Korelasyon çok sayıda olayı anlamlandırmak ve bu büyük bilgi içinde önemli olan birkaç etkinliği saptamak için kullanılan bir tekniktir. Etkinlik ilişkisinin arttıkça olay uyarısının azalacağı, daha hedef odaklı ilişkilerin belirlendiği yapıdır. Saptanan olay gruplarını ilişkilendirerek, ne şekilde ve ne dereceye kadar etkilendiğini tanımlar.
Logsign SIEM, korelasyon kütüphanesi ve aşağıda kategorileri ile listelenmiş davranış modelleri ile kompleks olayların algılanmasında görev üstlenir.
Birbirinden bağımsız gibi görünen farklı olayların ilişkilendirilmesi ve yorumlanması Mantıksal Korelasyon
Olayların güvenlik açıkları ile ilişkilendirilmesi ve yorumlanması Çapraz Korelasyon
Olayların işletim sistemi ile ilişkisi ve yorumlanması Envanter Korelasyonu olarak adlandırılmıştır.
Bu kategorilerde, Logsign SIEM in desteklediği aşağıdaki korelasyon tiplerini inceleyebilirsiniz.
Olay Bazlı Korelasyon (Event Correlation)
Sonucu istatistiksel bir veriye bağlı olmayan korelasyon modelidir. Kural setini belirlerken “Security Use Case” içeriklerini dahil etmiş olmamız daha spesifik olaylar belirlememizi sağlar.
Security Use Cases :
- Network Sessions & Flows
- Identity
- IDS/IPS
- Vulnerability
- EndpointSecurity
- Application
- Services: TI , GeoIP
İstatistiksel Korelasyon (Statistical Correlation)
İstatistiksel korelasyon, çeşitli IT varlıklarındaki güvenlik olayları tarafından ortaya çıkarılan tehdit düzeyini hesaplamak için özel sayısal algoritmalar kullanmaktadır. Alışıla gelmiş veri yoğunluğu standardın dışında olan miktara ulaştığında alarm üretecek mekanizma çalışır.
- Yüksek sayıda IDS alarmının oluşması
- Yüksek sayıda virüs tespit edilmesi
- Çok fazla host’un tek bir host’a doğru trafik oluşturması
Kural Tabanlı Korelasyon (Rules Based Correlation)
Kural tabanlı korelasyon, gerceklesen yada alarm üreten bir olayın verilerini kullanır. Ornegin bir saldırının tespit edilmesi için önceki saldirilarin takip edilmesi gereken durumlar olabilir. Senaryonun, "eğer buysa, o halde, bu nedenle bazı eylemlerin yapılması" şeklinde kodlanmasıdır. İstatistiksel listeler, standart veri üzerinden ilişkisel değerlendirmeler yapar ve kural bazlı korelasyon verileri üzerinden ilişkisel sonuçlar cikarir.
Tehdit Tabanlı Korelasyon (Threat Based Correlation)
Tehdit olarak bahsettiğimiz nesneler; zafiyetler ve zararlı yazılımlar olabilir. Bu bilgiler zafiyet uygulamalarından, “endpoint” ve “tehdit istihbarat” sistemlerinden elde edilmiştir. Verilerin korelasyonu yapılırken, ilgili Logsign SIEM kullanıcısının tek tek tüm atak vektörlerini ve zafiyetlerini bilmesine gerek yoktur. Hangi context’i kullanacağını bilmesi yeterli olacaktır. Bu bilgi sayesinde farklı sistemlerden gelen tehditleri tek veya birkaç “context” altında toplamak efektif bir kullanım sağlar.
Malware & Botnet Infection Correlation ( TI supported )
TI servisleri aracılığı ile log un zengileştirilmesi sağlanarak ve security verilerinin içerisinde geçen verilere göre ilişiki kurularak, yapımızdaki olası dış tehditleri belirleme konusunda veriler toplayıp, diğer context verileri ile beraber ilişkisel kurallar yazılabilir.
Tarihsel Korelasyon (Historical Correlation)
Tarihsel korelasyonla, tekrarlanan saldırı modellerini ve milyonlarca güvenlik olayında örtülmüş olabilecek otomatik ve yavaş saldırılar tespit edilebilir. Daha önce tanınmayan kötü amaçlı olayların hızlı tespit edilmesini sağlar. Geçmiş olayları inceleme olanağı sayesinde, analistler gelecekteki sıfır gün saldırılarının gerçek zamanlı algılanması için daha iyi konumlanırlar.
Ürün Tabanlı Korelasyon (Product Based Correlation)
Taksonomi ve normalizasyonun kattığı avantajlar ile benzer event’ler product bağımsız aynı kategoride değerlendirilerek, ürün bağımsız sonuçlar elde etmemiz sağlanır.
Örneğin, başarılı oturum girişi yapılan bir kural yazdığımızda, hangi ürün olup olmadığına bakılmadan diğer ilişkisel kurallar ile beraber çalışabilen bir korelasyon sağlar.
Çoklu Korelasyon (Multi Correlation)
Şu ana kadar anlatılan parçalar tek başlarına hepsi korelasyonu ifade ediyor. Gerçek anlamda saldırganı spesifik olarak tespit etmek istediğimizde, örneğin;
- Farklı ülkelerden aynı paylaşımlı kullanıcı ile oturum açmaya çalışıldığında;
- Güvenilmeyen yabancı ülkeden erişmeye çalıştığında;
- Erişim yapmaya çalışan ip’lerden biri iç network’e Port Scanner yaptığında;
- Bu erişim yapan IP’ler TI servisleri tarafında da tespit edildiğinde.....
Bu olaylardan alarm oluşturduğumuzda gerçek saldırgını çok büyük olasılıkla tespit etmiş oluruz. Buda bir çok korelasyon içeren context’lerin birleşiminden yani Logsign SIEM mimarisindeki karşılığı olan “Asset&Behaviors”’dan beslenen yapıdır.