CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Azure Monitor ve Activity Logları Eğitimi: Siber Güvenlikte Kritik Bilgiler

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Azure Monitor ve Activity Logları ile siber güvenlik analizi yapmayı öğrenin. Bulut kaynaklarındaki log verilerini etkili bir şekilde yönetin.

Azure Monitor ve Activity Logları Eğitimi: Siber Güvenlikte Kritik Bilgiler

Siber güvenlik alanında Azure Monitor ve Activity Logları hakkında derinlemesine bilgi edinin. Bu eğitim, log analizi ve tehdit tespiti için kritik becerileri kazanmanızı sağlayacak.

Giriş ve Konumlandırma

Azure Monitor ve Activity Logları Eğitimi: Siber Güvenlikte Kritik Bilgiler

Siber güvenlik, günümüz dijital dünyasında hayati bir öneme sahiptir. Organize siber saldırılar, veri ihlalleri ve diğer siber tehditler, yalnızca bireylerin değil, aynı zamanda organizasyonların da güvenliğini tehdit etmektedir. Bu bağlamda, bulut tabanlı hizmetlerin kullanımı da artarken, bunların yönetimi ve güvenliği için gereken bilgi ve becerilerin artırılması gerekiyor.

Azure Monitor, Microsoft'un sunmuş olduğu bir hizmettir ve bulut kaynakları üzerindeki uygulamaların performansının ve güvenliğinin izlenmesine olanak tanır. Bu hizmet, geniş kapsamlı veri toplama ve analiz etme yetenekleri sunarak, siber güvenlik uzmanlarına olayları daha iyi anlamalarını ve yanıt vermelerini sağlar. Azure Activity Logları ise bu hizmetin bir parçası olarak, Azure aboneliğindeki tüm yönetimsel işlemleri kaydeder.

Azure Activity Logları: Kritik Bilgiler

Azure Activity Logları, bir Azure aboneliğinde gerçekleşen tüm önemli işlemleri kaydeder. Bu loglar, "Kontrol Düzlemi" (Control Plane) aktivitelerini takip etmek için kullanılır. Örneğin, bir kaynağın silinmesi, yeni bir servisin başlatılması veya izin atamaları gibi işlemler Activity Logları aracılığıyla izlenebilir. Bu bilgiler, siber güvenlik uzmanları için kritik veriler sunar; çünkü herhangi bir olağan dışı etkinlik, potansiyel bir tehditin başlangıcı olabilir.

Activity Logları genellikle JSON formatında saklanır ve analiz için incelenmesi gereken temel alanlar arasında caller, operationName ve status gibi bileşenler yer alır. Örneğin, bir log girişi şu şekilde görünür:

{
   "caller": "user@example.com",
   "operationName": "Microsoft.Authorization/roleAssignments/write",
   "status": "Succeeded"
}

Bu tür bilgiler, bir kullanıcının neyi ne zaman yaptığını ve işlemin başarılı olup olmadığını belirlemek için kullanılır. Dolayısıyla, bir siber güvenlik uzmanı bu kayıtları analiz ederek, potansiyel tehditleri erken aşamada tespit edebilir.

Siber Güvenlik ve Pentest Bağlamı

Pentest (penetrasyon testi) süreçleri, bir kuruluşun güvenlik açıklarını tespit etmek adına kritik bir adımdır. Azure Activity Logları, pentestlerin gerçekleştirilmesi sırasında elde edilmesi gereken verileri sunar. Bu kayıtlar, sisteme yapılan her bir müdahaleyi ayrıntılı bir şekilde kaydeder; böylece bir saldırganın hangi yollarla sisteme erişim sağladığı veya hangi zafiyetleri kullandığı ortaya konabilir.

Örneğin, bir saldırganın yetki yükseltme (privilege escalation) girişimlerini izlemek için, kimlik logları üzerinde de dikkatlice durmak gerekir. Azure Monitor altında yer alan kimlik yönetimi logları, abonelere kullanıcı işlemleri hakkında kritik bilgiler sağlar. "Add member to role" veya "Reset user password" gibi işlemler, bir saldırganın yetki elde etme çabasını gösterebilir. Bu tür veriler, siber güvenlik uzmanlarının anomali ve tehditlerin hızlı bir şekilde belirlenmesine yardımcı olur.

Azure Monitor Ekosistemi

Azure Monitor, yalnızca Activity Logları ile sınırlı kalmaz. Log Analytics, Azure üzerinde meydana gelen diğer log kaynaklarını toplayarak, analistlerin bu verileri daha detaylı bir biçimde incelemesine olanak tanır. Güçlü sorgu dili Kusto Query Language (KQL), log verilerini sorgulamak ve analiz etmek için kullanılır. SQL benzeri bir yapı ile analistler, hızlıca veri akışını inceleyebilir ve anomali tespitinde bulunabilir.

Örneğin, aşağıdaki KQL sorgusu, belirli bir kullanıcı tarafından yapılan tüm yetkilendirme değişikliklerini listeleyebilir:

AzureActivity
| where operationName == "Microsoft.Authorization/roleAssignments/write"
| where caller == "user@example.com"
| project time, caller, operationName, status

Bu tarz sorgular, siber güvenlik sürecinde kritik bilgi noktalarının hızlı bir şekilde belirlenmesini sağlar. Azure üzerinde etkin bir güvenlik yönetimi için bu tür log verilerinin analizi ve yorumlanması gerekmektedir.

Sonuç olarak, Azure Monitor ve Activity Logları, siber güvenlikte kritik rol oynamaktadır. Bu verilerin dikkatli bir şekilde incelenmesi, kuruluşların potansiyel tehditleri erken dönemde fark etmelerine ve güvenlik açılarını kapatmalarına yardımcı olur. Eğitim sürecimizde bu konular üzerinde derinlemesine durarak, Azure Monitor'u etkin bir güvenlik aracı olarak benimsemeyi hedefliyoruz.

Teknik Analiz ve Uygulama

Azure Monitor ve Activity Logları Eğitimi: Siber Güvenlikte Kritik Bilgiler

Abonelik Denetimi: Activity Log

Azure aktivitelerini izlemek ve analiz etmek için kullanılan temel araçlardan biri Azure Activity Log’udur. Bu log, bir Azure aboneliği altında gerçekleştirilen tüm yönetimsel işlemleri kaydeder. Örneğin, yeni bir kaynak oluşturma, mevcut bir kaynağı silme veya yetki ataması yapma gibi kontrol düzlemi aktiviteleri bu logda bulunur.

Activity Log, JSON formatında yapılandırılmış verilere sahiptir. Bu verilerin içinde, işlemi yapan kullanıcının kimliğini gösteren caller alanı, gerçekleştirilen işlemin türünü belirtmek için kullanılan operationName alanı ve işlemin başarılı olup olmadığını gösteren status alanı gibi kritik bilgiler mevcuttur.

Aşağıda, Activity Log kullanarak temel bir sorgulama işlemi gerçekleştirmek için ihtiyaç duyacağınız örnek bir Kusto Query Language (KQL) sorgusu bulunmaktadır:

AzureActivity
| where ResourceGroup == "myResourceGroup" 
| where TimeGenerated >= ago(7d)
| project TimeGenerated, Caller, OperationName, Status
| order by TimeGenerated desc

Bu sorgu, myResourceGroup adlı kaynak grubundaki son yedi günde gerçekleşen aktiviteleri listelemektedir. Komutun çıktısında, işlem tarihi, işlemi gerçekleştiren kişi, işlem adı ve sonuç durumu gibi veriler görüntülenir.

JSON Analizi: Kritik Alanlar

Activity Log verilerinin analiz edilmesi sırasında, JSON formatının getirdiği karmaşıklığı yönetmek önemlidir. Verilerin kritik alanlarını anlamak, olay analizi için doğruluğun sağlanması açısından elzemdir. caller, operationName ve status alanlarının yanı sıra, resourceId ve eventCategory gibi diğer önemli alanlar da değerlendirilebilir. Bu alanlar, hangi kaynak üzerinde işlemlerin gerçekleştiği ve olayın hangi kategoriye ait olduğunu belirlemek için kullanılır.

Azure Monitor Ekosistemi

Azure Monitor, farklı kaynaklardan gelen logların toplandığı bir ekosistemdir. Bir SOC analisti olarak, bu kaynakların kapsama alanlarını ve hangi bilgilerin nerede tutulduğunu bilmek kritik bir yetkinliktir. Örneğin, Azure Resource Logs, spesifik kaynak aktivitelerini kaydederken, Microsoft Entra ID logları kimlik yönetimi ile ilgili olayları takip eder.

Azure Monitor’ü kullanarak çeşitli kaynaklardan gelen logları merkezi bir platformda toplayabiliriz. Aşağıdaki komut, logların analiz edilmesini sağlayacak bir yapı oluşturur:

AzureActivity
| join kind=inner (ResourceLogs) on ResourceId
| project TimeGenerated, Caller, OperationName, Status, ResourceType

Bu sorgu, Activity Log ile Resource Log verilerini birbirine bağlayarak daha derin bir analiz yapmamızı sağlar.

Analistin Silahı: Kusto Query Language

Kusto Query Language (KQL), Azure üzerindeki log verilerini sorgulamak, filtrelemek ve analiz etmek için kullanılan güçlü bir dildir. SQL benzeri bir yapı sunarak, karmaşık verilerin anlamlandırılmasını kolaylaştırır. KQL ile yazdığınız sorgular, veritabanları üzerinde hızlı ve etkili analizler yapmanıza olanak tanır.

Örneğin, içinde şüpheli aktiviteler barındıran kimlik loglarını sorgulamak için aşağıdaki gibi bir KQL yazabilirsiniz:

SigninLogs
| where Status == "Failed"
| summarize FailedLoginAttempts = count() by UserPrincipalName

Bu sorgu, başarısız olan giriş denemelerini kullanıcı bazında gruplandırarak analiz etmenizi sağlar.

Kimlik Tehdidi Takibi

Kimlik yönetimi logları, siber güvenlik analizinin en kritik veri kaynaklarındandır. Microsoft Entra ID logları, yönetimsel yetkilerin nasıl kullanıldığını, kimlerin hangi işlemleri gerçekleştirdiğini ve bu işlemlerin sonuçlarını kayıt altına alır. Örneğin, "Add member to role" veya "Reset user password" gibi olaylar, yetki yükseltme girişimlerinin tespit edilmesinde önemli bir rol oynar. Bu tür loglarda gözlemlenen anormal durumlar, analistlerin potansiyel tehditleri erken aşamada fark etmelerini sağlar.

Log Akışını Başlatmak

Azure'daki kaynaklar varsayılan olarak loglarını kalıcı olarak saklamadığından, logların toplanması amacıyla gerekli yapılandırmaların yapılması gerekir. Bu, ilgili kaynak üzerinde Diagnostic Settings (Tanılama Ayarları) aracılığıyla gerçekleştirilir. Loglar daha sonra bir Storage Account veya SIEM (Security Information and Event Management) sistemine yönlendirilmelidir.

Örnek bir yapılandırma şu şekilde gerçekleştirilebilir:

az monitor diagnostic-settings create --resource <resource-id> --workspace <workspace-id> --logs '[{"category": "AuditEvent", "enabled": true}]'

Bu komut, belirli bir kaynak için audit loglarının bir Log Analytics Workspace'e yönlendirilmesini sağlar.

Özet: Analistin Azure Takip Listesi

Azure'daki log analizleri, güvenlik olaylarının tespit edilmesi ve yönetilmesi için kritik bir bileşendir. Activity Log, Azure Monitor ve KQL gibi araçlar, analistlerin bu karmaşık verileri etkili bir şekilde yönetmelerine olanak tanır. Anormal aktiviteleri tespit etmek ve saldırganların potansiyel tehditlerini ortaya çıkarmak için bu kaynakların etkili bir şekilde kullanılması şarttır. Siber güvenlik konusundaki bilgilerinizi güncel tutarak, Azure ortamındaki güvenliği artırmak için gereken adımları atabilirsiniz.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlik alanında risk değerlendirmesi, sistemlerin ve verilerin olası tehditlere karşı korunmasında kritik bir bileşendir. Azure Monitor ve Activity Logları, cloud ortamında meydana gelen olayların yanı sıra yönetimsel işlemleri de içeren derinlemesine bilgilere erişim imkanı sunar. Bu kaynakların analiz edilmesi, potansiyel tehditlerin ve yanlış yapılandırmaların tespit edilmesine yardımcı olur.

Elde Edilen Bulguların Güvenlik Anlamı

Azure Activity Logları, abonelik seviyesinde meydana gelen tüm yönetimsel işlemleri takip eder. Bu loglar, belirli bir kaynağın silinmesi, yeni bir servisin başlatılması veya mevcut yetkilerin değiştirilmesi gibi aktiviteleri detaylı bir şekilde gösterir.

Örneğin, bir kaynak üzerinde yapılan bir silme işlemi aşağıdaki gibi bir JSON kaydıyla loglanabilir:

{
  "caller": "admin@example.com",
  "operationName": "Microsoft.Resources/deployments/delete",
  "status": "Succeeded",
  "eventTimestamp": "2023-10-01T12:00:00Z"
}

Bu kayıtta yer alan caller alanı, işlemi gerçekleştiren kullanıcının kimliğini gösterirken, operationName alanı işlemin türünü ifade eder. Böyle bir kaydın varlığı, kaynak yönetimi faaliyetlerinin denetlenmesi açısından önemlidir. Ayrıca, status alanındaki "Başarılı" durumu, işlemin sorunsuz geçtiğini gösterir ki bu, belirli bir güvenlik gereksiniminin karşılandığı anlamına gelir.

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmalar, siber saldırganlar için fırsatlar sunar. Örneğin, bir hizmetin yanlışlıkla herkese açık hale getirilmesi, verilerin yetkisiz erişime açılmasına neden olabilir. Activity Log'lar altında, "NSG Rule Deleted" gibi kritik kayıtlar, bir ağ güvenlik kuralının silinmesi durumunda kaydedilir. Bu durum aşağıdaki gibi bir JSON çıktısı ile temsil edilebilir:

{
  "caller": "admin@example.com",
  "operationName": "Microsoft.Network/networkSecurityGroups/delete",
  "status": "Succeeded",
  "eventTimestamp": "2023-10-01T12:10:00Z"
}

Görüldüğü üzere, bir güvenlik kuralının silinmesi, potansiyel bir güvenlik açığı yaratır. Böyle durumlarda, sızma girişimlerine karşı savunmasız duruma düşülmektedir. Dolayısıyla, bu tür olayların zamanında tespit edilmesi ve analiz edilmesi gerekmektedir.

Sızan Veri, Topoloji ve Servis Tespiti

Kimlik yönetimi logları, sistem üzerinde gerçekleşen kritik olayların izlenmesine olanak tanır. Örneğin, "Add member to role" veya "Reset user password" olayları, kullanıcıların yetki seviyelerinin değiştirilmesi veya parolalarının sıfırlanması gibi işlemleri içerir. Aşağıda bu tür bir olayı gösteren örnek bir JSON kaydı sunulmuştur:

{
  "caller": "admin@example.com",
  "operationName": "Microsoft.Authorization/roleAssignments/write",
  "status": "Succeeded",
  "eventTimestamp": "2023-10-01T12:20:00Z"
}

Bu tür aktiviteler, yetki yükseltme (privilege escalation) saldırılarının tespit edilmesinde kritik rol oynamaktadır. Güvenlik analistleri, logları analiz ederek, sistem üzerinde izinleri artırmaya çalışan şüpheli aktiviteleri profesyonel olarak izlemekle yükümlüdür.

Profesyonel Önlemler ve Hardening Önerileri

Azure kaynaklarının güvenliğini artırmak için bazı önlemler alınabilir. Öncelikle, Diagnostic Settings’in yapılandırılması, logların doğru bir şekilde toplanmasını sağlar. Aşağıdaki komut ile Diagnostic Settings yapılandırılması yapılabilir:

az monitor diagnostic-settings create --resource <resource-id> --workspace <workspace-id>

Bu yapılandırma, logların bir SIEM platformuna yönlendirilmesini sağlar ve güvenlik olaylarının daha sistematik bir şekilde izlenmesine yardımcı olur.

Ayrıca, kimlik yönetimi ve erişim kontrollerinin sıkı bir şekilde uygulanması, potansiyel tehditleri minimize eder. Yetki envanterinin düzenli olarak gözden geçirilmesi ve gereklilik dahilinde güncellenmesi önemlidir.

Sonuç

Azure Monitor ve Activity Logları, veri güvenliği için oldukça değerli kaynaklardır. Yanlış yapılandırmaların ve sızma girişimlerinin zamanında tespit edilmesi, siber saldırılara karşı etkili bir savunma stratejisi oluşturmanın anahtarıdır. Logların etkili bir şekilde analiz edilmesi, profesyonel siber güvenlik önlemleri ile harmanlandığında, riskleri minimize etmek ve güvenliği artırmak açısından kritik bir rol oynar. Bu nedenle, cloud ortamındaki log yönetimi ve analizi, siber güvenlik stratejilerinin temel bileşenlerinden biri olmalıdır.