Mais conteúdo relacionado
Semelhante a Threat intelligence ve siem (20)
Mais de Ertugrul Akbas (20)
Threat intelligence ve siem
- 1. Threat Intelligence ve SIEM
Tehditzekası(ThreatIntelligence) spesifiktehditleri ve riskleri öngörenve izleyenbilgininproaktif,
bütüncül ve sürekli birbiçimdederlenmesi,incelenmesive aktarılmasınıifade eder
Tehditzekası(ThreatIntelligence) nınilkadımıdaha fazlazekave doğru güvenlikuygulaması
edinmenize yardımcıolmakiçinmevcutSIEM[1] çözümlerinin analitik yeteneklerine dinamik
İnternettehdidiverileri eklemekle başlar.
En son çıkan bütünphishing, Proxy, diğerkötüniyetli tehditleritespitetmek, Bot, phishing, DOS,
scanners, spamkaynaklarıve Windowsexploitlerini tespitetmekiçinaşağıdaki gibi ve benzeri
kaynaklardancanlıolarakverilerderlenir.
MalwareBlacklist http://www.malwareblacklist.com/showMDL.php
MalwareDomain
List http://www.malwaredomainlist.com/mdl.php
Malcode http://malc0de.com/database/
HostFile http://hosts-file.net/?s=Browse&f=EMD
Dshield http://www.dshield.org/ipsascii.html
ZeusTracker https://zeustracker.abuse.ch/monitor.php?browse=binaries
PhishTank http://www.phishtank.com/
CyberCrime Tracker http://cybercrime-tracker.net/
MTC SRI http://mtc.sri.com/live_data/attackers/
Malware Group http://www.malwaregroup.com/
Cleam MX http://support.clean-mx.de/clean-mx/viruses
Project Honeypot https://www.projecthoneypot.org/list_of_ips.php
Iseclab http://exposure.iseclab.org/about
Palevo Tracker https://palevotracker.abuse.ch/
Dynamic DNS http://www.malwaredomains.com/?cat=140
Joe Win Domain
Blacklist http://www.joewein.de/sw/blacklist.htm
Sucuri Labs http://labs.sucuri.net/
OpenBL http://www.openbl.org/lists/base.txt
Botscout http://www.botscout.com/
VX vault http://vxvault.siri-urz.net/
URLQuery http://urlquery.net/index.php
JSUnpack http://jsunpack.jeek.org/dec/go?list=1
Uribl http://rss.uribl.com/nic/NAUNET_REG_RIPN.xml
Atlas Arbor
Networks http://atlas.arbor.net/summary/fastflux?out=xml
Alienvault https://reputation.alienvault.com/reputation.data
DYSDYN
http://security-research.dyndns.org/pub/malware-feeds/ponmocup-
botnet-domains.txt
- 2. Yukarıdaki global tehditkaynaklarınalokal saldırıve tehditlerle ilgili de SiberİstihbaratServislerinin
eklenmesi diğerönemli biravantajdır.Türkiye için USOM(www.usom.gov.tr) olmaküzere butürveri
kaynaklarımevcuttur.
Bu verilertoplandıktansonraonbinlerce veri sistemüzerindeki,ağdonanımıve uygulamalar
tarafındanoluşturulanherkayıt(log),heran bulistelerle karşılaştırılırve uyanvarsayöneticiler
uyarılır.
Bu entegrasyonunbaşarılıolabilmesi içinkullanılanLogYönetimi veyaSIEMçözümününbunauygun
olmasıgerekir.Saniyede1000 adet kayıt(1000 EPS) derlenen10000 binlerce tehditverisiile her
saniye karşılaştırılabilmelidir[2,3].Özelliklebuverilerinkorelasyonunoktasındafarklıfarkıyöntemler
ve avantaj ve dezavantajlarıvardır. [1]
Internettehditlerineilişkinsondakikaverilerle gerçekbirSIEMürününün[1] tehditanalizi
yeteneklerininzenginleştirilmesi,kuruluşlarınyeni tehditleri dahakısasürede görmesine,daha
kapsamlıöngörülerve bağlamedinmesine,güvenlikolaylarını önceliklendirmesine,saldırıları
önlemesine yadaenaza indirmesine yardımcıolur.
Log Yönetimi ve SIEMsistemlerininönemli birözelliği de anındaaksiyonalabilmeleridir.
Örnek olaraktehditiçerenkaynaklardanbirtrafikoluşmasıdurumundabunufirewalldan
engellemeyi otomatikyapabilmektir.[4]
Kurumsal güvenlikzekasıoluşturmakiçinenönemliadımlardanbiri olantehditzekasıiçinile aldırıları
tespitedip güvenlikzekasıçözümüoluşturulur. Geleceğeyönelikbiryol haritasıçıkarmak için
kurumlarcanlı veri,çokmerkezli veri kaynağıiçeren stratejik güvenlikzekasıçözümlerini tercih
etmelidir.
Referanslar:
1. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-siem-
rn-ile-gvenlik-analiz-senaryolar
2. http://www.slideshare.net/anetertugrul/log-ynetimi-tecrbeleri-geniletilmi-srm
3. http://www.slideshare.net/anetertugrul/log-ynetimi-sisteminizin-log-karp-karmadn-test-
etmek-ister-misiniz
4. http://www.slideshare.net/anetertugrul/surelog-international-edition