Kural Tabanlı SIEM entagrasyonu ile DNS EPS maliyetlerinde %95+ tasarruf sağlayın

Kural Tabanlı SIEM entegrasyonu ile DNS EPS maliyetlerinde %95+ tasarruf sağlayın

DNS logu neden alınmalıdır?

Domain Name System (DNS) alan adlarını IP adreslerine çevirmek için kullanılan ve farklı kuruluşların yönettiği merkezi bir sistemdir. Önemli bir hizmettir, çünkü URL'ler yerine IP adreslerini hatırlamak veya tüm aygıtları bir ortamdan büyük bir ağda manuel olarak yapılandırmak çok fazla zaman alır. Ham DNS logları okunaksızdır. DNS logu işlenmediği zaman anlamlandırılmayan büyük miktarda ham veriden ibarettir. Bu da EPS maliyetlerini artırır, SOC ekiplerinin işini zorlaştırır. Roksit ise logu sadeleştirir, anlamlı hale getirerek SOC ekiplerinin zamanından tasarrufunu sağlar.

Domain Info Enrichment

Örnek 1: Source IP Zenginleştirilmesi:

DNS logunda sadece Client IP adresi ve sorgulanan domain bulunur. Client IP adresleri ise değişkendir. Geçmişe yönelik inceleme için uygun değildir. Değişken olan IP adresi yerine makine ismi, kullanıcı adı, MAC adresi gibi kalıcı verilerle loglanması incelemeyi oldukça kolaylaştırır. Bu eksikliği gidermek için SIEM ürününde DNS logu ile, DHCP ve AD Security logu üçlü korelasyon kuralları ile zenginleştirilmesi gerekir. Roksit; DNS, DHCP ve AD Security loglarını birleştirerek Source IP adresinin hangi kullanıcı, Mac dresi, Hostname bilgileri ile birleştirerek SIEM ürününe iletir.

Örnek 2: Domainin zenginleştirilmesi:

DNS logunda domaine ait IP adresleri, Country, güvenli mi değil mi veya aktif mi pasif mi gibi çeşitli bilgiler bulunmamaktadır. Client göndermiş ama bu adresin ne olduğu bilinmektedir.

Roksit bu logları da Cloud ortamından anlık olarak saniyeler içinde toplar bu domainle ilgili şuandaki ve geçmişteki kullanım bilgisini verebilir. Örneğin kaç sub domaine sahip olduğu gibi detaylı veriler toplanabilir.

DNS logunun boyutu ne kadardır?

DNS paketi denildiğinde akla DNS isteği ve DNS cevabı gelir. Bir DNS istek paketinin ortalama boyutu alt protokol bilgileri dahil 40-60 Byte civarında değişmektedir. 10K kullanıcıya sahip bir kuruluşta ortalama 10-15 K ‘ya kadar çıkabilir. Neden bu kadar fazla boyuta ulaşır? Çünkü sıradan bir web sayfasına girildiğinde bile 80-100 kadar sorgu yapılıyor.

 

DNS Logu neden önemlidir?

1- DNS Logu tüm protokoller tarafından kullanılan ortak altyapı servisidir. DNS logu içerisinde kurum ağında kullanılan tüm servislerine erişim verileri yer alır. Örneğin proxy sunucusunda sadece web trafik logu, e-mail sunucusunda e-mail trafik logu hakkında bilgi alabilirsiniz. DNS logunda ise her iki trafik hakkında verileri yer almaktadır. Bu yüzden DNS logunun işlenmesi tüm kurum ağının işlenmesi anlamına gelir.

2- IP adresi olmayan zararlı trafik sadece DNS logundan tespit edilebilir. IP adresi olmayan domain tiplerine örnekler

a- Cyber Xray verilerine göre Malware domainlerin yaklaşık%85 inde anlık olarak IP adresi olmadığı saptanmıştır. IP adres olmadığı için Http request olmuyor ve log oluşmadığı için sadece DNS logunu analiz etmek gereklidir.

Aşağıdaki ekran görüntüsü, ip adresi olmadığı halde kullanıcılar tarafından erişilmeye çalışılan adreslerdir.

b- DGA domain: Sistem saatine göre belli bir algoritma ile üretilen domainlerdir. Bu domainler sadece zombi ağına komut verilmek istendiği zaman kaydedilir ve ip adresine sahip olur. Zombi ordusunun sahibi iki şeyi amaçlar:

-       Komuta merkezi bağlantı domainlerinin güvenlik araştırmacıları tarafından tespit edilmesinin önün egeçmek

-       Zaman ayarlı olarak zombi ordusunu kullanıma açmak

c-DNS tüneli: DNS tünelleme ile veri hırsızlığı DLP ürünleri tarafından tespit edilememektedir. DNS tünel verisi sadece DNS logunun analiz edilmesi ile görülebilir.

Data Exfiltration Steps

EPS maliyetini azaltmak neden önemlidir?

Bu veriler Lokal DNS loglarında çok yüksek EPS değeri tutar. Örneğin: 10.000 kullanıcılı bir ağda ortalama EPS miktarının10.000-15.000 civarına gün içinde çıktığı görülmektedir. Bir başka örneğe baktığımızda ise standart bir web sayfasına (bir haber sitesine) girildiğinde her bir kullanıcı için 70-100 civarında DNS logunun oluşur. Ve tüm bu logların SIEM ürününe gönderilmesi durumunda güvenlik analistlerinin ihtiyacı olmayan ve birçok veri ile SIEM ürünün EPS… . Oysaki bu logların % 90-95 gibi büyük çoğunluğu güvenlik ekiplerini hiç ilgilendirmeyen güvenli loglardan oluşur. Bunları SIEM’e göndermek EPS yükünü artırmak dışında bir işe yaramaz.

Roksit hazır şablon kuralları veya custom kurallar sayesinde aslında bu güvenli olan logları elemine eder. SIEM’e bu entegre sayesinde EPS maliyetinden % 95 oranında tasarruf etmemizi sağlar.

DNS Logları nasıl sadeleştirilir?

 

1- Kategori ve kural tabanlı entegrasyon ile

Kurum networklerinde farklılık göstermekle beraber kurumların logları % 95-99 trafiği güvenli domainlere (cnn.com, bbc.co.uk gibi)erişimden oluşur. Bu sorguların bilişim güvenliği olarak bir değeri yoktur. Security analistlerin incelemesine de ihtiyaç yoktur. Bu verileri eleyip, güvenlik risk içeren veya gri alandaki domainlerin SIEM ‘e iletilmesi Zaman ve EPS maliyeti açısından faydalıdır.

Malware, malicious aktiviteler ise çok bir yüzdeyi oluşturmaktadır. Bu da SIEM’in gerçekte incelemesi gereken logları sağlıklı olarak elde edemediği anlamına gelir. Çünkü SIEM sistemlerinin işlem sayısı ve analiz yetenekleri kısıtlıdır.

Roksit'in SIEM entegrasyon modülü sayesinde yalnızca güvenliği tehdit edebilecek kayıtlar SIEM’e gönderilerek SIEM’e giden olay sayısı ve ağ trafiği kısıtlanır. Bu sayede güvenlik ekipleriniz yalnızca gerekli işlemler hakkında uyarı almış olurlar. Ayrıca SIEM olayları anlamlı bir şekilde azalacağı için lisans maliyetleri de düşer. Bu sayede Roksit sizi zararlı yazılımlara karşı korurken hem iş yükünüzü hem de maliyetinizi hafifletir.

Roksit yapay zeka algoritmaları ile % 99,5+ sınıflandırma işlemi yapılmıştır. Bu veri tabanından hareketle sadece Soc ekiplerinin incelemesi gereken verileri SIEM’e gönderir.

Siem’e gönderilen verilerde hazır şu kurallar işletilebilir:

1-    Sadece malicious trafiği gönder.

2-    Sadece mevcut güvenlik cihazları tarafından engellenmemiş malicious trafiği gönder.

3-    Networkümde ulaşılmaya çalışılan malicious trafiği gönder.

4-    Kurum tarafından son bir yılda hiç girilmemiş ama yeni girilen domain trafiğini gönder.

Bu şablon kuralları dışında kullanıcı tarafından oluşturulabilen kurallar vardır. Bu kurallara denk gelen (match olan) trafiği ile SIEM’e gönderimi sağlanabilir.

Ya da tüm Zenginleştirilmiş ve anlamlandırılmış olan tüm DNS datasını SIEM’e gönderilebilir.

2- Security Gap olanları gönder

Tespit edilen zararlı trafik üzerinde inceleme yaparken, SoC ekibinin öncelik vermesi gereken kayıtları ayırmak için Security Gap özelliği kullanılmaktadır. Kurumun mevcut güvenlik cihazları tarafından tespiti yapılamayan zararlı trafikraporlanır. Security Gap zararlı domaine bağlanmayı üç farklı şekilde simüleeder:

-       Mevcuttaki DNS sunucudan DNS sorgusu ile test et

-       Proxy sunucu üzerinden http/https isteği ile test et

-       Ağ geçidinden (Gateway) direk bağlantı http/https isteği zararlı domaine ulaşımı test et

 

3-Kurum tarafından ilk kez girilen domainleri gönder

Ağda gerçekleştirilen bazı DNS istekleri Roksit’in veritabanında yer almayabilir. Veri tabanında yer almayan bu web siteler ilk ziyaret edildiklerinde, Roksit'in yapay zekâsı tarafından ‘Firstly Seen’ domain olarak ‘Variable’ yani değişken kategorisinde yer alır.

Bu hizmetin en önemli özelliği Yapay Zekâ tarafından Domain puanlama ve kategorilere ayırma hizmetidir. Derin öğrenme yetenekleri ile yapay zekâ 850’den fazla özelliği (feature) (MX Kaydı, TTL, Domain kaç yıllık alınmış, CTI, Craewler, https, SSL… vb. gibi) kontrol eder.

Müşteriye sağlanan katma değerler

Intertek Türkiye’nin en büyük Fintek(Finans-Teknoloji)firmasıdır. 55 finans kuruluşuna merkezi Fintek altyapılı yazılım ve sistem altyapısı sağlamaktadır. Dünyanın bir çok yerinde Avrupa’da Ortadoğu’da,Türkiye’de datacenterları bulunan bu yapının DNS loglarının merkezi bir noktada toplanması ve ARCSIGHT SIEM ürününe entegre edilmesi projesi yapılmıştır. Bunun için uzun lokasyonlardaki merkezlere corrector yazılımı ile Collectorler kurulmuş ve bu sayede her data centerdaki AD ‘de loglar toplanmış ve güvenli bir protokol(örneğin SSL) ile merkezi DNS visibility’de toplanmış ve raporlanmasını sağlamıştır.

Intertek SOC ekiplerinin belirlemiş olduğu kurallara göre gerekli datalar ARCSIGHT SIEM ürününe iletilerek entegre işlemi sağlanmıştır.

Bu sayede firmaların DNS katmanında konumlandırılan SIEM entegrasyon modüllü sayesinde, sadece zararlı veya ağ güvenliği/son kullanıcı güvenliği açısından tehdit oluşturabilecek aktiviteler belirlenir ve SIEM’e gönderilecek raporda yer alır.

 


Başlamaya hazır mısınız?

14 günlük ücretsiz denemenizi başlatın

Roksit'i ücretsiz deneyin. Kredi kartı bilgisi istenmemektedir.