CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Gelişmiş Filtreleme ve Arama Optimizasyonu ile Siber Güvenlikte Hız Kazanın

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Siber güvenlik alanında gelişmiş filtreleme ve arama optimizasyonu ile verimliliğinizi artırın. Eğitim içeriğimizle detayları keşfedin.

Gelişmiş Filtreleme ve Arama Optimizasyonu ile Siber Güvenlikte Hız Kazanın

Gelişmiş filtreleme ve arama optimizasyonu, siber güvenlik alanında hızlı ve etkili veri analizi için kritik öneme sahiptir. Bu yazıda, temel ilkeleri ve pratikleri öğrenin.

Giriş ve Konumlandırma

Siber güvenlik alanında, veri yönetimi ve analizinin etkin bir şekilde gerçekleştirilmesi, saldırı tespit sistemleri (IDS) ve güvenlik bilgi ve olay yönetimi (SIEM) çözümlerinin başarısı açısından kritik bir öneme sahiptir. Gelişmiş filtreleme ve arama optimizasyonu, bu sistemlerin hızlı ve doğru bir şekilde çalışmasını sağlamak için gerekli olan temel teknik bilgileri kapsar. Bu blog yazısında, bu kavramların ne anlama geldiğini, neden bu kadar önemli olduğunu ve siber güvenlik bağlamında nasıl uygulanabileceğini inceleyeceğiz.

Gelişmiş Filtreleme Nedir?

Gelişmiş filtreleme, veri setleri içerisindeki belirli bilgiyi hızlı ve etkili bir şekilde izole etme işlemidir. Bu işlem, özellikle büyük veri setlerinde gereksiz logların ve bilgilerin arasından sıyrılarak, güvenlik açıklarının belirlenip giderilmesinde kritik bir rol oynar. Filtreleme yaparak, yalnızca ilgili verilere odaklanmak, hem zaman tasarrufu sağlar hem de kaynakların daha verimli kullanılmasına olanak tanır.

Filtrelemenin temel amacı, arama süreçlerinde istenmeyen ve alakasız verilerin elenmesi ile sonuçların daha anlamlı hale getirilmesidir. Örneğin, bir güvenlik analisti bir ağa yönelik gerçekleştirilen siber saldırıları analiz etmek istediğinde, devasa boyutlardaki log dosyaları içerisinde hızla arama yapması gerekir. Burada; 'src_ip=10.0.0.1' gibi spesifik alan belirtme veya zaman aralığı daraltma teknikleri kullanarak, analist sadece ilgilendiği kısımlara odaklanabilir.

Arama Optimizasyonu ve Önemi

Arama optimizasyonu, veri krizleri sırasında hızlı bir yanıt verme kabiliyetinizi artırmak için kullanılan yöntemleri kapsar. Özellikle siber güvenlikte, olayların ortaya çıkması durumunda zamanında müdahale edebilmek hayati bir öneme sahiptir. Arama sorgularının etkin bir şekilde optimize edilmesi, sistemin işleyen bir parçası olarak görülmelidir. Karmaşık olmayan, ancak etkili arama yöntemleri kullanarak, analiz süreçleri hızlandırılabilir ve daha keskin sonuçlar elde edilebilir.

Bir arama sorgusunun ne kadar sürede sonuç döndürebileceğini ölçen "sorgu yürütme süresi", bu konuda kritik bir metriktir. Yanlış yapılandırılmış veya aşırı karmaşık sorgular, sistemde aşırı CPU tüketimine yol açabilir ve bu da sistemin dondurulmasına veya yavaşlamasına neden olabilir. Bu nedenle, basit metin eşleştirmeleri yerine karmaşık regex kullanmaktan kaçınmak, performansı artıran en iyi pratiklerden biridir.

Siber Güvenlik Çerçevesinde Filtreleme ve Arama

Pentest (penetrasyon testi) süreçlerinde, siber güvenlik uzmanları belirli bir hedefe yönelik olası zayıflıkları keşfetmekteyken gelişmiş filtreleme teknikleri büyük önem taşır. Örneğin, bir saldırganın sistemde yer edinip edinmediğini kontrol ederken, analistlerin saldırının gerçekleştiği IP adreslerini veya zaman dilimlerini filtreleyerek sistemdeki anormallikleri daha hızlı tespit edebilmesi gerekir. Bu durum, hem var olan tehditlerin hızla belirlenmesine yardımcı olur hem de potansiyel güvenlik açıklarının kapatılmasında önemli bir adım oluşturur.

Kullanıcı veya sistem davranışını analiz etmek için gruplandırma (aggregation) yöntemleri de oldukça faydalıdır. Logların belirli bir kritere göre gruplandırılması, büyük veri setlerinin daha iyi anlaşılabilmesini sağlar. Örneğin, belirli bir port üzerinden gelen trafik miktarını gruplandırarak, o port üzerinden gerçekleştirilen saldırıların belirlenmesi daha kolay hale gelir.

Sonuç Olarak

Gelişmiş filtreleme ve arama optimizasyonu, siber güvenlik uygulamalarının etkinliğini artırmak için vazgeçilmez unsurlardır. Bu kavramların etkin bir şekilde benimsenmesi, veri analizi süreçlerini hızlandıracak ve güvenlik açıklarının tespit ve müdahale sürecini önemli ölçüde iyileştirecektir. Gelecek bölümlerde, indeksleme, mantıksal operatörler ve diğer teknik konulara daha ayrıntılı olarak değineceğiz.

Teknik Analiz ve Uygulama

İndeksleme (Indexing)

Siber güvenlik alanında verilerin hızlı bir şekilde erişilebilir olması kritik bir öneme sahiptir. Bu nedenle, büyük veri setlerinde etkili bir arama gerçekleştirebilmek için verilerin özel bir yapıda saklanması ve etiketlenmesi, indeksleme (indexing) süreci olarak adlandırılır. İndeksleme, arama motorlarının verileri daha hızlı tarayabilmesi için gerekli olan bir yapı sağlar. Örneğin, ElasticSearch gibi bir platformda indeksleme yapmak için aşağıdaki gibi bir komut kullanabilirsiniz:

PUT /my_index
{
  "mapping": {
    "properties": {
      "timestamp": { "type": "date" },
      "user": { "type": "keyword" },
      "action": { "type": "text" }
    }
  }
}

Bu komutla birlikte, my_index adında bir indeks oluşturulur ve bu indeksin içindeki verilerin nasıl yapılandırılacağı belirlenir.

Mantıksal Operatörler

Arama işlemlerinde kullanılacak olan mantıksal operatörler, sorguların verimliliğini artırmak açısından büyük önem taşır. AND, OR ve NOT gibi operatörler, arama sonuçlarını filtrelemek için sıklıkla başvurulan yöntemlerdir.

  • AND: Her iki koşulun da sağlandığı kayıtları getirir. Örneğin, user:alice AND action:login ifadesi, hem "alice" kullanıcısı hem de "login" eylemi olan kayıtları getirir.
  • OR: Belirtilen koşullardan en az birinin sağlandığı kayıtları gösterir. user:alice OR user:bob ifadesi, ya "alice" ya da "bob" olan kullanıcı kayıtlarını getirir.
  • NOT: Belirtilen koşulu sağlamayan verileri hariç tutar. NOT user:admin ile admin kullanıcıları hariç tutulur.

Filtrelemenin Amacı

Arama sorgularında filtreleme yapmanın en önemli avantajlarından biri, gereksiz veri miktarını azaltarak sistem kaynaklarının daha verimli kullanılmasını sağlamaktır. Örneğin, sadece belirli bir IP adresi üzerinden gelen verileri incelemek, daha az veri ile çalışmanıza olanak tanır.

src_ip:10.0.0.1

Bu şekilde, belirli bir IP adresine yönelik veriler üzerinde yoğunlaşarak aramalarınızı optimize edebilirsiniz.

Joker Karakterler (Wildcard)

Joker karakterler (* veya ?) arama sorgularında bilinmeyen bir veya birden fazla karakterin yerini almak için kullanılır. Örneğin, user:ali* ifadesi, "alice", "alina" gibi tüm kullanıcıları kapsar. Kullanıcı veritabanında esneklik sağlasa da, aşırı kullanımı sistem kaynaklarını gereksiz yere tüketebilir. Dolayısıyla, joker karakter kullanırken dikkatli olunmalıdır.

Arama Optimizasyon Pratikleri

Sorgu performansını artırmak için çeşitli pratikler uygulanabilir. Örneğin:

  • Zaman Aralığı Daraltma: Sorgunun belirli bir zaman dilimini hedef alması, işlem süresini önemli ölçüde kısaltır. timestamp:[now-1h TO now] gibi bir aralık belirterek, son bir saat içindeki kayıtları inceleyebilirsiniz.
  • Spesifik Alan Belirtme: Tüm veritabanı yerine sadece belirli alanlarda arama yapmak, zaman ve kaynak tasarrufu sağlar. Örneğin, src_ip=10.0.0.1 ifadesi üzerinden sadece bu alanda arama yapabilirsiniz.

Sorgu Maliyeti

Sorgu maliyeti, belirli bir arama komutunun sistem üzerindeki etkisini belirlemek için kritik bir göstergedir. Yanlış yapılandırılmış ve karmaşık sorgular, sistemin genel verimliliğini düşürebilir. Bu nedenle, kullanıcıların sorgu maliyetlerini sıkça gözlemlemesi önemlidir.

Regex ve Performans

Regex (Düzenli İfadeler) kullanımı, güçlü bir arama aracı olmasına rağmen, başlangıç sorgularında kaynak tüketimini artırabilir. Dolayısıyla, mümkün olduğunca kullanılmaması önerilir. Karmaşık desenleri içeren sorgular, sistem kaynaklarını zorlayarak yanıt sürelerini olumsuz etkileyebilir.

Veri Tipi Filtrelemeleri

Farklı veri tiplerine göre yapılan sorgu eşleştirmeleri, doğru sonuçlara ulaşmayı kolaylaştırır. Örneğin, sayısal değerler üzerinde karşılaştırma (=, >, <) yapılabilir:

log_size:>100MB

Bu ifade, 100MB'den büyük olan log kayıtlarını filtreler.

Gruplandırma (Aggregation)

Büyük veri setlerini incelerken gruplandırma yöntemleri kullanmak, verilerin daha anlamlı hale gelmesini sağlar. Örneğin, belirli bir zaman diliminde kullanıcı girişlerinin sayısını bulmak için:

{
  "aggregations": {
    "user_count": {
      "cardinality": {
        "field": "user"
      }
    }
  }
}

Bu sorgu, belirli bir zaman dilimi için benzersiz kullanıcı sayısını verir.

Sorgu Yürütme Süresi

Bir arama sorgusunun ne kadar sürdüğünü ve ne kadar kaynak tükettiğini ölçmek için sorgunun yürütme süresi (execution time) izlenmelidir. Bu, merkezi sunucuların aşırı yüklenmesini engellemek için kritik bir ölçüttür. Performansı artırmak amacıyla, sorguların zamanlarını düzenli olarak gözden geçirmek ve analiz etmek, sınırları belirlemek için önemlidir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, bir sistemin güvenlik açıklarını ve risklerini anlamak, potansiyel tehditleri zamanında tespit edebilmek ve uygun savunma stratejileri geliştirmek kritik bir süreçtir. Bu bağlamda, elde edilen bulguların güvenlik anlamını yorumlamak, yanlış yapılandırmalar veya zafiyetlerin etkilerini açıklamak ve profesyonel önlemler almak zorunlu hale gelmektedir.

Elde Edilen Bulguların Güvenlik Anlamı

Siber güvenlikte elde edilen bulgular, genellikle log kaynaklarından veya ağ trafik analizlerinden elde edilen verilerdir. Bu veriler sistemin durumu hakkında önemli bilgiler sunar. Örneğin, bir SIEM (Security Information and Event Management) sistemi üzerinden elde edilen log kayıtları, potansiyel saldırıların izlerini taşıyabilir. Elde edilen verilerin güvenlik anlamına gelmesi için bu logların dikkatli bir şekilde analiz edilmesi gerekir.

Bir örnek üzerinden açıklamak gerekirse, belirli bir IP adresinin sistemdeki güvenlik duvarını aşarak yetkisiz bir erişim sağlamaya çalıştığını gösteren bir log kaydı, saldırının varlığını ve potansiyel bir güvenlik açığını işaret eder. Bu tür bir bulgu, ilgili IP’nin engellenmesi, zaman dilimi analizi yapılması ve belki de daha geniş kapsamlı bir inceleme gerektirebilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber saldırganlar için kolay erişim noktaları oluşturabilir. Özellikle, varsayılan şifrelerin değiştirilmemesi, gereksiz servislerin aktif bırakılması veya hatalı firewall ayarları gibi durumlar, sistemin güvenliğini tehlikeye atabilir. Örneğin, aşağıdaki gibi bir log kaydı, kötü niyetli bir erişim girişimini gösterebilir:

2023-10-01 12:34:56 [ERROR] Failed login attempt from 192.168.1.10

Yukarıdaki kayıt, izlenmesi gereken bir durumu ortaya koyar. Eğer IP adresi güvenilir bir kaynak değilse, derhal bu girişimler kaydedilmeli ve sistem yöneticisi uyarılmalıdır. Bu tür bir analizin yapılmaması durumunda, sistem zararlı yazılımlar tarafından kötüye kullanılabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilerin tespiti, mevcut sistemin durumunu ve güvenlik açıklarını daha net bir şekilde görmemizi sağlar. Örneğin, bir veri ihlalinin ardından kaydedilen loglar aracılığıyla hangi veri setlerinin etkilenmiş olduğu tespit edilebilir. Bunun yanı sıra, ağ topolojisi üzerinde yapılan detaylı analizler, kritik sistem bileşenlerini ve bağlantılarını anlamamıza olanak tanır.

Servis tespitleri, ağ üzerinde hangi servislerin aktif olduğunu ve bu servislerin herkese açık mı yoksa sadece belirli kullanıcılara mı erişilebilir olduğunu anlamak için kritik bir süreçtir. Bu bağlamda, servislerin gereksiz yere açık bırakılması, potansiyel tehditler oluşturur. Aşağıda, bir örnek ağ yapılandırması hakkında temel bir çıkış bilgisi sunulmaktadır:

Service: SSH
Status: Open
Port: 22

Eğer açılan servislerin güvenli bir şekilde yapılandırılmadığı tespit edilirse, saldırganlar bu servisleri istismar edebilir.

Profesyonel Önlemler ve Hardening Önerileri

Sistem güvenliğinin artırılması için çeşitli önlemler almak ve "hardening" uygulamak elzemdir. Bunlar arasında şunlar yer alır:

  1. Güvenlik Duvarı Kuralları: Tüm gelen ve giden trafiği izleyen etkili bir güvenlik duvarı yapılandırmasının gerçekleştirilmesi.
  2. Düzenli Güncellemeler: Yazılımların güncel tutulması, bilinen zafiyetlere karşı koruma sağlar.
  3. Log Yönetimi: Elde edilen logların düzenli olarak incelenmesi ve gereksiz verilerin temizlenmesi.
  4. Zayıf Parola Politikaları: Tüm hesaplarda güçlü parolaların kullanılmasını zorunlu kılmak.

Sonuç

Siber güvenlik, sürekli değişen bir alan olarak dikkatli bir şekilde izlenmeyi ve güncellenmeyi gerektirir. Elde edilen verilerin güvenlik anlamının doğru yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerini anlamak, sistemlerin etkin bir şekilde korunabilmesi için şarttır. İşletmelerin, riskleri belirlemeleri ve uygun savunma mekanizmalarını geliştirmeleri, siber güvenlik tehditlerinin önlenmesi adına büyük önem taşımaktadır.