SOC Toolkit v4.0 : Log Mechanism & Log Collection
SOC birimi bulunduğu konum itibariyle bir kurumdaki en çok strese mahruz kalan IT Ekiplerinden biridir. Bu gerilimin SOC Analistin’de oluşturacağı SOC altyapısı teknik nedenleri;
- Log Management sistemleri üzerinde yeterli görünürlüğe sahip olmama
- Güvenlik araçları üzerinde oluşan alarmlerin analistin görme yetisini yok etmesi ( FP’ye boğulma)
Burda SIEM ürünlerini ele almıyacağım. Zira “ SOC != SIEM ” görüşünü benimsemiş biri olarak doğru şekilde hareket edilirse Open-Source bir Log Management sistemiyle ve doğru yetişmiş personel desteğiyle oldukça güçlü bir SOC ekibi oluşturulabilir.
1) Log & Log Collection
Log aslında SOC ekibinin iş süreçlerinin neredeyse tamamını inşa eden, kontrolü kaybedildiğinde ise kontrolsüz ve yönetimi sorun haline gelen bir veri birimidir.
Logların hangi amaçlarla alınacağını, işletim sistemi ile cihazların logların da hangi field’ların önemli olduğunu ve logların yapılarının anlaşılması oldukça önemlidir. Bu sistemde gidildiğinde hem logları ayrıştırmayı hemde logları analiz etmeye öğrenebilir ve gelişebiliriz.
a) Linux Logging Mechanism
Linux’de log’lar aslında anlaşılması daha kolay bir şekilde ve syslog formatında yazılır. Syslog 514 UDP üzerinden çalışan ve log formatının belilenmesi içinde log’un başında yazılı olan bir yapıya sahiptir. Logların sistem içerisinde toplanmasında görev alır. Syslog log yapısı;
Yaygın Linux log dosyaları adları ve kullanımı;
/var/log/messages : General message and system related stuff
/var/log/auth.log : Authenication logs
/var/log/kern.log : Kernel logs
/var/log/cron.log : Crond logs (cron job)
/var/log/maillog : Mail server logs
/var/log/qmail/ : Qmail log directory (more files inside this directory)
/var/log/httpd/ : Apache access and error logs directory
/var/log/lighttpd/ : Lighttpd access and error logs directory
/var/log/boot.log : System boot log
/var/log/mysqld.log : MySQL database server log file
/var/log/secure or /var/log/auth.log : Authentication log
/var/log/utmp or /var/log/wtmp : Login records file
/var/log/yum.log : Yum command log file.
Syslog logları kaynak ve severity bazında ayırıp plaintext olarak metadata ve yapılandırmaya bağlı ayrıştırarak /var/log altında depolar. Logların başıkları time, host, ve application şeklindedir. Windows’da kullanılan EventID gibi bir yapısı yoktur. Bu noktalarda log’un ayrıştırılma adımını zorlaştırır.
Syslog Facility ve severity rehberi;
b) Windows Logging Mechanism
Linux’e göre oldukça karmaşıktır. Loglar log kanallarına yazılırlar ve text editörler ile okunamazlar. Nedeni burda her bir kanalın binary encoded şekilde XML biçimli olan .evtx formatındaki dosyalarda kayıt almasıdır. Bu yüzden de default olarak Windows Event Viewer ile incelenebilirler. Farklı özel araçlarla da incelemek mümkündür.
Loglar toplanarak Windows Event Log Service’ine gelir burada Log mesajı içerisindeki datayı analiz ederek C:\Windows\System32\winevt\Logs dizininde bulunan log kanallarına ayrıştırır; Application, Security, Setup, System vb. Burada toplanacak logların oluşmasında ana olayı belirleyen aktör Windows audit policies’dir. Nerelerin loglanıp nelerin loglanmayacağına bu politikalar karar verir. Ayrıca bazı özel eklentiler ile bu loglar zenginleştirilip politikalar genişletilebilir. Örneğin Sysmon sayesinde logların zenginleştirilip ayrıca merkezileştirilerek SIEM’e taşınmasınıda kolaylaştırır.
Sysmon’nun yetenekleri;
- Logs process creation with full command line for both current and parent processes.
- Records the hash of process image files using SHA1 (the default), MD5, SHA256 or IMPHASH.
- Multiple hashes can be used at the same time.
- Includes a process GUID in process create events to allow for correlation of events even when Windows reuses process IDs.
- Includes a session GUID in each event to allow correlation of events on same logon session.
- Logs loading of drivers or DLLs with their signatures and hashes.
- Logs opens for raw read access of disks and volumes.
- Optionally logs network connections, including each connection’s source process, IP addresses, port numbers, hostnames and port names.
- Detects changes in file creation time to understand when a file was really created. Modification of file create timestamps is a technique commonly used by malware to cover its tracks.
- Automatically reload configuration if changed in the registry.
- Rule filtering to include or exclude certain events dynamically.
- Generates events from early in the boot process to capture activity made by even sophisticated kernel-mode malware.
— https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Loglarda genel olarak belirli gruplandırmalar vardır. Bunlardan ilki Level’dir.
Level; logları severity’sine göre gruplamak için kullanılır. Bu severity’ler;
win:Critical
win:Error
win:Warning
win:Informational
win:Verbose
Ayrıca ETW tracing session sayesinde belirli bir severity üstünde logların oluşması için kapsam daraltması yapılabilir. ( Belki kuruluşunuzda Endpoint loglarının yer sorunu yaratmasını ETW tracing session ve WEF ile çözebilirsiniz). Aşağıdaki Microsoft.com’ın örneğinde ise bir seviyenin nasıl tanımlanacağını göz atabilirsiniz;
“Seviyenin adını ve değer özelliklerini belirtmelisiniz. Value özniteliğinin değeri 16 ile 255 arasında olmalıdır. Sembol ve mesaj öznitelikleri isteğe bağlıdır.”
Provider(Source); Hangi app’in log’u oluşturduğunu bize söyler. Burda name, guid, resourceFileName, messageFileName ve symbol özelliklerini belirtmelisiniz.
EventID: birbirinden farklı tanımlanmış ID’lerden oluşan bu yapı önemli alanlardan biridir. Her bir EventID ile birbirinden farklı olaylar tanımlanır ve standartlaştırılır. Bu tıpkı bir kılavuz gibi olayları analiz etmenizi sağlayacaktır.
EventID’ler ve Açıklamaları;
