IBM QRadar SIEM Mimarisi
IBM QRadar SIEM Foundation Badge Mod.02
a. Fonksiyonel QRadar Mimarisi
Siber güvenlik analistlerinin yaşadığı bazı zorluklar bulunmaktadır. Analiz sürecinin efektif olabilmesi, sürecin daha efektif yürütülebilmesi amacıyla çözülmesi gereken sorunları dört başlıkta inceleyebiliriz.
aa. İzole edilmiş (siloed) araçlar süreci karmaşık hale getirir.
Birbiri ile bağlantısı bulunmayan güvenlik araçları analistler için olayları (incidents) tamamen anlamayı bir diğer tabir ile resmin bütününü görebilmeyi zorlaştırıyor. Herhangi bir olay analizi yaptığınızı ve bu olayın farklı bileşenleri için farklı güvenlik araçlarından (security tools) bilgilere ihtiyaç duyduğunuzu düşünün. Çözüme ulaşmanın zorlaştığı anlaşılacaktır.
ab. Fazla manuel çalışma gerekliliği.
Dağıtık bilişim sistemleri ve güvenlik araçları çok fazla manuel efor gerektirir.
ac. Iskalanan tehditler.
Çok fazla güvenlik çözümü çok sayıda alarm ve uyaran doğuracaktır. Bu da gerçek tehditlerin ıskalanmasına neden olacaktır. Bir diğer ifadesi ise körlük olarak nitelendirilen olay gerçekleşecek ve analistler true-positive alarmları kaçırabilecekler.
ad. Sürekli tükenmişlik hali.
Sürekli ve yüksek miktarda tehdit ve alarm güvenlik takibi yapan takımı tükenmiş ve iş yükü altında ezilmiş hale getirecektir.
QRadar çözümü ise tehdit tespitini modernize etmeyi amaçlamıştır. Bu amacı ise;
Yalıtılmışlığı elimine ederek,
Araçlar arasında geçiş yapmaya gerek olmadan analiz yapılabilmesi,
Sıradan işleri analistler yerine makinalara yaptırmak sureti ile gerçekleştirmektedir.
b. QRadar Bileşenleri Mimarisi
ba. Flow collector mimarisi
Network içerisinde bulunan iki cihazın arasındaki iletişim kaydı flow olarak adlandırılır. Hedef/kaynak ip adresleri, port numaraları gibi bilgileri de içerir.
Flow data içerisinde yeni bir host tespit edildiği zaman QRadar varlık veritabanı içerisinde yeni bir varlık oluşturur. Aggregator lisans limitlerini uygular. Lisanslama FPM (flow per minute) üzerinden yapılır. Overflow kayıtlar 127.0.0.4/5 hedef/kaynak ip adresleri ile kaydedilir. Application Detection Module (Uygulama Tespit Modülü) flow data analizi ile uygulamanın tespitini yapar.
Flow reporting and routing aşamasında ise superflow oluşturulur.
bb. Event collector mimarisi
Bilinen ve bilinmeyen kaynaklardan gelen ham data paketleri alınır. Eğer kaynak bilinmeyen bir host ise yeni log kaynağı oluşturulur.
Toplanan loglar Device Support Module ile parse edilerek event processora gönderilir.
bc. Event/Flow işlemci mimarisi
Collectorlar tarafından iletilen loglar event/flow processorlar tarafından işlenir veritabanında saklanır. Processor kullanımı console iş yükünü hafifletir ve daha hızlı sorgulama yapabilme olanağı sağlar.
bd. Konsol Mimarisi
Console toplanan bilgilerin ve logların kurallar çerçevesinde analiz edildiği yerdir. Tetiklenen kuralların sonucunu offense tabında kullanıcıya iletir.
c. Yakalanan bir olayın (event) akışının (flow) incelenmesi
Event colletora gelen event ilk olarak overflow filter tarafından lisans limitleri açısından değerlendirilir. Lisans limiti aşılmış ise buffer kontrol edilir. Buffer dolu ise event drop edilir, dolu değil ise tekrar değerlendirme sırasına alınır.
Lisans aşılmamış ise (EPM-Event per Minute açısından değerlendirildiği önceden de belirtilmişti) traffic analysis module log source açısından değerlendirir. Bilinen log source ise parse edilmesi için Device Support Module gönderilir. Eğer log source bilinmiyor ise yeni log source oluşturulduktan sonra DSM’ye gönderilir. Event ID ve QID (QRadar Identifier) atanır ki QID korelasyon için kullanılır. Coalescing filter’e parse edilen event mükerrer ise tek event olarak birleştirilir ve sayaç ile numaralandırılır. Normalize edilmiş evenler event processora iletilir
Event processorda da ilk aşama overflow filter ile lisans sınır kontrolüdür, lisans ile ilgili kontrol sonrası eventler Rule Processing and Correlation işlemine girerler. Herhangi bir kuralı tetikleyen event söz konusu olduğu zaman console üzerinde offense olarak ele alınır. Aynı zamanda Log Activity tabında da canlı loglar izlenir. Event storage bileşeni event ve flow bilgisini Ariel veritabanında saklamak ile görevlidir. Event storage datayı raporlar gibi tanımlanmış aramaları ve dashboardı yöneten accumulatore iletir. Arama parametrelerine göre accumulator datayı Ariel veritabanında saklar. Bu veriler daha sonra konsol tarafından raporlama vb. işlemler için kullanılabilir. Host profiler event datayı yeni host ya da port bulunup bulunmadığını kontrol etmek için kullanır. Yeni host/port tespiti durumunda bu bilgiyi console üzerinde bulunan Vulnerability Information Server’a gönderir.
Console üzerinde de ilk aşama overflow filter aşaması ve devamı süreci olacaktır. Index Property ve Index Property Value dayanarak Magistre event için offense oluşturup oluşturmayacağını bilir. Magistre içinde bulunan Custom Rule Engine (CRE) yeni bir offense mi oluşturulacağını yoksa var olan bir tane offense dahil edileceğine kadar verir ki bu durum analist açısından GUI üzerinde daha açık izlemeye olanak sağlar. Offense bilgileri PostgreSQL kullanılarak veritabanına kaydedilir. Magistre event ile ilgili başka bir bilgiye ihtiyaç duyarsa Ariel Proxy ile event processor üzerindeki Ariel Query Server ile iletişim kurar. Konsolda magistre dışında bir de Anomaly Detection Engine bulunur. Anomaly Detection Engine accumulator’den aldığı bilgilerin sonucunda gerekli olursa offense oluşturur. Vulnerability Information Server host profilerdan aldığı datayı assets (PostgreSQL) veri tabanına kaydederek GUI’ye iletir.
