Introduction
Örnek SIEM Kuralları - 4

Örnek SIEM Kuralları - 4

  • R2L - Distributed denial-of-service (DDoS) alarmı tetiklendiği anda aynı zamanda yüksek boyutlu veri transferi başlarsa alarm üret.
  • L2L - Firewall tarafında SIEM (Security Information & Event Management) erişimi olmayan Zone tarafından SIEM (Security Information & Event Management) tarafına session oluşturan IP adresleri için alarm üret.
  • R2L - 27017 (MongoDB) 9300, 9200 (Elasticsearch) 50070 (Hadoop) izin verilen IP'ler dışında session başlatan IP'ler için alarm üret.
  • R2L - Herhangi bir IP adresinin son 5 dakika içerisinde SMB - FTP - SFTP tarafında başarısız authentication denemesi görülürse alarm üret.
  • L2L - Son 1 hafta içerisinde 3'den fazla Endpoint tarafının zararlı tespit ettiği IP adresleri için alarm üret.
  • R2L - Web Server tarafına yoğun & zararlı istekler yaratan crawler'lar için alarm üret. Referans http://www.botreports.com/badbots/ alınabilir.
  • R2L - IDS tarafında herhangi bir IP adresi için son 3 gün içerisinde 2'den fazla alarm üretiliyorsa IP adresi için Critical seviyede alarm üret.
Author

EAE

View Comments
Next Post

Örnek SIEM Kuralları - 5

Previous Post

Örnek SIEM Kuralları - 3