200'den fazla hazır entegrasyonu ile kurduğumuz Logsign SIEM, yüzlerce veri kaynağından günlükleri gerçek zamanlı olarak toplar. Günlüklerin gittikçe büyümesi Logsign SIEM de optimizasyon gerektirir. Logsign SIEM DPM (Data Policy Manager) günlük yönetimini optimize etmemizi sağlar.
- Bir log kaynağından veya gruplanmış log kaynaklarından logları toplamak için,
- Logların artıklık sürelerini ayarlamak için,
- Depolama kapasitemizin yönetimini kolaylaştırmak için,
Logsign SIEM DPM ile veri politikaları oluşturabiliriz. Bu sayede veri toplama, depoloma ve indeksleme performansını arttırabiliriz.
Logsign SIEM e kaynak eklerken Data Policy sekmesinde görülen Default Policy’nin içerdiği konfigürasyonlar herşeyi al olarak ayarlanmış olup kullanıcı tarafından değiştirilebilir ve her kaynak için ayrı bir Data Policy oluşturmasına imkan sağlamaktadır. Data Policy konusunu biraz daha derinleştirip tam olarak neler yapabileceğinizi beraber görelim.
Logsign SIEM WEB arayüzünde sırasıyla Settings > Data Management > Data Policies sekmesine tıklıyoruz. Açılan sayfada Default adında varsayılan olarak ayarlanmış Data Policy göreceksiniz. Her kaynağa ayrı bir Data Policy oluşturmanız, olayların ilgili kaynaktaki veri yükünü hafifletecektir.
Ayrıca bu sayfada varsayılan olarak Logsign SIEM ürünü üzerinde bulunan Default Data Policy kuralını düzenleyebilir fakat silemezsiniz. Bununla beraber Default Policy kuralını tüm kaynaklara uygulayabilirsiniz.
Açılan sayfanın sağ üst köşesinde bulunan Add Policy butonuna tıkladığımızda karşımıza oluşturacağımız Data Policy ile ilgili konfigürasyonlar gelecektir.
Policy Name: Hangi kaynak ile ilişkilendirilecekse o kaynak ile ilgili bir isim belirleyebilirsiniz. (Örneğin,WindowsDataPolicy).
For Input
Bu kısım Logsign SIEM e “gelme” aşamasında olan olay hareketlerini Regexp (Regular Expression diye adlandırılan belirlenmiş bir ifadeyi belli bir kalıba göre bulmamızı sağlayacak kullanışlı bir yazılım dili) veya Key-Value (WMI seviyesinde çalışarak olay hareketlerine göre eleme yapabileceğimiz bölüm) değerini belirtip dahil veya hariç tutabiliriz. For Input bölümünde Logsign SIEM e gelmesini istemediğimiz olay hareketlerini seçebileceğiz. Diğer bir şekilde anlatmak istersek Logsign SIEM e gelmesini istemediğimiz olay hareketlerini ilk seviyede engeleyebilirsiniz (drop).
Include by regexp: Yanındaki kutucuk işaretlendikten sonra alt satıra Add Regexp adında bir satır daha eklenecektir. İlgili kaynaktan Logsign SIEM e gelmesini istediğiniz olay hareketlerini seçebileceğiniz bölümdür. Bu kısımda dikkat edilmesi gereken iki konu bulunmaktadır. Birincisi; Regexp dili ile spesifik girdiler ekleyebilirsiniz veya sadece kelime (Örn. malware) ise Regexp dili olmadan sadece kelimeyi ilgili satıra yazmanız gerekmektedir. Yazacağınız girdi IP ise 10.0.0.10 yazdığınız takdirde ilgili sorguyu yapmayacaktır. Çünkü girmeyi düşündüğünüz kelime (., , $,vs.) gibi simgeler içeriyorsa Regexp mantığıyla komut eknenmelidir.
Aşağıdaki Regexp örneklerini kullanabilirsiniz:
"192\.168\.1\.1" : IP adresi girmeniz gereken durumlarda
"wareztool. " : “Wareztools, wareztoolz, wareztoolx” gibi ifadeler ile eşleşebilir
"Li[cs]ense" : “License veya Lisense” olarak iki farklı ifadeye bakar
"malware|trojan" : “malware veya trojan” kelimelerine eşleşmek için bakar
"cain (download|indir)" : “cain download veya cain indir” ifadelerine bakar
"h3808073@mvrht\.com" : h3808073@mvrht.com e-posta adresine bakar
Yukarıda sıralamış olduğunuz birkaç örnek Regexp mantığıyla yazılan sorgulardır ve bunlarla sınırlı değildir. Eklemek istediğiniz girdiyi yazdıktan sonra listeye eklemek için Add butonuna tıklayarak birden fazla regexp ekleme şansına sahipsiniz.
Lütfen not ediniz: Bu kısım Exclude by regexp satırı “*” (tırnak işaretleri olmadan) olarak seçildiğinde daha kullanışlı olabilir. Exclude by regexp kısmında daha açıklayıcı bir şekilde anlatılacaktır.
Exclude by regexp: Yanındaki kutucuk işaretlendikten sonra alt satıra Add Regexp adında bir satır daha eklenecektir. İlgili kaynaktan Logsign SIEM e gelmesini istemediğiniz olay hareketlerini seçebileceğiniz bölümdür.
Exclude by regexp alanı seçilmedikten sonra Include by regexp kısmına ekleme yapmanız gerekmez. Çünkü varsayılan olarak Logsign SIEM tüm olay hareketini almaktadır. Lakin sisteminizde bir kaynağınız var ve bu kaynaktan gelen olay hareketleri belli ve tümünü biliyorsanız, arada gelen birçok gereksiz olay hareketi var ve bunları almak istemiyorsanız, Exclude by regexp kısmına “*” (tırnak işaretleri olmadan) simgesi koyup hiçbir olay hareketini alma olarak ayarladıktan sonra, Include by regexp satırına sadece almak istediğimiz olay hareketlerini ekleyebilirsiniz.
Include by Key-Value: Logsign SIEM sadece For Input bölümüne özel olarak WMI olay hareketleri ile çalışır. Gelmesini istediğiniz olay hareketlerini key-value değerleri verip seçebilirsiniz.
Exclude by Key-Value: Logsign SIEM sadece For Input bölümüne özel olarak WMI olay hareketleri ile çalışır. Gelmesini istemediğiniz ve gereksiz gördüğünüz olay hareketlerini key-value değerleri verip seçebilirsiniz.
Syslog Redundancy Period: Belirli bir zamanda oluşan aynı olaylardan sadece bir tanesini almamızı sağlar. Tanımlama saniye bazlıdır.
Field Redundancy
Bu bölümde yapacağımız konfigürasyonlar JSON (Parsed) Store alanına etki edecektir. Add butonuna tıkladıktan sonra karşınıza bir takım satırlar çıkacaktır.
Period: Saniye cinsinden değer verebileceğiniz bu kısımda Fields satırında seçeceğiniz alanlar için x saniye içerisinde aynı olay hareketinden birden fazla var ise sadece bir tanesini al diyebileceğiz.
Fields: Aynı olay hareketinden x saniye içerisinde birden fazla var ise JSON üzerinde tutma diyebileceğiniz alanları seçebileceğiniz bölümdür.
Collect Fields: Yanındaki kutucuk işaretlendiği takdirde sadece Collection Fields kısmında seçtiğiniz alanları Index üzerine yazar.
Collection Fields: Bu kısımda seçilen alanlar Index üzerine yazılır.
Save butonuna tıkladığınızda yapmış olduğunuz ayarlar kaydedilir. Aynı işlemi tekrarlayarak birden fazla kural oluşturabilirsiniz.
For Indexing
Bu bölümde Index üzerine yazılıp yazılmamasına karar vereceğiniz olay hareketlerini belirleyebileceksiniz.
Filter Index Fields: Yanındaki kutucuk işaretlendiği takdirde ilgili ayar aktif olup karşınıza aşağıdaki satırlar çıkacaktır.
Index Fields: İlgili kaynaktan sadece seçilen alanları (field) Index üzerine yazdırabileceğiniz kullanışlı bir özelliktir. Seçmediğiniz alanları Index üzerine yazmayarak, gereksiz olarak gördüğünüz olay hareketlerini görmemenizi sağlar.
Select Filter From Fieldset: Kutucuk işaretlendiği takdirde varsayılan olarak ayarlanmış data setlerinden (fieldset) seçmeniz kolaylık sağlayabilir. Dataset olarak düzenlenmiş maddeler (Mail Server, System, WAF, vb.) birçok alanı içerisinde barındırdığı için ayrı ayrı alan seçmenize gerek kalmayacaktır.
Include Logs: Yanındaki kutucuk işaretlendiğinde ek olarak satır eklenecektir. Bu alanda yapabileceğimiz işlemleri görelim.
SystemID List: “*” for all: İlgili kaynaktan Index üzerine yazılmasını istediğimiz olay hareketlerini belirleyebileceğiniz kısımdır. SystemID olarak bahsettiğimiz tanımlamayı örneklendirerek beraber görelim.
Yukarıda görmüş olduğunuz resimde Object Access türündeki bir olay hareketine Search platformunu kullanarak ulaştık. İlgili olay hareketinin üzerine tıklandığı takdirde detaylarını görebileceğiniz bir pencere açılacaktır. Event kolonu altındaki SystemID satırının karşısında bulunan numara SystemID olarak tabir ettiğimiz kısımdır. Bu SystemID kullanılarak Include Logs kısmında Index üzerine yazılmasını istediğiniz olay hareketlerini filtreleyebilirsiniz.
SystemID List kısmına Index üzerine yazılmasını istediğiniz olay hareketini yazdıktan sonra Add butonu ile ekliyoruz. Birden fazla SystemID ekleme imkanına sahipsiniz.
Exclude Logs: İlgili kaynaktan gelmesini istemediğiniz ve gereksiz gördüğünüz olay hareketlerinin Index üzerine yazılmasını engellemek için kullanılabilir. “*” simgesi olarak ekleme yapıldıktan sonra (hiçbir olay hareketini Index üzerine yazma) Include Logs kısmında sadece önemli olarak gördüğünüz olay hareketlerini Index üzerine yazdırabilirsiniz. Örnek vermek gerekirse trafiği düşük seviyede olan bir kaynağınız mevcut ve bu kaynaktan gelen olay hareketlerinin sadece bir kısmı ile ilgileniyorsanız, Exclude Logs tarafında “*” olarak ayarlama yaptıktan sonra Include Logs bölümünde sadece önemli gördüğünüz olay hareketlerini Index üzerine yazdırabilirsiniz.
Include by regexp: Yanındaki kutucuk işaretlendikten sonra alt satıra Add Regexp adında bir satır daha eklenecektir. İlgili kaynaktan Index üzerine yazılmasını istediğiniz olay hareketlerini seçebileceğiniz bölümdür.
Aşağıdaki Regexp örneklerini kullanabilirsiniz:
"192\.168\.1\.1" : IP adresi girmeniz gereken durumlarda
"wareztool. " : “Wareztools, wareztoolz, wareztoolx” gibi ifadeler ile eşleşebilir
"Li[cs]ense" : “License veya Lisense” olarak iki farklı ifadeye bakar
"malware|trojan" : “malware veya trojan” kelimelerine eşleşmek için bakar
"cain (download|indir)" : “cain download veya cain indir” ifadelerine bakar
"h3808073@mvrht\.com" : h3808073@mvrht.com e-posta adresine bakar
Exclude by regexp: Yanındaki kutucuk işaretlendikten sonra alt satıra Add Regexp adında bir satır daha eklenecektir. İlgili kaynaktan Index üzerine yazılmasını istemediğiniz olay hareketlerini seçebileceğiniz bölümdür.
Exclude by regexp alanı seçilmedikten sonra Include by regexp kısmına ekleme yapmanız gerekmez.
Include by Key-Value: İlgili kaynaktan belirleyeceğiniz alanların olay hareketlerini Index üzerine yazar.
Exclude by Key-Value: İlgili kaynaktan Index üzerine yazılmasını istemediğiniz olay hareketlerini alan bazlı olarak seçmenizi sağlar. Aynı şekilde Exclude olarak “*” olarak ayarlandıktan sonra sadece önemli olarak gördüğünüz olay hareketlerini Include tarafında belirleyebilirisiniz.
For JSON (Parsed) Store
Bu kısımda Logsign SIEM arşiv üzerinde ayrıştırılmıs olarak tutulan olay hareketleri için gerçekleştirebileceğimiz konfigürasyonları göreceğiz.
Filter Index Fields: Yanındaki kutucuk işaretlendiği takdirde ilgili ayar aktif olup karşınıza aşağıdaki ek satır çıkacaktır.
Index Fields: İlgili kaynaktan sadece seçilen alanları (field) arşiv üzerinde saklayabileceğiniz bir özelliktir. Seçmediğiniz alanları arşiv üzerinde saklamayarak gereksiz olarak gördüğünüz olay hareketlerini depolamamış olursunuz.
Include Logs: Yanındaki kutucuk işaretlendiğinde ek olarak aşağıdaki satır eklenecektir.
SystemID List: “*” for all: İlgili kaynaktan arşiv üzerinde tutulmasını istediğimiz olay hareketlerini belirleyebileceğiniz kısımdır. SystemID olarak bahsettiğimiz tanımlamayı örneklendirerek beraber görelim.
Yukarıda Login kategorisindeki bir işlemin olay hareketinin Search alanındaki görüntüsünü görmektesiniz. JSON olarak saklanmasını istediğimiz bir olay ise SystemID numarasını SystemID List satırına yazdıktan sonra Add butonuna tıklayarak kaydediyoruz. Bu işlemi yaptığımız takdirde eklediğimiz SystemID numarasıyla ilişkili olay hareketleri JSON alanına yazılmayacaktır. Aynı şekilde birden fazla SystemID ekleyebilirsiniz.
Exclude Logs: Bu satırda ise Include kısmında yaptığımız ayarlar aynı şekilde geçerlidir. “*” simgesi olarak ekledikten sonra Include tarafında sadece yararlı olarak gördüğünüz olay hareketlerini JSON alanında saklayabilirsiniz.
Include by Key-Value: İlgili kaynaktan belirleyeceğiniz alanların olay hareketlerini JSON üzerinde saklar.
Exclude by Key-Value: İlgili kaynaktan JSON üzerinde saklanmasını istemediğiniz olay hareketlerini alan bazlı olarak seçmenizi sağlar. Aynı şekilde Exclude olarak “*” olarak ayarlandıktan sonra sadece önemli olarak gördüğünüz olay hareketlerini Include tarafında belirleyebilirsiniz.
For RAW Store
Bu alanda ise olay hareketlerinin ham hali (işlenmemiş, kaynaktan geldiği gibi) üzerinde gerçekleştirebileceğimiz konfigürasyonları göreceğiz.
Include by regexp: Yanındaki kutucuk işaretlendikten sonra alt satıra Add Regexp adında bir satır daha eklenecektir. İlgili kaynaktan RAW dosyasına yazılmasını istediğiniz olay hareketlerini ayarlayabileceğiniz bölümdür.
Aşağıdaki Regexp örneklerini kullanabilirsiniz:
"192\.168\.1\.1" : IP adresi girmeniz gereken durumlarda
"wareztool. " : “Wareztools, wareztoolz, wareztoolx” gibi ifadeler ile eşleşebilir
"Li[cs]ense" : “License veya Lisense” olarak iki farklı ifadeye bakar
"malware|trojan" : “malware veya trojan” kelimelerine eşleşmek için bakar
"cain (download|indir)" : “cain download veya cain indir” ifadelerine bakar
"h3808073@mvrht\.com" : h3808073@mvrht.com e-posta adresine bakar
Exclude by regexp: Yanındaki kutucuk işaretlendikten sonra alt satıra Add Regexp adında bir satır daha eklenecektir. İlgili kaynaktan RAW dosyasına yazılmasını istemediğiniz olay hareketlerini seçebileceğiniz bölümdür.
Exclude by regexp alanı seçilmedikten sonra Include by regexp kısmına ekleme yapmanız gerekmez.
For Persist
Bu bölümde, kurallarını yapılandırdığınız kaynağa özgü bir log dosyası oluşturabilirsiniz.
Persist group file: Yanındaki kutucuğu işaretlediğiniz takdirde ilgili ayar aktif olacak ve alt kısma ek satır eklenecektir. Bu satırda ise konfigürasyonunu gerçekleştirdiğiniz Data Policy hangi kaynağa ilişkili ise o kaynağa özgü bir tanımlama ismi vererek dosyanın JSON üzerinde o şekilde oluşmasını sağlayabilirsiniz.
Örnek vermek gerekirse Windows sunucunuza ait Data Policy konfigürasyonu gerçekleştirirken Persist Group file text kısmına Windows yazdığınız takdirde JSON alanı üzerinde o isim ile bir dosya oluşturulacak ve olay hareketleri o dosyaya yazılacaktır.