CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Kibana Query Language (KQL): Elastic Ekosisteminde Filtreleme Tecrübeleri

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Kibana Query Language (KQL) ile veri analizi ve filtreleme süreçlerinizi kolaylaştırın. Siber güvenlik alanında KQL'in avantajlarını keşfedin.

Kibana Query Language (KQL): Elastic Ekosisteminde Filtreleme Tecrübeleri

Kibana Query Language (KQL), Elastic ekosisteminde veri filtrelemenin etkin yollarını sunuyor. KQL kullanarak siber güvenlikte nasıl daha etkili olabileceğinizi öğrenin.

Giriş ve Konumlandırma

Kibana Query Language (KQL), Elastic Stack içinde veri analizi ve arama işlemlerini gerçekleştirmek için oldukça önemli bir araçtır. Elasticsearch, Logstash ve Kibana bileşenlerinden oluşan bu ekosistem, büyük veri setlerinin işlenmesini ve analizi için mükemmel bir altyapı sunar. KQL, Elasticsearch üzerinde sorgular yazmayı sağlarken, aynı zamanda kullanıcıların karmaşık verilere erişimini ve bunları anlamasını kolaylaştırır. Bu yazıda, KQL'nin siber güvenlik ve pentest alanındaki rolünü inceleyeceğiz ve bu dilin sağladığı avantajları ele alacağız.

KQL Nedir ve Önemi Neden Bu Kadar Büyüktür?

KQL, kullanıcıların Elasticsearch üzerinde verileri sorgularken kullandıkları özel bir dil olarak tanımlanabilir. Kullanıcılara, belirli alanlar ve değerler üzerinde esnek arama yetenekleri sunar. KQL'nin en büyük avantajı, otomatik tamamlama desteğiyle birlikte gelmesidir. Bu özellik, kullanıcıların sorgularını yazarken alan isimlerini ve değerlerini akıllıca önerir ve bu sayede yazım hatalarını minimize eder. Örneğin, bir analist "src" yazarak sistemin ona hemen "src_ip" gibi alan isimleri önerdiğini gözlemleyebilir. Bu durum, siber güvenlik uzmanları ve analistleri için zaman tasarrufu sağlarken, aynı zamanda hata payını da azaltır.

Ayrıca KQL, karmaşık veri yapılarındaki iç içe alanları sorgulamayı büyük ölçüde kolaylaştırır. Bu durum, özellikle siber güvenlik bağlamında, log dosyaları ve diğer veri kaynaklarından elde edilen karmaşık bilgilerle çalışırken kritik bir öneme sahiptir. Örneğin, bir güvenlik analisti, belirli bir IP adresi ve kullanıcı adıyla ilişkili olayları sorgulamak istediğinde, KQL'nin sunduğu mantıksal bağlayıcılar gibi özellikler sayesinde bu bilgiler arasındaki ilişkileri belirlemek daha basit hale gelir.

Siber Güvenlik Bağlamında KQL Kullanımı

Siber güvenlik alanında, KQL'nin etkilerinin anlaşılması oldukça önemlidir. Özellikle pentest (penetrasyon testi) süreçlerinde, tehdit avcıları ve güvenlik analistleri, sistemlerin güvenliğini sağlamak için aktif olarak logları ve diğer verileri incelemek zorundadır. KQL, bu süreçlerde onları destekleyen araçlardan biri olarak öne çıkar. Tek bir sorgu ile binlerce log kaydı arasından belirli bir saldırı vektörü hakkında bilgi almak mümkün hale gelir.

Aldığımız verileri işlerken KQL’nin sunduğu "field : value" yapısının kullanılması, belirli bir alanın belirli bir değere sahip olup olmadığını kontrol etmemizi sağlar. Bu, kullanıcıların analizlerinde doğruluğu artırıp olası tehlikeleri hızla tespit etmelerinde yardımcı olur. Örneğin, aşağıdaki basit KQL sorgusu, belirli bir IP adresini ve ona ait logları filtreleyerek analiz etmeyi sağlar:

src_ip: "192.168.1.1"

Çeşitli filtreleme operatörlerini kullanarak KQL, istenilen verilere daha hızlı ve verimli bir şekilde erişmeyi mümkün kılar. Bir diğer önemli yapı olan "not field : value" ifadesi ise belirli bir değerin dışlanmasını sağlar ve bu da özellikle zararlı aktiviteleri tespit etmede faydalı olabilir.

KQL'nin Sağladığı Kolaylıklar

KQL, yazım kolaylığı sunan bir sorgu dili olarak, kullanıcıların sorgularını daha doğal ve akışkan bir şekilde oluşturabilmelerine olanak tanır. KQL'de mantıksal operatörlerin küçük harflerle yazılması, bu dilin geleneksel Lucene diline göre daha kullanıcı dostu olmasını sağlar. Bu sayede, daha az hata ile daha fazla veri üzerinde işlem yapabiliriz.

Ayrıca, KQL'nin "Autocomplete" özelliği, analistler için büyük bir avantajdır. Analist bir sorgu yazarken sistemin sunduğu öneriler sayesinde hızlıca gerekli sorguları oluşturmak mümkündür. Bu özellik, kullanıcıların alan isimlerini ve değerlerini hatırlama zorunluluğunu ortadan kaldırarak, siber güvenlik analizlerinin daha akıcı ve verimli bir şekilde gerçekleştirilmesini destekler.

Sonuç olarak, Kibana Query Language (KQL), siber güvenlik alanında veri analizi ve filtreleme işlemlerinde kritik bir rol oynamaktadır. Olası güvenlik tehditlerini hızlı bir şekilde tespit etme, verileri daha etkili bir şekilde analiz etme ve kullanıcı deneyimini iyileştirme konularında sağladığı avantajlar, onu güvenlik analistleri için vazgeçilmez bir araç haline getirir. Bu yazının ilerleyen bölümlerinde KQL'nin özellikleri, filtreleme sözdizimi, mantıksal zincirler ve daha fazlası hakkında detaylı bilgilere yer vereceğiz.

Teknik Analiz ve Uygulama

Akıllı Filtreleme

Kibana Query Language (KQL), Elastic ekosisteminde veri sorgulamak için oldukça kullanıcı dostu bir yöntem sunmaktadır. KQL’in sunduğu en önemli özelliklerden biri, otomatik tamamlama desteğidir. Bu özellik sayesinde analistler, sorgu yazarken gerekli alan adlarını ve önceki kullanılmamış değerleri hızlıca bulabilmektedir. Örneğin, bir sorgu yazmaya başladığınızda, sistem, o an yazmakta olduğunuz kelimeye uygun alan isimlerini önerir. Bu durumu daha iyi anlamak için aşağıdaki şekilde bir kullanım örneği inceleyelim:

status : "success"

Bu sorgu, "status" alanında "success" değerine sahip olan kayıtları döndürecektir. Otomatik tamamlama sayesinde, analistlerin alan isimlerini sürekli hatırlamaları gerekmemekte ve bu durum yazım hatalarını minimize etmektedir.

Hata Payını Azaltmak

KQL, Kibana’nın sunduğu daha basit bir sözdizimine sahip olduğundan, Lucene diline göre yazım hatalarını azaltmayı amaçlamaktadır. KQL içerisinde mantıksal operatörler (örneğin, "and" veya "or"), küçük harfle yazılabilir ki bu da kullanıcıların yazım sırasında yapılan hataları önemli ölçüde azaltır. Aşağıdaki örneğe bakalım:

status : "error" and user : "admin"

Bu örnekte "error" durumuna sahip ve kullanıcı adı "admin" olan kayıtlar sorgulanmaktadır. KQL’in sunduğu bu yazım kolaylığı, kullanıcı deneyimini anlamlı bir şekilde artırmaktadır.

Filtreleme Sözdizimi

KQL’nin temel filtreleme sözdizimi oldukça besleyici ve işlevsel bir yapı sunmaktadır. KQL sorguları genellikle "field: value" formatında oluşturulmaktadır. Kullanım örnekleri olarak;

  • Bir alanın belirli bir değere sahip olup olmadığını kontrol etmek için:
username : "johndoe"
  • Bir alanın boş olmadığını kontrol etmek için:
field : *
  • Belirli bir değeri dışarıda bırakmak için:
not status : "failed"

Bu şekilde kullanıcılar, veri setlerinde arama yaparken esneklik elde eder. Ayrıca, KQL'de aralık belirlemek için "Range Query" kullanılabilir:

bytes > 1000

Bu sorgu, "bytes" alanı 1000'den büyük olan kayıtları döndürmektedir.

Derin Veri Erişimi

KQL, karmaşık veri yapılarında iç içe geçmiş alanları sorgulamayı kolaylaştırmaktadır. Bu tür veriler, genellikle hiyerarşik yapıdadır ve KQL ile bunlara erişim sağlamak oldukça kolaydır. Örneğin, iç içe geçmiş veri yapısını sorgulamak için KQL şu şekilde kullanılabilir:

user.name : "johndoe"

Bu tarz bir sorgu, kullanıcı adının "johndoe" olarak tanımlandığı bir iç içe geçmiş veri setinde arama yapmaktadır. KQL’in bu esnekliği, veri analistlerinin sorgularını daha etkili bir şekilde oluşturmasına olanak tanır.

Yazım Kolaylığı

KQL'de yazım kolaylığı, kullanıcı deneyimini önemli ölçüde geliştirmektedir. Kullanıcıların, "and", "or" gibi mantıksal operatörleri küçük harfle yazabilmeleri, sorgu yazımında sağlıklı bir akış sağlar. Örneğin, çoklu koşulları birleştirmek için kullanılan "and" operatörü, KQL’de şu şekilde yazılabilir:

status : "success" and response_time < 50

Bu da analistlerin veri sorgularken açık ve anlaşılır bir yöntem kullanmalarını sağlar.

Mantıksal Zincir

KQL’de birden fazla kriterin aynı anda sağlanmasını istiyorsak mantıksal operatörleri kullanmamız gerekmektedir. Örneğin, bir IP adresinin ve kullanıcı adının aynı anda doğru olduğu kayıtları bulmak için şunu yazabiliriz:

ip : "192.168.1.1" and username : "johndoe"

Bu sorgu, belirtilen IP adresine ve kullanıcı adına sahip olan tüm kayıtları döndürecektir. Mantıksal zincir, KQL’in güçlü yönlerinden birini oluşturarak filtrenin detaylandırılmasını sağlar.

KQL, Elastic ekosistemindeki güçlü filtreleme imkanları sayesinde siber güvenlik uzmanlarının veri ile etkileşimlerini geliştirmekte ve veri analizi süreçlerini hızlandırmaktadır.

Modern sorgulama dili, analistlerin iş yükünü azaltırken, aynı zamanda hızlı ve etkili analiz yapmalarına olanak tanımaktadır. Bu yetenek, KQL’nin siber güvenlik alanındaki önemini bir kat daha artırmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlikte etkili bir risk değerlendirmesi, elde edilen verilerin yorumlanabilmesi ile başlar. Kibana Query Language (KQL), Elastic ekosistemindeki verilerin sorgulanması ve analizi açısından kritik bir rol oynamaktadır. KQL'in sunduğu akıllı filtreleme yetenekleri, veri analistlerinin daha doğru ve hızlı sonuçlar elde etmelerine olanak tanır. Ancak, bu sonuçların güvenliği hakkında tartışıldığında, kritik noktaların göz önünde bulundurulması gerekmektedir.

Yanlış Yapılandırma ve Zafiyetler

KQL kullanılarak elde edilen bulgular, yanlış yapılandırma veya zafiyetlerin tespit edilmesinde önemli bir rol oynar. Örneğin, sistemdeki yanlış konfigürasyonlar, sızan verilerin tespitinde büyük bir risk oluşturabilir. KQL ile gerçekleştirilen sorgularda, aşağıdaki gibi basit bir yapı kullanılarak belirli alanlarda sorun olup olmadığı sorgulanabilir:

status: error

Yukarıdaki sorgu, sistemdeki hata kayıtlarını tespit etmek için kullanılabilir. Eğer sonuçta yüksek sayıda hata mesajı bulunuyorsa, bu durum sistemin güvenliği için bir tehlike oluşturabilir. Hataların analiz edilmesi, olası zafiyetleri gözler önüne serebilir ve yapılacak savunma mekanizmalarının belirlenmesinde yardımcı olur.

Veri Sızıntıları, Topoloji ve Servis Tespiti

Veri sızıntıları da siber güvenlik açısından kritik riskler taşır. Kibana kullanarak, sisteme dair verilerin analizi sayesinde hangi verilerin tehdit altında olduğu ve hangi verilerin dışarıya sızdığı tespit edilebilir. Örneğin, kullanıcıların kimlik bilgilerini veya hassas verileri barındıran alanların listelenmesi, olası sızıntıların erken tespiti açısından önemlidir. Bu amaçla şu sorgu kullanılabilir:

field: "sensitive_data" and not field: "secured"

Bu tür sorgular, belirlenen hassas veriler arasında hangi bilgilerin risk taşıdığına dair önemli bilgiler sağlar.

Topolojinin tespiti, sistemin genel yapılandırmasını anlamak için kritik öneme sahiptir. KQL kullanarak ağ üzerindeki cihazların ve hizmetlerin durumunu incelemek, saldırganların hangi noktaları hedef alabileceği konusunda bilgi verir.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen verilerin analizi, profesyonel önlemler alınmasını gerektirir. Bu bağlamda önerilen hardening yöntemleri şunlardır:

  1. Güvenlik Duvarı ve Ağ Segmentasyonu: Ağın farklı bölümlerini izole ederek kritik verilere erişimi sınırlamak.
  2. Erişim Kontrolleri: Kullanıcıların hangi verilere erişebileceği konusunda katı yönergeler belirlemek.
  3. Günlük İzleme ve Analizi: Tüm sistem aktivitelerinin kaydedilmesi ve bu kayıtların sürekli olarak izlenmesi.
  4. Güncellemeler ve Yamanın Uygulanması: Sistem yazılımının en güncel halde tutulması, bilinen açıklıkların kapatılması için gereklidir.

Bu önlemler, siber saldırılara karşı sistemin dayanıklılığını artırmada önemli rol oynamaktadır.

Sonuç

Kibana Query Language (KQL), siber güvenlik alanında önemli veri analiz yetenekleri sunmakta ve yanlış yapılandırmalar, veri sızıntıları gibi risklerin tespit edilmesi konusunda analiz etmeyi kolaylaştırmaktadır. Elde edilen verilerin yorumlanması, olası zafiyetlerin ve siber saldırıların önlenmesi için kritik öneme sahiptir. Profesyonel önlemler ve hardening yöntemleri uygulanarak, sistem güvenliği artırılabilir. KQL'in sağladığı derin veri erişimi ve akıllı filtreleme yetenekleri, siber güvenlik stratejilerinin temel taşlarını oluşturmaktadır.