nternational Journal of Engineering Research in Computer Science and Engineering (IJERCSE), 2023
In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in saf... more In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in safeguarding organizations against cyber attacks. Live logs, real-time records of system activities, have emerged as essential tools for incident response teams to detect and respond promptly to security incidents. However, archive log search speed is often insufficient for mitigating cyber attacks in a timely manner. This research paper explores the significance of live logs in incident response and the challenges associated with maintaining sufficient log retention to effectively mitigate cyber attacks. The paper also examines real-world case studies, recommendations, regulations, and RFP requirements related to live log retention. Additionally, it delves into the benefits of live log monitoring and emphasizes the importance of adhering to industry best practices to strengthen an organization's cybersecurity defense.
A "cloud-agnostic" SIEM (Security Information and Event Management) installation should ideally a... more A "cloud-agnostic" SIEM (Security Information and Event Management) installation should ideally allow for seamless switching from one cloud provider to another without the loss of data or significant disruptions. In essence, it means that the SIEM solution is not tightly coupled to a specific cloud provider and can work equally well across multiple cloud environments.
International Conference on Cyber Security (ICCYS-2023), 2023
In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in saf... more In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in safeguarding organizations against cyber attacks. Live logs, real-time records of system activities, have emerged as essential tools for incident response teams to detect and respond promptly to security incidents. However, archive log search speed is often insufficient for mitigating cyber attacks in a timely manner. This research paper explores the significance of live logs in incident response and the challenges associated with maintaining sufficient log retention to effectively mitigate cyber attacks. The paper also examines real-world case studies, recommendations, regulations, and RFP requirements related to live log retention. Additionally, it delves into the benefits of live log monitoring and emphasizes the importance of adhering to industry best practices to strengthen an organization's cybersecurity defense.
Son yıllarda SIEM çözümlerinin canlı logları ne kadar süre saklaması gerektiği ve arşiv logların ... more Son yıllarda SIEM çözümlerinin canlı logları ne kadar süre saklaması gerektiği ve arşiv logların da ne kadar süre saklaması gerektiği ile ilgili kanun, emir ve standartlar net olarak yayınlandı ve dünyada artık uygulamada [1,2,3,4,5,6,7,8,9]. Bununla birlikte SIEM çözümlerinin korelasyon yetenekleri ile ilgili olan kanun, emir ve standartlar pek bilinmiyor veya çok göz önünde değil. SIEM açısından korelasyon olmazsa olmaz bir özelliktir. Bir SIEM ürününün korelasyon yeteneği ne kadar iyi ise siber saldırılara karşı savaşta elinizi o kadar güçlendirir. Bu sebepten dolayı siber güvenlikle ilgili kanun, politika, tebliğ veya standartlarda SIEM korelasyonlarına atıflar vardır. Örneğin Federal Risk ve Yetkilendirme Programı (FedRamp), federal hükümet bilgi sistemleri için bir hükümet risk yönetimi girişimi aşağıdaki gibi bir gereklilik ortaya koymuştur. FedRAMP Moderate; Control AC-2(3) : If an account not used in at least the last 30 days (31,40,60,90,180 days etc.), notify/lock/delete the account. Yukarıdaki kontrol eğer bir kullanıcı şirketin belirleyeceği bir süre (30,33,40,60,90,180 gün vb) kullanılmıyorsa otomatik olarak silinmesini söyler. Bu tam bir SIEM korelasyon senaryosudur. Bu senaryonun bir diğer özelliği de geleneksel, temel SIEM korelasyonlarından farklı oluşudur.
In today's complex and ever-evolving cybersecurity landscape, organizations face a myriad of soph... more In today's complex and ever-evolving cybersecurity landscape, organizations face a myriad of sophisticated threats that can cause significant damage if left undetected. Cyber attackers are continuously refining their tactics, techniques, and procedures to evade traditional security measures. As a result, real-time detection and correlation have emerged as critical components in the battle against cyber threats. With real-time detection and correlation capability, organizations can stay ahead of the ever-evolving threat landscape. Additionally, having real-time detection and correlation capability can help organizations automate and orchestrate incident response processes, freeing up security analysts to focus on more complex tasks.
In the realm of cybersecurity, threat detection is of utmost importance to protect organizations ... more In the realm of cybersecurity, threat detection is of utmost importance to protect organizations from potential attacks. SureLog SIEM, led by Dr. Ertuğrul AKBAŞ, leverages SQL streaming and materialized views to enhance the efficiency and effectiveness of threat detection processes. This article explores the benefits and applications of SQL streaming and materialized views in SureLog SIEM's threat detection approach.
Although it's not rocket science, try experimenting with the SIEM you use and see how many of the... more Although it's not rocket science, try experimenting with the SIEM you use and see how many of the following scenarios you can accomplish
Toplanan logların denetim, yönetmelik ve kanunlar açısından geçerliliğini dört başlık altında değ... more Toplanan logların denetim, yönetmelik ve kanunlar açısından geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar 2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği 3. Zaman damgası sunucusu senkronizasyonu 4. Denetim izlerinin bütünlüğünün periyodik kontrolü
SIEM'den maksimum fayda alabilmek için dikkat edilecek hususlar ve uygulanacak yöntemlerle ilgili... more SIEM'den maksimum fayda alabilmek için dikkat edilecek hususlar ve uygulanacak yöntemlerle ilgili ip uçlarını içeren eğitim dokümanı
Standart, çok bilinen temel SIEM kuralları dışında örnek senaryolar vermek üzere yapılan bir çalı... more Standart, çok bilinen temel SIEM kuralları dışında örnek senaryolar vermek üzere yapılan bir çalışmadır.
SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomousl... more SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomously define rules on the data, to discover security events that require investigation. Behavior analysis and profiling relies on statistical modeling and data science in SureLog in order to identify patterns of behavior and compare them against other human or machine activities. The Profiler is a feature extraction mechanism that can generate a profile describing the behavior of an entity. An entity might be an any field of message like protocol used in communication as well as a server, user, subnet or application. Once a profile has been generated defining what normal behavior looks-like, models can be built that identify anomalous behavior. In SureLog; Profiler is enhancing SIEM Correlation Rules Through Baselining. This is achieved by summarizing the streaming telemetry data consumed by SureLog over sliding windows. Profiling is compressing time. A summary statistic is applied to the data received within a given window. Collecting this summary across many windows results in a time series that is useful for analysis. Any field contained within a message can be used to generate a profile. A profile can even be produced by combining fields that originate in different data sources. A user has considerable power to transform the data used in a profile by leveraging the SureLog correlation engine. SureLog Rule As a Code platform [1] which is powered by JAVA is the definition point for profiles. Profiler in correlation engine can be configured using JAVA. Profiles A profile definition requires JAVA method definition. The specification contains the following elements.
The SIEM products and the performance analyses of these products are very important in terms of e... more The SIEM products and the performance analyses of these products are very important in terms of evaluation. The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
The correlation systems consist of two parts.
1. Detection
2. Response
The response part is div... more The correlation systems consist of two parts.
1. Detection 2. Response
The response part is divided in two sub-parts as alarm and taking action. The detection module, the response module if it detects an event.
• Sending email • Executing a script
o Visual basic o Batch file o Perlscript o Phytonscript
• Executing java code • Running application • Updating dynamic list. For example adding or removing IP address in forbidden IP address list. Dynamically updating this list for those who try more than 3 failed logon accesses in last week, or adding a benign IP or URL that triggered an alarm to a Whitelist so that false positives aren’t generated in the future
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon ye... more Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir. Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Tehdit zekası (Threat Intelligence) spesifik tehditleri ve riskleri öngören ve izleyen bilginin p... more Tehdit zekası (Threat Intelligence) spesifik tehditleri ve riskleri öngören ve izleyen bilginin proaktif, bütüncül ve sürekli bir biçimde derlenmesi, incelenmesi ve aktarılmasını ifade eder Tehdit zekası (Threat Intelligence) nın ilk adımı daha fazla zeka ve doğru güvenlik uygulaması edinmenize yardımcı olmak için mevcut SIEM [1] çözümlerinin analitik yeteneklerine dinamik İnternet tehdidi verileri eklemekle başlar. En son çıkan bütün phishing, Proxy, diğer kötü niyetli tehditleri tespit etmek, Bot, phishing, DOS, scanners, spam kaynakları ve Windows exploitlerini tespit etmek için aşağıdaki gibi ve benzeri kaynaklardan canlı olarak veriler derlenir.
SIEM ürünleri ve bu ürünlerin performans analizleri ürünleri değerlendirme açısından çok önemlidi... more SIEM ürünleri ve bu ürünlerin performans analizleri ürünleri değerlendirme açısından çok önemlidir. SIEM ürünlerinin çalışma performansları, gerek duydukları kaynaklar (CPU, RAM, DISK) ve ihtiyaç duyulan EPS değerlerinde nasıl bir performans göstereceği önemlidir. Bu çalışmada bu parametrelere göre performas kıyaslaması yapılmıştır
nternational Journal of Engineering Research in Computer Science and Engineering (IJERCSE), 2023
In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in saf... more In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in safeguarding organizations against cyber attacks. Live logs, real-time records of system activities, have emerged as essential tools for incident response teams to detect and respond promptly to security incidents. However, archive log search speed is often insufficient for mitigating cyber attacks in a timely manner. This research paper explores the significance of live logs in incident response and the challenges associated with maintaining sufficient log retention to effectively mitigate cyber attacks. The paper also examines real-world case studies, recommendations, regulations, and RFP requirements related to live log retention. Additionally, it delves into the benefits of live log monitoring and emphasizes the importance of adhering to industry best practices to strengthen an organization's cybersecurity defense.
A "cloud-agnostic" SIEM (Security Information and Event Management) installation should ideally a... more A "cloud-agnostic" SIEM (Security Information and Event Management) installation should ideally allow for seamless switching from one cloud provider to another without the loss of data or significant disruptions. In essence, it means that the SIEM solution is not tightly coupled to a specific cloud provider and can work equally well across multiple cloud environments.
International Conference on Cyber Security (ICCYS-2023), 2023
In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in saf... more In today's rapidly evolving cyber threat landscape, incident response plays a crucial role in safeguarding organizations against cyber attacks. Live logs, real-time records of system activities, have emerged as essential tools for incident response teams to detect and respond promptly to security incidents. However, archive log search speed is often insufficient for mitigating cyber attacks in a timely manner. This research paper explores the significance of live logs in incident response and the challenges associated with maintaining sufficient log retention to effectively mitigate cyber attacks. The paper also examines real-world case studies, recommendations, regulations, and RFP requirements related to live log retention. Additionally, it delves into the benefits of live log monitoring and emphasizes the importance of adhering to industry best practices to strengthen an organization's cybersecurity defense.
Son yıllarda SIEM çözümlerinin canlı logları ne kadar süre saklaması gerektiği ve arşiv logların ... more Son yıllarda SIEM çözümlerinin canlı logları ne kadar süre saklaması gerektiği ve arşiv logların da ne kadar süre saklaması gerektiği ile ilgili kanun, emir ve standartlar net olarak yayınlandı ve dünyada artık uygulamada [1,2,3,4,5,6,7,8,9]. Bununla birlikte SIEM çözümlerinin korelasyon yetenekleri ile ilgili olan kanun, emir ve standartlar pek bilinmiyor veya çok göz önünde değil. SIEM açısından korelasyon olmazsa olmaz bir özelliktir. Bir SIEM ürününün korelasyon yeteneği ne kadar iyi ise siber saldırılara karşı savaşta elinizi o kadar güçlendirir. Bu sebepten dolayı siber güvenlikle ilgili kanun, politika, tebliğ veya standartlarda SIEM korelasyonlarına atıflar vardır. Örneğin Federal Risk ve Yetkilendirme Programı (FedRamp), federal hükümet bilgi sistemleri için bir hükümet risk yönetimi girişimi aşağıdaki gibi bir gereklilik ortaya koymuştur. FedRAMP Moderate; Control AC-2(3) : If an account not used in at least the last 30 days (31,40,60,90,180 days etc.), notify/lock/delete the account. Yukarıdaki kontrol eğer bir kullanıcı şirketin belirleyeceği bir süre (30,33,40,60,90,180 gün vb) kullanılmıyorsa otomatik olarak silinmesini söyler. Bu tam bir SIEM korelasyon senaryosudur. Bu senaryonun bir diğer özelliği de geleneksel, temel SIEM korelasyonlarından farklı oluşudur.
In today's complex and ever-evolving cybersecurity landscape, organizations face a myriad of soph... more In today's complex and ever-evolving cybersecurity landscape, organizations face a myriad of sophisticated threats that can cause significant damage if left undetected. Cyber attackers are continuously refining their tactics, techniques, and procedures to evade traditional security measures. As a result, real-time detection and correlation have emerged as critical components in the battle against cyber threats. With real-time detection and correlation capability, organizations can stay ahead of the ever-evolving threat landscape. Additionally, having real-time detection and correlation capability can help organizations automate and orchestrate incident response processes, freeing up security analysts to focus on more complex tasks.
In the realm of cybersecurity, threat detection is of utmost importance to protect organizations ... more In the realm of cybersecurity, threat detection is of utmost importance to protect organizations from potential attacks. SureLog SIEM, led by Dr. Ertuğrul AKBAŞ, leverages SQL streaming and materialized views to enhance the efficiency and effectiveness of threat detection processes. This article explores the benefits and applications of SQL streaming and materialized views in SureLog SIEM's threat detection approach.
Although it's not rocket science, try experimenting with the SIEM you use and see how many of the... more Although it's not rocket science, try experimenting with the SIEM you use and see how many of the following scenarios you can accomplish
Toplanan logların denetim, yönetmelik ve kanunlar açısından geçerliliğini dört başlık altında değ... more Toplanan logların denetim, yönetmelik ve kanunlar açısından geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar 2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği 3. Zaman damgası sunucusu senkronizasyonu 4. Denetim izlerinin bütünlüğünün periyodik kontrolü
SIEM'den maksimum fayda alabilmek için dikkat edilecek hususlar ve uygulanacak yöntemlerle ilgili... more SIEM'den maksimum fayda alabilmek için dikkat edilecek hususlar ve uygulanacak yöntemlerle ilgili ip uçlarını içeren eğitim dokümanı
Standart, çok bilinen temel SIEM kuralları dışında örnek senaryolar vermek üzere yapılan bir çalı... more Standart, çok bilinen temel SIEM kuralları dışında örnek senaryolar vermek üzere yapılan bir çalışmadır.
SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomousl... more SureLog leverage automated behavioral profiling to automatically detect anomalies and autonomously define rules on the data, to discover security events that require investigation. Behavior analysis and profiling relies on statistical modeling and data science in SureLog in order to identify patterns of behavior and compare them against other human or machine activities. The Profiler is a feature extraction mechanism that can generate a profile describing the behavior of an entity. An entity might be an any field of message like protocol used in communication as well as a server, user, subnet or application. Once a profile has been generated defining what normal behavior looks-like, models can be built that identify anomalous behavior. In SureLog; Profiler is enhancing SIEM Correlation Rules Through Baselining. This is achieved by summarizing the streaming telemetry data consumed by SureLog over sliding windows. Profiling is compressing time. A summary statistic is applied to the data received within a given window. Collecting this summary across many windows results in a time series that is useful for analysis. Any field contained within a message can be used to generate a profile. A profile can even be produced by combining fields that originate in different data sources. A user has considerable power to transform the data used in a profile by leveraging the SureLog correlation engine. SureLog Rule As a Code platform [1] which is powered by JAVA is the definition point for profiles. Profiler in correlation engine can be configured using JAVA. Profiles A profile definition requires JAVA method definition. The specification contains the following elements.
The SIEM products and the performance analyses of these products are very important in terms of e... more The SIEM products and the performance analyses of these products are very important in terms of evaluation. The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
The correlation systems consist of two parts.
1. Detection
2. Response
The response part is div... more The correlation systems consist of two parts.
1. Detection 2. Response
The response part is divided in two sub-parts as alarm and taking action. The detection module, the response module if it detects an event.
• Sending email • Executing a script
o Visual basic o Batch file o Perlscript o Phytonscript
• Executing java code • Running application • Updating dynamic list. For example adding or removing IP address in forbidden IP address list. Dynamically updating this list for those who try more than 3 failed logon accesses in last week, or adding a benign IP or URL that triggered an alarm to a Whitelist so that false positives aren’t generated in the future
Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon ye... more Korelasyon yeteneği bir SIEM ürününün en önemli özelliklerinden biridir. Ürünlerin korelasyon yetenekleri farklılık göstermektedir. Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Tehdit zekası (Threat Intelligence) spesifik tehditleri ve riskleri öngören ve izleyen bilginin p... more Tehdit zekası (Threat Intelligence) spesifik tehditleri ve riskleri öngören ve izleyen bilginin proaktif, bütüncül ve sürekli bir biçimde derlenmesi, incelenmesi ve aktarılmasını ifade eder Tehdit zekası (Threat Intelligence) nın ilk adımı daha fazla zeka ve doğru güvenlik uygulaması edinmenize yardımcı olmak için mevcut SIEM [1] çözümlerinin analitik yeteneklerine dinamik İnternet tehdidi verileri eklemekle başlar. En son çıkan bütün phishing, Proxy, diğer kötü niyetli tehditleri tespit etmek, Bot, phishing, DOS, scanners, spam kaynakları ve Windows exploitlerini tespit etmek için aşağıdaki gibi ve benzeri kaynaklardan canlı olarak veriler derlenir.
SIEM ürünleri ve bu ürünlerin performans analizleri ürünleri değerlendirme açısından çok önemlidi... more SIEM ürünleri ve bu ürünlerin performans analizleri ürünleri değerlendirme açısından çok önemlidir. SIEM ürünlerinin çalışma performansları, gerek duydukları kaynaklar (CPU, RAM, DISK) ve ihtiyaç duyulan EPS değerlerinde nasıl bir performans göstereceği önemlidir. Bu çalışmada bu parametrelere göre performas kıyaslaması yapılmıştır
Standart, çok bilinen temel SIEM kuralları dışında örnek senaryolar vermek üzere yapılan bir çalı... more Standart, çok bilinen temel SIEM kuralları dışında örnek senaryolar vermek üzere yapılan bir çalışmadır.
SIEM'den maksimum fayda alabilmek için dikkat edilecek hususlar ve uygulanacak yöntemlerle ilgili... more SIEM'den maksimum fayda alabilmek için dikkat edilecek hususlar ve uygulanacak yöntemlerle ilgili ip uçlarını içeren eğitim dokümanı
Uploads
Papers by Ertugrul Akbas
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
1. Detection
2. Response
The response part is divided in two sub-parts as alarm and taking action.
The detection module, the response module if it detects an event.
• Sending email
• Executing a script
o Visual basic
o Batch file
o Perlscript
o Phytonscript
• Executing java code
• Running application
• Updating dynamic list. For example adding or removing IP address in forbidden IP address list. Dynamically updating this list for those who try more than 3 failed logon accesses in last week, or adding a benign IP or URL that triggered an alarm to a Whitelist so that false positives aren’t generated in the future
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Tehdit zekası (Threat Intelligence) nın ilk adımı daha fazla zeka ve doğru güvenlik uygulaması edinmenize yardımcı olmak için mevcut SIEM [1] çözümlerinin analitik yeteneklerine dinamik İnternet tehdidi verileri eklemekle başlar.
En son çıkan bütün phishing, Proxy, diğer kötü niyetli tehditleri tespit etmek, Bot, phishing, DOS, scanners, spam kaynakları ve Windows exploitlerini tespit etmek için aşağıdaki gibi ve benzeri kaynaklardan canlı olarak veriler derlenir.
SIEM ürünlerinin çalışma performansları, gerek duydukları kaynaklar (CPU, RAM, DISK) ve ihtiyaç duyulan EPS değerlerinde nasıl bir performans göstereceği önemlidir.
Bu çalışmada bu parametrelere göre performas kıyaslaması yapılmıştır
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
The running performance of SIEM products, the resources which they require (CPU, RAM, DISK) and how they will show performance in the EPS value needed is very important.
1. Detection
2. Response
The response part is divided in two sub-parts as alarm and taking action.
The detection module, the response module if it detects an event.
• Sending email
• Executing a script
o Visual basic
o Batch file
o Perlscript
o Phytonscript
• Executing java code
• Running application
• Updating dynamic list. For example adding or removing IP address in forbidden IP address list. Dynamically updating this list for those who try more than 3 failed logon accesses in last week, or adding a benign IP or URL that triggered an alarm to a Whitelist so that false positives aren’t generated in the future
Bu çalışmada ortalama bir korelasyon yeteneğine sahip bir SIEM ürünü ile geliştirilebilecek kurallara örnekleri listelemeye çalıştık.
Tehdit zekası (Threat Intelligence) nın ilk adımı daha fazla zeka ve doğru güvenlik uygulaması edinmenize yardımcı olmak için mevcut SIEM [1] çözümlerinin analitik yeteneklerine dinamik İnternet tehdidi verileri eklemekle başlar.
En son çıkan bütün phishing, Proxy, diğer kötü niyetli tehditleri tespit etmek, Bot, phishing, DOS, scanners, spam kaynakları ve Windows exploitlerini tespit etmek için aşağıdaki gibi ve benzeri kaynaklardan canlı olarak veriler derlenir.
SIEM ürünlerinin çalışma performansları, gerek duydukları kaynaklar (CPU, RAM, DISK) ve ihtiyaç duyulan EPS değerlerinde nasıl bir performans göstereceği önemlidir.
Bu çalışmada bu parametrelere göre performas kıyaslaması yapılmıştır