CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Gelişmiş Denetim Politikalarının Yapılandırılması: Siber Güvenlikte Önemli Adımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Gelişmiş denetim politikaları ile siber güvenlik kaynaklarınızı koruma altına alın. Denetim kategorileri ve analiz yöntemlerini öğrenin.

Gelişmiş Denetim Politikalarının Yapılandırılması: Siber Güvenlikte Önemli Adımlar

Siber güvenlikte, gelişmiş denetim politikaları kritik öneme sahiptir. Olayları detaylı izlemek, performansı artırmak ve güvenliği sağlamanın yollarını keşfedin.

Giriş ve Konumlandırma

Gelişmiş Denetim Nedir?

Gelişmiş denetim, siber güvenlik alanında, standart denetim politikalarının ötesine geçerek olayları daha detaylı bir biçimde izlemeyi ve raporlamayı mümkün kılan bir yapıdır. Bu yapı, olayları çok daha spesifik alt kategorilere ayırarak (örneğin, sadece dosya silme işlemleri gibi) daha detaylı logların üretilmesini sağlar. Dolayısıyla, sistem yöneticileri, güvenlik analistleri ve, siber güvenlik uzmanları için kritik bir araçtır.

Neden Önemlidir?

Siber güvenlik, her geçen gün büyüyen tehditlerle karşı karşıyadır. Gelişmiş denetim politikaları, yalnızca sistemlerin güvenliğini artırmakla kalmaz; aynı zamanda olası saldırılara karşı hızlı tepki verme yeteneği de kazandırır. Düşünmek gerektiğinde, bir sistemde gerçekleştirilen tüm olayların izlenmesi, anomali tespiti ve geçiş sürelerinin minimize edilmesi açısından önemlidir. Ayrıca, bu tür bir denetleme, güvenlik açıklarının tespit edilmesi ve düzeltilmesi için hayati öneme sahiptir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Penetrasyon testleri (pentest) ve savunma stratejileri, güvenlik alanındaki profesyonellerin uzmanlık alanlarındandır. Gelişmiş denetim politikaları, pentest süreçleri sırasında gerçekleştirilen testlerin etkinliğini artırırken, sistemlerin savunma düzeyini de optimize eder. Eğer bir güvenlik açığı tespit edilirse, geliştirilen loglar sayesinde bu açığın hangi süreçte meydana geldiği, hangi kullanıcıların dahil olduğu ve sistem üzerinde hangi değişikliklerin yapıldığı gibi detaylar elde edilebilir.

Gelişmiş denetim uygulamaları, olay günlüklerinin saklanmasından, işlenmesinden ve analiz edilmesinden sorumlu sistem yöneticilerine önemli avantajlar sağlar. Örneğin, bir güvenlik ihlali gerçekleştiğinde, benzer geçmiş olayların incelenmesi, saldırının şekli ve yöntemleri hakkında kritik bilgiler sunabilir.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu yazıda, gelişmiş denetim politikalarının yapılandırılmasına dair kapsamlı bilgi sunmayı amaçlıyoruz. Denetim kategorileri, granüler kontrol yöntemleri, auditpol aracı ve kritik olay kimlikleri gibi önemli konulara değinilecektir. Bu alanlarda bilgi sahibi olmak, sistem yöneticilerinin ve güvenlik profesyonellerinin etkili bir denetim politikası oluşturmasına olanak tanır.

Örneğin, aşağıdaki basit denetim ayarı, sadece önemli olayları izlemek için yapılabilecek bir yapılandırmayı ifade eder:

auditpol /set /subcategory:"File System" /success:enable /failure:enable

Bu komut, dosya sistemi ile ilgili işlemleri denetlemek amacıyla başarılı ve başarısız olay kayıtlarını etkinleştirir. Kullanıcıların hangi dosyalar üzerinde hangi işlemleri gerçekleştirdiği hakkında kritik bilgiler toplanabilir.

Sonuç olarak, gelişmiş denetim politikaları, etkin güvenlik yönetim süreçlerinin yapı taşlarını oluşturur. Hem mevcut sistemlerin korunması hem de olası güvenlik ihlallerine karşı proaktif bir yaklaşım benimsemek için kritik önem taşır. Devam eden bölümlerde, bu politikaların nasıl yapılandırılacağını ve hangi araçların kullanılacağını detaylı bir şekilde ele alacağız.

Teknik Analiz ve Uygulama

Gelişmiş Denetim Nedir?

Gelişmiş denetim, standart denetim politikalarının ötesine geçerek olayları daha detaylı alt kategorilere ayırarak, özellikle kritik olayların izlenmesini sağlar. Bu süreç, siber güvenlikte ve sistem yönetiminde önemli bir rol oynar. Örneğin, sadece dosya silinme olaylarının kaydedilmesi, sistem yöneticilerine daha yalın ve anlaşılır bir denetim çıktısı sunar. Bu yapı, gereksiz log gürültüsünü azaltarak yalnızca önemli olaylara odaklanmayı mümkün kılar.

Denetim Kategorileri

Gelişmiş denetim birkaç ana kategoriye ayrılır:

  1. Hesap Girişi (Account Logon): Kimlik doğrulama biletlerinin (Kerberos) veya NTLM isteklerinin kaydı.
  2. Nesne Erişimi (Object Access): Dosya, klasör, kayıt defteri anahtarları veya Active Directory (AD) nesnelerine erişimin izlenmesi.
  3. Detaylı İzleme (Detailed Tracking): Süreçlerin başlatılması, sonlandırılması ve uzaktan komut çalıştırma takibi.

Bu kategoriler, siber güvenlik ekiplerinin mevcut sistemin güvenliğini daha iyi anlayabilmeleri için kapsamlı bir görünürlük sağlar.

Granüler Kontrolün Faydası

Gelişmiş denetim ile kritik olayların takibi için granüler kontrol sağlanır. Bu, olayların yalnızca belirli alt kategorilere ayrılmasıyla elde edilir ve böylece sistem yöneticileri, yalnızca önem taşıyan verileri kaydedebilir. Özellikle, devre dışı bırakılan veya hatalı yapılandırılan denetim ayarları, sistemin güvenliğini tehdit edebilir.

Auditpol Aracı

Auditpol, Windows işletim sistemi üzerinde denetim politikalarını görüntülemek, değiştirmek ve yedeklemek için kullanılan temel bir komut satırı aracıdır. Auditpol kullanarak mevcut denetim ayarlarını listelemek için şu komutu kullanabilirsiniz:

auditpol /get /category:*

Bu komut, tüm denetim kategorilerini ve bunların ayarlarını görüntüler. Denetim politikalarının durumu sürekli izlenmeli ve gerektiğinde güncellenmelidir.

Kritik Olay Kimlikleri (Event IDs)

Gelişmiş denetimde önemli olan bir diğer nokta, olay kimlikleri (Event IDs) ile doğru bilgiler elde etmektir. Örneğin:

  • Event ID 4688: Yeni bir sürecin (Process) başlatılmasını gösterir. Bu, komut satırı argümanlarını içerebilir ve siber saldırıları tespit etmek için kritik bir bilgidir.
  • Event ID 4663: Belirli dosya veya nesneler üzerinde okuma, yazma veya silme işlemleri yapıldığında kayıt edilir.
  • Event ID 4698: Zamanlanmış görevlerin oluşturulmasını izler ve bu nedenle kalıcılık tespiti için önemlidir.

Süreç İzleme (Process Tracking)

Süreç izleme, sistemdeki süreçlerin başlatılması, sonlandırılması ve herhangi bir ani değişiklik olursa bunu kaydetmek için kullanılır. Bu tür detaylı izleme, olası tehditlerin tespiti için oldukça kritiktir. 

auditpol /set /subcategory:"Detailed Tracking" /success:enable /failure:enable

Yukarıdaki komut, detaylı izlemeyi etkinleştirir.

Zorunlu Denetim Ayarı (Force Audit)

Gelişmiş denetim ayarlarının standart ayarlar tarafından ezilmesini önlemek için Windows Grupları İlkesi (GPO)'nda "Audit: Force audit policy subcategory settings" seçeneği "Enabled" durumuna getirilmelidir. Bu, gelişmiş denetim yapılandırmalarının her zaman geçerli olmasını sağlar.

Başarı ve Başarısızlık (Success/Failure)

Başarı ve başarısızlık durumları, denetim süreçlerinin izlenmesinde önemli bir yer tutar. Belirli bir kaynağa erişim yetkisi olan bir kullanıcının başarı ile işlem yapması, "Success" şeklinde kaydedilirken, yetkisiz erişimler veya yanlış parola denemeleri "Failure" olarak kaydedilir.

auditpol /set /subcategory:"Logon/Logoff" /success:enable /failure:enable

Bu komut, oturum açma ve kapama olaylarını hem başarı hem de başarısızlık durumları için kaydetmek üzere yapılandırır.

Performans ve Depolama

Denetim mekanizmalarını yapılandırırken, performans ve depolama alanı da göz önünde bulundurulmalıdır. Aşırı denetim yapılandırması, sistemin performansını olumsuz etkileyebilir ve depolama alanını hızla doldurabilir. Bu nedenle, gereksiz log kayıtlarının devre dışı bırakılması önerilir.

Kayıt Defteri İzleme (Registry Auditing)

Kritik sistem ayarlarının değişip değişmediğini belirlemek için Gelişmiş Denetim altındaki kayıt defteri erişim takibi aktif edilmelidir. Bu, sistem değişikliklerinin takip edilmesine ve potansiyel tehditlerin belirlenmesine yardımcı olur.

auditpol /set /subcategory:"Registry" /success:enable /failure:enable

Yukarıdaki komut ile kayıt defteri erişimi izlemeye alınabilir.

Sonuç olarak, gelişmiş denetim politikalarının doğru bir şekilde yapılandırılması ve yürütülmesi, siber güvenlik alanında kritik bir adımdır. Uygulanan bu politikalar sayesinde kuruluşlar, sistemlerini daha güvenli hale getirebilir ve potansiyel tehditleri zamanında tespit edebilir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, sistemlerin güvenliğini sağlamak için yapılan denetim, potansiyel zafiyetlerin ve yapılandırma hatalarının tespit edilmesinde kritik bir rol oynar. Gelişmiş denetim politikalarının yapısı, loglama ve olay takibi açısından büyük bir önem taşır. Bu yazıda, siber güvenlikte risk değerlendirmesi, yorumlama ve savunma stratejileri üzerinde duracağız.

Elde Edilen Bulguların Yorumlanması

Gelişmiş denetim politikaları, güvenlik olaylarını daha detaylı bir şekilde takip edebilmek için tasarlanmıştır. Bu politikalar sayesinde, özellikle kritik olay kimlikleri (Event IDs) aracılığıyla önemli bilgiler elde edilir. Örneğin, Event ID 4688 yeni bir sürecin başlatıldığını gösterirken, Event ID 4663 belirli bir nesne üzerinde okuma, yazma ya da silme işlemi yapıldığını belgelemektedir. Bu tür bilgilerin elde edilmesi, bir sistemin güvenliğini tehlikeye atan kullanıcı davranışlarını ve olası saldırıları erken tespit etme şansı sunar.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, işletim sistemlerinin ve uygulamaların güvenlik duvarlarının aşılmasına olanak tanır. Örneğin, No Auditing durumu aktif olduğunda, güvenlik olayları loglara kaydedilmeyecek ve saldırganlar tarafından gerçekleştirilen girişimler tespit edilemeyecektir. Bu durum mevcut zafiyetlerin farkında olmadan, uzun süre sistemin sızmasına yol açabilir. Ayrıca, aşırı denetim politikalarının etkinleştirilmesi, hem sunucunun performansını olumsuz etkiler hem de depolama alanının hızla dolmasına neden olur.

auditpol /get /category:*

Yukarıdaki komut sayesinde, mevcut denetim politikalarının kaydı alınabilir. Ek olarak, bu yapılandırmaların doğru olup olmadığı sık sık kontrol edilmelidir.

Sızan Veri ve Servis Tespiti

Sızan verilerin ve sistemin topolojisinin tespiti, siber güvenlik açısından kritik öneme sahiptir. Denetim logları, hangi hizmetlerin çalıştığını ve hangi kullanıcıların bu hizmetlere erişim sağladığını gösterir. Object Access denetim kategorisi, dosya, klasör ve sistem nesnelerinin erişimini izlemek için kullanılır. Bu sayede, yetkisiz erişimlerin engellenmesi ve veri ihlallerinin önüne geçilmesi sağlanır.

Profesyonel Önlemler ve Hardening Önerileri

Sistemlerin güvenliğini artırmak için aşağıdaki önlemler alınmalıdır:

  1. Gelişmiş Denetim Ayarları: GPO (Group Policy Object)'da "Audit: Force audit policy subcategory settings" seçeneği Enabled durumuna getirilmelidir. Bu sayede, gelişmiş denetim ayarları standart ayarlarla ezilmeyecek ve kritik olaylar daha etkili bir şekilde takip edilecektir.

  2. Sürekli İzleme: Süreçlerin başlatılması ve sonlandırılması gibi önemli olayların izlenmesi gereklidir. Detailed Tracking kategorisi bu süreci kolaylaştırır.

  3. Registry İzleme: Sistem ayarlarının güvenliğini sağlamak için Registry erişim takibi düzenli olarak aktif edilmelidir. Bu, kritik sistem bileşenlerindeki herhangi bir değişikliğin izlenmesini sağlar.

  4. Log Yönetimi ve Analizi: Elde edilen logların düzenli olarak analizi, potansiyel güvenlik ihlallerinin tespit edilmesi için kritik öneme sahiptir. Logların genel bakışı, hangi olayların sık tekrarlandığını, kaynakların hangi kullanıcılar tarafından erişildiğini ve gerektiğinde hangi önlemlerin alınması gerektiğini belirlemenize yardımcı olur.

Sonuç Özeti

Siber güvenlikte risk değerlendirmesi ve yapılandırma, dinamik bir süreçtir ve sürekli izleme gerektirir. Gelişmiş denetim politikaları sayesinde elde edilen veriler, sistemler üzerindeki potansiyel tehditlerin yorumlanması ve önlem alınması konusunda yardımcı olmaktadır. Yanlış yapılandırmalar ve zafiyetler ciddi güvenlik riskleri oluşturabilirken, etkili savunma mekanizmaları ile bu risklerin azaltılması mümkündür. Denetim ve izleme uygulamalarının düzenli olarak gözden geçirilmesi ve güncellenmesi, güvenli bir bilgi sistemi yaratma konusunda önemli adımlar atılmasını sağlayacaktır.