1. Log Yönetimi ve 5651
www.logyonetimi.com
Osman DOĞAN
Log Yönetimi Bilgi Güvenliği Portalı
www.eventid.com.tr
2. Ajanda
Log Nedir Kazanımlar
Log Kaynakları Uyumluluk ve Yasal Sorumluluklar
Log Yönetiminin Amacı ve Önemi
Log Yönetimi Süreçleri WikiLeaks Belgeleri
3. Log Nedir ?
• Birçok uygulama veya sunucular yapmış oldukları işlemleri, sistem
sorumlularını bilgilendirme maksatlı farklı formatlarda kaydeder, bu
kaydedilmiş veriye Log denir.
4. Log Kaynakları Nelerdir ?
• Güvenlik Duvarı
• Atak AlgılamaÖnleme Sistemleri
• Network Cihazları
• Sunucu, PC ve Laptop
• İş Uygulamaları (SharePoint, IIS, Exchange)
• Veri Tabanı (MsSQL, MySQL )
• Antivirus
• Uzak Erişim Uygulamaları (VPN)
• Taşınabilir Aygıtlar (Usb, CD)
• Proxy uygulamaları
5. Amaç ve Önemi
• Sunucu, istemci, uygulama ve firewall gibi log üreten cihazlardan ilgili
logları toplayarak anlamlı ve raporlanabilir bir hale getirmektir.
• Hırsızlık olayında
– Parmak izi
• Uçak düştüğünde
– Karakutu
• Size ait bir ip adresi üzerinden cumhurbaşkanı hakkında yapılan hakaret
içerikli bir yorumu kimin yaptığını bulmak için
– Loglar !
12. Kazanımlar
• Güvenlik ihlallerinin anında tespiti ve delillerin toplanması
• Cobit, 5651, PCI v.b standartlar ve yasalara uyumluluk
• Başarılı / Başarısız erişimlerin tespiti
• Yetkili / Yetkisiz erişimlerin tespiti
• File Server üzerine yer alan kritik dosyalara yapılan erişimin ve aktivitenin
(silme, oluşturma, sahipliğinin alınması) v.b. takibi
• ESX v.b. Sanallaştırma uygulamalarının logları alınarak kimin, hangi sunucuyu
oluşturduğu, sildiği veya shutdown ettiğine ait bilgileri
13. Kazanımlar
• Ip , hostname gibi değişikliklerin takibi
• İstemci tarafında çalışan trojan v.b. Uygulamaların tespit edilmesi
• Günün herhangi bir anında hangi kullanıcı hangi bilgisayarlarda online
olduğunun tespiti
• Logların kaybolma ve silinme riskinin ortadan kalkması
• Sistem yöneticilerinin takibi
14. Kazanımlar
• Hangi bilgisayara , kim, hangi porttan erişmeye çalıştı
• Kimler port scan yaptı
• Kimler ne zaman, hangi bilgisayar ssl vpn ile erişim sağladı.
• Hangi kullanıcılar P2P (Emule, Kazaa v.s) uygulamaları kullanıyor
• Mail sunucu logları alınarak kim, kime, hangi konuda mail attı
15. Kazanımlar
• IIS logları alınarak Kurumsal web sitesine yapılan yetkili/yetkisiz erişimler.
• KGS (Kartlı Geçiş Sistemi) logları alınarak, işe gelmediği halde oturumu
açılanların tespit edilmesi
• Call Center logları alınarak kim, ne zaman, hangi şehirden aramış v.b.
Raporlar çıkarılabilir. (Banka, GSM firmaları)
• Tmg, Websense v.b. Loglar alınarak hangi kullanıcı, hangi web sitesine,
hangi kategoride erişim sağladı (facebook, hepsiburada.com) bu raporların
birim amirlerine düzenli gönderimi sağlanabilir.
16. Kazanımlar
• Uzak erişim program logları alınarak kim, kimin bilgisayarına erişim yaptı
(Radmin, CA Remote v.b.)
• Firewall logları alınarak hangi ip adreslerinden, ne tür atakların geldiği
bilgisi
• Antivirüs logları alınarak sunucu ve istemcilerde hangi virüslerin olduğu,
temizlenen veya karantinaya alınanlar virüs bilgileri
• Sql, oracle v.b. Veritabanı logları alınarak kimin, hangi tabloda ne değişiklik
yaptığı veya yetkisiz erişim denemeleri
17. Kazanımlar
• Sunucu security logları alınarak hangi sunucuya, kim, ne zaman, nasıl (RDP,
C$) bağlanmış
• Kritik dosya veya ortak dosya sunucu erişimleri takip edilerek kim, hangi
dosyada, ne değişiklik yapmış
• Mail security logları alınarak spam gönderen domain ve spam gelen
kullanıcıların belirlenmesi
• Router, switch v.b. Network cihazlarının syslog, snmp v.b. Yöntemlerle
logları alınarak yetkili / yetkisiz erişimler tespit edilir.
18. Kazanımlar
• Dc ve local kullanıcı hesapları takip edilerek grup üyeliklerindeki
değişkliklerin tespiti (domain admin grubuna kullanıcı eklenmesi)
• Dhcp logları alınarak hangi mac adresine hangi ip adresi atandı veya
network ortamında sizden habersiz ip dağıtan dhcp sunucu tespiti
• E-ticaret, İnternet Sube v.b. Kullanıcı adı şifre doğrulaması yapılan
uygulama logları alınarak, yapılan şifre ataklarının tespit edilmesi ( 5 dk
içerisinde 100 den fazla şifre denemesi)
19. Uyumluluk ve Yasal Sorumluluklar
• SOX, COBIT, ISO27001 ve diğerleri
– Kullanıcı oturum açma işlemleri
– Nesne erişim olayları
– Kullanıcı ve grup oluşturma işlemleri
– Yetkili / Yetkisiz erişimler
• 5651 sayılı kanun
– DHCP logları
– Web aktivite logları
20. Teşekkürler
Daha fazla bilgi için…
osman.dogan@logyonetimi.com