CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

Bulut Logları ile Siber Tehdit Avına Çıkın

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

Bulut ortamlarındaki aktivitelerin analizi ile siber tehditleri tespit etmeyi öğrenin. Cloud logları ve tehdit avı konusundaki detaylara ulaşın.

Bulut Logları ile Siber Tehdit Avına Çıkın

Cloud logları ile tehdit avı yapmak, siber güvenlik sürecinde kritik bir adımdır. Bu yazıda, bulut ortamlarındaki logları analiz ederek güvenlik tehditlerini nasıl tespit edeceğinizi keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında sağlıklı bir savunma altyapısı kurmanın temel bileşenlerinden biri, saldırıları zamanında tespit edebilme yeteneğidir. Bu bağlamda, bulut ortamlarında meydana gelen aktiviteleri kaydeden, analiz eden ve bu verileri kullanarak potansiyel tehditleri belirleyen bulut logları, günümüzde kritik bir öneme sahiptir. Bulut logları, bulut tabanlı hizmetlerin kullanımının artmasıyla birlikte, siber güvenlik uzmanlarının ve SOC (Security Operations Center) analistlerinin tehdit avı süreçlerinin vazgeçilmez bir parçası haline gelmiştir.

Cloud Log Tanımı ve Önemi

Cloud logları, bulut ortamlarında gerçekleşen aktivitelerin kaydedildiği veri setleridir. Kullanıcı aktiviteleri, API çağrıları ve sistem olayları gibi unsurlar, doğru bir şekilde izlenip kaydedildiğinde, siber tehditlerin tespit edilmesine olanak sağlar. Bu loglar, yalnızca herhangi bir anormalliği ya da yetkisiz erişimi tespit etmenin yanı sıra, aynı zamanda sistemin genel sağlığını izlemek için de önemli işlevler sunar. Dolayısıyla, bulut loglarının etkin bir şekilde yönetilmesi, güvenlik pozisyonunun güçlendirilmesinde kritik rol oynar.

Tehdit Avı ve Pentest Bağlantısı

Siber güvenlikte tehdit avı, proaktif bir yaklaşım sunar. Bu süreç, potansiyel saldırganların hareketlerini ve tehditlerini tespit etmeye yönelik bir çabayı ifade eder. Bulut loglarının analizi, tehdit avı sürecinin önemli bir parçasıdır. Örneğin, AWS CloudTrail, Azure Monitor ve GCP Logging gibi platformlar üzerinden toplanan veriler, bir saldırganın bulut üzerindeki aktivitelerini anlamak için kullanılabilir. Bu tür bir izleme, özellikle pentest (penetrasyon testleri) sırasında elde edilen belirli bulgular ile birleştirildiğinde, daha kapsamlı bir savunma stratejisi oluşturulmasına yardımcı olur.

Analiz Süreci

Bulut loglarının etkili bir şekilde analiz edilmesi, tehditlerin tespit edilmesi açısından son derece önemlidir. Bu noktada, logların türleri ve bulut platformları hakkında bilgi sahibi olmak, analistlerin doğru verileri toplayıp, analiz etmelerine yardımcı olur. Log türleri arasında güvenlik olayları, erişim günlükleri ve sistem denetimlerinden elde edilen veriler bulunmaktadır. Her platformun sunduğu log yönetim özellikleri, siber güvenlik uzmanlarının bu verileri etkin bir şekilde kullanmalarını sağlamak için farklılık gösterir.

Bulut loglarındaki verilerin analizi sırasında bazı zorluklarla karşılaşılabilir. Bu zorluklar arasında geniş veri hacmi, karmaşık yapı ve çoklu ortamlar üzerinde görünürlük sağlama gibi etkenler yer almaktadır. SOC analistleri, bu zorlukları aşmak için uygun araçlar ve teknikler kullanarak, bulut ortamındaki tehditleri tespit etmek için büyük çaba sarf ederler.

Örnek Kod:
{
  "event": "API Access",
  "resource": "AWS S3 Bucket",
  "action": "GetObject",
  "timestamp": "2023-10-03T14:32:00Z",
  "user": "UnauthorizedUser"
}

Yukarıdaki örnek kod, bir API erişim olayını gösterir. Burada, yetkisiz bir kullanıcının belirli bir kaynağa erişmeye çalıştığını doğrular. Benzer şekilde, bulut logları, benzeri güvenlik ihlallerinin tespit edilmesine yardımcı olmak için kullanılabilir.

Sonuç

Sonuç olarak, bulut logları, siber tehdit avı süreçlerinin temel yapı taşlarından birini oluşturmaktadır. Doğru bir şekilde izlenip analiz edildiğinde, bu veriler hem mevcut tehditleri tespit etmeye hem de gelecekteki olası saldırılara karşı koruma sağlamaya yönelik önemli girdiler sunar. Kuşkusuz ki, bulut ortamlarının güvenliğini sağlamak amacıyla, bu logların yönetimi ve analizi, güvenlik uzmanlarının stratejilerinin en kritik unsurlarından biridir. Okuyucuları, bulut logları üzerinden yapılan etkili tehdit analizi için gerekli teknik bilgilere ve stratejilere hazırlamak, bu blogun ana amacını oluşturmaktadır.

Teknik Analiz ve Uygulama

Cloud Log Tanımı

Bulut logları, bulut ortamlarında gerçekleşen aktivitelerin kaydedildiği dijital veriler olarak tanımlanabilir. Bu veriler, sunuculardaki kullanıcı etkileşimleri, API çağrıları, sistem olayları ve diğer önemli metrikleri içerir. Cloud loglarının analizi, güvenlik tehditlerinin belirlenmesi ve izlenmesi açısından kritik bir öneme sahiptir.

Cloud Telemetry

Cloud telemetry, bulut aktivitelerinin izlenmesi ve analizi ile elde edilen verileri ifade eder. Kullanıcı aktiviteleri ve sistem olayları üzerindeki detaylı bilgi, bu telemetry ile toplanır. Örneğin, bulut sistemine kimlerin eriştiği, hangi hizmetlerin kullanıldığı ve API kullanım istatistikleri gibi bilgiler, tehdit avı sürecinde önemli bir rol oynar.

Log Türleri

Cloud ortamında farklı log türleri bulunur. Bu loglar arasında:

  • AWS CloudTrail: Kullanıcı aktiviteleri ve API çağrıları ile ilgili kayıtların tutulmasını sağlar.
  • Azure Monitor: Azure platformundaki logları toplar ve izler.
  • GCP Logging: Google Cloud Platform üzerinde log yönetimi ve analizi yapılmasını sağlar.

Bu log türleri, belirli bulut sağlayıcıları için özelleşmiş çözümler sunarak analiz sürecini hızlandırır.

Görünürlük

Cloud logları, bulut ortamında tam görünürlük sağlar. Farklı log türleri ve telemetry verileri, tam bir izleme ve değerlendirme yapılmasına olanak tanır. Dolayısıyla, siber güvenlik analistleri, bu verileri kullanarak anomalileri ve potansiyel tehditleri belirleyebilirler. Logların etkin bir şekilde analiz edilmesi, tehdit avlama süreçlerinin temel taşını oluşturur.

Analiz Süreci

Cloud loglarının analizi genellikle belirli adımlarla gerçekleştirilir. Aşağıdaki adımlar, etkili bir analiz süreci için önerilmektedir:

  1. Logların Toplanması: Bulut ortamındaki tüm loglar, merkezi bir depolama alanında toplanmalıdır. Bu amaçla birkaç araç kullanılabilir, örneğin Amazon S3, Azure Blob Storage veya Google Cloud Storage.
  2. Veri Normalizasyonu: Farklı kaynaklardan gelen log verileri, standart bir formata dönüştürülmelidir.
  3. Anomali Tespiti: Belirli tarih aralıklarında gerçekleşmiş aktiviteler, alışılmış davranış kalıpları ile karşılaştırılarak anomali tespiti yapılmalıdır. Bu noktada, makine öğrenme algoritmaları da kullanılabilir.
  4. İnceleme ve Yanıt: Tespit edilen anormalliklerin derinlemesine incelenmesi ve gerekli durumlarda acil yanıt eylemlerinin uygulanması gereklidir.

Bu süreç aşağıdaki kod örneği ile gösterilebilir:

import boto3

def fetch_logs():
    client = boto3.client('cloudtrail')
    response = client.lookup_events(
        StartTime='2023-10-01T00:00:00Z',
        EndTime='2023-10-31T23:59:59Z',
        LookupAttributes=[{'AttributeKey': 'EventName', 'AttributeValue': 'ConsoleLogin'}]
    )
    return response['Events']

logs = fetch_logs()
for log in logs:
    print(log)

Bu örnekte, AWS CloudTrail kullanılarak belirli bir tarihteki ConsoleLogin olayları elde edilmektedir.

IAM Abuse

Cloud ortamlarında en yaygın tehditlerden biri, yanlış yapılandırılmış kimlik ve erişim yönetimi (IAM) hesaplarının kötüye kullanılmasıdır. Kullanıcıların gereğinden fazla yetkiye sahip olmaları durumunda, kötü niyetli bir aktör bu hesapları kullanarak veri sızıntıları veya hizmet kesintilerine yol açabilir. Bu nedenle IAM yapılandırmalarının sürekli olarak gözden geçirilmesi gerekmektedir.

Tehdit Senaryoları

Cloud logları analizi sırasında daha önce belirlenen tehdit senaryolarının dikkate alınması önemlidir. Örneğin, API Abuse senaryosu, yetkisiz bir kullanıcının API üzerinden erişim sağlaması durumunu ele alır. Diğer tehdit senaryoları arasında Datak Exposure ve Privilege Escalation gibi riskler de bulunmaktadır. Bu senaryoları anlamak, log analizi esnasında olası tehditleri önceden belirlemeye yardımcı olur.

Zorluklar

Cloud log analizi yaparken birkaç zorlukla karşılaşılabilir. Bunlar arasında:

  • Çoklu Ortam Zorluğu: Farklı bulut sağlayıcılarından gelen logların entegre edilmesi zor olabilir.
  • Büyük Veri Yönetimi: Bulut loglarının büyüklüğü, analiz sürecini karmaşık hale getirebilir.
  • Görünürlük Eksiklikleri: Bazı bulut hizmetleri, logların detay düzeyine bağlı olarak sınırlı görünürlük sağlayabilir.

SOC L2 Final Süreci

SOC L2 analistleri, bulut loglarını analiz ederek bu zorlukların üstesinden gelirler ve potansiyel tehditleri tespit ederler. Detaylı bir analiz sonrası, tespit edilen olayların kritik öneme sahip olup olmadığını değerlendirir ve gerektiğinde olay müdahale sürecini başlatırlar. Bu şekilde, siber tehditlerin önlenmesi ve güvenlik açığının kapatılması hedeflenir.

Risk, Yorumlama ve Savunma

Bulut logları, bulut ortamlarında gerçekleşen aktivitelerin kaydedildiği veriler olarak tanımlanabilir. Bu logların analizi, kuruluşların siber tehditleri tespit etmesi ve önlemler alması için kritik öneme sahiptir. Bulut logları aracılığıyla elde edilen veriler, hem kullanıcı aktiviteleri hem de sistem olayları hakkında detaylı bilgi sağlar. Ancak, bu verilerin doğru bir şekilde yorumlanması ve güvenlik açısından değerlendirilmesi gerekmektedir.

Elde Edilen Bulguların Güvenlik Anlamı

Bulut logları, potansiyel tehditleri belirlemek için incelenmelidir. Örneğin, AWS CloudTrail kullanılarak yapılan API aktiviteleri, olası kötüye kullanım veya rutin dışı davranışların izini sürmek için değerlendirilebilir. Aşağıda, bulut logları üzerinden elde edilebilecek bazı bulgular ve bunların güvenlik anlamları yer almaktadır:

  1. API Kullanım Anlamları: Yetkisiz erişim veya API kötüye kullanımı belirtileri, potansiyel bir sızıntının ilk işareti olabilir. Örneğin, belirli bir kullanıcı kaynağına erişim izni yoksa, bu durumu hızlı bir şekilde gözlemlemek gerekecektir.

    {
  "event": "UnauthorizedAccess",
  "user": "unknown_user",
  "timestamp": "2023-10-01T12:00:00Z"
}

  2. Yanlış Yapılandırmalar: Yanlış yapılandırmalar, ağa açılan potansiyel kapıları temsil edebilir. Misconfigured (yanlış yapılandırılmış) hesaplar, kötü niyetli kullanıcılar için fırsat sağlayabilir. Bulut ortamındaki yetki yönetimi ve IAM (Identity and Access Management) politikalarının gözden geçirilmesi önemlidir.

  3. Veri Açığı ve İfşa: Bulut ortamındaki sızan veriler, hem müşteri bilgilerini hem de şirket içi bilgiye erişimi tehdit edebilir. Data Exposure durumlarının tespiti için, erişim loglarında anormal davranışların izlenmesi önem kazanmaktadır.

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmaların etkileri oldukça geniş bir yelpazedeki güvenlik sorunlarına yol açabilir. Örneğin, PowerShell veya CLI komutları aracılığıyla verilen yetkisiz erişim izinleri, genel sistem zafiyetlerine yol açabilir. Aşağıda, yanlış yapılandırmaların potansiyel etkilerini inceleyen birkaç örnek verilmiştir:

  • Yetki Yükseltme (Privilege Escalation): Bir kullanıcı, sistemde gerekli izinlere sahip değilken, yerel hesaplarını veya servislere ait admin erişimlerini kullanarak daha yüksek yetkilere ulaşmaya çalışabilir.

  • Service Manipulation: Kötü niyetli bir kullanıcının, bir hizmetin çalışmasını veya durumunu değiştirmesi, bulut ortamında hizmet kesintilerine yol açabilir.

Savunma Önlemleri ve Hardening Önerileri

Bulut ortamlarının güvenliğini artırmak için belirli önlemler almalıdır. Aşağıda, örnek birkaç güvenlik önlemi ve hardening önerileri yer almaktadır:

  1. Erişim Kontrol Politikaları: Herhangi bir bulut kaynağına erişim, en az yetki prensibine dayandırılmalıdır. IAM politikaları düzenli olarak gözden geçirilmeli ve güncellenmelidir.

  2. Log Yönetimi: Cloud loglarının yönetimi ve analizi için otomatik sistemlerin kurulması, hızlı yanıt süreleri ve daha etkili tehdit tespiti sağlar. İzleme sistemleri, anormal davranışları belirleyip alert (uyarı) mekanizmaları devreye sokmalıdır.

  3. Güncellemeler ve Yamalar: Bulut hizmet sağlayıcıları, güvenlik güncellemelerini ve yama yönetimini sürekli olarak takip edilmelidir. Böylece yeni ortaya çıkan zafiyetler kapatılmış olur.

  4. Veri Şifreleme: Hem dinamik hem de statik verilere yönelik şifreleme uygulamaları, olası veri sızıntılarına karşı etkili bir savunma mekanizmasıdır.

Sonuç Özeti

Bulut logları, siber tehditlere karşı avlanma ve risklerin değerlendirilmesi için kritik araçlardır. Yanlış yapılandırmalar ve oturum açma faaliyetleri gibi öğelerin sürekli izlenmesi, güvenlik zafiyetlerinin hızla tespit edilmesine olanak tanır. Bu nedenle, bulut ortamlarının korunabilmesi amacıyla, log analizi ve güvenlik önlemleri hayati öneme sahiptir. Zamanında uygulanan savunma mekanizmaları, yalnızca tehditleri belirlemekle kalmayıp, bundan sonraki aşamalarda da kuruluşların güvenliğini sağlayacaktır.