CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Farklı Tabloları İlişkilendirme: `join` ve `union` Teknikleri

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

`join` ve `union` operatörleriyle tablolardan nasıl güçlü veriler elde edebileceğinizi keşfedin.

Farklı Tabloları İlişkilendirme: join ve union Teknikleri

join ve union kullanarak veri analizi sürecinizi güçlendirin. Bu makalede tablolarda veri ilişkilendirme tekniklerine derinlemesine bakıyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında verilerin analizi, tehditleri önlemek ve yaşanan saldırıları anlamak açısından kritik bir rol oynamaktadır. Bu bağlamda, farklı veri kaynaklarından gelen verileri etkili bir şekilde birleştirmek, analistlerin saldırganların davranışlarını incelemesine ve saldırıların kökenine inmesine olanak tanır. İşte burada join ve union gibi veri ilişkilendirme teknikleri devreye girer.

Veri İlişkilendirme Teknikleri Nedir?

join ve union operatörleri, veritabanlarında ve veri analiz araçlarında tablolar arasındaki ilişkileri belirlemek için kullanılan temel mekanizmalardır. join, iki veya daha fazla tabloyu belirli bir ortak sütun üzerinden yatay olarak birleştirirken, union benzer yapıya sahip iki veya daha fazla tabloyu dikey olarak birleştirerek tek bir sonuç kümesi oluşturur. Bu teknikler, siber güvenlik analistleri için ayrıntılı ve kapsamlı bir veri analizi sağlar. Eğer finanse edilmiş bir tehdit ya da siber saldırı tespit edilmişse, analistler olayın detaylarını açığa çıkarmak için bu birleştirme tekniklerinden yararlanır.

Neden Önemlidir?

Siber güvenlikte tehditleri daha etkili bir şekilde anlamak ve önlemek için verilerin bir araya getirilmesi kaçınılmazdır. Özellikle, çok sayıda farklı kaynaktan gelen günlüklere (log) erişim sağlamak ve bu verileri anlamlandırmak, analistlerin kritik kararlar almasını kolaylaştırır. Örneğin, bir ağa yapılan saldırı sonrası Firewall ve Oturum günlükleri arasındaki bazı ilişkileri bulmak, saldırganın kimliğini tespit etmekte büyük bir öneme sahiptir.

Ağ loglarında sadece IP adresleri varken, oturum loglarında kullanıcı adları mevcut olabilir. Bu iki tablo arasında bir join işlemi gerçekleştirildiğinde, her iki tablodaki ortak alanın kullanılmasıyla, siber analistler dikkat çekici bilgileri hızlıca ortaya çıkarabilir. Özellikle inner join kullanarak, sadece her iki tabloda da bulunan verileri incelemekte yarar vardır.

Siber Güvenlik Bağlamında Kullanım

Siber güvenlikte veri ilişkilendirme tekniklerinin sağladığı avantajlar mühimdir. Özellikle tehdit istihbaratı ve olay müdahale süreçlerinde, bu teknikler etkili bir biçimde kullanılabilir. Örneğin, siber bir saldırı sırasında IP adresi ve kullanıcı adı gibi bilgileri bir arada incelemek, saldırganın metodlarını ve motivasyonlarını anlamak için kritik bir adım olabilir.

Bunun yanı sıra, union operatörü kullanılarak, benzer log bilgileri farklı kaynaklardan çerçeve oluşturularak tek bir zaman diliminde görselleştirilebilir. Bu durum, analistlerin saldırıların zamanlamasını ve kullanıcı etkileşimlerini daha iyi incelemesine yardımcı olur.

Ayrıca, veri analiz süreçlerinde lookup gibi daha hafif join yöntemleri de kullanılabilir. Bu, örneğin IP-Ülke gibi referans tablolarının ana tabloya hızlı bir şekilde eklenmesine olanak tanır.

Hazırlık

Bu yazıda, farklı tabloları ilişkilendirme teknikleri olan join ve union üzerinde duracağız. İşlem adımlarından, türlerinden ve doğru kullanım senaryolarından bahsedeceğiz. Asıl hedefimiz, okuyuculara bu operatörlerin nasıl çalıştığı, ne amaçla kullanıldığı ve siber güvenlikteki pratik uygulamalarını anlamaları için gerekli teknik bilgileri sağlamaktır.

Tablo ilişkilendirme, veri güvenliği açısından kritik öneme sahip bir yetkinliktir. Bu yazıda yer alan bilgiler, analistlerin daha bilinçli ve etkili bir veri analizi gerçekleştirmesi için bir temel oluşturacaktır. Kapsamlı bir anlayış geliştirmek, siber tehditleri daha iyi tanımak ve bu tehditlere karşı sağlam durmak için bu teknikler üzerinde ayrıntılı bir inceleme yapılması gerekmektedir.

Teknik Analiz ve Uygulama

Tablo Havuzu Oluşturmak

Veri analizi ile ilgili temel işlemlerden biri, farklı veri kaynaklarından elde edilen bilgileri entegre etmektir. Özellikle siber güvenlik alanında, logs’un çok çeşitli kaynaklardan ve formatlardan gelmesi, bu verilerin anlamlı bir şekilde birleştirilmesini gerektirir. Veri tabanı sorgulama dillerinde bu işlem genellikle join ve union operatörleri ile gerçekleştirilir.

Veri Konsolidasyonu

union operatörü, iki veya daha fazla tablonun aynı sütun yapısına sahip olması durumunda kullanılır. Bu operatör, tablolardaki verileri dikey olarak birleştirir ve sonuç kümesini oluşturur. Örneğin, aşağıdaki KQL sorgusu birden fazla firewall logunu bir araya getirir:

Firewall_A 
| union Firewall_B

Bu işlem sonucunda, Firewall_A ve Firewall_B tablosundaki tüm ağ trafiği tek bir sonuç kümesinde analiz edilir. union operatörünün en önemli avantajı, farklı kaynaklardan gelen benzer logları tek bir zaman çizelgesinde görmeyi sağlamasıdır.

Birleştirme Stratejileri

join operatörü, verilerin yatay olarak birleştirilmesini sağlar. İki farklı tablodaki verileri belirli bir join key üzerinden birleştirerek daha detaylı ve anlamlı bilgiler elde edebiliriz. Örneğin aşağıdaki sorgu, Source_IP sütununu kullanarak iki tabloyu bir araya getirir:

Ağ_Log
| join kind=inner Oturum_Log on $left.Source_IP == $right.Source_IP

Bu sorguda, sadece her iki tabloda da bulunan Source_IP değerlerine sahip satırlar getirilir. Böylece, ağ trafiği ile oturum bilgileri birleştirilerek, herhangi bir şüpheli bağlantının arkasındaki kullanıcı bilgilerine ulaşmak mümkün olur.

Korelasyonun Kalbi

Korelasyon, güvenlik olaylarının analizinde kritik bir rol oynamaktadır. join operatörü bu mantığı desteklerken, kullanıcının hangi IP adresleri üzerinden erişim sağladığını belirlemek için kullanılabilir. Örneğin, aşağıdaki örnek ile oturum log bilgilerini IP adresleri üzerinden genişletebiliriz:

Oturum_Log 
| join kind=leftouter Ağ_Log on $left.UserID == $right.UserID

Her iki tabloda da bulunmayan kayıtların, yani eşleşmeyen kullanıcıların da tespiti sağlanır.

Kimlik ve Trafik Eşleşmesi

Analistlerin, güvenlik olaylarını incelemesi için en önemli işlemlerden biri, verileri ilişkilendirmektir. Bu kapsamda lookup işlemi, küçük referans tablolarındaki bilgileri ana tabloya hızlıca eklemek için kullanılır. Örneğin, bir IP-Ülke listesi ile ana log tablosu birleştirilerek, IP adreslerinin coğrafi konumu hakkında bilgi edinilebilir.

Ana_Log
| lookup IP_Ulke_Listesi on IP

Bu tür bir işlem, güvenlik analistlerinin olayları daha kapsamlı bir şekilde incelemesine olanak tanır.

Sıkı Eşleşme

Başka bir önemli join türü ise inner join'dur. Bu türde sadece her iki tabloda da eşleşen kayıtlar getirilir. Aşağıdaki örnek ile yalnızca belirli bir kullanıcı için log verilerine ulaşılabilir:

User_Data 
| join kind=inner Event_Data on UserID

Bu işlem, kullanıcı ve event verilerini bir araya getirerek, kullanıcı davranışları üzerinde daha detaylı analizler yapılmasını sağlar.

Modül Finali

Veri tablosu ilişkilendirme konusundaki teknik detaylar, siber güvenlikte olayların ve tehditlerin anlaşılması için vazgeçilmezdir. Bir analist, join ve union gibi operatörler kullanarak, veri kaynaklarını birleştirip analizler yapabilir. Özellikle join işlemi, verilerin daha anlamlı hale gelmesinde önemli bir rol oynar ve güvenlik tehditlerinin belirlenmesinde yardımcı olur. Bu tür teknik bilgilerin uygulanabilirliği, analistin istihbarat yeteneklerini doğrudan etkiler.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, ağ bilgilerinin ve sistem verilerinin doğru bir şekilde yorumlanması, güvenlik risklerinin değerlendirilmesi ve etkili savunma stratejilerinin geliştirilmesi kritik öneme sahiptir. Bu bağlamda, join ve union teknikleri ile elde edilen verilerin değerlendirilmesi, siber savunma stratejilerinin temel bileşenlerinden biridir. Elde edilen bulguların güvenlik anlamının yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerinin belirlenmesi üzerine yoğunlaşmayı gerektirir.

Elde Edilen Bulguların Güvenlik Anlamı

Join ve union komutları, veri analizi süreçlerinde iki veya daha fazla tablonun birleştirilerek daha zengin ve anlamlı verilerin elde edilmesine olanak tanır. Örneğin, bir ağ günlüğü ile oturum günlüğünü birleştirerek bir saldırganın kimliğini aydınlatabiliriz. Aşağıda, bu bağlamda bir örnek sorgu verilmiştir:

Firewall_Logs
| join kind=inner Session_Logs on $left.Source_IP == $right.User_IP
| project TimeGenerated, Source_IP, User_Name

Bu sorguda, Source_IP ile User_IP arasında bir eşleşme bulunarak her iki tablodan gelen veriler birleştirilmiştir. Bu tür bir birleşim, potansiyel bir saldırganı veya şüpheli bir hareketi tespit etmede kritik bir rol oynar.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar veya zafiyetler, ağ güvenliğini tehdit eden önemli unsurlardır. Örneğin, bir firewall üzerinde gerekli izinlerin verilmemesi, belirli bir hizmete veya kaynağa erişimin sağlanamamasına neden olabilir. Bu durum, güvenlik açıklarına yol açabilir ve siber saldırganların sisteme sızması için bir fırsat sunabilir. Yanlış yapılandırmaların potansiyel etkileri şunlardır:

  • Veri Sızıntısı: Yanlış yapılandırılmış bir servis, hassas verilerin sızmasına neden olabilir. Örneğin, bir web sunucusunun gereksiz yere tüm IP’lere açık kalması.
  • Erişim Yetkileri: Kullanıcıların yanlış yetkilendirilmesi, sistemdeki hassas verilere izinsiz erişimin önünü açabilir.

Bunun önüne geçmek için, yapılandırmaların sıkı bir şekilde denetlenmesi ve güncellemelerin düzenli olarak yapılması gereklidir.

Sızan Veri, Topoloji ve Servis Tespiti

Bir ağın güvenliğini sağlamak için, sızan verilerin tespiti, ağ topolojisi ve kullanılan hizmetlerin analiz edilmesi kritik süreçlerdir. Join ve union operatörleri bu verilerin analizinde etkin bir şekilde kullanılır. Örneğin, aşağıdaki sorgu ile sızan verilerin detayları belirlenebilir:

Data_Breach_Logs
| join kind=leftouter Threat_Indicators on $left.Threat_ID == $right.Indicator_ID
| project Timestamp, Affected_Entity, Indicator_Type

Bu sorgu, veri ihlali durumunda tehdit göstergelerini tespit etmeye yardımcı olur. Elde edilen sonuçlar, potansiyel saldırı vektörlerini anlamak için önemlidir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik açıklarının en aza indirilmesi için profesyonel önlemler almak esastır. Bunlar arasında:

  • Güncellemelerin Yönetimi: Yazılım güncellemeleri, güvenlik açıklarını kapatmak için kritik öneme sahiptir. Güncellemelerin düzenli olarak kontrol edilmesi ve uygulanması gereklidir.
  • Erişim Kontrollerinin Güçlendirilmesi: Kullanıcıların erişim haklarının sıkı bir şekilde yönetilmesi, sistem güvenliğini artırır.
  • Ağ Segmantasyonu: Ağın farklı bölümlerini izole ederek bir saldırı durumunda kapsamlı bir hasarın önlenmesi sağlanmalıdır.
  • Güvenlik Duvarlarının Doğru Konfigürasyonu: Firewall'un doğru bir biçimde yapılandırılması ve baştan sona tarama yapılması, saldırıların engellenmesine yardımcı olur.

Sonuç Özeti

Siber güvenlikte risk değerlendirme, yorumlama ve savunma süreçleri, verilerin etkili bir şekilde analiz edilmesini ve güvenlik açıklarının çok yönlü bir perspektiften incelenmesini gerektirir. Join ve union teknikleri, bu sürecin merkezinde yer alarak potansiyel tehditleri ortaya çıkarmada yardımcı olmaktadır. Yanlış yapılandırmalar ve zafiyetler, tehlikeli sonuçlar doğurabileceğinden, sürekli bir izleme ve güvenlik hardening çalışmaları yapılması kritik öneme sahiptir. Her bir aşamada, elde edilen bulguların dikkatle yorumlanması ve gerekli savunma önlemlerinin alınması, siber güvenliğin etkin şekilde sağlanmasına katkı sağlamaktadır.