Ürünü seçiniz

Secure DNS

14 günlük ücretsiz deneme

Kayıt olmak için tıklayın
Demo

Cyber X-Ray

Derin domain araştırması.

Şimdi bir domain araştırması başlatın!
Kayıt olmadan

DNS Visibility

DNS Visibility VM Appliance'ı indirin ve yükleyin

Bize Ulaşın.
İletişim formuna git
Solution by need

Akıllı SIEM Entegrasyonu İle
Dns Log İşleme Maliyetlerinde
%95+ Tasarruf Sağlayın

Problem:

DNS sunucuların logları kurumsal ağlarda oluşan en yüksek EPS ‘e sahip loglardır. 10 bin kullanıcıya sahip bir ağda ortalama anlık dns sorgu sayısı 15 bin seviyelerine çıkabilmektedir. Bunun çeşitli sebepleri vardır. Sıradan bir haber web sayfasına girildiğinde ortalama 70-100 kadar DNS sorgusu yapılır. Ayrıca, cihazlarımız kullanılmadığı zamanda da arka planda çalışan servisler sebebi ile sürekli DNS sorgusu üretmeye devam eder. Email gönderimleri sırasında mail sunucu çok sayıda dns sorgusu yapar. Bunun gibi ağdaki her cihaz internet servisi vermek veya almak için DNS sorgusu yapar.

Ham DNS logları okunaksızdır. DNS logu işlenmediği zaman anlamlandırılamayan büyük miktarda ham veriden ibarettir. DNS logunda güvenlik analizi için anlamlı olarak sadece Client IP adresi ve sorgulanan domain bulunur. Client IP adresleri değişkendir. Geçmişe yönelik inceleme için uygun değildir. DNS logunda yer alan domain‘in içeriği ve güvenli olup olmadığı hakkında herhangi bir bilgi yer almaz.

Bu kadar yüksek miktarda anlaşılması zor olan logun sağlıklı bir şekilde analiz edilmesi için öncelikle SIEM ürününde korelasyon yapılması ve ayrıca riskli domainlerin güvenli olan domainlerden ayrılması gerekmektedir. Bu ise DNS loglarının işleme maliyetini hem onlarla ilgelenen soc ekiplerinin zamanı açısından hem de yükselen EPS ve korelasyon sayısına bağlı olarak   artabilecek SIEM lisans maliyeti açısından arttırır.

Roksit SIEM’de log işleme maliyetini 2 şekilde düşürür:

1-SIEM de yapılacak  Korelasyon gereksinimlerinin ortadan kaldırır:

DNS logunda yer alan ve değişken olan client IP adresi yerine makine ismi, kullanıcı adı, MAC adresi gibi kalıcı verilerle logun kaydedilmesi geçmişe yönelik incelemeyi mümkün kılar. Bu eksikliği gidermek için SIEM ürünündeki DNS logu, DHCP ve AD Security loglarının üçlü korelasyon kuralları ile zenginleştirilmesi gerekir. Bu sayede hangi client IP adresinin belirlenen gün ve tarihte hangi kullanıcı, Mac adresi ve Hostname’e ait olduğu bilgileri SOC ekiplerine hazır bir şekilde sunulabilir. DNSSense bu korelasyon işlemini otomatik olarak yapar. Sisteme bu log kaynaklarının tanıtılması yeterlidir.

2-DNSSense ile SIEM ‘e gönderilecek EPS sayısının azaltılması:

DNS logunda domaine ait herhangi bir kategori bilgisi bulunmamaktadır. Bu sebeple hangi domainin güvenli olup olmadığı bilinemez. Logun büyük çoğunluğu google, facebook, whatsapp gibi güvenli ve sık kullanılan domainlerden oluşur. SIEM’e bu verilerin gönderilmesine gerek yoktur. Güvenli domainler ile malicious veya suspicious domainlerin birbirinden ayrılması için  domainlerin kategori bilgilerine göre sınıflandırılması gerekir. DNSSense, AI tabanlı sınıflandırma sistemi olan Cyber-Xray ile tüm domainleri sınıflandırır. Bu aşamadan sonra DNSSense, SIEM ‘e gönderilecek verileri 4 farklı yöntem ile elemenizi sağlar.

1- Kategori ve kural tabanlı trafiğin SIEM‘e iletilmesi
2- Kurumun mevcut güvenlik cihazları tarafından tespit edilemeyen zararlı trafiğinin SIEM’e iletilmesi
3- Kurum tarafından ilk kez girilen domainlerin historical and relational data ile SIEM‘e gönderilmesi
4- DNS Tünelleme ve data exfiltration benzeri anormalliklerin gönderilmesi

Bu elemeler sonrası SIEM’e gönderilecek log miktarında %95-99 tasarruf sağlanabilir. SIEM entegrasyonu hakkında detaylı bilgi için Roksit SIEM Entegrasyonu dökümanını inceleyebilir siniz.

Ürün hakkında detaylı bilgi için tıklayınız.

Başlamaya hazır mısınız?

14 günlük ücretsiz deneme

Try DNSSense free. No credit card required.