. Böylece aşağıdaki gibi tehdit içeren durumları milyarlarca veri içerisinden anında tespit etmek mümkün olur:

  • Aynı IP’den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP’den herhangi bir makinaya oturum açıldı ise uyar.
  • Bir IP’den tarama yapıldı ise ve sonrasında aynı IP’den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP’den tarama yapılan IP’ye geriye bağlantı kuruldu ise uyar.
  • Birbirinden tamamen farklı dış IP’lerden aynı hedef IP’ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar.
  • Aynı Dış IP ve farklı portlardan aynı hedef IP’ye dakikada 100 adet bağlantı olursa uyar.
  • Aynı kullanıcı, aynı makineye saatte 3’ten fazla başarısız oturum açmayı denerse uyar.
  • Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure’a sebep olduktan sonra 2 saat içerisinde aynı kullanıcı aynı sunucuya başarılı oturum açmazsa uyar.
  • Aynı kaynak IP’den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS’a maruz bırakmış olursunuz)
  • UnusualUDPTraffic üreten kaynak IP’yi bildir.
  • IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar.
  • Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar.
  • Birisi Networkünüzde DHCP server’ı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar.
  • Bir IP taraması olursa uyar.
  • WEB üzerinden SQL atağı olursa uyar.
  • Mesai saatleri dışında sunuculara ulaşan olursa uyar.
  • Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3’ten fazla başarısız oturum açmayı denerse uyar.

SIEM Çözümü ile Neler Yapabilirsiniz?

  • Sistem ve network’lerinizdeki mevcut tehdit ve zaafiyetlerin tespiti, gerçekleşen olayların takibi
  • Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve takibi
  • Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi
  • Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım sağlanması
  • Kurumsal güvenlik standart ihlallerinin takibi
  • ISO 27001, SOX, PCI, HIPAA, NERC, FFIEC, FISMA, GLBA, NCUA, COBIT vb. uyumluluk (Compliance) raporlama ve denetimleri
  • SOME uygulamaları için uygun raporlama olanakları
  • USOM tarafından yayınlanan zararlı bağlantı listeleri ile “online” entegrasyonlar ve sistemleriniz için denetleme olanakları
  • Threat Intelligence özelliği ile dinamik olarak zararlı IP ve Domain listelerine erişim yapılınca otomatik uyarının sağlanması

Vatansever Bilişim SIEM Çözümü Kapsamı

Log Kaynaklarından istenilen bütün alınması ve raporlanması

ISO27001 modülünün devreye alınması ve aşağıdaki raporların oluşturulması

  • Kullanıcı kimlikleri
  • Sistem faaliyetleri
  • Oturum açma ve oturum kapatma gibi anahtar olayların tarihleri, saatleri ve detayları
  • Mümkünse aygıt kimliği ya da yeri ve sistem tanımlayıcısı
  • Başarılı ve reddedilmiş, sistem erişim girişimlerinin kayıtları
  • Başarılı ve reddedilmiş, veri ve diğer kaynaklara erişim girişimlerinin kayıtları
  • Sistem yapılandırma değişiklikleri
  • Sistem araçları ve uygulamalarının kullanımı
  • Erişilen dosyalar ve erişim türü
  • Ağ adresi ve protokolleri
  • Erişim kontrol sistemi tarafından üretilen alarmlar
  • Anti-virüs sistemleri ve saldırı tespit sistemleri gibi koruma sistemlerinin etkinleştirilmesi ve devre dışı bırakılması
  • Uygulamalarda kullanıcılar tarafından yürütülen işlemlerin kayıtları

Alarmlar (Basit Korelasyon) özelliklerinin devreye alınması

  • DDOS
    • DDoS Events from Darknet
    • DoS Attack Detected by Suspicious Sources
    • Local TCP Flood Detected
    • Remote TCP Flood Detected
  • Botnet Activity
  • Destination IP member of Suspicious Botnet C&C host
  • Too Many Botnet Activity
  • DB Related Alarms
    • Attacker Host Activity on MSSQL Server
    • SQLServer Own Password Changes
    • SQLServer Stored Procedure Activity
    • Suspicious Host Login Attempt to MSSQL Server
    • Oracle Concurrent Logins from Multiple Locations
    • Oracle Denial of Service
    • MySql Denial of Service
    • PostgreSql Denial of Service
  • Exploit Activity
  • File Activities
    • Execute File Activity
    • Execute Activity by Admin Account
    • Too Many File Delete Activity
    • VPN User Changed many Files
    • VPN User Changed many Shared Files
  • Flood
    • External TCP Flood
    • Flood Event Alert
  • Honeypot
    • Attacker Activity on Honeypot System
    • External Suspicious Darknet/ToR Source Activity on Honeypot System
  • Identity
    • Brute Force Login Attempts against External SSH Service
    • Login Failure to Disabled Account
    • Multiple Failed FTP Login Attempts Detected to Local Host
    • Suspicious Source Logon Attempt on Terminal Server
    • ……
  • Mail
    • Attacker Host Activity on Mail Server
    • External Spam Source to Sent Multiple Clients E-Mail
    • Too Many E-mails from Spam Host
    • Too Many Mail Received
    • ……..
  • Malware (
    • Too Many Different Viruses
    • Spyware Activity
    • Too Many Malware Infection
    • Remote SNMP Scanner
  • Reconnassance
    • Aggressive Local to Local Scanner Detected
    • Local to Local UDP Scanner
    • Remote Web Server Scanner
    • Remote DHCP Scanner
    • ……
  • System
    • Critical Server Shutdown
    • Datacenter System Errors
    • High Rate DNS Request Activity Detected
    • Log Deletion Activity
    • System Start
    • ……
  • Threat Intelligence
    • Threat Activity on Client Network
    • Threat Activity on Critical Servers
  • Traffic
    • Excessive Inbound Traffic Across Multiple Sources to a Single Destination
    • DMZ Jumping
    • Inbound Connection from a Foreign Country
    • Multiple IPs on Single MAC Anomaly
  • Web
    • Attacker Host Activity on Web Server
    • External Excessive HTTP Request by Single Source
    • Internal Attacker Activity on Web Server
    • Too Many Web Server Errors

Taxonomy

  • Taxonomy çıktılarının raporlarda kullanılmasını sağlamak.

Temel korelasyon özelliklerinin devreye alınması

  • Birisi port taraması yaptığında otomatik uyarı maili at
  • Herhangi bir X Kullanıcısı makinasından saat 8’den önce veya akşam 6’dan sonra logon bilgisi gelirse otomatik uyarı maili at
  • 22 porta bir dakikada 20 kere istek olursa uyarı maili at
  • Aynı IP’den bir dakikada web sunucuya 50 istek olursa uyarı maili at
  • Kara liste (Blacklist) ülkelerinden (Çin, Kuzey Kore, Vietnam vb. (Liste dinamiktir)) networkünüze bir trafik gelir ve daha sonra da networkünüzden bu gelen IP ye geri bir trafik olursa uyarı maili at
  • Aynı kullanıcıdan 10 tane logon failed bilgisi ve sonra aynı kullanıcıdan başarılı oturum açma bilgisi gelirse uyarı maili at
  • 1 dakika içerisinde 100 MB’den fazla trafik oluşturan kullanıcı olursa uyarı maili at
  • Bir kullanıcı oluşturulup sonra da admin grubuna eklendi ise uyarı maili at
  • Güvenlik tehdidi istihbaratı aldığımız yaklaşık 66 farklı kaynaktan 1 milyon IP, URL veya DNS listesinin her an sistemde kontrolü. Bunlardan birinden veya birine trafik oluşması durumunda anında (gerçek zamanlı olarak) uyarı maili gönderme
  • Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure’a sebep olduktan sonra 2 saat içerisinde aynı kullanıcının aynı sunucuya başarılı oturum açmadığı takdirde uyarı maili at
  • Aynı kullanıcı önce Linux sunucuda oturum açıyor daha sonra da Windows sunucuda oturum açıyor ve ardından bu iki sunucudan birinde servis kapatılıyor ise uyarı maili at
  • Herhangi bir X Kullanıcısı son 1 aydır hiç gitmediği bir siteye gitmesi durumunda uyar
  • Herhangi bir X Kullanıcısı logon olabileceği sunucular beyaz listesi belirli ise, herhangi bir kullanıcı bu liste dışında bir makinaya logon oldu ise uyar
  • Aynı IP’den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP’den herhangi bir makinaya oturum açıldı ise ve ardından bağlantı kurulan IP’den tarama yapılan IP’ye geriye bağlantı kuruldu ise uyar
  • UnusualUDPTraffic üreten kaynak IP’yi bildir
  • Birisi Network’ünüzde DHCP server’ı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyaran
  • Herhangi bir dış IP den (X) herhangi bir iç IP ye (Y) tarama (Scan, Hostscan, PortScan, UDPPortScan, TCPPortScan) tespit edilirse, sonrasındaki 1 gün içinde Y’den X’e bir trafik olursa uyar
  • Herhangi bir IP’den (Z) UnusualUDPTraffic (Mesela Suspicious DNS Traffic) tespit edilirse ve daha sonra bu aynı Z IP’sinden bir tarama yapıldı (Scan, Hostscan, PortScan, UDPPortScan, TCPPortScan) bilgisi alınıyorsa uyar
  • Aynı dış IP’den birbirinden farklı iç IP’lere ve birbirinden farklı portlara 15 dakikada 100’den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP’lerin tamamından yeni bir process ayağa kalkıyorsa uyar

Advanced Taxonomy

  • Taxonomy modül çıktılarını korelasyonda kullanılmasını sağlamak.

Advanced korelasyon özelliklerinin devreye alınması

  • Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1’den fazla makinada aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.
  • Bir kullanıcı 80 portundan X adresine erişim yaptıktan sonra 15 dakika içerisinde aynı kullanıcı Y mail adresine mail atarsa ve bu pattern 30 dakika içerisinde 1’den fazla kullanıcıda görülürse uyar.
  • Kullanıcıların son 1 ay içinde başarısız oturum açma profilini çıkarın. Örnek Ertugrul.Akbas A makinasından x, y, z makinalarına ve B makinasından s, t, u makinasına gibi ve bunu referans noktası olarak alın ve bu makinalar dışında bir makinadan->makinaya başarısız oturum oluştururlarsa uyar şeklinde bir alarm oluşturun. Ama eğer SuspiciousUserActivities listesinde veri varsa bunu normalden profilden çıkararak profili güncelleyin.
  • VPN yapan bir kullanıcı eğer son 1 ayda hiç bulunmadığı bir lokasyondan VPN yaptıysa ve bu VPN kullanıcısı VPN yaptıktan sonra 20 dakika içinde 100 MB’den fazla upload yaptı ise ve 3 gün boyunca veya daha fazla bu işlemleri tekrar etti ise uyar.
  • Son 10-15 gün, her saat dilimi için trafiğin boyutu hesaplanıp bir normal/baseline çıkarılıp, belli zamanlarda o zaman dilimlerinin karakteristiğine uygun olmayan(i.e.,+/-%30) trafik oluşursa uyar.
  • Mesai saatleri içerisinde hiç login olmadığı bir sunucuya sadece mesai sonrası login olan olursa ve bunu 3 gün veya daha fazla arka arkaya tekrarlarsa uyar.
  • Peer to peer detection için sabit bir kaynak IP ve sabit bir kaynak porttan farklı hedef ip ve portlara UDP ile 1 dakikada 5’den fazla SENT/RECEIVED verisi 0 dan büyük (Genelde paket boyutu da aynı olur) trafik olursa uyar.
  • Eğer sisteme yeni bir kullanıcı eklendikten sonra 15 dakika içerisinde xp_cmdshell stored procedure u devreye alınırsa uyar.
  • Conficker solucan aktivitelerinin tespiti için aynı kullanıcı için “A user account was locked out.” mesajı aldıktan sonra aynı kullanıcı için 5 dakikada 50 tane “Kerberos pre-authentication failed” mesajı oluşursa uyar.
  • Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1’den fazla makinada aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5 dakika içinde dosya gibi) gözleniyorsa uyar.
  • exe, ipconfig.exe, whoami.exe, nbtstat.exe programlarının 15 dakikada 5’den fazla çalışması durumunda bu processlerin parent processine bak ve iexplorer.exe, notepad.exe gibi anormal ise uyar.
  • VPN yapan bir kullanıcının erişim yaptığı bir dosyaya VPN bağlantısı açık kaldığı süre içerisinde aynı kullanıcı adı ile iç ağdan da bir erişim olursa uyar.
  • Ağınızda güvenli olması gereken kritik processlerle (winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe, taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek) processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler içerisinde değil ise uyar.
  • Tehdit İstihbaratı tarafından tehlikeli olarak listelenen bir domain’den bir trafik oluşmuş ve daha sonra başka bir makinadan bu makinaya başarılı oturum açılırsa uyar.
  • Birisi Networkünüzde DHCP serverı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar.
  • Creation / deletion of the same account in a short time period
  • Birisi VPN yapınca uyar.
  • VPN yapan kullanıcı 15 dakikadır RDP yapmadı ise uyar.
  • Aynı dış IP’den birbirinden farklı iç IP’lere ve birbirinden farklı portlara 15 dakikada 100’den fazla paket bloklanıyor ve daha sonra 1 saat içinde bu bloklanan iç IP’lerin TAMAMINDA yeni bir process ayağa kalkıyorsa uyar.
  • Office macro malware yakalama korelasyonu: EventCode=1 (Process create), Image değeri explorer.exe veya svchost.exe ile biterken ParentProcess excel.exe yada winword.exe’ise (Office belgesinden explorer.exe yada svchost.exe ismiyle child process oluşması durumunda uyar.
  • Eğer kullanıcı başarısız oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama 5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5-10 dakika bekledi ve sonra tekrar oluşturdu. Ayrıca senaryonun karakteristiği itibari ile de şüpheli bir işlemdir.

KVKK’ya Uyum Kapsamında Alınacak Yazılımlar İçin Önerilen Şartname Maddeleri

KVKK’ya uyum kapsamında alınacak yazılımlar için önerilen şartname maddeleri aşağıdaki gibidir.

SIEM Yazılımında Olması Önerilen Özellikler

  • Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
  • Ürün, ileri seviye tehdit tespiti için makine öğrenmesi modülüne sahip olmalıdır.
  • Ürün, tehditlerin anında yakalanabilmesi için in-memory korelasyon yapabilmelidir.
  • Ürün aşağıdaki tarzda tespit yapılarını desteklemelidir:
    • Ürün, firewall tarafından bloklanan bir port ve IP ile bu olaydan önceki 20 dakika içerisindeki aynı IP ve port ile haberleşen (bloklanmayan) başka aktiviteleri tespit edebilmeli ve uyarabilmelidir.
    • Ürün, aynı anda aynı kullanıcı hem başarılı hem de başarısız oturum açarsa uyarmalıdır (Bir insan o kadar hızlı login ve logout yapamaz).
  • Ürünün KVKK desteği olmalıdır:
    • SIEM ürünü veri keşfi ürünleri ile entegre olmalıdır.
    • SIEM ürünü log’ların içerisinde T.C. Kimlik Numarası, cep telefonu veya kredi kartı bilgisi geçerse haber vermelidir.
    • Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, SonicWall SSL-VPN cihazları ile entegre olarak kredi kartı bilgisi tespit edebilmelidir.

KVKK’ya Özel SIEM Senaryoları ve Kuralları

KVKK’ya özel SIEM senaryoları özellikle teknik tedbirlerdeki yetki matrisi ve yetki kontrolü açısından kritiktir. Yetki matrisi kapsamında SIEM’e pek çok senaryo eklenmelidir. Knowhow’ımızda yer alan ve SIEM müşterilerimizin hizmetine sunduğumuz KVKK’ya özel 300 civarı senaryonun örnek olması için 30 adedini aşağıda paylaşıyoruz. Bu senaryolar standart SIEM teklifimiz içerisinde yer almamaktadır, ayrıca fiyat teklifi alınmalıdır. Şirketinizde/kurumunuzda kullandığınız farklı bir SIEM yazılımı varsa gizlilik anlaşması yapıldıktan sonra ayrıca bu senaryoların (kullandığınız SIEM yazılımının desteklediği) hayata geçirilebilmesi için danışmanlık hizmeti fiyat teklifi talep edilebilir.

  1. Herhangi bir kullanıcı dahil olduğu gruba göre (İnsan Kaynakları, Finans, Şube Müdürü, Ticari / Kobi Şube Yöneticisi, IT) Veri Tabanı / Bankacılık Sisteminde anormal sorgulama sayılarına sahipse tespit et.
  2. Bir Kullanıcı 20 dakikada 2 defa yetkisi olmayan ve kişisel veri içeren sunucu veya veri tabanına oturum açmayı denerse, bu 2. denemeden önceki 20 dakika içinde internet üzerinden bir şey download etmişse uyar.
  3. Herhangi bir kullanıcı yetkisi olmayan bir kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişmeye çalışıyor ve bunu haftada 2 veya daha fazla yapıyorsa tespit et.
  4. Veri sorumlusu dışındaki herhangi bir kullanıcı yetki matrisinde tanımlanan yetkileri dahilinde dahi olsa aynı anda 2 farklı kişisel veri içeren sunucu veya veri tabanına erişiyorsa uyar.
  5. Veri sorumlusu dışında 2 farklı kullanıcı aynı anda aynı kişisel veriye erişirse uyar.
  6. VPN yapan bir kullanıcı, yetkisi dahilinde olan makinaya RDP yaptıktan sonra o makinadan 2. bir makinaya RDP denemesi yapar ve bu 2. makina da kişisel veri içeren bir makina olursa uyar.
  7. Veri sorumlusu da dahil olmak üzere aynı anda hem kişisel verilere erişiyor hem de internete çıkıyorsa uyar.
  8. Bir kullanıcı 15 dakikada birden fazla veya en az 30 dakika ara ile günde birden fazla veya en az 24 saat arayla haftada birden fazla şifre değiştirirse kullanıcıyı disable et.
  9. Herhangi bir kullanıcının bir gün içerisinde kişisel veri içeren sunuculara veya veri tabanlarına yaptığı başarısız oturum sayısı başarılı oturum sayısının %10’unu aşarsa uyar.
  10. Herhangi bir kullanıcının son bir hafta içerisinde kişisel veri içeren sunuculara veya veri tabanlarına yaptığı başarısız oturum sayısı başarılı oturum sayısının %10’unu aşarsa uyar.
  11. En az yarım saat ara ile günde birden fazla şifre değişirse kullanıcıyı disable et.
  12. Veri sorumlusu hariç herhangi bir kullanıcı günde birden fazla kişisel veri içeren ve yetkisi dahilinde olmayan sistemlere (sunucu, dosya, veri tabanı vb.) erişirse veya denerse o kullanıcıyı disable et.
  13. Yetkisi arttırılan bir kullanıcı olursa anında (gerçek zamanlı olarak) tespit et.
  14. Veri sorumlusu dışındaki bir kullanıcı kişisel veri kaynaklarının (sunucu, dosya, veri tabanı vb.) %10’undan fazlasına ayın en az 10 günü erişiyorsa uyar.
  15. Aynı kullanıcının son 72 saat içerisinde kişisel veri kaynaklarına erişiminde anormallik varsa tespit et.
  16. Aynı kullanıcı kişisel veri içeren sunucu, dosya, veri tabanı vb. kısımlara 24 saatte birden fazla yetkisiz erişim denerse tespit et ve bloka.
  17. Aynı IP ve kullanıcı adı ile 1 ay içerisinde birden fazla local firewall veya firewall tarafından bloklanan IP ve kullanıcı yetki matrisi dışına çıkmaya çalışırsa tespit et.
  18. Bir kullanıcı kişisel verilerin bulunduğu ve yetki matrisi çerçevesinde erişim yapabileceği tablolardan birine öğle yemeği sırasında 1 defa yanlış şifre deneyip çekip gitti ve bunu arka arkaya 2 gün denerse tespit et.
  19. Gönderilen maillerin konu kısmında Kredi Kartı veya T.C. Kimlik Numarası varsa tespit et.
  20. Dosya sunucusunda erişilen dosyaların adında kredi kartı veya T.C. Kimlik Numarası geçerse tespit et.
  21. E-mail eklentisindeki dosya adında kredi kartı veya TC kimlik kartı geçerse tespit et.
  22. Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, Sonicwall SSL VPN cihazları da entegre ederek kredi kartı bilgisi tespit edilirse uyar.
  23. Veri tabanından çekilen SQL sorgularında T.C. Kimlik Numarası veya kredi kartı bilgisi varsa uyar.
  24. VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makineye RDP yaptıktan sonra o makineden yine yetkisi dahlinde olan 2. bir makineye RDP yapar ve bu 2. makinede çalıştırmaması gereken bir program çalıştırırsa uyar.
  25. Herhangi bir kullanıcı 30 gün içerisinde 10 farklı kişisel veri kaynağına erişirse tespit et.
  26. Herhangi bir kullanıcı 30 gün içerisinde 3 farklı kişisel veri kaynağına erişmeye denerse ve başarısız olursa tespit et.
  27. Aynı kişisel veri kaynağına 72 saat içerisinde aynı kullanıcı adı ile farklı IP’lerden erişirse tespit et.
  28. Kişisel veri erişimi yapan bir kullanıcı, bu işlemi yaptığı kullanıcı ve IP ile 24 saat içerisinde birden fazla farklı hedef IP için bloklanırsa tespit et.
  29. Admin grubunda olmayan bir kullanıcı, herkes tarafından erişilen ortak makineler haricinde 24 saat içinde 2. makineye başarısız oturum denediği anda uyar.
  30. Bir kullanıcı son 6 aydır hiç login olmadığı yetkisi dahilinde olan kişisel veri içeren bir makinaya erişirse ve son 20 dakika içerisinde aynı kullanıcı internet erişimi yaptıysa uyar.

 

Firmalar/Kurumlar, SIEM çözümleri demosu ve fiyat teklifi için Vatansever Bilişim ile iletişime geçebilir.

 

Teknoloji Firmaları, SIEM çözümleri “İş Ortaklığı” için Vatansever Bilişim ile iletişime geçebilir.

Comments are closed.