CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Anomali

Anomali Tespitinde Veri Kaynaklarının Önemi

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Anomali

Anomali tespitinde veri kaynaklarının tanımı, önemi ve çeşitleri hakkında bilgi edinin. Ağ verisi, endpoint verisi ve daha fazlasını keşfedin.

Anomali Tespitinde Veri Kaynaklarının Önemi

Anomali tespitinde kullanılan veri kaynakları, tespit süreçlerini doğrudan etkiler. Bu yazıda, log kaynakları, ağ verisi ve kullanıcı aktiviteleri gibi konulara değiniliyor.

Giriş ve Konumlandırma

Anomali tespiti, siber güvenlik alanında kritik bir süreç olarak öne çıkmaktadır. Bu süreç, ağlar ve sistemlerdeki olağan dışı davranışları veya aktiviteleri belirlemek için tasarlanmış yöntemler ve algoritmalar kullanarak güvenlik tehditlerinin erken tespit edilmesini sağlar. Anomali tespiti, genellikle belirli bir normal davranış profili oluşturup, bu profilin dışında kalan olayları belirleyerek çalışır. Ancak, bu sürecin başarılı bir şekilde işlemesi, kaliteli ve doğru veri kaynaklarına bağımlıdır.

Veri Kaynağı Tanımı

Veri kaynakları, anomali tespitinde kullanılan ham veri setlerini ifade eder. Bu veri setleri; log verileri, ağ trafiği, sistem kayıtları, kullanıcı aktiviteleri ve daha fazlasını içerebilir. Bu kaynakların kalitesi ve çeşitliliği, anomali tespit sürecinin etkinliğini doğrudan etkiler. Yetersiz veya hatalı veri kaynakları, yanlış pozitifler ya da yanlış negatifler üretme riskini artırarak, siber güvenlik stratejilerini zayıflatabilir.

Önemi

Veri kaynaklarının önemi, siber güvenlikteki pek çok bileşeni etkileyen temel bir unsurdur. Özellikle penetrasyon testi (pentest) ve siber savunma açısından, doğru veri kaynaklarına sahip olmak, güvenlik analistlerine daha iyi bir gözleme ve raporlama altyapısı sunar. Anomali tespit sistemleri, bu veri kaynaklarından elde ettikleri bilgileri kullanarak normalden sapmaları analiz eder ve güvenlik ihlalleri hakkında uyarılarda bulunur. Dolayısıyla, veri kaynakları; sistem güvenliğini artırmak, olağan dışı aktiviteleri tespit etmek ve gerektiğinde hızlı müdahale sağlamak açısından kritik bir rol oynar.

Log Kaynakları

Log verileri, anomali tespitinin temel yapı taşlarından biridir. Farklı sistemlerden ve uygulamalardan toplanan loglar, süreç aktiviteleri, dosya erişim kayıtları, kullanım ve sistem değişiklikleri gibi önemli bilgileri içerir. Aşağıdaki örnekte, farklı log türlerinin tanımları yer almaktadır:

- Process Logs: Süreç aktiviteleri
- File Access: Dosya erişimi
- Registry Changes: Sistem değişiklikleri
- Audit Logs: Kullanım kayıtları
- Access Logs: Erişim bilgileri

Bu verilerin gözlemlenmesi, sistemdeki anormal durumların tespit edilmesi açısından büyük önem taşır.

Network Verisi

Ağ trafik verisi, bir başka önemli veri kaynağıdır. Bu veriler, ağ aktivitelerini, protokol kullanımlarını ve iletişim desenlerini içerir. Ağ akış verileri (netflow), DNS sorguları ve HTTP trafiği gibi veriler, saldırganların veya kötü niyetli aktivitelerin tespit edilmesine yardımcı olur. 

- Netflow: Ağ akış verileri
- DNS: Alan adı sunucu sorguları
- HTTP trafik: Web trafiği ile ilgili veriler

Bu tür verilerin analizi, anomali tespitinde kullanılan algoritmaların daha doğru sonuçlar elde etmesine imkan tanır.

Endpoint Verisi

Endpoint'ler, bir ağın uç noktalarıdır ve bu noktalar genellikle saldırganların hedef aldığı yerlerdir. Endpoint verileri; giriş aktiviteleri, erişim kalıpları ve kullanıcı davranışları gibi bilgileri içerir. Bu veri kaynaklarının analizi, insan hatası veya iç tehditler gibi durumları tespit etmek için oldukça değerlidir.

Kullanıcı Verisi

Kullanıcı aktiviteleri, siber güvenlik bağlamında önemli bir veri kaynağıdır. Kullanıcıların davranışları, anormal durumların tespitinde büyük katkı sağlar. Örneğin, bir kullanıcının alışılmışın dışında bir zamanda sisteme giriş yapması veya alışılmadık verilere erişim sağlaması gibi durumlar anomali olarak değerlendirilebilir.

Zorluklar ve Faydalar

Veri kaynaklarını kullanmak bazı zorluklar da barındırır. Farklı veri kaynaklarının entegrasyonu genellikle karmaşık olabilir ve bu durum veri bütünlüğünü riske atabilir. Ayrıca, büyük verinin yönetimi, veri kalitesinin sağlanması ve daha fazla analiz yapılabilmesi için veri işleme gereksinimleri gibi faktörler de göz önünde bulundurulmalıdır.

Bununla birlikte, farklı veri kaynaklarının entegrasyonu, daha kapsamlı bir güvenlik görünürlüğü sağlar ve anomali tespit yeteneklerini artırır. SOC (Security Operations Center) L2 analistleri, bu kaynakları analiz ederek anomaliyi tespit etme görevini üstlenir. Verilerin doğru bir şekilde analiz edilmesi, güvenlik stratejilerinin etkinliğini artırarak organizasyonların siber güvenlik savunmalarını güçlendirebilir.

Veri kaynakları, anomali tespitinde çok yönlü bir değer sunmakta olup, bu sürecin doğru bir şekilde gerçekleştirilmesi için kritik öneme sahiptir. Bu doğrultuda, güvenlik uzmanları ve SOC analistleri için doğru veri kaynaklarına odaklanmak, siber güvenlik stratejilerinin temel bir parçası haline gelmektedir.

Teknik Analiz ve Uygulama

Veri Kaynağı Tanımı

Veri kaynakları, anomali tespiti için kullanılan ham veri setlerini ifade eder. Bu kaynaklar, kullanıcı ve sistem aktiviteleri hakkında bilgi sağlayarak, kötü niyetli faaliyetlerin veya hataların tespit edilmesine olanak tanır. Anomali tespiti süreçlerinde, farklı veri kaynaklarının kullanılması, daha kapsamlı bir bakış açısı sunar ve potansiyel tehditlerin hızlıca belirlenmesine yardımcı olur.

Önemi

Veri kaynaklarının kalitesi ve çeşitliliği, anomali tespit süreçlerinin etkinliğini doğrudan etkiler. Doğru ve güvenilir veri kaynakları, anomali analistinin doğru sonuçlara ulaşmasını sağlar. Bu durum, güvenlik olaylarının hızlı bir şekilde tespit edilmesi ve müdahale edilmesi açısından kritik öneme sahiptir.

Log Kaynakları

Log verileri, anomali tespitinde en temel veri kaynaklarından biridir. Uygulama, sistem ve güvenlik logları, belirli bir zaman diliminde meydana gelen olayların kaydını tutar. Bu kayıtlar, veri analizinde önemli bir altyapı sunarak, anormal durumların belirlenmesine ve nedenlerinin araştırılmasına yardımcı olur.

Örnek bir log kaynağı aşağıdaki gibidir:

2023-10-10 12:34:56 [INFO] User login success: user123
2023-10-10 12:35:00 [WARNING] Failed login attempt: user456
2023-10-10 12:35:05 [ERROR] Unauthorized access attempt

Bu loglar, kullanıcı aktiviteleri ile güvenlik durumlarını izlemek için kullanılabilir.

Network Verisi

Ağ trafiği bilgileri, anomali tespiti için bir diğer önemli veri kaynağıdır. Netflow, DNS sorguları, HTTP trafiği ve paket bilgileri gibi veriler, ağ içerisindeki anormal davranışları tespit etmek için kritik öneme sahiptir.

Ağ trafiği verilerinden bazıları aşağıdaki gibidir:

Byte Count: 1048576
Source IP: 192.168.1.1
Destination IP: 192.168.1.10
Protocol: TCP
Start Time: 2023-10-10 12:30:00
End Time: 2023-10-10 12:31:00

Bu tür veriler, anomali tespitinde kullanılan yapay zeka algoritmalarına girdi olarak sunularak, potansiyel tehdit taraflarının belirlenmesine yardımcı olur.

Endpoint Verisi

Endpoint veri kaynakları, kullanıcı cihazlarından gelen bilgilerden oluşur. Bu, işlemci kullanımı, bellekteki süreçler, dosya erişimleri ve sistem değişiklikleri gibi verilere dayanmaktadır. Endpoint üzerinde meydana gelen anormal davranışlar, siber tehditlerin izlenmesi için kritik öneme sahiptir.

Örnek bir endpoint verisi şöyle olabilir:

Timestamp: 2023-10-10 12:40:00
User: user123
Action: File Access
File: C:\SensitiveData\Document.docx
Operation: Read

Bu bilgiler, kullanıcının kullanım alışkanlıklarını analiz etmeye ve potansiyel tehditleri tespit etmeye yardımcı olur.

Kullanıcı Verisi

Kullanıcı aktiviteleri, farklı veri kaynaklarından elde edilen davranış desenlerini içerir. Giriş aktiviteleri, erişim kalıpları ve kullanıcı davranışları anomali tespitinde kritik öneme sahiptir. Bu verilerin analizi, kullanıcıların olağan dışı davranışlarını belirlemek için gereklidir.

Kullanıcı verisi ile ilgili örnek bir çıktı aşağıdaki gibidir:

{
  "user": "user123",
  "login_activity": [
    {
      "timestamp": "2023-10-10T12:30:00Z",
      "ip_address": "192.168.1.1"
    },
    {
      "timestamp": "2023-10-10T12:35:00Z",
      "ip_address": "192.168.1.100"
    }
  ]
}

Bu veriler, kullanıcı tarafından gerçekleştirilen işlemlerin izlenmesine yardımcı olur ve alışılmadık durumları belirlemede kullanılabilir.

Cloud Verisi

Bulut ortamları, büyük veri setlerinin saklanması ve işlenmesi için popüler hale gelmiştir. Bulut veri kaynakları, farklı hizmetlerden gelen verileri toplayarak, anomali tespit süreçlerine entegre edilebilir. Bu veriler, ağ trafiği ve kullanıcı aktiviteleri ile birleştirildiğinde, kapsamlı bir analiz sunar.

Zorluklar

Veri kaynakları ile çalışmanın bazı zorlukları vardır. Veri miktarı, veri kalitesi, veri entegrasyonu ve karmaşıklığı, anomali tespitinde karşılaşılan temel zorluklardır. Büyük veri setlerinin yönetilmesi ve analiz edilmesi, doğru karar verme süreçlerini etkileyebilir.

Veri kalitesi, anomali tespitinde kritik bir rol oynar. Yanlış, eksik veya yanıltıcı veriler, yanıltıcı tespit sonuçlarına yol açabilir.

Avantaj

Farklı veri kaynaklarının birleşimi, daha kapsamlı ve bütünsel bir görünüm sağlar. SOC L2 analistleri, bu verileri analiz ederek anomaliyi tespit eder ve potansiyel tehditlerin önüne geçmek için gerekli önlemleri alabilir. Veri kaynaklarının doğru bir şekilde birleştirilmesi, güvenlik analizi süreçlerini daha verimli hale getirir.

SOC L2 Final Süreci

Sonuç olarak, anomali tespit süreçlerinin etkinliği, kullanılan veri kaynaklarının çeşitliliği ve kalitesi ile doğrudan ilişkilidir. SOC L2 analistleri, farklı veri kaynaklarını analiz ederek, olası tehditleri tespit eder ve gerekli güvenlik önlemlerini alarak organizasyonların güvenliğini sağlamada önemli bir rol üstlenirler. Anomali tespit sürecinin başarıya ulaşması için, doğru veri kaynaklarının ve analitik yaklaşımların birlikte kullanılması esastır.

Risk, Yorumlama ve Savunma

Siber güvenlikte anomali tespiti, güvenlik incelemesinin kritik bir bileşenidir ve çeşitli veri kaynaklarının güvenilirliğine dayanır. Verilerin analizi, sistemlerin güvenliği açısından büyük bir risk unsuru taşır; bu nedenle, elde edilen bulguların yorumlanması kritik öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Bir sistemi izlerken elde edilen veriler, potansiyel güvenlik tehditlerini tanımlamak için kullanılabilir. Örneğin, anormal bir ağ trafiği artışı, potansiyel bir DDoS saldırısının habercisi olabilir. Log verileri, erişim isteklerini ve belirli süreçlerin aktivitelerini izlemek için kullanılır; bu bağlamda, "Erişim Kayıtları" analizi önemli rol oynar. Aşağıdaki kod bloğunda, basit bir log kaydı örneği sunulmaktadır:

26.10.2023 10:23:45 INFO User 'admin' accessed the financial records.
26.10.2023 10:24:12 WARNING User 'guest' attempted unauthorized access to admin panel.

Bu tür bulgular, sistemdeki zayıf noktalara dair önemli ipuçları sağlamaktadır. Örneğin, kullanıcı aktivitelerinde düzenli bir değişim gözlemlenmesi, bazı kullanıcıların yetkisiz erişim teşebbüsünde bulunduğunu gösteriyor olabilir.

Yanlış Yapılandırma veya Zafiyet

Yanlış yapılandırmalar, birçok siber saldırının temelini oluşturabilir. Bir sistemdeki zafiyet, hackerların sisteme sızabilmesi için bir kapı açabilir. Örneğin, doğru bir güvenlik duvarı kuralı oluşturulmadığında, dışa açık olan portlar, kötü niyetli saldırılar için hedef haline gelebilir.

Yanlış yapılandırılmış bir veri tabanı, kritik verilere izinsiz erişime neden olabilir. Bu tür durumların önüne geçmek için ayrıca sistem hardening (güçlendirme) işlemleri yapılmalıdır. Aşağıdaki örnek, bazı yaygın yanlış yapılandırmaya dair bir tablo sunmaktadır:

Yanlış Yapılandırma Risk
Açık portların kontrolsüz bırakılması Dış saldırılar için hedef oluşturma
Parola karmaşasının yetersiz olması KABA kırılmalarına maruz kalma
Güncellemelerin yapılmaması Zafiyetlerin artması

Sızan Veri, Topoloji ve Servis Tespiti

Anomali tespiti, sızan verilerin ve sistem topolojilerinin belirlenmesinde de önemli bir rol oynar. Özellikle, veri sızıntılarının tespiti için gereken günlük analizleri, tüm sistem mimarisinin sağlıklı bir şekilde izlenmesine olanak tanır. Network verileri, sistemdeki anormal aktiviteleri tespit etmek için kullanılır; derinlemesine bir analiz yapıldığında, hangi sunucunun hangi verileri işlediği ve kimlerin bu verilere eriştiği belirlenebilir.

Örneğin, aşağıdaki log kaydı, bir veri sızıntısını gösterir:

26.10.2023 11:10:30 ALERT Data exfiltration detected. User 'employee123' uploaded 500MB of confidential data.

Bu tip bir uyarı, kullanıcı başlangıçta izinli olsa bile, sistem tercihlerinin ve güvenlik protokollerinin gözden geçirilmesini gerektirir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik önlemleri, sistemlerin dirençliliğini artırmak ve potansiyel tehditlere karşı savunma mekanizmalarının oluşturulması açısından kritik öneme sahiptir. İşte bazı öneriler:

  1. Güçlendirme (Hardening): Tüm sistem ve uygulamalar, güncel yamalar ve güvenlik güncellemeleri ile güçlendirilmelidir.
  2. Log Yönetimi: Düzenli log analizleri yapılmalı, önemli loglar için merkezi bir izleme sistemi kurulmalıdır.
  3. Erişim Kontrolleri: Kullanıcılara en düşük ayrıcalık ilkesine göre erişim izni verilmelidir.
  4. Düzenli Gerçekleştirilen Penetrasyon Testleri: Zafiyetlerin tespit edilmesi ve düzeltilmesi adına düzenli olarak penetrasyon testleri uygulanmalıdır.

Sonuç

Veri kaynakları, siber güvenlikte anomali tespiti açısından hayati bir rol oynamaktadır. Doğru veri kaynakları ve bunların analizi, potansiyel tehditlerin önceden tespit edilmesini sağlar. Sistemlerin güvenliği için yapılan yanlış yapılandırmalar ve zafiyetler, büyük kayıplara yol açabilir. Bunun önüne geçmek için profesyonel hardening önerilerinin uygulanması ve her zaman güncel güvenlik önlemlerinin alınması gereklidir. Anomali tespit süreçlerinin etkin bir şekilde yürütülmesi, güvenlik açıklarını minimize edecek ve organizasyonların siber tehditlere karşı dayanıklılığını artıracaktır.