CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Çoklu Kaynak Log Korelasyonunun Temel İlkeleri

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Siber güvenlikte çoklu kaynak log korelasyonu ile tehditleri daha etkili tespit edin. Temel ilkeleri ve yöntemleri keşfedin.

Çoklu Kaynak Log Korelasyonunun Temel İlkeleri

Çoklu kaynak log korelasyonu, siber saldırıların tespitinde kritik bir rol oynar. Bu blog yazısında, korelasyonun temel yapısını, zamanın önemini ve yanlış alarmların azaltılmasını öğreneceksiniz.

Giriş ve Konumlandırma

Çoklu Kaynak Log Korelasyonunun Temel İlkeleri

Siber güvenlik alanında, veri analizi ve olay yönetimi kritik öneme sahiptir. Bu bağlamda, farklı kaynaklardan gelen logların birbirleriyle ilişkilendirilmesi sürecine çoklu kaynak log korelasyonu denir. Bu teknik, bireysel olarak ele alındığında önemsiz görünen binlerce log kaydının içinden anlamlı ve kritik güvenlik olaylarını belirlemeye yarar. Özellikle, siber saldırıların aşamalarını (kill-chain) net bir biçimde ortaya koymak, güvenlik analistlerinin etkili müdahale yapabilmesi için hayati öneme sahiptir.

Korelasyonun Önemi

Korelasyon, siber güvenlikte temel bir süreçtir çünkü bu sayede saldırılara karşı savunma mekanizmalarını güçlendirme imkânı doğar. Temel olarak, korelasyon sayesinde güvenlik ekipleri, olayların birbirleriyle olan ilişkisini anlamak ve saldırılara karşı daha hızlı ve etkili şekilde yanıt vermek için verileri daha iyi analiz edebilir. Özellikle, tekil alarmlar yerine birden fazla kaynaktan gelen bilgilerin birleşimiyle oluşturulan alarm setleri, gerçek tehditlerin daha net bir biçimde belirlenmesine olanak tanır.

Modern SOC (Güvenlik Operasyon Merkezi) ortamlarında, log korelasyonu, güvenlik analistlerinin en büyük müttefiki olmuştur. Korelasyon nesneleri arasında anlamlı ilişkiler kurmak suretiyle, siber güvenlik ekipleri tehdit avına çıktıklarında gürültüyü azaltabilir ve daha net bir odak noktası elde edebilirler. Ayrıca, analistlerin kendi algılarını geliştirmelerine de yardımcı olur; böylece, saldırı senaryolarına dayalı kurallar oluşturulabilir.

Analiz İçin Hazırlık

Çoklu kaynak log korelasyonunu etkili bir şekilde uygulamak, yalnızca logların toplanmasıyla sınırlı değildir. Elde edilen verilerin 'normalizasyon' işleminden geçirilmesi, korelasyonun başarısı için kritik bir adımdır. Farklı sistemlerden gelen logların içerdiği bilgilerin uyumlu hale getirilmemesi, veri kaybına yol açabilir. Örneğin, bir firewall logundaki src_ip alanı ile Windows logundaki SourceAddress alanı farklı başlıklar altında yer alıyorsa, SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemi bu iki logun aynı kaynaktan geldiğini anlayamayacaktır.

Korelasyon kuralları genellikle "Eğer [A] olursa ve ardından [B] olursa" mantığıyla çalışır. Örneğin, bir kullanıcıdan gelen çoklu hatalı giriş denemeleri ile sonrasında bir başarılı giriş yapılması, siber saldırı olasılığını artırır. Bu tür ilişkileri kurabilmek, siber güvenlik analistleri için kritik bir yetkinlik gerektirir.

Zaman dilimlerinin belirlenmesi de bir o kadar önemlidir. Olayların birbiriyle ilişkilendirilmesi için belirli bir süre içinde gerçekleşmesi gerektiği düşünülmelidir; bu süre sınırına "Zaman Penceresi" (Time Window) denir. Örneğin; bir dakika içinde gerçekleştirilen 10 hatalı giriş, siber saldırı olarak değerlendirilebilirken, bir gün içerisinde yapılan aynı sayıda hata, kullanıcı unutkanlığı olarak sınıflandırılabilir.

Sonuç

Korelasyonun kabullenimi, siber güvenlik pratiğinin bir parçası olarak önemli bir yere sahiptir. Avans düzeyde siber güvenlik uygulamaları geliştirmek isteyen analistlerin, birden fazla kaynaktan elde edilen verileri bir araya getirme yeteneğine sahip olmaları gerekir. Bu kapsamda, basit ve karmaşık korelasyon arasındaki farkları anlamak da son derece kritiktir. Basit korelasyon, tek bir log kaynağından gelen verilerin analizi ile sınırlıyken, karmaşık korelasyon, farklı çeşitlilikteki kaynaklardan gelen verilerin bir araya getirilmesini sağlar.

Sonuç olarak, çoklu kaynak log korelasyonu, siber güvenlikte etkinliği artıran ve analistlerin gerçek tehditlerle başa çıkmasına olanak tanıyan temel bir etkinliktir. Bu nedenle, siber güvenlik ekiplerinin bu alanda derinlemesine bilgi edinmeleri ve uygulamalarını geliştirmeleri önem arz etmektedir.

Teknik Analiz ve Uygulama

Noktaları Birleştirmek: Korelasyon

Siber güvenlikte olayları anlamanın ve hızlı bir şekilde yanıt vermenin temel yollarından biri, çoklu kaynak log korelasyonudur. Farklı kaynaklardan gelen logların birleştirilmesi, siber saldırıların tespit edilmesi ve analiz edilmesi için oldukça önemlidir. Bu işlem, analistlere anlamlı bağlar kurarak tek bir güvenlik olayı oluşturma imkanı tanır. Binlerce önemsiz log arasında, saldırının tüm aşamalarını ortaya çıkarmak için bu tür bir analiz yapılmalıdır. Örneğin, bir kullanıcı için log kaynakları arasında geçiş yapıldığında, hem firewall hem de proxy logları birlikte incelenebilir.

# Örnek: Linux üzerinde logları birleştirerek analiz etmek
cat /var/log/firewall.log /var/log/proxy.log > merged_logs.log

Korelasyonun Yakıtı: Ortak Alanlar

Korelasyonun başarılı olabilmesi için öncelikle logların normalizasyon işleminden geçmiş olması gerekir. Bu süreç, farklı sistemlerden gelen logların aynı temalar altında birleştirilmesini sağlar. Örneğin, bir firewall kaynağındaki src_ip alanı ile bir Windows logundaki SourceAddress alanı arasında doğrudan bir ilişki kurmak, analistlerin tekil loglar arasında kaybolmasını engeller. Eğer bu iki alan normalleştirilmezse, SIEM (Security Information and Event Management) platformları bu logları aynı kaynaktan geldiği şeklinde yorumlayamaz.

Kural Yazımının Anatomisi

Korelasyon kuralları, genellikle "Eğer [A] olursa ve ardından [B] olursa" mantığıyla çalışır. Bu kurallar, saldırı senaryoları üzerine kurgulanarak olayların anlamlı bir bağlamda incelenmesine imkan tanır. Bir kural oluşturulurken dikkat edilmesi gereken en önemli noktalar, her olayın bir mantık eşleştirmesine ve belirli bir eşik değerine (threshold) tabii olmasıdır.

Örneğin, bir brute force saldırısının tespit edilmesi için aşağıdaki gibi bir kural yazılabilir:

# Örnek: Brute force saldırısını tespit etmeye yönelik bir kural
if (failed_login_attempts >= 5) then
    alert("Brute force attack detected!")

Zamanın Önemi: Time Window

Zaman boyutu, korelasyonun en kritik unsurlarından biridir. İki olayın birbirleriyle ilişkilendirilebilmesi için belirli bir süre içinde gerçekleşmeleri gerekir. Bu süre sınırına "time window" denir. Örneğin, 1 dakika içinde 10 hatalı girişin olması bir saldırı olarak nitelendirilirken, 1 gün içinde 10 hatalı giriş, kullanıcının unutkanlığı olarak değerlendirilebilir. Time window uygulaması, alarmların daha hassas ve geçerli hale gelmesini sağlar.

# Örnek: Zaman penceresi uygulaması için bir pseudo kod
if (event_time <= current_time - 60 seconds) then
    discard_event()  # 1 dakikadan eski olayları göz ardı et

Gürültüden Kurtulmak

Tek başına bir log kaynağının ürettiği alarmlar genellikle "false positive" (yanlış pozitif) oranını arttırır. Bu nedenle, sadece "Firewall blokladı" gibi tekil alarmlara odaklanmak yeterli olmayabilir. Korelasyon, birden fazla kaynağın aynı şüpheli hareketi onaylamasını bekleyerek analistin vaktinin en verimli şekilde kullanılmasını sağlar. Analistlerin gereksiz alarmlardan kaçınarak gerçek tehditlere odaklanmasını kolaylaştırır.

Basit vs Karmaşık Korelasyon

Korelasyon türleri, basit ve karmaşık olarak ikiye ayrılabilir. Basit korelasyon, tek bir log kaynağından gelen verilerle yapılırken, karmaşık korelasyon birden fazla ve farklı türdeki kaynaklardan gelen verilerin birleştirilmesiyle gerçekleştirilir. Modern Siber Operasyon Merkezleri (SOC), karmaşık kurallarla bu verileri işlemesi sebebiyle önemli bir değer kazanır. Karmaşık korelasyon senaryoları, siber saldırı aşamalarını takip etmek için en güçlü yöntemlerden biridir.

# Örnek: Karmaşık bir korelasyon senaryosu
if (failed_login_AD >= 5) and (successful_login_AD == 1) and (new_service_creation_system == true) then
    alert("Potential Credential Access detected!")

Özet: Analistin Korelasyon Matrisi

Korelasyon senaryoları, analistlerin siber tehditleri daha iyi anlamalarına ve olayları daha etkili bir şekilde yönetmelerine olanak tanır. Analist, olayların bağlamını ve mantığını anlayarak, daha önceden belirlenmiş kurallar aracılığıyla siftah edilen logları değerlendirebilir. Bu yapı, siber saldırıların ilerleme aşamalarını (MITRE ATT&CK) izlemek için kritik bir araç haline gelmektedir. Her bir aşamanın özenle incelenmesi, başarılı bir savunma stratejisinin temel taşlarını oluşturur.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Siber güvenlikte risk değerlendirme ve savunma stratejileri, çoklu kaynak log korelasyonunun sağladığı içgörülerle güçlendirilir. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak, potansiyel zafiyetleri ve yanlış yapılandırmaları açıklayacak, sonuçları değerlendirecek ve profesyonel önlemler ile hardening (sertleştirme) önerilerini sunacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Korelasyon analizi, farklı kaynaklardan gelen logları bir araya getirerek belirli bir güvenlik olayı veya saldırı zinciri hakkında bilgi edinmeyi sağlar. Örneğin, bir kullanıcının birden fazla kez hatalı giriş denemesi yapmasının ardından başarılı bir oturum açması, potansiyel bir Credential Access (Kimlik Bilgilerine Erişim) saldırısını işaret edebilir. Aşağıdaki gibi basit bir yapı ile durum acil bir şekilde tespit edilebilir:

SELECT 
    COUNT(*) AS failed_logins,
    successful_login_time 
FROM 
    login_attempts 
WHERE 
    status = 'failed' 
    AND timestamp > NOW() - INTERVAL 5 MINUTE 
GROUP BY successful_login_time 
HAVING failed_logins > 5;

Bu sorgu, son beş dakika içinde 5’ten fazla hatalı giriş denemesi yapılan durumları ortaya çıkarır. Başarılı bir girişin hemen ardından gelmesi, kullanıcı hesaplarının tehlikeye girmiş olabileceğinin bir göstergesi olabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber saldırganların sistemlere kolay erişim sağlamasına yol açabilir. Örneğin, bir firewall yapılandırmasının yetersiz olması durumunda, dışarıdan gelen zararlı trafikte artış gözlemlenebilir. Elde edilen loglar incelendiğinde, firewall'un belirli IP adreslerini engellemediği veya yanlış bir kural seti uygulanması durumunda, saldırganların o IP üzerinden sisteme erişim sağlaması mümkün hale gelebilir.

Örneğin, log kaynağında geçen aşağıdaki mesaj, bir yapılandırma hatasına işaret edebilir:

[WARNING] Firewall: Unblocked access from suspicious IP 192.168.1.10

Bu tür alarm ve uyarılar, sistem yöneticilerinin yanlış yapılandırmaları zamanında düzeltmesi gerektiğinin önemli bir göstergesidir.

Sızan Veri, Topoloji, Servis Tespiti

Korelasyon analizi, sadece bireysel logları incelemekle kalmaz, aynı zamanda bir saldırının genel topolojisi hakkında da bilgi verir. Çeşitli log kaynakları (network, application, system) bir araya getirilerek, sızan veri miktarı ve türü tespit edilebilir. Özellikle yüksek veri transferi ve bulut hizmetlerine erişim gibi durumlar, Exfiltration (Veri Sızdırma) saldırılarının işareti olabilir.

Örnek bir senaryo, aşağıdaki gibi bir veri sızıntısını tespit edebilir:

SELECT 
    SUM(data_transferred) AS total_data 
FROM 
    data_transfers 
WHERE 
    transfer_time > NOW() - INTERVAL 1 HOUR 
    AND destination_service IN ('cloud_service_1', 'cloud_service_2') 
GROUP BY user_id 
HAVING total_data > 100MB;

Bu sorgu, bir kullanıcının son bir saat içinde bulut hizmetlerine yüklendiği toplam veriyi kontrol eder. Eğer belirlenen eşik aşılıyorsa, dikkatli bir inceleme sürecinin başlatılması gerekecektir.

Profesyonel Önlemler ve Hardening Önerileri

Korelasyon analizinden elde edilen bilgilerin ardından, uygun savunma stratejilerinin belirlenmesi önemlidir. Bu bağlamda, şu adımlar önerilir:

  1. Güvenlik Politikasının Gözden Geçirilmesi: Mevcut güvenlik politikaları, yanlış yapılandırmaların en aza indirilmesi için sürekli olarak gözden geçirilmelidir.

  2. Eğitim ve Farkındalık Programları: Çalışanlar için düzenlenecek eğitimler, sosyal mühendislik saldırılarına karşı daha bilinçli bir yaklaşım geliştirilmesine yardımcı olur.

  3. Zayıf Noktaların Çözümlenmesi: Sistemlerin ve uygulamaların zayıf noktaları düzenli aralıklarla taranmalı ve gerekli yamalar zamanında uygulanmalıdır.

  4. İzleme ve Log Yönetimi: Logların izlenmesine yönelik sistemler geliştirilerek, anormalliklerin mümkün olan en kısa sürede tespit edilmesi sağlanmalıdır.

Sonuç Özeti

Çoklu kaynak log korelasyonu, siber güvenlik ortamındaki potansiyel tehditleri anlamak ve değerlendirmek için kritik bir araçtır. Yanlış yapılandırmalar ve zafiyetler, siber saldırganların erişimini kolaylaştırabilir. Elde edilen bulgulara göre uygulanacak profesyonel önlemler ve sertleştirme yöntemleri, sistemlerin güvenliğini artırmak ve veri bütünlüğünü sağlamak için kaçınılmazdır.