Zararlı Trafiği Anında Tespit Edin ve Detaylı Raporlar Alın!
DNSEye VM uygulamasını indirin  ve yükleyin
İletişime Geçin
Kurumunuzu ve Çalışanlarınızı Zararlı İçeriklerden Yapay Zekanın Yardımıyla Koruyun!
14 gün ücretsiz deneyin
Ücretsiz Deneyin
Dünyanın En Gelişmiş Dinamik Siber Tehdit İstihbaratıyla Tanışın!
Analiz etmeye hemen başlayın
Ücretsiz Analiz Alın
İhtiyaca Göre Çözümler

Akıllı SIEM Entegrasyonu ile Maliyetlerinizi %95'e Varan Oranda Düşürün

İhtiyaç

DNS logları, iki temel nedenden dolayı şirketler için büyük lisans ve zaman maliyetlerine neden olur:

DNS sunucuların logları kurumsal ağlarda oluşan en yüksek EPS’e sahip loglardır.

10 bin kullanıcıya sahip bir ağda ortalama anlık DNS sorgu sayısı 15 bin seviyelerine çıkabilmektedir. Bunun çeşitli sebepleri vardır. Örneğin, sıradan bir haber web sayfasına girildiğinde ortalama 70-100 kadar DNS sorgusu yapılır. Ayrıca, cihazlarımız kullanılmadığı zamanda da arka planda çalışan servisler sebebi ile sürekli DNS sorgusu üretmektedir. Email gönderimleri sırasında mail sunucusu çok sayıda DNS sorgusu yapar. Bunun gibi ağdaki her cihaz internet servisi vermek veya almak için DNS sorgusu yapar.

Ham DNS loglarının anlaşılması kolay değildir.

DNS logu işlenmediği zaman anlamlandırılamayan büyük miktarda ham veriden ibarettir. DNS logunda bulunan Client(İstemci) IP adresi ve sorgulanan alan adi bilgileri güvenlik analizi için yeterli değildir. Client IP adresleri değişken olduğu için geçmişe yönelik inceleme her zaman mümkün değildir. Ek olarak, DNS logunda yer alan alan adı’nın içeriği ve güvenli olup olmadığı hakkında herhangi bir bilgi yer almaz.

Bu kadar yüksek miktarda logu sağlıklı bir şekilde analiz etmek için öncelikle SIEM ürününde ilişkilendirilmesi gerekir. Bunun yanı sıra, güvenli olduğu bilinen alan adlarının işlenmesi ve her ekstra korelasyon işlemi SIEM'in maliyetini artırır ve SOC ekibinin zamanını boşa harcar.

Roksit'in Çözümü

DNS logları, alanın içeriği veya güvenliği hakkında hiçbir bilgi içermez. Ayrıca logların büyük çoğunluğu Google, Facebook ve WhatsApp gibi güvenilir ve sık kullanılan alan adlarından oluşur ve bu bilgilerin SIEM tarafından işlenmesine gerek yoktur. Roksit, yapay zekâ tabanlı bir sınıflandırma sistemi olan Cyber X-Ray'i kullanarak güvenli alan adları ile kötü niyetli veya şüpheli alan adlarını birbirinden ayırır ve ardından yalnızca gerekli verileri SIEM'e gönderir. Roksit, alan kategorisine ve diğer özelleştirilmiş kurallara göre trafiği SIEM'e yönlendirmenin yanı sıra, SIEM'i aşağıdaki durumlarda da uyarabilir:

- Mevcut güvenlik cihazları kötü amaçlı trafiği algılamadığında,
- Kurumunuzdan bir domaine ilk kez gidilmek istendiğinde,
- DNS Tünelleme ve veri hırsızlığına benzeyen anormallikler olduğunda.
- Bu filtrelerden sonra SIEM'e gönderilen DNS log miktarı %95-99 oranında azaltılabilmektedir.