Özel SIEM Korelasyon Kuralları

Merhaba

SIEM kurmak saldırıları durdurmaz; bunu sağlayan şey etkili detection rule’larıdır. Milyonlarca log toplamak kolaydır. Asıl değer, bu logları güvenlik açısından anlamlı ve aksiyon alınabilir bilgiye dönüştürmekte yatar. İyi tasarlanmış detection logic olmadan bir SIEM, merkezi bir log repository’sinden öteye geçemez.

Bu doküman iki kısımdan oluşur. İlk kısımda SIEM ve SOC kavramlarının temelleri; ikinci kısımda ise bir müşteriyi onboard ederken hızla değer üretmeye başlamak için kullanılabilecek özel correlation rule’lar yer alır. Kurallar dört ana kategoride toplanmıştır: Authentication & Access Control, Privilege Escalation, Network Traffic & Reconnaissance, Malware & Exploit Detection.

Not: Aşağıdaki AQL query’leri kavramsal örneklerdir. TIME_WINDOW, COUNT_IF, GEO_DISTANCE gibi bazı ifadeler standart IBM QRadar AQL syntax’ında birebir yer almaz; production ortamında kullanılmadan önce rule engine’deki time window ayarlarına ve gerçek şema field adlarına göre uyarlanmalıdır.

SIEM ve SOC Temelleri

Bir SOC (Security Operations Center) kurulumu için gereken temel tool SIEM’dir. SIEM, tüm log source’lardan logları alarak bunları anlaşılır ve tekil bir formata sokan bir yazılımdır. Firewall veya server üzerindeki loglar bir Cyber Security Engineer tarafından SIEM’e aktarılır; bu aktarımın dayandığı SIEM mimarisi ise bir Cyber Security Architect tarafından tasarlanır.

SIEM Özellikleri

  • Real-Time Monitoring
  • Raporlama (Reporting)
  • Görselleştirme (Dashboard)
  • Filtreleme (Filtering)

SOC Monitoring Modeli

SOC monitoring modelinde sistem üzerindeki bütün loglar merkezi olarak SIEM’e aktarılır. Böylece dağınık kaynaklardaki olaylar tek bir noktadan izlenebilir, ilişkilendirilebilir ve analiz edilebilir hale gelir.

SIEM Terminolojisi

  • Parser: Farklı kaynaklardan alınan, aynı içeriğe sahip logların görünümü aynı olmayabilir. Örneğin ‘time’ parametresi bir Firewall cihazı ile bir Windows cihazı tarafından farklı biçimlerde loglanabilir. SIEM, parser özelliği sayesinde bu logları aynı formatta tutar.
  • Correlation: İlişkilendirme demektir. Farklı log source’lardan gelen logların birbiriyle ilişkilendirilmesidir; tek başına anlamsız görünen olaylar, korelasyon ile bir saldırı zincirine işaret edebilir.
  • Classification: Logların anlamlı kategorilere ayrılmasıdır. Örneğin bir authentication olayının ‘success’ veya ‘failed’ olarak sınıflandırılması.
  • Normalization: Bazen log içinde anlamsız veya ham veriye rastlanır. Bu veri tanımlanarak (normalize edilerek), bundan sonra gelen benzer logların belirlenen standart formatta işlenmesi sağlanır.
  • EPS (Event Per Second): Saniyede SIEM’e gelen log (event) miktarıdır. IBM QRadar gibi bazı ürünler lisans ücretini büyük ölçüde EPS değerine göre belirler; bu yüzden kapasite planlaması kritiktir.
  • Aggregation: Benzer olayların toplanarak (gruplanarak) tek bir kayıt altında özetlenmesi işlemidir. Alarm gürültüsünü azaltır ve analizi kolaylaştırır.

SIEM Nasıl Çalışır?

  1. Çeşitli kaynaklardan logların toplanması (collection)
  2. Logların normalize edilmesi ve aggregation
  3. Tehditleri tespit etmek için logların analiz edilmesi (correlation & analysis)
  4. Alarmların değerlendirilmesi ve müdahale (triage & response)

Open Source SIEM Tools

  • IBM QRadar Community Edition
  • OSSIM (AlienVault OSSIM)
  • OSSEC
  • Elastic Stack (ELK — Elasticsearch, Logstash, Kibana) — Avrupa’da birçok şirket tarafından kullanılır.
  • Splunk Free

Licensed SIEM Tools

  • IBM QRadar
  • Splunk Enterprise Security
  • Micro Focus ArcSight
  • Sumo Logic
  • AlienVault USM (AT&T Cybersecurity)
  • LogRhythm
  • Trellix (McAfee) Enterprise Security Manager
  • SolarWinds Security Event Manager

Authentication & Access Control

Kural Adı

Açıklama

İlişkili Log Source(s)

1. Multiple Failed Login Attempts Aynı user veya IP’den gelen çoklu failed login denemelerini tespit eder. Firewall, IDS, VPN Logs, Authentication Server Logs (ör. RADIUS, Active Directory)
2. Successful Login After Multiple Failures Bir dizi failed login denemesinin ardından gerçekleşen successful login’i işaretler. Firewall, IDS, VPN Logs, Authentication Server Logs (ör. RADIUS, Active Directory)
3. Impossible Travel Kısa bir zaman diliminde birbirinden coğrafi olarak uzak konumlardan yapılan login’lerde uyarı verir. VPN Logs, IDS/IPS, User Workstation Logs, Cloud Access Device Logs
4. Login from New Device or Location Bir user’ın yeni bir device’tan veya olağandışı bir location’dan login olmasını tespit eder. Authentication Server Logs (ör. Active Directory), EDR, VPN Logs
5. High Volume of Logins in a Short Period Tek bir account veya IP’den gelen olağandışı yüksek sayıda login denemesini işaretler. Firewall, IDS, Authentication Server Logs (ör. RADIUS, Active Directory)
6. Account Lockout Events User account’larının tekrar tekrar lockout olması durumunda tetiklenir. Authentication Server Logs (ör. Active Directory, RADIUS), VPN Logs
7. Dormant Account Login Uzun süredir inactive olan account’lardan yapılan login’leri tespit eder. Authentication Server Logs (ör. Active Directory, RADIUS), VPN Logs
8. Shared Account Usage Bir shared account’a birden fazla location’dan eş zamanlı yapılan login’leri işaretler. Firewall, IDS, VPN Logs, Authentication Server Logs (ör. Active Directory)
9. Multiple Password Changes Aynı account için kısa bir zaman diliminde yapılan birden fazla password change’i tespit eder. Authentication Server Logs (ör. Active Directory), Identity Management System Logs
10. Unusual Authentication Protocol Usage Authentication için uncommon protokollerin kullanılması (ör. NTLM over HTTP) durumunda tetiklenir. Authentication Server Logs (ör. Active Directory, RADIUS), Proxy Server Logs

1. Multiple Failed Login Attempts

Açıklama: Aynı user veya IP’den gelen çoklu failed login denemelerini tespit eder.

AQL Query:

SELECT "Event Name", "Source IP", "Username"
FROM events
WHERE "Event Name" = 'Authentication Failure'
GROUP BY "Source IP", "Username"
HAVING COUNT(*) >= 5 AND TIME_WINDOW <= 10 MINUTES

2. Successful Login After Multiple Failures

Açıklama: Bir dizi failed login denemesinin ardından gerçekleşen successful login’i işaretler.

AQL Query:

SELECT "Event Name", "Source IP", "Username"
FROM events
WHERE "Event Name" IN ('Authentication Failure', 'Successful Login')
GROUP BY "Source IP", "Username"
HAVING COUNT_IF("Event Name" = 'Authentication Failure') >= 5
AND COUNT_IF("Event Name" = 'Successful Login') >= 1
AND TIME_WINDOW <= 1 MINUTE

3. Impossible Travel

Açıklama: Kısa bir zaman diliminde birbirinden coğrafi olarak uzak konumlardan yapılan login’lerde uyarı verir.

AQL Query:

SELECT "Username", "Source Geolocation", "Event Time"
FROM events
WHERE "Event Name" = 'Successful Login'
GROUP BY "Username"
HAVING GEO_DISTANCE(Source_Geolocation_A, Source_Geolocation_B) /
TIME_DIFFERENCE(Event_Time_A, Event_Time_B) > 1000

4. Login from New Device or Location

Açıklama: Bir user’ın yeni bir device’tan veya olağandışı bir location’dan login olmasını tespit eder.

AQL Query:

SELECT "Username", "Source IP", "User Agent"
FROM events
WHERE "Event Name" = 'Successful Login'
GROUP BY "Username", "Source IP", "User Agent"
HAVING COUNT_IF("Source IP") = 1 OR COUNT_IF("User Agent") = 1

5. High Volume of Logins in a Short Period

Açıklama: Tek bir account veya IP’den gelen olağandışı yüksek sayıda login denemesini işaretler.

AQL Query:

SELECT "Username", "Source IP", COUNT(*)
FROM events
WHERE "Event Name" = 'Login Attempt'
GROUP BY "Username", "Source IP"
HAVING COUNT(*) > 20 AND TIME_WINDOW <= 10 MINUTES

6. Account Lockout Events

Açıklama: User account’larının tekrar tekrar lockout olması durumunda tetiklenir.

AQL Query:

SELECT "Event Name", "Username"
FROM events
WHERE "Event Name" = 'Account Lockout'
GROUP BY "Username"
HAVING COUNT(*) >= 3 AND TIME_WINDOW <= 30 MINUTES

7. Dormant Account Login

Açıklama: Uzun süredir inactive olan account’lardan yapılan login’leri tespit eder.

AQL Query:

cd "SELECT "Username", "Last Login Time"
FROM events
WHERE "Event Name" = 'Successful Login'
AND DAYS_SINCE("Last Login Time") >= 90
GROUP BY "Username"

8. Shared Account Usage

Açıklama: Bir shared account’a birden fazla location’dan eş zamanlı yapılan login’leri işaretler.

AQL Query:

SELECT "Username", "Source IP"
FROM events
WHERE "Event Name" = 'Successful Login'
GROUP BY "Username"
HAVING COUNT(DISTINCT "Source IP") > 1 AND TIME_WINDOW <= 5 MINUTES

9. Multiple Password Changes

Açıklama: Aynı account için kısa bir zaman diliminde yapılan birden fazla password change’i tespit eder.

AQL Query:

SELECT "Event Name", "Username"
FROM events
WHERE "Event Name" = 'Password Change'
GROUP BY "Username"
HAVING COUNT(*) >= 3 AND TIME_WINDOW <= 10 MINUTES

10. Unusual Authentication Protocol Usage

Açıklama: Authentication için uncommon protokollerin kullanılması (ör. NTLM over HTTP) durumunda tetiklenir.

AQL Query:

SELECT "Event Name", "Protocol", "Source IP", "Destination IP"
FROM events
WHERE "Event Name" = 'Authentication Attempt'
AND "Protocol" = 'NTLM over HTTP'
GROUP BY "Source IP", "Destination IP"

Privilege Escalation

Kural Adı

Açıklama

İlişkili Log Source(s)

11. Privilege Escalation Detected User’ların Domain Admins gibi privileged group’lara eklenmesini tespit eder. Active Directory Logs, Identity Management System Logs, Windows Event Logs
12. User Account Changes User account’larının modifiye edilmesini (ör. role change, group addition) işaretler. Active Directory Logs, Identity Management System Logs, Windows Event Logs
13. Service Account Misuse Service account’lara unauthorized user’lar tarafından yapılan login veya değişiklikleri tespit eder. EDR, Authentication Logs, Windows Event Logs, Identity Management System Logs
14. Multiple Failed Admin Logins Privilege escalation girişimlerine işaret eden failed admin login’lerinde tetiklenir. Authentication Logs, Firewall, IDS/IPS, VPN Logs, Windows Event Logs
15. Group Policy Modifications Group Policy Objects (GPO) üzerinde yapılan değişiklikleri tespit eder. Windows Event Logs, Group Policy Logs, Active Directory Logs
16. Privilege Escalation via Sudo Non-privileged user’ların prior permission olmadan sudo command çalıştırmasında uyarı verir. Linux/Unix System Logs, EDR, Syslog, Authentication Logs
17. Creation of a New Privileged Account Admin privilege’lara sahip yeni account’ların oluşturulmasını işaretler. Active Directory Logs, Identity Management System Logs, Windows Event Logs
18. Critical Role Reassignment Sensitive role’lerin (ör. security manager) reassign edilmesini tespit eder. Active Directory Logs, Identity Management System Logs, Windows Event Logs
19. Password Reset for Privileged Accounts Malicious intent tespiti için admin account’ların password reset’lerini izler. Active Directory Logs, Identity Management System Logs, Windows Event Logs
20. Access to Sensitive Applications by Non-Admins Non-admin’lerin SIEM, backup tool veya HR system gibi application’lara erişmesinde uyarı verir. Application Logs, Authentication Logs, EDR

11. Privilege Escalation Detected

Açıklama: User’ların Domain Admins gibi privileged group’lara eklenmesini tespit eder.

AQL Query:

SELECT "Event Name", "Target Group", "Username"
FROM events
WHERE "Event Name" = 'Group Membership Change'
AND "Target Group" IN ('Domain Admins', 'Enterprise Admins')
GROUP BY "Username"

12. User Account Changes

Açıklama: User account’larının modifiye edilmesini (ör. role change, group addition) işaretler.

AQL Query:

SELECT "Event Name", "Username", "Modified Attribute"
FROM events
WHERE "Event Name" = 'User Account Modification'
GROUP BY "Username", "Modified Attribute"

13. Service Account Misuse

Açıklama: Service account’lara unauthorized user’lar tarafından yapılan login veya değişiklikleri tespit eder.

AQL Query:

SELECT "Event Name", "Username", "Source IP"
FROM events
WHERE "Event Name" IN ('Successful Login', 'User Account Modification')
AND "Username" LIKE 'svc%'
AND "Source IP" NOT IN ('Authorised Management IPs')
GROUP BY "Username", "Source IP"

14. Multiple Failed Admin Logins

Açıklama: Privilege escalation girişimlerine işaret eden failed admin login’lerinde tetiklenir.

AQL Query:

SELECT "Event Name", "Username", "Source IP"
FROM events
WHERE "Event Name" = 'Authentication Failure'
AND "Username" IN ('Administrator', 'Admin', 'Root')
GROUP BY "Username", "Source IP"
HAVING COUNT(*) >= 5 AND TIME_WINDOW <= 10 MINUTES

15. Group Policy Modifications

Açıklama: Group Policy Objects (GPO) üzerinde yapılan değişiklikleri tespit eder.

AQL Query:

SELECT "Event Name", "Modified Object", "Username"
FROM events
WHERE "Event Name" = 'GPO Change'
GROUP BY "Modified Object", "Username"

16. Privilege Escalation via Sudo

Açıklama: Non-privileged user’ların prior permission olmadan sudo command çalıştırmasında uyarı verir.

AQL Query:

SELECT "Event Name", "Username", "Command"
FROM events
WHERE "Event Name" = 'Sudo Command Execution'
AND "Username" NOT IN ('Authorised Sudo Users')
GROUP BY "Username", "Command"

17. Creation of a New Privileged Account

Açıklama: Admin privilege’lara sahip yeni account’ların oluşturulmasını işaretler.

AQL Query:

SELECT "Event Name", "Username", "Target Account"
FROM events
WHERE "Event Name" = 'Account Creation'
AND "Target Account" IN ('Admin', 'Domain Admin', 'Enterprise Admin')
GROUP BY "Target Account", "Username"

18. Critical Role Reassignment

Açıklama: Sensitive role’lerin (ör. security manager) reassign edilmesini tespit eder.

AQL Query:

SELECT "Event Name", "Target Role", "Username"
FROM events
WHERE "Event Name" = 'Role Assignment Change'
AND "Target Role" IN ('Security Manager', 'IT Admin', 'SIEM Manager')
GROUP BY "Target Role", "Username"

19. Password Reset for Privileged Accounts

Açıklama: Malicious intent tespiti için admin account’ların password reset’lerini izler.

AQL Query:

SELECT "Event Name", "Username", "Modified By"
FROM events
WHERE "Event Name" = 'Password Reset'
AND "Username" IN ('Admin', 'Domain Admin', 'Enterprise Admin')
GROUP BY "Username", "Modified By"

20. Access to Sensitive Applications by Non-Admins

Açıklama: Non-admin’lerin SIEM, backup tool veya HR system gibi application’lara erişmesinde uyarı verir.

AQL Query:

SELECT "Event Name", "Application Name", "Username"
FROM events
WHERE "Application Name" IN ('Splunk', 'Backup Exec', 'Workday')
AND "Username" NOT IN ('Authorised Admins')
GROUP BY "Application Name", "Username"

Network Traffic & Reconnaissance

Kural Adı

Açıklama

İlişkili Log Source(s)

21. Outbound Traffic to Known Malicious IPs Threat intelligence feed’lerinde flag’lenmiş IP’lere giden trafiği eşleştirir. Firewall Logs, IDS/IPS, Proxy Server Logs, Threat Intelligence Feeds
22. Port Scanning or Reconnaissance Birden fazla porta yapılan bağlantıları izleyerek scanning davranışını tespit eder. Firewall Logs, IDS/IPS, Network Monitoring Tools
23. Unusual Protocol Usage Network içinde non-standard protokollerin (ör. IRC, FTP) kullanıldığını işaretler. Firewall Logs, IDS/IPS, Proxy Server Logs, Network Traffic Logs
24. High Volume of DNS Queries DNS tunneling veya command-and-control (C2) aktivitesini tespit eder. DNS Server Logs, Firewall Logs
25. Suspicious ICMP Traffic Aşırı ICMP request’lerini (ör. ping sweep) izler. Firewall Logs, IDS/IPS, Network Traffic Logs
26. External Connection Attempts from Internal Hosts External IP’lere bağlanmaya çalışan internal host’ları işaretler. Firewall Logs, Proxy Server Logs, VPN Logs
27. Internal Traffic to Non-Business Countries Client’ın business presence’ı bulunmayan ülkelerdeki IP’lere giden trafikte uyarı verir. Firewall Logs, Proxy Server Logs
28. Unusual Traffic Spikes Data exfiltration veya DDoS saldırılarına işaret edebilecek bandwidth spike’larını tespit eder. Firewall Logs, IDS/IPS, Network Traffic Logs
29. Multiple Connection Attempts to Blocked Ports Firewall tarafından block’lanan portlara yapılan tekrarlı connection denemelerini işaretler. Firewall Logs, IDS/IPS
30. Suspicious Traffic to Cloud Services AWS, Azure veya Google Drive gibi cloud service’lere giden olağandışı trafiği izler. Firewall Logs, Cloud Access Logs, Proxy Server Logs

21. Outbound Traffic to Known Malicious IPs

Açıklama: Threat intelligence feed’lerinde flag’lenmiş IP’lere giden trafiği eşleştirir.

AQL Query:

SELECT "Event Name", "Destination IP", "Source IP"
FROM events
WHERE "Destination IP" IN ('Threat Intelligence IP List')
GROUP BY "Destination IP", "Source IP"

22. Port Scanning or Reconnaissance

Açıklama: Birden fazla porta yapılan bağlantıları izleyerek scanning davranışını tespit eder.

AQL Query:

SELECT "Event Name", "Source IP", "Destination Port"
FROM events
WHERE "Event Name" = 'Port Connection Attempt'
GROUP BY "Source IP"
HAVING COUNT(DISTINCT "Destination Port") >= 10 AND TIME_WINDOW <= 5 MINUTES

23. Unusual Protocol Usage

Açıklama: Network içinde non-standard protokollerin (ör. IRC, FTP) kullanıldığını işaretler.

AQL Query:

SELECT "Event Name", "Protocol", "Source IP", "Destination IP"
FROM events
WHERE "Protocol" IN ('IRC', 'FTP', 'Telnet')
GROUP BY "Protocol", "Source IP", "Destination IP"

24. High Volume of DNS Queries

Açıklama: DNS tunneling veya command-and-control (C2) aktivitesini tespit eder.

AQL Query:

SELECT "Event Name", "Source IP", "Query Count"
FROM events
WHERE "Event Name" = 'DNS Query'
GROUP BY "Source IP"
HAVING COUNT(*) >= 100 AND TIME_WINDOW <= 10 MINUTES

25. Suspicious ICMP Traffic

Açıklama: Aşırı ICMP request’lerini (ör. ping sweep) izler.

AQL Query:

SELECT "Event Name", "Source IP", "Destination IP"
FROM events
WHERE "Event Name" = 'ICMP Request'
GROUP BY "Source IP"
HAVING COUNT(*) >= 50 AND TIME_WINDOW <= 5 MINUTES

26. External Connection Attempts from Internal Hosts

Açıklama: External IP’lere bağlanmaya çalışan internal host’ları işaretler.

AQL Query:

SELECT "Event Name", "Source IP", "Destination IP"
FROM events
WHERE "Destination IP" NOT IN ('Internal IP Range')
GROUP BY "Source IP", "Destination IP"

27. Internal Traffic to Non-Business Countries

Açıklama: Client’ın business presence’ı bulunmayan ülkelerdeki IP’lere giden trafikte uyarı verir.

AQL Query:

SELECT "Event Name", "Destination IP", "Source IP", "Country"
FROM events
WHERE "Country" NOT IN ('Authorised Country List')
GROUP BY "Destination IP", "Source IP", "Country"

28. Unusual Traffic Spikes

Açıklama: Data exfiltration veya DDoS saldırılarına işaret edebilecek bandwidth spike’larını tespit eder.

AQL Query:

SELECT "Event Name", "Source IP", "Traffic Volume"
FROM events
WHERE "Event Name" = 'Traffic Volume'
GROUP BY "Source IP"
HAVING SUM("Traffic Volume") >= 1000000 AND TIME_WINDOW <= 10 MINUTES

29. Multiple Connection Attempts to Blocked Ports

Açıklama: Firewall tarafından block’lanan portlara yapılan tekrarlı connection denemelerini işaretler.

AQL Query:

SELECT "Event Name", "Source IP", "Destination Port"
FROM events
WHERE "Event Name" = 'Blocked Port Connection Attempt'
GROUP BY "Source IP", "Destination Port"
HAVING COUNT(*) >= 5 AND TIME_WINDOW <= 10 MINUTES

30. Suspicious Traffic to Cloud Services

Açıklama: AWS, Azure veya Google Drive gibi cloud service’lere giden olağandışı trafiği izler.

AQL Query:

SELECT "Event Name", "Destination IP", "Source IP", "Service"
FROM events
WHERE "Service" IN ('AWS', 'Azure', 'Google Drive')
GROUP BY "Destination IP", "Source IP", "Service"
HAVING COUNT(*) >= 10 AND TIME_WINDOW <= 10 MINUTES

Malware & Exploit Detection

Kural Adı Açıklama

İlişkili Log Source(s)

31. Malicious File Uploads File upload’ları izler ve file hash’lerini bilinen malware database’leriyle eşleştirir. Web Server Logs, EDR, File Integrity Monitoring Logs
32. Execution of Obfuscated Scripts Obfuscation teknikleri kullanan PowerShell veya Bash script’lerini işaretler. EDR, Sysmon, Windows/Linux Event Logs, PowerShell Logs
33. Known Exploit Payloads Bilinen exploit signature’larıyla eşleşen trafiği veya process’leri tespit eder. IDS/IPS, Firewall Logs, Antivirus Logs
34. Unusual Binary Execution Uncommon binary’lerin (ör. malware dropper) execution’ında uyarı verir. EDR, Windows/Linux Event Logs, Application Logs
35. Ransomware Activity Mass file encryption, olağandışı file extension veya backup’ların silinmesini işaretler. EDR, Antivirus Logs, File Integrity Monitoring Logs, Backup Logs
36. Unusual File Permissions Unauthorized access’e izin veren permission’lara sahip file’ları tespit eder. File System Logs, EDR, Windows/Linux Event Logs
37. Suspicious Scheduled Tasks Unauthorized user’lar tarafından oluşturulan yeni veya modifiye scheduled task’larda uyarı verir. Windows/Linux Event Logs, EDR, Task Scheduler Logs
38. Malicious Process Chains Şüpheli parent-child process ilişkilerini izler (ör. cmd.exe’nin powershell.exe başlatması). EDR, Sysmon, Windows/Linux Event Logs
39. File Hashes Matching Known Threats Loglardaki file hash’lerini threat intelligence feed’leriyle eşleştirir. EDR, Antivirus Logs, File Integrity Monitoring Logs
40. Registry Persistence Mechanisms Persistence amacıyla kullanılan Run key veya startup registry değişikliklerini tespit eder. EDR, Sysmon, Windows Event Logs, Registry Monitoring Logs

31. Malicious File Uploads

Açıklama: File upload’ları izler ve file hash’lerini bilinen malware database’leriyle eşleştirir.

AQL Query:

SELECT "Event Name", "Filename", "File Hash", "Source IP", "Username"
FROM events
WHERE "Event Name" = 'File Upload'
AND "File Hash" IN ('Known Malware Hash List')
GROUP BY "File Hash", "Source IP", "Username"

32. Execution of Obfuscated Scripts

Açıklama: Obfuscation teknikleri kullanan PowerShell veya Bash script’lerini işaretler.

AQL Query:

SELECT "Event Name", "Username", "Process Name", "Command Line"
FROM events
WHERE "Process Name" IN ('powershell.exe', 'pwsh', 'bash', 'cmd.exe')
AND ("Command Line" ILIKE '%-enc%'
OR "Command Line" ILIKE '%FromBase64String%'
OR "Command Line" ILIKE '%-w hidden%'
OR "Command Line" ILIKE '%IEX%')
GROUP BY "Username", "Process Name", "Command Line"

33. Known Exploit Payloads

Açıklama: Bilinen exploit signature’larıyla eşleşen trafiği veya process’leri tespit eder.

AQL Query:

SELECT "Event Name", "Signature", "Source IP", "Destination IP"
FROM events
WHERE "Event Name" IN ('IPS Signature Match', 'Antivirus Detection')
AND "Signature" IN ('Known Exploit Signature List')
GROUP BY "Signature", "Source IP", "Destination IP"

34. Unusual Binary Execution

Açıklama: Uncommon binary’lerin (ör. malware dropper) execution’ında uyarı verir.

AQL Query:

SELECT "Event Name", "Username", "Process Name", "File Path"
FROM events
WHERE "Event Name" = 'Process Creation'
AND ("File Path" ILIKE '%\\Temp\\%'
OR "File Path" ILIKE '%\\AppData\\%'
OR "File Path" ILIKE '%\\Downloads\\%')
AND "Process Name" NOT IN ('Known Good Binaries')
GROUP BY "Username", "Process Name", "File Path"

35. Ransomware Activity

Açıklama: Mass file encryption, olağandışı file extension veya backup’ların silinmesini işaretler.

AQL Query:

SELECT "Event Name", "Username", "Hostname", "File Extension"
FROM events
WHERE "Event Name" IN ('File Rename', 'File Modification')
AND "File Extension" IN ('.locked', '.encrypted', '.crypt', '.enc')
GROUP BY "Username", "Hostname"
HAVING COUNT(*) >= 50 AND TIME_WINDOW <= 5 MINUTES

36. Unusual File Permissions

Açıklama: Unauthorized access’e izin veren permission’lara sahip file’ları tespit eder.

AQL Query:

SELECT "Event Name", "Username", "File Path", "Permissions"
FROM events
WHERE "Event Name" = 'File Permission Change'
AND "Permissions" IN ('777', 'Everyone:FullControl')
GROUP BY "Username", "File Path", "Permissions"

37. Suspicious Scheduled Tasks

Açıklama: Unauthorized user’lar tarafından oluşturulan yeni veya modifiye scheduled task’larda uyarı verir.

AQL Query:

SELECT "Event Name", "Username", "Task Name", "Command"
FROM events
WHERE "Event Name" IN ('Scheduled Task Created', 'Scheduled Task Modified')
AND "Username" NOT IN ('Authorised Admins')
GROUP BY "Username", "Task Name", "Command"

38. Malicious Process Chains

Açıklama: Şüpheli parent-child process ilişkilerini izler (ör. cmd.exe’nin powershell.exe başlatması).

AQL Query:

SELECT "Event Name", "Username", "Parent Process", "Child Process"
FROM events
WHERE "Event Name" = 'Process Creation'
AND "Parent Process" IN ('winword.exe', 'excel.exe', 'outlook.exe', 'cmd.exe')
AND "Child Process" IN ('powershell.exe', 'wscript.exe', 'cscript.exe', 'mshta.exe')
GROUP BY "Username", "Parent Process", "Child Process"

39. File Hashes Matching Known Threats

Açıklama: Loglardaki file hash’lerini threat intelligence feed’leriyle eşleştirir.

AQL Query:

SELECT "Event Name", "File Hash", "Filename", "Hostname"
FROM events
WHERE "File Hash" IN ('Threat Intelligence Hash List')
GROUP BY "File Hash", "Filename", "Hostname"

40. Registry Persistence Mechanisms

Açıklama: Persistence amacıyla kullanılan Run key veya startup registry değişikliklerini tespit eder.

AQL Query:

SELECT "Event Name", "Username", "Registry Key", "Registry Value"
FROM events
WHERE "Event Name" = 'Registry Modification'
AND "Registry Key" ILIKE '%\\CurrentVersion\\Run%'
AND "Username" NOT IN ('Authorised Admins')
GROUP BY "Username", "Registry Key", "Registry Value"

 

Olgun bir SIEM; toplanan log sayısıyla, oluşturulan dashboard sayısıyla veya üretilen alert sayısıyla ölçülmez. High-fidelity detection’lar, azaltılmış false positive oranları, daha hızlı incident response, daha yüksek analyst efficiency ve aksiyon alınabilir güvenlik insight’larıyla ölçülür.

En etkili SOC ekipleri yalnızca vendor’ın sağladığı hazır rule’lara güvenmez; detection’larını business process’ler, infrastructure architecture, user behavior, threat landscape ve organizational risk profile üzerine kurar. Çünkü attacker’lar SIEM platform’larına değil, business’lara saldırır. Amaç daha fazla alert üretmek değil, doğru alert’leri üretmektir.

 

Başka bir yazımızda görüşmek dileğiyle…

Bir yanıt yazın

Başa Dön