Log Yönetiminde Ajanlı/Ajansız Çözümler - Gais Security- Gais Siber Güvenlik Teknolojileri

Log Yönetiminde Ajanlı/Ajansız Çözümler

“Log Management” nedir?

“Log Management” ürünlerinin iki temel işlevi yerine getirmesi gerekir; “Log Toplama” ve “Log Yönetimi”. Bu işlevleri sırasıyla inceleyelim.

Log Toplama

Log toplama değişik sistemlerde bulunan değişik formatlardaki olay kayıtlarının çeşitli yöntemlerle toplanması olarak tanımlanabilir.

Log toplama sırasında aranması gereken en önemli özellik, ilgili logların güvenilir bir şekilde toplanması ve bu işlem sırasında herhangi bir şekilde değiştirilmemesidir. Örneğin Windows olay kayıtlarını EventLog (Olay Günlüğü) olarak bilinen bir yöntemle saklar. Linux, Unix ve network cihazları olay kayıtlarını syslog protokolü ile gönderir. Güvenlik duvarları loglarını syslog, OPSEC LEA, W3C ve benzeri yöntemlerle kayıt altına alabilir. Bu yöntemlerin bazıları güvenilir değildir, örneğin syslog protokolü UDP ile haberleştiği için gönderilen kayıtlar hedefe hiçbir zaman ulaşmayabilir. Log toplama ürününün bu tür konuları nasıl adreslediğini bilmeniz gerekir.

Ajanlı / Ajansız Log Toplama

Her iki yöntemin birbirine avantajı ve dezavantajı göz önünde bulundurulmalıdır. Aşağıdaki bölümde her iki yöntemin özellikleri incelenmiştir.

Ajanlı Log Toplama

 “Ajan” kelimesi birçok kişiyi rahatsız ettiği için öncelikle bu konuyu açıklığa kavuşturalım. Ajan, olayın gerçekleştiği yerde çalışan bir uygulamadır. Örneğin bilgisayarınızda bulunan antivirüs uygulaması, Windows’un bir çok servisi aslında aynı kategoride uygulamalardır. Log toplama ajanı sistem güvenilirliğini ve performansını etkilemediği sürece en güvenilir, ölçeklenebilir ve etkili yöntemdir.

Ajansız Log Toplama

Uzak sisteme bir ajan kuramıyorsanız (örneğin ağ cihazları) geriye kalan yöntem ajansız log toplama yöntemidir. Log toplama sisteminin bir parçası ilgili bilgisayar veya cihazlara bağlanarak olay kayıtlarını toplar. Ajansız log toplama yönteminin en büyük avantajı çabuk uygulamaya geçilebilmesidir. Ancak, ağda yaratacağı trafik miktarı, log toplama periyodları arasında yaşanabilecek kayıplar, dizüstü bilgisayarlar gibi bazen network bağlantısı kesilebilecek bilgisayarlardan log toplanamaması, özellikle Windows bilgisayarlarında açılması gereken portlar ve servislerin yaratacağı güvenlik problemleri yüzünden ajansız log toplama yöntemi gerekmediği sürece uzak durulması gereken bir yöntemdir.

     
   
     
     
     
     
     
     

Normalizasyon

Toplanan logların aranması ve raporlanması sırasında yaşanan en büyük sıkıntı hangi kriterle arama veya raporlama yapılacağının net olmamasıdır. Örneğin, Windows XP sistemler oturum açma olayını “Source=Security EventID=528” ile kayıt altına alır. Ancak Windows Vista ve üstü aynı olay için “Source=Microsoft-Windows-Security-Auditing EventID=4624” kullanır. Unix/Linux, güvenlik duvarları, RADIUS, v.b. bu işlemi yine farklı şekillerde kayıt altına alır. Peki, oturum açma olaylarını raporlamak istediğinizde hangisini kullanacaksınız?

Bu noktada normalizasyon diye bilinen özellik sizi kurtarır. Normalizasyon farklı olayların tek bir isim altında saklanmasını, aranmasını ve raporlanmasını sağlar ve aranması gereken özelliklerden biridir.

Etiketleme/Sınıflandırma

Rol tabanlı erişim tüm güvenlik ürünlerinde aranan özelliklerden birisidir. Ancak bazen ekrandaki bir butona kimin tıklayabileceği değil, toplanan kayıtları içeriğe göre sınıflandırmak ve bu sınıflandırmaya göre yetki ataması yapmak isteyebilirsiniz. Bu özellik sayesinde bir operatörün sadece ağ cihazlarından gelen kayıtları görebilmesini ancak genel müdür veya insan kaynakları ile ilgili kayıtları görmesini engelleyebilirsiniz.

Bu noktada etiketleme/sınıflandırma olarak adlandırılan özellik devreye girer. Oluşan olaylara “takılacak” etiketler sayesinde “gizli”, “çok gizli”, “insan kaynakları”, v.s. şekilde sınıflandırma yapılabilir ve operatörler sadece kendi yetkileri çerçevesinde erişebildikleri kayıtlara bakabilirler.

Korelasyon

Korelasyon birbirinden farklı olayları ilişkilendirip, olaylara farklı bir açıdan bakabilmenizi sağlayan bir özelliktir.

Örnek: Bir makinada dakikada 10,000 yanlış şifre giriliyor. Bu olay için şöyle bir uyarı verilebilir: "HR01 bilgisayarına 10.2.3.4 IP adresinden şifre saldırısı yapılıyor". Normal şartlarda uyarı gerektirmeyen bir olay düşünelim: Bir kullanıcı Kullanıcı makinasına giriş yaptı. Bu olay için uyarı yapmamız gerekirse; "HR01 bilgisayarına User01 10.2.3.4 IP adresinden oturum açtı". Peki, bu iki olay bir biri ardına oluşursa ne anlama gelir? "Saldırı başarıya ulaştı!".

Korelasyon özelliği ile bu iki farklı olayı tek bir olay olarak değerlendirmeniz ve uygun uyarıyı ilgili kişilere gönderebilirsiniz.

Depolama

“Loglar toplandıktan sonra nasıl depolanıyor?” Bu, en kritik konulardan biridir. Bazı log toplama ürünleri logları kendine has bir şekilde saklayabilir, bazıları endüstri standardında bir veritabanı kullanabilir. İlgili kayıtlara farklı şekillerde erişmek istemeniz durumunda (kurum içi uygulamalar, CRM, Helpdesk, v.s.) veritabanı yöntemini kullanan çözümler daha avantajlı olacaktır.

Uyarı Yöntemleri

Modern log toplama çözümlerinin hemen hepsi artık e-posta, uygulama çalıştırma, sms atma veya görsel uyarı yöntemlerini desteklemektedir – ancak yine de emin olmanızda fayda var.

Önemli olan konu ise, uyarı içeriğinin ne kadar özelleştirilebildiği ve dinamik verilerin kullanılıp kullanılamadığıdır. Örnek verelim hemen… Kullanıcı adlarının TC Kimlik No olduğunu varsayalım ve aşağıdaki gibi bir uyarı e-posta ile size iletildi:

“KURUM\11153150001 kullanıcısı KURUM\12345678901 kullanıcısını Domain Admin grubuna ekledi”

Sizce ne kadar açıklayıcı? Yukarıdaki e-postanın şu şekilde gelmesini istemez miydiniz?

“KURUM\11153150001 (John Brown) kullanıcısı KURUM\12345678901 (Richard Black) kullanıcısını Domain Admin grubuna ekledi”

Yukarıdaki bilgi zaten kullanmakta olduğunuz Active Directory veya başka bir LDAP sunucudan elde edilebilecek bilgiler. Bu tür özelliklerin log toplama çözümü tarafından desteklendiğinden emin olmanızı öneririz.

Log Retension

Log toplama çözümünde aranması gereken özelliklerden biri eski olay kayıtlarının log toplama sistemi dışında saklanmasıdır. Bu özellik “Log Retension”olarak bilinir.

Örneğin 5651 sayılı kanun ve yönetmelikleri 6 ay ile 1 yıl arasında kayıtların saklanmasını istemektedir ancak bundan eski kayıtlar ne olacak? Veritabanında bu bilgilerin saklanması maliyet olarak daha fazla yük getireceği için ilgili kayıtların başka bir ortamda saklanması ihtiyacı ortaya çıkmaktadır. Log retension sayesinde ilgili kayıtlar daha ucuz bir ortamda saklanabilir ve gerektiğinde tekrar sisteme yüklenebilir.

Tabi burada sormanız gereken sorular, “İlgili kayıtlar nasıl saklanıyor?”, “Zaman içinde log kayıt yapısı değişirse ne olacak?”, “Üretici artık destek vermiyorsa veya pazardan çekildiyse ne olacak?”