CyberFlow Logo CyberFlow BLOG
Soc L1 Teshis Triyaj

EDR Alarmlarını Anlamak ve Filtrelemek: Siber Güvenlikte Temel Adımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Teshis Triyaj

EDR alarmlarını anlayarak, siber güvenlikte etkili bir savunma mekanizması oluşturun. Modern EDR sistemlerinin çalışma prensiplerini keşfedin.

EDR Alarmlarını Anlamak ve Filtrelemek: Siber Güvenlikte Temel Adımlar

Bu blog yazısında, EDR alarmlarını nasıl anlayabileceğinizi ve filtreleyebileceğinizi öğreneceksiniz. İpuçları ve kriterler ile siber saldırılara karşı daha etkili olun.

Giriş ve Konumlandırma

EDR Teknolojisinin Temelleri

Uç nokta güvenliği, siber güvenlik siber alanında kritik bir rol oynamaktadır. Endpoint Detection and Response (EDR), uç nokta cihazlarında (bilgisayarlar, sunucular vb.) gerçekleşen aktiviteleri derinlemesine analiz etmek için tasarlanmış modern bir güvenlik çözümüdür. Temel amaç, şüpheli aktiviteleri zamanında tespit etmek ve bu doğrultuda gerekli aksiyonları alarak olası tehditleri bertaraf etmektir. EDR sistemleri, geleneksel antivirüs yazılımlarının ötesine geçerek davranış analizi yapabilen ve gerçek zamanlı veriler toplayabilen sistemlerdir.

EDR ve Geleneksel Antivirüs Çözümleri

Geleneksel antivirüs yazılımları, bilinen virüs imzalarını tarayarak tehditleri tespit etmeye çalışırken, EDR çözümleri anormal davranışları yakalamak için dinamik analiz tekniklerine başvurur. Yani, bir programın davranışını inceleyerek normal ile anormal arasındaki farkları ayırt edebilir. Bu durum, EDR sistemlerinin yalnızca bilinen tehditleri değil, aynı zamanda henüz keşfedilmemiş, hedefli saldırıları da tespit edebilmesine olanak tanır.

EDR Alarmlarının Önemi

Siber güvenlik alanında alarm yönetimi, etkili tehdit tespiti ve yanıtı için kritik bir bileşendir. Ancak, EDR sistemleri oldukça fazla alarm üretebilir; bu yüzden, analistlerin bu alarmları doğru bir şekilde filtrelemesi büyük önem taşımaktadır. Özellikle False Positive (Yanlış Pozitif) alarmlar, gereksiz operasyonel yük oluşturmanın yanı sıra, gerçek tehditlerin gözden kaçmasına da yol açabilir. Analistlerin, gelen alarmları doğru bir şekilde değerlendirmesi ve elemesi gereken durumlar, siber güvenlik stratejilerinin güçlendirilmesi açısından hayati öneme sahiptir.

EDR sistemlerinden en yaygın yanlış pozitif üreten uygulamalardan biri PowerShell'dir. 
Sistem yöneticilerinin meşru işlemleri, hackerların zararlı komutları ile sıkça karışmaktadır.

Saldırının Kökünü Anlamak

EDR çözümleri, siber saldırıların kök nedenini anlamak için de kritik bir işlevsellik sunar. Alarmlar incelenirken, süreçlerin hiyerarşik yapısı (Process Tree) üzerine gidilerek hangi programın hangi komutları yürüttüğü belirlenmelidir. Bunun sonucunda, bir zararlı yazılım alarmında, komutun içeriği ve durumu detaylı bir şekilde analiz edilmelidir. Bu bağlamda, bir süreci incelemek için kullanılabilecek bazı teknik göstergeler:

  • Process Execution (Süreç): Hangi programın hangi komut parametreleriyle çalıştığını gösterir.
  • File Activity (Dosya): Sistemde hangi dosyaların oluşturulduğu, değiştirildiği veya silindiğini raporlar.
  • Network Connections (Ağ): Uç noktanın hangi dış dünya ile iletişim kurduğunu ifade eder.

Filtreleme ve Gürültüyü Ayıklama

Bir EDR analistinin görevi, gelen alarmların içeriğini doğru bir şekilde incelemek ve gereksiz olan gürültüyü ayıklamakla başlar. Örneğin, kullanıcı etkinliklerinde görülen normal davranışlar ile şüpheli aktiviteler arasındaki farkı anlayabilmek için aşağıdaki değerlendirmeler yapılabilir:

  • Normal bir davranış: 

    Explorer.exe -> Chrome.exe -> İndirme İşlemi

    Kullanıcının kendi isteğiyle standart bir tarayıcı açıp, dosya indirmesi.

  • Şüpheli bir durum:

    Word.exe -> PowerShell.exe (Gizlenmiş Komut)

    Oltalama belgesinin şüpheli bir kod çalıştırması.

Bu tür değerlendirmeler, analistlerin durumsal farkındalığını artırır ve hızlı bir müdahale imkanı sağlar. EDR sistemlerinin etkin kullanılması, siber güvenlik stratejilerinin güçlendirilmesine katkı sağlar ve saldırılara karşı hazırlıklı olmayı destekler.

Sonuç

EDR alarmlarını anlamak ve filtrelemek, siber güvenlikte kritik bir beceridir. Bu süreçte, analistlerin olayları doğru yorumlayarak, en iyi müdahale yöntemlerini belirlemeleri gereklidir. İster tehdit tespiti, ister acil müdahale stratejileri geliştirme aşamalarında olsun, teknik bilgi ve uygulama becerisi, bir EDR sisteminin etkinliğini belirleyen en önemli unsurlardır.

Teknik Analiz ve Uygulama

Uç Nokta Savunması

Uç nokta savunması, bilgisayar, sunucu ve diğer cihazların koruyucu yazılımlar aracılığıyla şüpheli aktiviteleri tespit etme süreçlerini içermektedir. EDR (Endpoint Detection and Response) sistemleri, geleneksel antivirüs çözümlerinin ötesinde, sadece bilinen tehditlere değil, aynı zamanda alışılmadık davranışlara da odaklanarak, ağın güvenliğini artırır. EDR sistemleri, uç noktalardaki süreçleri, dosya hareketlerini ve ağ bağlantılarını derinlemesine analiz ederek güvenlik tehditlerini etkili bir şekilde tespit eder.

Örneğin, EDR sistemleri, bir süreç hiyerarşisini oluşturarak, hangi programın hangi komutları çalıştırdığını gösterir. Bu yapı, analistlerin bir zararlı yazılım alarmının kökenini tespit etmelerine yardımcı olur. 

# Bilgisayarınızdaki süreç ağacını görüntülemek için kullanabileceğiniz bir PowerShell komutu:
Get-Process | Select-Object Id, ProcessName, Path

Davranış Analizi

Geleneksel antivirüs programları, mevcut virüs imzalarını ararken, modern EDR çözümleri anormal davranışları yakalamak için gelişmiş davranış analizi teknikleri kullanmaktadır. Bu analizler, sistem yöneticilerinin şüpheli aktiviteleri tanımlamasında ve anormalliklerin ortaya çıkmasını sağlamaktadır. Örneğin, bir PowerShell komutu yüksek riskli bir alarm oluşturabilir.

# Şüpheli bir komut yürütme olayı için oluşturulmuş bir örnek:
Start-Process -FilePath "cmd.exe" -ArgumentList "/c calc.exe"

Bu tür bir komut, bir saldırganın sisteme kötü niyetli bir yol bulmaya çalıştığının bir göstergesi olabilir.

EDR'ın Gözleri

EDR analistleri, temel telemetri verilerini inceleyerek sistemi koruma altına alırlar. Bu veriler arasında process execution (süreç çalıştırma), file activity (dosya etkinliği) ve network connections (ağ bağlantıları) gibi unsurlar yer almaktadır. EDR sistemleri, bu verilerin analiziyle, zararlı yazılımların faaliyetlerini hızlı bir şekilde tespit eder.

Her bir telemetri türü, belirli bir durumu temsil eder:

  • Process Execution (Süreç): Hangi programın hangi komut parametreleriyle ve kim tarafından çalıştırıldığı bilgisi.
  • File Activity (Dosya): Sistemde yeni bir dosya oluşturulması, değiştirilmesi veya silinmesi.
  • Network Connections (Ağ): Uç noktanın dış dünyayla veya iç ağdaki başka bir cihazla kurduğu iletişim.

Analistlerin, her bir durumu dikkatlice incelemeleri ve bağlam içinde değerlendirmeleri hayati önem taşımaktadır.

Saldırının Kökü

Bir EDR sisteminde, bir zararlı yazılım alarmında, komut satırını (cmd.exe) hangi programın çalıştırdığını belirlemek için sürecin hiyerarşik yapısına göz atmak önemlidir. EDR üzerindeki "Process Tree" sekmesi, bu hiyerarşinin analizini yaparak saldırının kökenini belirlemede kritik roller üstlenir. Bu durum, analistin alarmın gerçek bir tehdit olup olmadığını değerlendirmesinde yardımcı olur.

Gürültüyü Ayıklamak

EDR üzerindeki alarm yönetimi, sık karşılaşılan yanlış pozitifleri ele almak için kritik bir süreçtir. Sistem yöneticileri, EDR'ın ilettiği alarmları dikkatlice incelemeli ve anlamsız gürültüyü ayıklamak için süreçleri filtreleyerek kritik durumlardaki alarmlara odaklanmalıdır. Özellikle PowerShell gibi araçlar, sistem yöneticileriyle saldırganların meşru işlemlerini birbirine karıştırabilmektedir.

# PowerShell'deki süreçleri filtrelemek için kullanabileceğiniz bir örnek:
Get-Process | Where-Object { $_.Path -like "*malicious.exe*" }

Burada yapılan, belirli bir dosya adını içeren süreçlerin incelemesidir.

Acil Müdahale

Eğer bir EDR alarmı, true positive (gerçek bir saldırı) olarak değerlendiriliyorsa, ilk adım olarak ilgili cihazın ağdan izole edilmesi gerekmektedir. Bu işlem, saldırganın ağa yayılmasını önlemek için kritik bir adımdır. İzole etme işlemi, uç nokta ile diğer ağ bileşenleri arasındaki iletişimi keser.

# Ağdan cihazı izole etmek için kullanılan bir komut:
Disable-NetAdapter -Name "Ethernet"

Bu komut, belirli bir ağ adaptörünü devre dışı bırakarak cihazı ağdan ayırır.

MODÜL FİNALİ

Sonuç olarak, EDR sistemlerinin etkin bir şekilde kullanılması, siber güvenlikte önemli bir adım oluşturmaktadır. Uç nokta savunması, davranış analizi, alarm yönetimi ve acil müdahale süreçlerinin iyi bir şekilde anlaşılması, siber tehditlere karşı korunmada kritik bir rol oynamaktadır. Saldırının kökünü bulma ve gürültüyü ayıklama becerileri, analistlerin güvenlik olaylarını daha etkili bir şekilde yönetmelerine olanak tanır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Analizi

Siber güvenlikte, uç nokta savunmasının etkili bir şekilde uygulanabilmesi için risk değerlendirmesi kritik bir ilk adımdır. Özellikle EDR (Endpoint Detection and Response) sistemlerinin sunduğu telemetri verileri, saldırganların sistemlerde yarattığı potansiyel riskleri anlamak için önemli bir kaynak sağlar. Bu verilerin doğru yorumlanması, olası sızma girişimlerini veya sistem zafiyetlerini ortaya çıkarmakta hayati bir rol oynar.

Verilerin Güvenlik Anlamı

EDR sistemleri, çeşitli telemetri verilerini toplar ve analiz eder. Bu verilerin arasında süreç yürütme, dosya aktiviteleri ve ağ bağlantıları yer alır. Örneğin, bir EDR alarmı tetiklendiğinde, analizci, şu tür bilgileri incelemelidir:

Process Execution (Süreç): Hangi programın, hangi komut parametreleri ile çalıştırıldığı bilgisi.
File Activity (Dosya): Sistemde yeni bir dosya oluşturulması, değiştirilmesi veya silinmesi olayları.
Network Connections (Ağ): Uç noktanın dış dünyayla veya iç ağdaki başka bir cihazla kurduğu iletişim.

Bu tür bilgilerin analizi, bir saldırının varlığını veya mevcut bir zafiyeti tespit etme konusunda temel bir dayanak sağlar. Örneğin, bir zararlı yazılım alarmı doğrulandığında, 'Word.exe -> PowerShell.exe' ilişkisi yüksek riskli bir durum olarak değerlendirilebilir. Bu durum, kullanıcıya ait bir belgede şüpheli bir kodun çalıştırıldığını işaret eder.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, EDR sistemlerinin etkinliğini ciddi şekilde etkileyebilir. Sistem yöneticilerinin bilerek veya bilmeyerek oluşturduğu yanlış ayarlar, yanlış pozitif (False Positive) alarmlarına yol açabilir. Örneğin, PowerShell gibi araçlar genellikle hem sistem yöneticileri tarafından meşru işlemler için kullanılırken hem de saldırganlar tarafından zararlı komutlar için kullanılmaktadır. Böylece, bu tür işlemler normal davranış olarak kabul edilip göz ardı edilebilir.

Yanlış yapılandırmaların etkisi, veri kaybı ya da sistemlerin dışardan saldırıya uğraması gibi ciddi sonuçlara yol açabilir. Bu nedenle, güvenlik politikalarının düzenli olarak gözden geçirilmesi ve yapılandırmaların denetlenmesi gereklidir.

Sızma ve Topoloji Tespiti

EDR sistemlerinden elde edilen veriler, sadece saldırıların tespitine değil, aynı zamanda mevcut sistem topolojisinin de anlaşılmasına yardımcı olur. Örneğin, bir analist, bir saldırının gerçekleştiği durumu incelemek için süreç hiyerarşisini değerlendirir. EDR arayüzündeki ‘Süreç Ağaçları’ kısmından, hangi işlemlerin birbiriyle ilişkili olduğunu görebilir ve saldırının kökünü araştırabilir.

Parent-Child İlişki: Birbirini çalıştıran programların hiyerarşik görünümü.

Bu tür ilişkilerin analizi, sızma gerçekleştiğinde hangi bileşenlerin etkileneceğini belirlemek adına kritik öneme sahiptir.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen bulgulara dayanarak, aşağıdaki profesyonel önlemler önerilebilir:

  1. Düzenli Eğitim: Personelin, EDR sistemlerinde hangi alarmların dikkatle incelenmesi gerektiği konusunda eğitilmesi.
  2. Güvenlik Duvarı Configürasyonları: Ağ güvenlik duvarı kurallarının sıkı bir şekilde uygulanması, sadece belirli IP'lerin ve protokollerin kabul edilmesi.
  3. Yazılım Güncellemeleri: Sistemlerin, en güncel güvenlik yamaları ve güncellemeleri ile güncellenmesi.
  4. Kullanıcı Hakkı Yönetimi: Kullanıcıların yalnızca ihtiyaç duydukları yetkilerle sınırlı kalması.

Ayrıca, sistem hardening (sağlamlaştırma) uygulamaları, potansiyel zafiyetlerin azaltılması açısından da kritik bir rol oynar. İşletim sistemleri ve uygulamalarda gereksiz hizmetlerin devre dışı bırakılması, açık portların kapatılması ve güvenlik güncellemelerinin hızlı bir şekilde uygulanması gibi adımlarla sistem güvenliği artırılabilir.

Sonuç

Risk değerlendirme süreci, siber güvenlikte kritik bir öneme sahiptir. Elde edilen bulguları etkili bir şekilde yorumlamak, yanlış yapılandırmaları ve zafiyetleri tespit etmek, potansiyel saldırıları önlemek için hayati bir adımdır. EDR sistemlerinin sunduğu verilerin doğru analizi ve uygun savunma önlemlerinin alınması, siber güvenlikte etkin bir koruma sağlar. Bu süreçte, sürekli eğitim ve sistemlerin düzenli olarak güncellenmesi, güvenlik duruşunu pekiştirecektir.