CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Karşılaştırma Operatörleri ile Siber Güvenlikte Arama Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Karşılaştırma operatörleri, siber güvenlikte etkili veri analizi ve arama için kritik öneme sahiptir. Eşittir, Contains, StartsWith gibi operatörlerin kullanımı ile il...

Karşılaştırma Operatörleri ile Siber Güvenlikte Arama Stratejileri

Siber güvenlik alanında etkili veri analizi yapmak için karşılaştırma operatörlerini kullanmak kritik öneme sahiptir. Bu blog yazısında, eşittir, contains ve wildcard operatörlerinin işlevlerini öğrenin ve en iyi uygulamaları keşfedin!

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında bilgi edinme ve veri analizi, etkin önleme ve müdahale stratejilerinin temel dayanacağı yapılar arasında yer alır. Bu bağlamda, arama stratejilerini geliştirmek, bu stratejilerin temeli olan sorgulama dillerini ve özellikle karşılaştırma operatörlerini anlamaktan geçmektedir. Karşılaştırma operatörleri, belirli değerlerin, alanlar üzerindeki veri ile karşılaştırılmasını sağlayarak sistematik bir şekilde bilgi edinmemizi mümkün kılar. Örneğin, alan içindeki aradığımız değer ile tam eşleşme sağlamak için "Eşittir" (equal) operatörünü kullanarak etkili bir bilgi arama süreci başlatabiliriz. Bu operatörler ile, karmaşık veya büyük veri setleri üzerinde hedefli ve doğru bir sorgulama gerçekleştirmek mümkün hale gelir.

Neden Önemli?

Günümüzde siber güvenlik tehditleri sürekli evriliyor ve yeni yöntemlerle kendini gösteriyor. Kuruluşlar için bu tehditlere karşı etkili bir savunma hattı oluşturmak, yalnızca bu tehditleri tanımakla kalmayıp, aynı zamanda onları analiz edebilmek ile mümkündür. Çok sayıda günlük kaydının (log) olduğu ortamlarda, verilerin tümü ile çalışmak hem zorlu bir süreç haline gelir hem de sistem performansını olumsuz etkileyebilir. Dolayısıyla, arama sonuçlarını daraltarak istenen bilgilere ulaşmak için karşılaştırma operatörlerinin kullanımı hayati önem taşır. Her ne kadar "contains" operatörü geniş bir kapsam sunuyor olsa da, verinin önce daraltılması ve arama sürecinin yapılandırılması ile daha hızlı ve verimli sonuçlar elde edilebilir.

Siber Güvenlik ve Pentest Bağlamında Karşılaştırma Operatörleri

Siber güvenlikte, karşılaştırma operatörleri pentest (penetrasyon testi) faaliyetlerinde de kritik bir rol oynamaktadır. Bu testler sırasında, sistemde mevcut olan açıklar ve zayıflıklar tespit edilerek, bunlara yönelik önlemler geliştirilir. Pentest sürecinde, belirli bir dosya, IP adresi veya belirli bir kaynaktan gelen veriler üzerinde incelemeler yapılması gerektiğinde, bu operatörlerden faydalanmak gerekmektedir. Örneğin, bir saldırganın bir komut satırında "mimikatz" kelimesini aratması sırasında "equal" operatörü kullanılabilir ve böylece bu kelimenin geçip geçmediği net bir şekilde belirlenebilir.

Sistem yöneticileri ve güvenlik uzmanları tarafından yaygın olarak kullanılan bu operatörler, aynı zamanda herhangi bir hikâyenin (story) arka planında yer alan olayları da anlamaya yardımcı olur. Dolayısıyla, potansiyel bir saldırının trace (iz) analizi yapılırken, doğru operatörlerin seçilmesi, olayların doğru bir şekilde ilişkilendirilmesi ve zaman çizelgesinin oluşturulmasına olanak sağlar. Bu da, saldırıların daha etkin bir şekilde engellenmesine ve tehditlerin azaltılmasına zemin hazırlar.

Teknik İçeriğe Hazırlık

Karşılaştırma operatörlerinin etkili kullanımı, bilgi güvenliği alanındaki temel becerilerden biridir. Her ne kadar günümüzde birçok güvenlik aracı ve platformu bu operatörlerin kullanımını kolaylaştırsa da, kullanıcıların bu operatörlerin mantığını ve işleyiş biçimlerini kavramış olmaları gerekmektedir. Bu kapsamda, "Zincirleme Arama", "Kelime Avı", "Arama Süzgeçleri" ve "Maliyetli Aramalar" gibi farklı kavramlar üzerinde durmak, uygulamalı örneklerle konunun daha iyi anlaşılmasını sağlayabilir. Örneğin, aramalar sırasında kullanılabilen joker karakterler (wildcards) ile belirsiz veya değişken değerlerin aranması, kullanıcıların belirli bir dizi içinde daha esnek hareket edebilmesine olanak tanır.

Kod Örnekleri

Aşağıda farklı operatörlerin nasıl kullanılabileceğine dair bazı örnekler verilmiştir:

-- Eşittir operatörü
SELECT * FROM logs WHERE command = 'mimikatz';

-- içerir (contains) operatörü
SELECT * FROM logs WHERE message LIKE '%malware%';

-- Başlangıç ve bitişe göre filtreleme
SELECT * FROM logs WHERE source LIKE 'C:\\Windows%' AND file_extension = '.exe';

Bu örnekler, karşılaştırma operatörlerinin kullanımlarını gösterirken, aynı zamanda karar verme sürecindeki etkilerini de vurgular. Sonuç olarak, siber güvenlikte bilgi edinme ve analiz etme süreci, bu operatörlerin etkin bir şekilde kullanılmasına dayanmaktadır. Okuyucuların, bu operatörlerin işleyişini kavraması, bir sistemin güvenliğini artırma çabalarında önemli bir adım olacaktır.

Teknik Analiz ve Uygulama

Nokta Atışı

Siber güvenlikte arama stratejileri, büyük veri ortamlarında doğru ve etkili sonuçlara ulaşmak için kritik öneme sahiptir. Arama sırasında karşılaştırma operatörlerinin kullanımı, sorguların kesinliğini artırarak arama sonuçlarının verimliliğini sağlamaktadır. Bu bağlamda, eşittir (==), contains, startswith, gibi temel operatörlerin kullanımı önem kazanmaktadır.

Örneğin, bir saldırganın mimikatz adında bir işlemi çalıştırıp çalıştırmadığını kontrol etmek istiyorsak, aşağıdaki gibi bir sorgu kullanabiliriz:

process_name == "mimikatz"

Bu sorgu, yalnızca process_name alanında mimikatz değeriyle eşleşen kayıtları getirir.

Kelime Avı

Arama sırasındaki bir diğer kritik unsur ise contains operatörüdür. Bu operatör, bir metnin içinde belirli bir kelimenin yer alıp almadığını kontrol etmek için kullanılır. Ancak, büyük veri setlerinde bu tür aramaların yapılması sistem performansını olumsuz etkileyebilir. Bunun yerine, verileri mümkün olduğunca daraltarak arama yapmak daha iyi bir stratejidir.

Örneğin, bir log kaydında error kelimesini aramak istiyorsak:

log_message contains "error"

Bu sorgu, log_message alanında error kelimesini içeren tüm kayıtları getirir.

Arama Süzgeçleri

Siber güvenlikte belirli arama süzgeçleri kullanmak, istenen sonuçları almak için etkili bir yöntemdir. startswith operatörü, belirli bir değerin başlangıcındaki karakterlere odaklanarak arama yapmamızı sağlar. Özellikle belirli dizinlere odaklanmak istediğimizde bu operatör oldukça kullanışlıdır.

Bir dosya yolunun C:\Windows ile başladığını kontrol etmek için şu sorguyu kullanabiliriz:

file_path startsWith "C:\\Windows"

Bu sorgu, file_path alanında C:\Windows ile başlayan dosyaları listeler.

Bilinmeyenleri Tamamlamak

Joker karakterler, bilinmeyen veya değişken olabilecek yerler için kullanılır. * (yıldız) sembolü, sıfır veya daha fazla karakterin yerini alarak esnek aramalar yapılmasını sağlar. Örneğin:

user_name == "admin*"

Bu sorgu, user_name alanında admin ile başlayan tüm kullanıcı adlarını getirir.

Maliyetli Aramalar

Siber güvenlikte, milyarlarca log kaydı arasında arama yaparken sistem üzerindeki yükü minimize etmek kritik bir husustur. Bu nedenle tam eşleşme (==) operatörlerinin kullanımı, performansı artırabilir. contains operatörünün aşırı kullanımı, sistemin yavaşlamasına neden olabilir. Bu nedenle, başlangıçta daha kesin sorgularla işe başlamak ve sonrasında daraltılmış verileri kullanmak daha uygulanabilir bir stratejidir.

Dizin Takibi

Belirli dizinlerin (folder) altında meydana gelen tüm aktiviteleri izlemek için startswith operatörünü kullanmak, bu tür aktiviteleri takip etmenin en etkili yoludur. Örneğin, tüm alt dizinlerdeki aktiviteleri izlemek için:

folder_path startsWith "C:\\Users\\"

Bu sorgu, C:\Users\ dizini altındaki tüm kayıtları izler.

Özet

Karşılaştırma operatörleri, siber güvenlikte veri analizi ve arama kapsamındaki en önemli unsurlardandır. Doğru operatörlerin kullanılması, arama sonuçlarının doğruluğunu artırmakta ve sistem kaynaklarını daha verimli bir şekilde kullanma imkanı sağlamaktadır. Sorgularda ==, contains, startswith gibi operatörlerin doğru kombinasyonu, etkili bir güvenlik çözümü için kritik bir bileşendir. Bu operatörlerin teknik detayları ve kullanımları, siber güvenlik uzmanlarının günlük iş akışlarını optimize etmelerine yardımcı olur.

Risk, Yorumlama ve Savunma

Risk ve Yorumlama

Siber güvenlikte risk değerlendirmesi, organizasyonların bilgi sistemlerini tehdit eden zayıflıkları ve bu zayıflıklardan doğan potansiyel zararları anlamasını sağlar. Bu aşama, bilinçli karar vermek ve savunma stratejileri geliştirmek için kritik öneme sahiptir. Bir siber güvenlik uzmanı, elde edilen bulguların güvenlik anlamını yorumlarken, karşılaştırma operatörlerinin kullanımına dikkat etmelidir.

Verilerin Güvenlik Anlamı ve Yorumlama

Arama stratejilerinde kullanılan karşılaştırma operatörlerinin etkili bir şekilde kullanılması, siber güvenlik uzmanlarının doğru verilere ulaşmasını sağlar. Örneğin, "equal" operatörü (Eşittir) tam eşleşme aramalarında kullanılırken, "contains" operatörü belirli bir kelimenin veya ifadenin aramada geçip geçmediğini kontrol etmek için kullanılmaktadır.

Arama Sorgusu: event_id == 4624

Bu sorgu, belirli bir olay kimliği ile eşleşen tüm kayıtları döndürür. Eğer bir saldırgan sistemde bir "login" işlemi gerçekleştiriyorsa, bu operasyonun kaydı sistem loglarında yer alacaktır. Elimizde böyle bir veri olduğu zaman, sistemimizin güvenliğini değerlendirirken bunu dikkate almak kritik önem taşır.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırma veya zafiyetler, siber güvenliğin en zayıf halkaları arasında yer almaktadır. Örneğin, bir dizin altında gereksiz verilerin tutulması veya zayıf parola politikalarının uygulanması, dış saldırganların önemli bilgilere hızlı şekilde ulaşmasına olanak tanır.

Bir örnek vermek gerekirse:

Dizin Sorgusu: directory: "C:\\SensitiveData\\"

Bu sorgu, belirli bir dizin altındaki tüm dosyaları ve alt dizinleri göz önünde bulundurarak organizasyonun hangi bilgilere sahip olduğunu tespit etmemizi sağlar. Bu tür bir tespit, uygun güvenlik önlemlerinin alınması için kritiktir.

Sızan Veriler ve Servis Tespiti

Sızan verilerin belirlenmesi, bir siber saldırının kurbanı olma ihtimalimizi azaltır. Örneğin, bir sistemde "mimikatz" gibi bilinen bir saldırı aracının logları bulunuyorsa, bu bulgular hemen değerlendirilmelidir:

Arama Sorgusu: process_name: "mimikatz"

Bu sorgu, zararlı bir yazılımın sistemde çalışıp çalışmadığını kontrol etmek için kullanılacaktır. Burada elde edilen sonuçlar, potansiyel bir saldırının önceden tespit edilmesini sağlar ve organizasyonun savunma stratejileri üzerinde kritik bir etkiye sahiptir.

Profesyonel Önlemler ve Hardening

Siber güvenlikte önleme her zaman en iyi strateji olmalıdır. İşte bazı profesyonel önlemler ve hardening önerileri:

  1. Güçlü Parola Politikaları: Tüm kullanıcılar için zorunlu güçlü parola gereksinimleri belirlenmelidir.

  2. Düzenli Log İncelemesi: Log dosyalarının düzenli olarak incelenmesi, anomali tespitini kolaylaştırır.

  3. Güncel Yazılım Kullanımı: Yazılımların sürekli güncel tutulması, bilinen zafiyetlerin kapatılması açısından idealdir.

  4. Erişim Kontrolleri: Kullanıcıların yalnızca ihtiyaç duydukları veriye erişimini sağlayacak şekilde rol tabanlı erişim kontrolü uygulanmalıdır.

  5. Filtreleme ve Süzme: Verilerinizi "startswith" veya "endswith" gibi operatörlerle daraltarak daha etkili sorgular oluşturabilirsiniz.

Arama Sorgusu: username: "admin*"

Sonuç Özeti

Siber güvenlikte risk değerlendirme ve yorumlama süreçleri, sistemin genel güvenlik düzeyini belirleyen önemli faktörlerdir. Karşılaştırma operatörleri, doğru veri sorgulama ve analiz etme imkanı sunarak güvenlik uzmanlarının etkinliğini artırır. Yanlış yapılandırmalar ve zafiyetler hızlı bir şekilde tespit edilip düzeltilmelidir. Profesyonel önlemler alınarak sistemin hardening işlemleri gerçekleştirilmelidir. Bu aşamalar, siber saldırılara karşı güçlü bir savunma mekanizması oluşturmanın temel taşlarını oluşturur.