Time to start a new chapter!
We are delighted to announce our merger with our global operations’ brand, DNSSense, starting from April 10, 2023.
You can find all the information about Roksit at our new address, dnsssense.com
Welcome to the world of DNSSense!
.svg)
Akıllı SIEM Entegrasyonu ile Maliyetlerinizi %95'e Varan Oranda Düşürün
İhtiyaç
DNS logları, iki temel nedenden dolayı şirketler için büyük lisans ve zaman maliyetlerine neden olur:
DNS sunucuların logları kurumsal ağlarda oluşan en yüksek EPS’e sahip loglardır.
10 bin kullanıcıya sahip bir ağda ortalama anlık DNS sorgu sayısı 15 bin seviyelerine çıkabilmektedir. Bunun çeşitli sebepleri vardır. Örneğin, sıradan bir haber web sayfasına girildiğinde ortalama 70-100 kadar DNS sorgusu yapılır. Ayrıca, cihazlarımız kullanılmadığı zamanda da arka planda çalışan servisler sebebi ile sürekli DNS sorgusu üretmektedir. Email gönderimleri sırasında mail sunucusu çok sayıda DNS sorgusu yapar. Bunun gibi ağdaki her cihaz internet servisi vermek veya almak için DNS sorgusu yapar.
Ham DNS loglarının anlaşılması kolay değildir.
DNS logu işlenmediği zaman anlamlandırılamayan büyük miktarda ham veriden ibarettir. DNS logunda bulunan Client(İstemci) IP adresi ve sorgulanan alan adi bilgileri güvenlik analizi için yeterli değildir. Client IP adresleri değişken olduğu için geçmişe yönelik inceleme her zaman mümkün değildir. Ek olarak, DNS logunda yer alan alan adı’nın içeriği ve güvenli olup olmadığı hakkında herhangi bir bilgi yer almaz.
Bu kadar yüksek miktarda logu sağlıklı bir şekilde analiz etmek için öncelikle SIEM ürününde ilişkilendirilmesi gerekir. Bunun yanı sıra, güvenli olduğu bilinen alan adlarının işlenmesi ve her ekstra korelasyon işlemi SIEM'in maliyetini artırır ve SOC ekibinin zamanını boşa harcar.
Roksit'in Çözümü
DNS logları, alanın içeriği veya güvenliği hakkında hiçbir bilgi içermez. Ayrıca logların büyük çoğunluğu Google, Facebook ve WhatsApp gibi güvenilir ve sık kullanılan alan adlarından oluşur ve bu bilgilerin SIEM tarafından işlenmesine gerek yoktur. Roksit, yapay zekâ tabanlı bir sınıflandırma sistemi olan Cyber X-Ray'i kullanarak güvenli alan adları ile kötü niyetli veya şüpheli alan adlarını birbirinden ayırır ve ardından yalnızca gerekli verileri SIEM'e gönderir. Roksit, alan kategorisine ve diğer özelleştirilmiş kurallara göre trafiği SIEM'e yönlendirmenin yanı sıra, SIEM'i aşağıdaki durumlarda da uyarabilir:
- Mevcut güvenlik cihazları kötü amaçlı trafiği algılamadığında,
- Kurumunuzdan bir domaine ilk kez gidilmek istendiğinde,
- DNS Tünelleme ve veri hırsızlığına benzeyen anormallikler olduğunda.
- Bu filtrelerden sonra SIEM'e gönderilen DNS log miktarı %95-99 oranında azaltılabilmektedir.
