Statik ve dinamik olay korelasyonu

Olay korelasyonu nedir?

Büyüklüğü ne olursa olsun bir kuruluşun ağında çok sayıda şüpheli etkinlik bulunabilir ve bu etkinliklerin izlenmesi ağınızın olası tehditlere karşı korunmasına yardımcı olabilir. Örneğin, bir kullanıcı hesabında başarılı bir oturum açma işlemi öncesinde 100 kez başarısız oturum açma girişiminde bulunulması, güvenlik yöneticilerinin bu durumu şüpheli etkinlik olarak işaretlemesine neden olur.

Bazı durumlarda, şüpheli bir etkinliğin tespit edilmesi için kesin eşiği tanımlamak zor olur. Yukarıdaki durumda, saldırgan 90. denemesinde parolayı çözerse ve siz kuralı 100 başarısız oturum açma girişimi ve ardından başarılı bir oturum açma girişimi sonrasında uyarı verecek biçimde ayarladıysanız, bu durum tespit edilmez. Bu sorunu çözmek için, olası tehditleri tespit etmek için daha verimli ve güvenilir bir yol kullanmanız gerekir.

Olay korelasyonu birçok olayı analiz eder, analiz edilen olaylara iş bağlamı ekler ve mantıksal çözümler sunmadan önce bunlar arasında sıralı bir biçimde bağlantılar kurar. Korelasyon, etkinlik dizilerini bir dizi kurala göre karşılaştırır. Bu kurallar ile güvenlik bilgileri ve olay yönetimi (SIEM) çözümünüz hangi şüpheli etkinliğin potansiyel bir güvenlik tehdidi olarak ele alınması gerektiği konusunda karar verebilir.

Örneğin, belirli bir sırayla gerçekleştirilmiş olan X ve Y olaylarını aramak için bir korelasyon kuralı tanımlayabilirsiniz. Burada X, bir kullanıcı hesabının belirli bir IP adresinden gerçekleştirdiği başarısız oturum açma girişimi sayısı ve Y de aynı IP adresinden ağdaki herhangi bir makinede başarıyla gerçekleştirilmiş oturum açma işlemidir. Bu kuralı uyguladığınız takdirde, ağda bu olaylar dizi halinde her gerçekleştiğinde uyarı alırsınız. Bu olaylardaki önceden tanımlanmış faktörler, olası tehditleri normal olaylardan ayırt etmenize yardımcı olur.

İşletmenizin ihtiyaçlarına uygun biçimde özel kurallar oluşturabilir veya SIEM çözümünüz tarafından önceden tanımlanmış kuralları kullanabilirsiniz. Olayları doğru bir şekilde tespit etmenin anahtarı, güvenlik çözümünüzün korelasyon motorunu işletmenizin niteliğine uygun biçimde yapılandırmaktır.

Geçmişin ve güncel durumun güvenli hale getirilmesi

Statik ve dinamik olmak üzere iki tür korelasyon bulunur.

Statik korelasyon

İşletmelerin yalnızca önleyici bir güvenlik stratejisine güvenerek hareket etmesi imkansızdır. İhlallerin gerçekleşmesi kaçınılmazdır ve bir ihlal durumu yaşandığında, ileride benzer olayların gerçekleşmesini önlemek ve bunların etkisini azaltmak için nasıl ve neden sorularının yanıtlanması esastır.

Statik korelasyon, bir olayın ardından ihlalin etkinliğini analiz etmek amacıyla geçmiş günlükleri inceleme sürecidir. Statik korelasyon yoluyla, günlük verilerini analiz edebilir ve geçmiş olaylardaki karmaşık düzenleri belirleyebilirsiniz. Bu, ağınızın güvenliğini tehlikeye atmış olabilecek tehditleri keşfetmenize yardımcı olabilir ya da devam eden bir saldırı hakkında size bilgi verebilir.

Dinamik korelasyon

Dinamik korelasyon, gizlilik olaylarını gerçek zamanlı olarak tespit eder. Olaylar gerçekleştirildikleri esnada korelasyon kurallarına tabi tutulduğundan, bir SIEM çözümü gelen günlük verilerini anında analiz ederek saldırı düzenlerini arayabilir. Dinamik korelasyon ile kuruluşlarda algılama ve yanıtlama daha hızlı bir biçimde gerçekleştirilebilir. Bu, ağınızın her zaman koruma altında kalmasına yardımcı olur.

Statik ve dinamik korelasyon ile kuruluş ağınızın güvenlik saldırılarına karşı zamanında savunma yapmasını sağlayabilirsiniz.