CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Alarm İnceleme Süreci: 5N1K Yaklaşımı ile Siber Olay Analizi

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Siber güvenlikte alarm inceleme sürecini 5N1K yaklaşımıyla ele alıyoruz. Daha etkili analiz ve raporlama için stratejik yöntemler.

Alarm İnceleme Süreci: 5N1K Yaklaşımı ile Siber Olay Analizi

Siber güvenlikte alarm inceleme süreci, dijital dedektiflik metodolojisi ile olayın tüm boyutlarını kapsayan 5N1K yaklaşımını içerir. Kim, ne, nasıl, nerede, ne zaman ve neden sorularını yanıtlayarak daha etkili analizler yapabilirsiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, olay analizleri ve alarm inceleme süreçleri, bilgi sistemleri ile ilgili her türlü tehdidin tespit edilmesi ve önlenmesi açısından kritik bir öneme sahiptir. Alarm inceleme, bir olayın nedenini, nasıl gerçekleştiğini ve sonuçlarını anlamaya yönelik sistematik bir süreç olarak öne çıkar. Bu süreç, yalnızca siber saldırıların tespit edilmesine yönelik değil, aynı zamanda bu saldırılara karşı etkili savunma mekanizmalarının geliştirilmesine de zemin hazırlar.

Alarm İnceleme Sürecinin Önemi

Alarm inceleme süreçlerinin doğru bir şekilde yönetilmesi, bir siber güvenlik olayının kapsamını, olayın kaynağını, hedeflerini ve sonuçlarını anlayabilmek için fazlasıyla önemlidir. Bu süreç, her türlü saldırı türüne karşı kuruluşların güvenlik pozisyonunu güçlendirmek, zayıf noktaları kapatmak ve gelecekteki tehditleri önceden tahmin edebilmek için bir fırsat sunar. Saldırganların kullandığı yöntem ve araçlar anlaşıldığında, bu bilgiler, organizasyonun güvenlik süreçlerini geliştirmek için kullanılabilir.

5N1K Yaklaşımı

Alarm incelemede 5N1K yaklaşımı, saldırıya dair temel soruları tanımlayarak olayın bütün boyutlarını kapsayan bir analiz metodolojisini tanımlar: Kim? Ne? Nasıl? Nerede? Ne zaman? ve Neden? Bu çerçevede, her bir sorunun yanıtlanması, daha kapsamlı bir olay çözümlemesi yapmak için kritik bir niteliğe sahiptir.

  1. Kim? (Who): Saldırı kaynağının tespiti için gerekli olan teknik veri setleri, log dosyalarında saklıdır. Bu aşamada, saldırganın IP adresi ve kullanıcı adı gibi bilgileri tespit edilmesi kritik öneme sahiptir.

  2. Ne ve Nasıl? (What & How): Saldırının türü ve kullanılan yöntemler bu aşamada belirlenir. Örneğin, bir SQL Injection saldırısı veya port taraması gibi eylemlerin tanımlanması, saldırganın kullandığı tekniklerin anlaşılması açısından önem taşır.

  3. Nerede? (Where): Saldırının hangi sistem veya varlığa yöneldiği belirlenmelidir. Bu aşamada, saldırının hedefi olan sunucu veya cihaz bilgilerinin derinlemesine incelenmesi gerekir.

  4. Ne Zaman? (When): Saldırının başlangıç ve bitiş zamanları, olayın ciddiyetinin belirlenmesi açısından kritik bir rol oynar. Mesai saatleri dışında gerçekleşen aktiviteler, otomatik bir saldırının kanıtı olarak öne çıkabilir.

  5. Neden? (Why): Bu aşamada, analist saldırganın motivasyonunu veya alarmın neden tetiklendiğini anlamaya çalışır. Saldırının arkasındaki ana tetikleyici unsurlar sorgulanır.

Bu soruların yanıtları, olayın tüm boyutlarının anlaşılmasını ve güvenlik stratejilerinin bu nedenle geliştirilmesini sağlar. Alarm inceleme sürecinde yanlış tetiklenen alarmların kapatılması ya da ciddi bir güvenlik ihlalinin tespit edilmesi gibi kararlar almak, bu analizlerin sonuçlarına bağlıdır.

Teknik Çerçevenin Oluşturulması

Alarm inceleme süreci, teknik bir disiplin olarak, siber olaylara müdahale eden bir ekibin alması gereken adımları belirler. Her bir aşama, ilgili teknik bilgi ve beceriler ile desteklenir. Burada, güvenlik olaylarıyla ilgili veri analizi, log yönetimi, otomasyon araçları ve tehdit istihbaratı gibi unsurlar kritik bir rol oynar.

Örnek bir log çıktı analizi aşağıdaki gibi olabilir:

2023-10-10 12:45:23 - 192.168.1.1 - Failed login attempt by user 'admin' from IP: 203.0.113.42

Bu log, bir şüpheli etkinliği işaret ediyor olabilir ve analistin dikkatlice değerlendirilmesi gereken bir durumu ortaya koyuyor.

Alarm inceleme süreci, dijital dünyada bir dedektiflik metodolojisi olarak konumlanır. Dolayısıyla, analistlerin ve güvenlik uzmanlarının bu metodolojiyi etkin bir şekilde kullanmaları, organizasyonların idare etmesi gereken siber riskleri minimize etmeleri için gereklidir.

Siber güvenlik, sürekli değişen bir tehdit ortamında var olmasına karşın, alarm inceleme süreçleri sayesinde hem savunma mekanizmaları geliştirilebilir hem de olayların analizi daha etkin bir şekilde gerçekleştirilebilir. Bu bağlamda, siber güvenlik alanındaki profesyonellerin, alarm inceleme sürecini etkili bir biçimde yürütmeleri, hem bireysel hem de kurumsal güvenliği sağlamak açısından hayati öneme sahiptir.

Teknik Analiz ve Uygulama

Dijital Dedektiflik Metodolojisi

Siber güvenlikte alarm inceleme süreci, bir SOC analisti için dijital bir dedektiflik süreci olarak tanımlanabilir. Bu süreç, loglar ve diğer verilerin dikkatlice incelenmesini gerektirir. Ham loglar arasında kaybolmamak için her vaka belirli bir metodolojiyle ele alınmalıdır. Bu bağlamda, siber olay analizi için kullanılan 5N1K yaklaşımı, analistin olayın tüm boyutlarını kapsayan bir çerçeve oluşturmasına yardımcı olur.

Kim? (Who): Saldırı Kaynağının Tespiti

Alarm inceleme sürecinin ilk adımı, saldırganın kimliğini belirlemektir. Bu aşamada, özelleşmiş log analiz araçları kullanılabilir. Özellikle, belirli IP adresleri ve kullanıcı adları gibi teknik veriler yardımcı olur. Örnek olarak, log kayıtlarında aşağıdaki gibi bir bellek çıkarımı yapılabilir:

grep 'failed login' auth.log | awk '{print $9, $11}' | sort | uniq -c | sort -rn

Yukarıdaki komut, auth.log dosyasında başarısız giriş denemelerini arar, bu girişimlerin hangi IP adreslerinden yapıldığını listeler. Bu, saldırganın kaynağını ortaya çıkarmak için kritik bir adımdır.

Ne ve Nasıl? (What & How): Eylemin Türü ve Yöntemi

Bir sonraki aşama, eylemin türünü ve yöntemini belirlemektir. 'Ne?' ve 'Nasıl?' soruları, saldırganın hangi araçları kullandığını ve ne yapmayı hedeflediğini belirlemektedir. Örneğin, bir SQL Injection saldırısını analiz etmek için, uygulamanın log kayıtları incelenmelidir. İlgili logda aşağıdaki gibi bir kayıt görülebilir:

192.168.1.100 - - [12/Mar/2023:14:32:15 +0000] "GET /index.php?id=1 OR 1=1 -- HTTP/1.1" 200 2048

Bu kayıt, potansiyel bir SQL Injection girişimini göstermektedir. Kullanıcının hangi eylemleri gerçekleştirdiği ve bunun hangi yöntemle yapıldığı ortaya çıkarılmalıdır.

Nerede? (Where): Hedefin Belirlenmesi

Bir saldırının hangi sisteme yönelik olduğunu belirlemek için 'Nerede?' sorusuna yanıt verilmelidir. Bu aşamada kritik sunucu bilgileri ve cihaz bilgileri gözden geçirilir. Örneğin, eğer saldırı bir veri tabanı sunucusuna yönelikse, bu konuda özel loglar ve erişim kayıtları analiz edilmelidir. 

SELECT * FROM access_logs WHERE destination='db_server' AND timestamp >= '2023-03-12 00:00:00';

Bu SQL sorgusu, belirli bir tarih aralığında veri tabanı sunucusuna yapılan tüm erişimlerin listelenmesini sağlar.

Ne Zaman? (When): Kronolojik Analiz

Olayın zamanlama bilgileri, saldırının ciddiyetini belirlemede yardımcıdır. Saldırının başladığı tarih ve saati doğru bir şekilde tespit etmek için loglarda zaman damgaları incelenmelidir. Örneğin:

grep 'authentication failure' /var/log/secure | awk '{print $1, $2, $3, $9}'

Yukarıdaki komut, belirli bir süre içerisinde meydana gelen kimlik doğrulama hatalarının zamanlarını ve detaylarını listeleyecektir. Özellikle mesai saatleri dışındaki aktiviteler, şüpheli bir davranış olarak değerlendirilmelidir.

Neden? (Why): Motivasyon ve Tetikleyici Analizi

Bu aşamada, analistin en kritik sorusu 'Neden?'dır. Saldırganın motivasyonunu ve alarmın neden tetiklendiğini anlamak zor ancak hayati öneme sahiptir. Alarmın tetiklenmesine yol açan ana etkenler ve saldırganın nihai hedefi belirlenmelidir. Örneğin, bir alarmın kullanıcıların hesap bilgilerinin kötüye kullanılmasıyla mı yoksa sistemin sadece test edilmesiyle mi ortaya çıktığına karar verilmelidir.

Analizin Tamamlanması ve Raporlama

Tüm bu analizlerin birleşimi, analistin vaka hakkında son kararını vermesinde yardımcı olur. Bu kararlar genelde iki durumu içerir: "Vaka Kapatma" (False Positive) veya "Vaka Tırmandırma" (Escalation). Eğer analiz sonuçları masum bir iş akışına işaret ediyorsa, vaka kapatılır. Ancak ciddi bir güvenlik ihlaline yol açtığına dair bulgular varsa, vaka üst seviyeye aktarılmalıdır.

Sonuç olarak, 5N1K yaklaşımı, siber olayların eksiksiz analiz edilmesi için kapsamlı bir çerçeve sunar. Saldırının kimliği, eylemin türü, hedefi, zamanlaması ve motive eden unsurlar dikkatlice incelenerek, güvenlik yöneticilerine etkin bir çözüm sunma imkanı verir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Analiz Süreci

Bir siber güvenlik olayının analiz edilmesi, yalnızca durumu anlamakla kalmayıp, aynı zamanda organizasyonun güvenlik durumunu iyileştirmek için gereken adımları belirlemek amacıyla da gerçekleştirilen bütünsel bir süreçtir. Bu bağlamda, elde edilen bulguların güvenlik anlamı, olası yanlış yapılandırmaların veya zafiyetlerin etkileri oldukça kritik öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Alarm inceleme sürecinde elde edilen bulgular, hem mevcut güvenlik durumunu değerlendirmek hem de gelecekteki olası tehditleri anlamak için kullanılır. Örneğin, bir sızma girişimi sonucu toplanan log verileri, alarmın kaynağı, hangi protokolü kullandığı ve hedefin ne olduğu gibi bilgileri içerir. Aşağıdaki örnek, bu bilgilerin nasıl değerlendirileceğine dair bir bakış açısı sunar:

Kaynak IP: 192.168.1.5
Hedef: web-server.local
Eylem Türü: SQL Injection
Yöntem: HTTP POST

Burada, kaynak IP adresinin tanımlanması, saldırganın kimliğini ortaya koyabilmekte ve saldırı türü ile hedef belirleyerek durumu anlamlandırmamızda kritik bir rol oynamaktadır. Özellikle saldırı türü, potansiyel zafiyetler ve yanlış yapılandırmalar hakkında önemli ipuçları sağlamaktadır.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırma veya zafiyetlerin etkisini değerlendirmek için öncelikle hangi sistemlerin etkilendiğini ve saldırganın ne tür bir erişim sağladığını belirlemek önemlidir. Örneğin, bir web uygulamasında SQL injection zafiyeti var ise, bu durum veritabanına izinsiz erişim sağlayabilecek ciddi bir güvenlik ihlali potansiyeli taşır. Böyle bir zafiyetin varlığında, hackerlar, veri sızıntısına neden olabilecek yetkisiz sorgular çalıştırabilirler.

Bir başka örnek; yanlış yapılandırılmış bir ağ güvenlik duvarı, kötü niyetli kullanıcılara ağ içindeki hassas verilere erişim sağlayabilir. Bu durum, ağ topolojisi içinde kritik sistemlerin sorgulanmasını gerektiren ciddi bir risk oluşturur.

Sızan Veri ve Topoloji

Sızan veriler, organizasyonun güvenlik durumunu ve potansiyel etkilenen kullanıcıları belirlemede kritik bir öneme sahiptir. Bir veritabanına yapılan sızma girişimi durumunda, eğer saldırgan kullanıcı bilgilerini veya belirli hassas verileri ele geçirirse, bunun sonuçlarını analiz etmek gerekecektir. Örneğin, 10.000 kullanıcı kaydının sızması durumu, hem müşteri güvenini sarsar hem de yasal yükümlülükler doğurabilir.

Profesyonel Önlemler ve Hardening Önerileri

Alarm inceleme süreci sonunda elde edilen risk ve zafiyet analizine dayanarak birkaç öneri sunmak mümkündür. Özellikle aşağıdaki profesyonel önlemler, sistemlerin güvenliğini artırma potansiyeline sahiptir:

  1. Güvenlik Duvarı ve IDS/IPS Uygulamaları: Ağda bulunan güvenlik duvarlarının ve saldırı tespit/preventif sistemlerinin etkili bir biçimde yönetilmesi, dış tehditlere karşı ilk savunma hattıdır.

  2. Sistem Hardening: Tüm sistemler üzerinde gereksiz servislerin kapatılması ve yalnızca gerekli olan protokollerin açılması ile birlikte, sistem hardening stratejileri uygulanmalıdır. Örneğin, SSH üzerinden gereksiz portların kapatılması gibi.

  3. Eğitim ve Farkındalık: Kullanıcıları, sosyal mühendislik saldırılarına karşı bilinçlendirmek, insan hatalarından kaynaklanan güvenlik açıklarını azaltmak için kritik bir adımdır.

  4. Yama Yönetimi: Yazılımlar üzerinde en güncel güvenlik yamalarının uygulanması, bilinen zafiyetlerle mücadele edebilmek adına önemlidir.

Sonuç

Alarm inceleme süreci, siber güvenlikte önemli bir yer tutmakta ve bu süreçte elde edilen bulgular, organizasyonların güvenlik durumu hakkında değerli bilgiler sunmaktadır. Yanlış yapılandırma veya zafiyetlerin etkileri değerlendirildiğinde, sistemlerin güvenliğini artıracak profesyonel önlemlerin alınması büyük önem taşımaktadır. Sonuç olarak, bu süreçler bir araya getirildiğinde, organizasyonlar hem mevcut tehditlerle başa çıkmakta hem de gelecekteki saldırılara karşı proaktif bir duruş sergilemektedir.