CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

EDR ve XDR: Uç Nokta Güvenliğinde Yeni Dönem

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

EDR ve XDR telemetrisi ile uç nokta güvenliğini artırın. Süreç enjeksiyonunu, kalıcılık tespitini öğrenin.

EDR ve XDR: Uç Nokta Güvenliğinde Yeni Dönem

EDR ve XDR sistemleri, uç noktalardaki tehditleri tespit etmenizi sağlar. Kalıcılık yöntemlerini ve süreç enjeksiyonunu bu yazıda keşfedin.

Giriş ve Konumlandırma

EDR ve XDR: Uç Nokta Güvenliğinde Yeni Dönem

Günümüzde siber güvenlik alanının dinamik yapısı, savunma mekanizmalarının sürekli evrim geçirmesini zorunlu kılmaktadır. Özellikle uç nokta güvenliği, siber tehditlerin barındığı en kritik noktalar arasında yer alır. İşte bu bağlamda, EDR (Endpoint Detection and Response) ve XDR (Extended Detection and Response) teknolojileri, organizasyonların bilinçli bir güvenlik duruşu almasına olanak tanımaktadır. EDR ve XDR, uç nokta güvenliğinin ötesine geçerek, sistemlerin güvenliğini sağlamada temel anlamda önemli araçlar haline gelmiştir.

EDR ve XDR Nedir?

EDR, uç noktalarda gerçekleşen tüm aktiviteleri sürekli izleyen ve analiz eden bir sistemdir. Geleneksel antivirüs yazılımlarının sınırlı kalması nedeniyle, EDR çözümleri daha derinlemesine telemetri sunarak potansiyel tehditleri tespit eder. EDR’nin temel amacı, kötü niyetli aktiviteleri gerçek zamanlı olarak görmek ve buna ilişkin önlemler alabilmektir. Bu tür sistemler, kullanıcı cihazlarının temel faaliyetlerini sürekli kaydeder ve raporlar.

XDR ise EDR’ın bir üst seviyesi olarak değerlendirilebilir. EDR'ın sunduğu veriyi genişleten XDR, ağ ve bulut güvenliği gibi diğer kaynakları da entegre ederek daha geniş bir tepki ve tespit kapsamı sunar. Bu durum, tehditlerin daha yaygın ve kapsamlı bir şekilde tespit edilmesine olanak tanır. XDR, aynı zamanda tüm bu verileri korele ederek olayları daha hızlı ve etkili bir şekilde analiz etme yetkinliği kazandırmaktadır.

Neden Önemli?

Bugünün siber tehdit ortamı, çok katmanlı ve karmaşık bir yapıya sahiptir. Kötü niyetli yazılımlar, sıklıkla çoklu vektörler kullanarak sistemlere sızmayı başarmaktadır. Bu tür tehditlere karşı savunma geliştirirken, her bir uç noktanın detaylı incelenmesi gereken bir durum ortaya çıkmaktadır. EDR ve XDR sistemleri, bu tehditleri tespit etme ve etkisiz hale getirme konusunda büyük önem taşımaktadır. Özellikle bazı zararlı yazılımlar, diske hiç kayıt yapmadanRAM üzerinde çalışarak kendilerini gizleyebilir. Bunu, yalnızca EDR gibi gelişmiş sistemlerle tespit etme imkanına sahip olabiliriz:

Kalıcılık 
- Zamana bağlı olarak, saldırganların erişimin devam etmesi için uyguladığı teknikler.
- EDR, bu tür kalıcılığı tespit edebilen önemli bir araçtır.

Siber Güvenlik ve Pentest Açısından Bağlam

Siber güvenlik alanında, pentest (penetrasyon testi) uygulamaları, sistemlerin güvenlik açıklarını değerlendirmenin temel yollarından biridir. EDR ve XDR’ın sunduğu detaylı uç nokta telemetrisi, pentest sırasında elde edilen bulguların daha iyi analiz edilmesine olanak tanır. Özellikle, EDR’ın topladığı veriler üzerinden saldırganların davranış kalıplarını anlamak, sistemlerin eksikliklerini tespit etme açısından büyük katkı sağlar. EDR ve XDR, tehdit avcıları için kritik bir bilgi kaynağı sunarak, savunma stratejilerinin şekillendirilmesinde önemli bir rol üstlenir.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu yazının devamında, EDR ve XDR sistemlerinin teknik detayları, telemetri yapıları ve bunların siber güvenlikteki uygulama alanları incelenecektir. İlk olarak, EDR ve XDR’ın nasıl çalıştığını, hangi tür veriler topladığını ve bu verilerin nasıl analiz edildiğini öğreneceğiz. ayrıca, bu iki sistemin siber tehditlere karşı sunduğu koruma ve müdahale yöntemlerini detaylı bir şekilde ele alacağız.

Siber güvenliğin dinamik dünyasında, EDR ve XDR sistemlerini derinlemesine anlamak, doğru korunma stratejileri ve yöntemleri geliştirilmesinde hayati bir öneme sahiptir. Uç nokta güvenliğinde yeni döneme bir adım atmak için gerekli bilgi birikimini bu yazının devamında kazanacaksınız.

Teknik Analiz ve Uygulama

EDR ve XDR: Uç Nokta Güvenliğinde Yeni Dönem

EDR ve XDR Nedir?

Endpoint Detection and Response (EDR), geleneksel antivirüs yazılımlarının ötesine geçerek, uç noktalarda gerçekleşen tüm aktiviteleri sürekli kaydeden ve analiz eden bir sistemdir. EDR, sadece tehditleri tespit etmekle kalmaz; aynı zamanda bu tehditlerin kök nedenini anlamak ve bunlarla mücadele etmek için gerekli bilgi ve araçları sağlar. XDR (Extended Detection and Response) ise EDR teknolojisinin evrimsel bir adımıdır ve uç nokta verilerini, ağ, bulut ve kimlik kaynakları ile birleştirerek daha derin ve kapsamlı bir görünürlük sunar.

Uç Nokta Telemetrisi

Uç nokta telemetrisi, EDR sistemlerinin topladığı verilerin temelidir. Bu veriler, sistem düzeyinde faaliyetleri takip ederek zararlı aktiviteleri tespit etme sürecinde kritik bir rol oynar. Uç nokta telemetrisi, aşağıdaki log türlerini içerir:

  • Process Logları: Hangi programın çalıştırıldığı, komut satırı parametreleri ve süreçlerin ebeveyn-çocuk ilişkisi.
  • File Logları: Diske yazılan, silinen veya değiştirilen dosyalar ve bu dosyaların hash değerleri (örneğin, MD5 veya SHA256).
  • Registry Logları: Zararlı yazılımların, işletim sisteminde yaptığı kritik yapılandırma değişikliklerini takip eder.
  • Run Keys: Windows Registry’ye eklenen anahtarlar sayesinde sistem her açıldığında zararlı yazılımların otomatik olarak çalışması sağlanır.
  • Scheduled Tasks: Belirli zamanlarda veya sistem açıldığında çalışması için ayarlanan görevler.
  • Service Creation: Zararlı yazılımın kendisini arka planda çalışan yasal bir Windows servisi gibi sisteme kaydettirmesi.
# Örnek bir liste ile log gözlemlemek
Get-Process | Where-Object { $_.ProcessName -like "explorer*" }

Bu komut, sistemde "explorer" adını içeren tüm süreçleri listeleyecek ve analiz için uygun bir başlangıç noktası sunacaktır.

EDR'ın Korelasyondaki Rolü

EDR sistemlerinin temel fonksiyonlarından biri, güvenlik olaylarını birlikte değerlendirerek tehditleri daha etkili bir şekilde tespit etmektir. EDR logları, SIEM (Security Information and Event Management) çözümleriyle entegre edildiğinde, saldırılarla ilgili önemli kalıpları ortaya çıkarmak için kullanılabilir. Bu tür korelasyon, tehditlerin daha hızlı ve etkili bir şekilde belirlenmesine olanak tanır.

Örneğin, bir sistemde beklenmedik bir "child process" (çocuk süreç) oluşturulması, yüksek öncelikli bir korelasyon kuralı olarak işaretlenebilir:

# Child Process kontrolü
Get-Process | Where-Object { $_.Parent -eq "winword.exe" -and $_.ProcessName -eq "powershell.exe" }

Bu komut, Microsoft Word gibi güvenilir bir uygulamanın beklenmedik bir şekilde PowerShell sürecini başlatması durumunda bir alarm oluşturacak şekilde kullanılabilir.

Kalıcılık (Persistence) Tespiti

Saldırganların, bilgisayarı yeniden başlattıktan sonra bile erişimini korumak için kullandıkları tekniklere "kalıcılık" denir. EDR, bu teknikleri tespit etme konusunda kritik bir rol oynamaktadır. Kalıcılığın yaygın yöntemleri arasında şunlar bulunur:

  • Run Keys
  • Scheduled Tasks
  • Service Creation

Zararlı yazılımlar genellikle, sistemin her açılışında otomatik olarak çalışacak şekilde kendilerini yapılandırırlar. Bu durumlardan bir veya birkaçının gözlemlenmesi, uç nokta güvenliğini tehlikeye atan durumların işaretçisi olabilir.

# Registry'de Run Keys kontrolü
Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run"

Bellek (Memory) Analizi ve Süreç Enjeksiyonu

Bellek analizi, EDR sistemlerinde zararlı yazılımların tespitinde kritik bir teknik olarak öne çıkmaktadır. Özellikle dosyasız zararlılar, diske yazılmadan doğrudan RAM üzerinde çalıştıkları için geleneksel yöntemlerle tespit edilmesi zor olup, EDR'ın yeteneklerinden faydalanarak tespit edilebilirler.

"Process Injection" olarak bilinen teknik, zararlı bir kodun güvenilir bir sürecin bellek alanına gizlice yerleştirilmesi anlamına gelir.

XDR (Genişletilmiş Tespit ve Yanıt)

XDR, EDR teknolojisinin bir evrimi olup, çeşitli kaynaklardan elde edilen verileri toplar ve analiz eder. Bu durum, ağ trafiği analizi (NDR), cloud/kimlik logları ve uç nokta verileri gibi birçok veri kaynağının bir araya getirilmesini sağlar. Bu entegre yapı, daha etkili tespit ve yanıt yetenekleri sunarak siber güvenlik alanında önemli bir avantaj yaratır.

İzolasyon (Containment)

EDR sistemleri, tespit edilen tehditlere karşı hızla tepki verebilir ve virüslü cihazları ağdan otomatik olarak izole etme yeteneğine sahiptir. Bu, tehditlerin yayılmasını önlemekte etkili bir strateji olarak öne çıkmaktadır.

Gelişen siber tehdit manzarasında, EDR ve XDR sistemleri, organizasyonların veri varlıklarını koruma konusunda kritik bir öneme sahiptir. Her iki teknoloji de sürekli gelişmekte ve sağladıkları güvenlik önlemleri ile işletmelerin siber güvenlik stratejilerini güçlendirmektedir.

Risk, Yorumlama ve Savunma

Modern siber tehditlerin hızla değişen doğası, siber güvenlik alanında daha sofistike ve dinamik çözümler gerektirmektedir. EDR (Uç Nokta Tespit ve Yanıt) ve XDR (Genişletilmiş Tespit ve Yanıt) sistemleri, bu alandaki ihtiyaçları karşılamak üzere gelişmiş veri toplama ve analiz yetenekleri sunar. Ancak, bu sistemlerin etkin bir şekilde kullanımı, risk değerlendirmesi ve yorumlaması açısından kritik öneme sahiptir.

Güvenlik Bulgularının Yorumlanması

EDR ve XDR sistemleri, uç noktalardan toplanan geniş veri setleri aracılığıyla potansiyel güvenlik tehditlerini belirliyor. Örneğin, aşağıdaki log türleri sistemde kritik bilgiler taşımaktadır:

  • Process Logları: Çalıştırılmış olan programların yanı sıra, parametreler ve süreçlerin ebeveyn-çocuk ilişkilerini gösterir. Bu bilgiler, beklenmedik süreçlerin tespitinde yararlıdır.
  • Registry Logları: İşletim sisteminin kritik yapılandırmalarını değiştiren zararlılar için önemli bir gösterge. Kalıcılığı sağlamak amacıyla yapılan değişiklikler burada görülebilir.
  • File Logları: Diske yazılan veya değiştirilen dosyalar hakkında bilgi sağlar. Bu dosyaların hash değerleri, dosya bütünlüğü analizinde kullanılır.

Yanlış yapılandırmalar veya güvenlik zaafiyetleri olduğunda, bu loglar potansiyel tehditleri göstermede en kritik unsurları oluşturur. Örneğin, sistem yeniden başlatıldığında zarar veren bir yazılımın varlığını sürdürebilmesi, kalıcılık tehditlerini gösterir. EDR sistemleri, kalıcılığı tespit etmek için şu tür verileri analiz eder:

Kayıt Defteri Değişiklikleri:
- Run Keys (Otomatik Başlatma Anahtarları)
- Scheduled Tasks (Planlanmış Görevler)

Sızan Veri ve Topoloji Tespiti

Sızan veriler ve ağ topolojisinin belirlenmesi, siber güvenlik alanında kritik bir adım olup, EDR ve XDR sistemlerinin sağladığı bilgiler sayesinde mümkündür. Bu sistemler, sistemi analiz ederek:

  • Hedeflenen veri türlerini belirler (örneğin, kişisel veriler, finansal bilgiler).
  • Girişimlerin hangi süreçlerden kaynaklandığını gösterir.
  • Ağda sistemler arasındaki ilişkileri çizer.

Diyelim ki, winword.exe benzeri bir uygulama, powershell.exe gibi şüpheli bir süreç başlattı. Bu durum, yüksek öncelikli bir korelasyonu tetikler ve sızıntının ya da potansiyel bir zararlı yazılımın varlığını işaret eder.

Profesyonel Önlemler ve Hardening Önerileri

Sistemlerdeki potansiyel zayıflıkları proaktif bir şekilde ele almak için aşağıdaki öneriler dikkate alınmalıdır:

  1. Yama Yönetimi: Tüm sistemlerin ve yazılımların güncel tutulması, bilinen güvenlik açıklarını kapatır.
  2. Ağ İzolasyonu: Şüpheli veya bilinmeyen süreçlerin otomatik olarak ağdan izole edilmesi, zararlının diğer sistemlere yayılmasını önler. Bunun için EDR sisteminde otomatik izolasyon politikalarını devreye almak önemlidir.
  3. Kayıt Defteri Denetimi: Zararlı yazılımların kalıcılığını sağlamak için kullandıkları kayıt defteri anahtarlarının düzenli olarak gözden geçirilmesi, potansiyel riskleri azaltır.
  4. Bellek Analizi: Süreç enjeksiyonunu tespit etmek için bellek analiz araçlarının kullanılması, dağıtık zararlı yazılımların izini sürmeye yardımcı olur. Özellikle dosyasız zararlılara karşı savunmayı güçlendirir.

Sonuç Özeti

EDR ve XDR sistemleri, siber güvenlik alanında uç nokta güvenliğine dair güçlü bir yaklaşım sunar. Ancak, bu sistemlerin sağladığı verilerin yorumlanması ve analiz edilmesi, siber güvenlik profesyonellerinin sıkı takip ve sürekli güncellemeler yapmasını gerektirir. Risk değerlendirmesi ve yorumlama sürecinde, elde edilen bulgulara ilişkin derinlemesine analizlerin yapılması, yanlış yapılandırma ve zafiyetlerin etkisinin minimize edilmesi açısından kritik öneme sahiptir. Aynı zamanda, uygulanan savunma önlemleri ile sistemlerin hardening sürecinin güçlendirilmesi sağlanmalıdır.