Roksit, Kural Tabanlı SIEM Entegrasyonu Sayesinde DNS EPS Sayısında %95'e Varan Tasarruf Sağlıyor

DNS logları neden toplanmalıdır?

Alan Adı Sistemi (DNS), çeşitli şirketlerin alan adlarını IP adreslerine dönüştürmek için kullandıkları merkezi bir sistemdir. URL'ler yerine IP adreslerini hatırlamak veya büyük bir ağdaki tüm cihazları manuel olarak yapılandırmak çok fazla zaman aldığı için kritik bir hizmettir.

Normalde ham DNS günlükleri, zenginleştirilmediği sürece anlamsız olan büyük miktarda ham veri içerdiğinden ibarettir. Bu durum EPS sayılarını artırır ve SOC ekibinin iş akışı operasyonunu karmaşıklaştırır. Öte yandan Roksit, DNS günlüklerini zenginleştirir ve okunabilir hale getirir, bu da günlük analizlerini basitleştirir ve SOC operasyonel iş akışı süresini optimize eder.

‍

‍

‍

Domain bilgisi zenginleştirme:

DNS günlüğü basitçe istemci IP adresini ve alan alanı sorgularını içerir. İstemci IP adresleri genellikle değişkendir. Geriye dönük bir inceleme için uygun değildir. Değişken IP adresi yerine makine adı, kullanıcı adı ve MAC adresi gibi kalıcı veriler içeren günlüklerin toplanması analizi kolaylaştırır. Bu sorunu gidermek için SIEM ürününde DNS logu, DHCP logu ve AD Security logu üçlü korelasyon kuralları ile zenginleştirilmelidir. Roksit; DNS, DHCP ve AD Security loglarını birleştirerek Kaynak IP adresi, Mac adresi ve Hostname bilgilerini birleştirerek SIEM ürününe iletir.

‍

‍

Kural tabanlı SIEM entegrasyonu

DNS logunda domainin IP adresi, ülkesi, güvenli olup olmadığı ve aktif mi pasif mi olduğu gibi bilgiler yer alır. Roksit bu verileri Bulut ortamından anlık olarak toplar ve bu domain için güncel ve geçmiş kullanım bilgilerini elde edebilir. Örneğin alt alan adlarının sayısı gibi detaylı bilgiler.

DNS Günlüğünün boyutu nedir?

DNS paketi terimi söz konusu olduğunda, akla DNS isteği ve DNS yanıtı kelimeleri gelir. Bir DNS istek paketinin ortalama boyutu, alt protokol bilgileri de dahil olmak üzere 40 ila 60 bayt arasında değişir. Kullanıcı sayısı 10.000 olan bir şirkette bir DNS günlüğünün boyutu 10 bin - 15 bin arasında değişebilir. Bu kadar büyük bir boyuta ulaşmasının nedeni nedir? Herhangi bir web sitesini ziyaret ettiğinizde yapılan 80-100 sorgunun bir sonucudur.

DNS Logları Neden Önemlidir?

1- DNS, tüm protokollerin ortak altyapı olarak kullandığı bir servistir. DNS logu kurumsal ağda kullanılan tüm servisler hakkında bilgi içerir. Örneğin web trafik logunu sadece proxy sunucusu üzerinden, e-posta trafik loglarını ise e-posta sunucusu üzerinden alabilirsiniz. DNS günlüğü her iki trafik türü hakkında da bilgi içerir. Sonuç olarak, DNS günlüğünün analiz edilmesi tüm iş ağının işlenmesini gerektirir.
1. IP adresi olmayan kötü niyetli trafik yalnızca DNS logu aracılığıyla tespit edilebilir. IP adresi olmayan alan adlarına örnekler-
a. Cyber Xray istatistiklerine göre, Kötü Amaçlı Yazılım alan adlarının yaklaşık yüzde 85'inin anlık bir IP adresi yoktur. IP adresi, HTTP isteği ve günlük olmadığından, yalnızca DNS günlüğünü analiz etmek çok önemlidir.
Aşağıdaki ekran görüntüsü, IP adresi olmamasına rağmen kullanıcıların erişmeye çalıştığı adreslerdir.

b. DGA alan adları: Bunlar, sistem saatine bağlı olarak belirli bir algoritma tarafından oluşturulan etki alanlarıdır. Bu etki alanları yalnızca zombi ağı komuta edildiğinde kaydedilir ve bir IP adresine sahip olur. Zombi ordusunun sahibinin iki ana hedefi vardır:
i. Güvenlik araştırmacılarının komuta merkezi bağlantı alanlarını tespit etmesini engellemek
ii. Zamanlanmış olarak zombi ordusunun kullanımının kilidini açmak

c. DNS Tünelleme: DLP ürünleri DNS tünelleme yoluyla veri hırsızlığını tespit edemez. DNS tünelleme verilerini tanımanın tek yolu DNS loglarını incelemektir.

‍

‍

‍

EPS sayısını (SIEM maliyeti) azaltmak neden önemlidir?

Yerel DNS loglarının EPS sayıları gerçekten yüksektir. Örneğin 10.000 kullanıcısı olan bir ağda ortalama EPS sayısı gün içinde 10.000-15.000 arasında değişmektedir. Normal bir web sayfasına bağlandığımızda (bir haber sitesi gibi) her kullanıcı için yaklaşık 70-100 DNS logu oluşur. Bu logların tamamı SIEM ürününe iletilirse, SIEM'e çok sayıda anlamsız veri gönderilecek ve EPS sayısı daha yüksek olacaktır. Ancak bu logların büyük çoğunluğu, yüzde 90-95'i, güvenlik ekipleriyle hiçbir ilgisi olmayan güvenli loglardır. Bunları SIEM'e göndermenin EPS sayısını artırmaktan başka bir etkisi yoktur.
Roksit, şablon kuralları veya özel kurallar kullanarak güvenli günlükleri filtreler. SIEM ürünü ile yapılan bu entegrasyon sonucunda EPS sayısı yaklaşık yüzde 95 azalıyor ve bu da aynı oranda SIEM maliyetinden tasarruf sağlar.

‍

DNS Günlükleri Nasıl Basitleştirilir?

1- Kategori ve Kural Tabanlı entegrasyon

Ağ farklılıkları ne olursa olsun, güvenli alan adlarına (cnn.com, bbc.co.uk gibi) erişim, kurumlardaki DNS günlüklerinin yüzde 95-99'unu oluşturmaktadır. Bu sorgular bilgi güvenliği açısından anlamsızdır. Güvenlik analistlerinin bunları incelemesine gerek yoktur. Bu güvenli alan adlarının loglarını ve verilerini filtreleyip riskli veya gri alan adlarını SIEM'e iletmek zaman ve EPS Sayısı (SIEM maliyeti) açısından faydalıdır.
Kötü amaçlı yazılımlar ve kötü niyetli faaliyetler kalan DNS trafiğinin büyük bir bölümünü alır. Bu, SIEM çözümlerinin sınırlı işlem ve analiz yeteneklerine sahip olması nedeniyle SIEM'in analiz için gerekli logları toplayamayacağı anlamına gelir.
Roksit'in filtre tabanlı SIEM modülü, yalnızca SIEM'e tehdit oluşturabilecek logları iletir, bu da SIEM'e gönderilen olayların ve ağ trafiğinin sayısının azalması anlamına gelir. Sonuç olarak, güvenlik ekipleriniz yalnızca gerekli eylemler hakkında anlamlı uyarılar alacaktır. Ayrıca, SIEM'e iletilen DNS günlüklerinin sayısı azaldıkça SIEM lisans maliyetleri de azalır. Roksit sizi kötü amaçlı yazılımlara karşı korurken aynı zamanda iş yükünüzü ve SIEM maliyetlerinizi azaltır.
Roksit'in yapay zeka motorları, etki alanı sınıflandırmasını %99,5+ doğruluk oranıyla gerçekleştirir. Bu tehdit veri tabanını temel alan Roksit, SOC ekiplerinin analiz etmesi için SIEM'e yalnızca doğru ve kesin verileri iletir.
SIEM'e gönderilen verilerde aşağıdaki kurallar kullanılabilir:

- Sadece kötü niyetli trafiği iletir.
- Kötü amaçlı trafiği yalnızca mevcut güvenlik çözümleri tarafından engellenmiyorsa iletir.
- Kurumsal ağa erişmeye çalışan kötü amaçlı trafiği iletir.
- Kurum tarafından son bir yıl içerisinde erişilmemiş ve ilk defa erişilmekte olan domain sorguları iletilir.
Bu şablon kurallar dışında müşteri kendi kurallarını oluşturabilir. Bu kurallara karşılık gelen (eşleşen) trafik ile SIEM'e yönlendirilebilir.
Alternatif olarak tüm Zenginleştirilmiş ve Anlamlı DNS verileri SIEM'e iletilebilir.

3- Kurum tarafından ilk kez ziyaret edilen alan adları

Ağ üzerinden yapılan bazı DNS istekleri Roksit'in tehdit veri tabanında algılanmayabilir. Bu alan adları ilk kez ziyaret edildiğinde ve tehdit veri tabanında bulunmadığında, Roksit’in Yapay Zeka motorları bunları 'İlk Görülen' alan adı olarak 'Değişken' kategorisine dahil eder.
Yapay Zeka kullanarak Domain skorlama ve kategorizasyon hizmeti bu hizmetin en önemli özelliğidir. Yapay zeka, derin öğrenme yeteneklerini kullanarak 850'den fazla özelliği (MX Kaydı, TTL, Domain, kaç yaşında, CTI, Crawler, HTTPS, SSL, vb) kontrol eder.

‍

Müşteriye Sağlanan Katma Değerler

Dünyanın çeşitli bölgelerinde veri merkezleri bulunan bu kuruluşun (XXBank) DNS günlüklerini merkezileştirmek ve ArcSight SIEM ürününe entegre etmek için bir proje başlatıldı. Tüm veri merkezlerinde düzeltici yazılım ile toplayıcılar uygulanmış, böylece loglar her veri merkezinde AD'de toplandığı gibi güvenli bir protokolle (örn. SSL) merkezi DNSEye'da da toplanmış ve raporlanmıştır.
XXBANK SOC ekipleri tarafından belirlenen kurallara göre gerekli veriler ArcSight SIEM ürününe iletilmiş ve entegre bir süreç sağlanmıştır.

‍

‍