CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Kimlik ve Erişim Loglarında Zaman Serisi Analizi: Temel Özellikler ve Önemi

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Kimlik ve erişim loglarındaki zaman serisi analizinin temel özelliklerini ve önemli kavramlarını keşfedin. Siber güvenlikte zamanın rolünü anlayın.

Kimlik ve Erişim Loglarında Zaman Serisi Analizi: Temel Özellikler ve Önemi

Kimlik ve erişim logları üzerinde zaman serisi analizi yapmak, siber güvenlikteki tehditleri daha iyi anlamanızı sağlar. Bu yazıda, zaman serisi özelliklerinin önemini ve uygulamalarını keşfedin.

Giriş ve Konumlandırma

Zaman serisi analizi, dijital güvenlik alanında eserler yaratan bir yöntem olup, özellikle kimlik ve erişim loglarının incelenmesinde kritik bir rol oynamaktadır. Geleneksel siber güvenlik uygulamalarına ek olarak, zaman serisi analizi, kullanıcı davranışlarının ve sistem etkileşimlerinin zamanla nasıl değiştiğini ortaya koyarak, potansiyel tehditleri daha etkili bir şekilde tespit etmemize olanak tanır. Bu yazıda, kimlik ve erişim loglarında zaman serisi analizinin temel özelliklerine değinecek, bu analizlerin neden bu kadar önemli olduğunu açıklayacak ve siber güvenlik pratiğinde nasıl uygulandığını ele alacağız.

Kimlik ve Erişim Yönetimi

Kimlik ve erişim yönetimi (IAM), kullanıcıların ve sistemlerin tanımlanması, doğrulanması ve yetkilendirilmesi sürecini kapsar. Bu süreç, organizasyonların güvenlik politikalarının en temel direklerinden birisidir. Kullanıcıların kimlik bilgileri ve erişim hakları doğru bir şekilde yönetilmediğinde, dış veya iç tehditleri tespit etmek zorlaşır. Bu noktada, kimlik logları, kullanıcıların sistemde gerçekleştirdiği işlemlerin kaydını tutarak, tehlikeli aktivitelerin izlenmesine yardımcı olur.

Log Tipleri ve Hedefleri

Kimlik ve erişim logları, çeşitli kaynaklardan gelebilir. Bu kaynaklar arasında uygulama sunucuları, veritabanları ve ağ cihazları yer almaktadır. Kullanıcı oluşturulan logların analizi, anormal davranışların tespit edilmesinde büyük önem taşır. Örneğin, bir kullanıcının 10 dakika arayla İstanbul ve New York’tan oturum açması gibi durumlar, "İmkansız Seyahat" anomalisi olarak nitelendirilir ve bu tür durumların tespiti, zaman serisi analizi ile mümkündür.

# Örnek Pseudocode: İmkansız Seyahat tespiti
def impossible_travel(durations):
    for user, logins in durations.items():
        if logins[0].location != logins[1].location and \
           (logins[1].time - logins[0].time).total_seconds() < threshold:
            alert_user(user)

Zaman Serisi Analizinin Amacı

Zaman serisi analizi, log verilerinin belirli zaman dilimlerin deki davranışlarını incelemek için kullanılır. Örneğin, belirli bir zaman aralığında kullanıcıların oturum açma sayıları incelenebilir. Bunun yanı sıra, belirli bir zaman dilimindeki olağan dışı aktivitelerin tespiti, olası güvenlik ihlallerini önceden belirlemeye yardımcı olur. Tespit edilen anomaliler, organizasyonların önlem almasına ve güvenlik duvarlarını güçlendirmesine olanak tanır.

Davranışsal Anomali Göstergeleri

Zaman serisi analizi yardımıyla elde edilen verilere dayanarak, anomali tespiti yapılabilir. Örneğin, bir kullanıcı normalde sabah 09:00 - akşam 18:00 saatleri arasında aktifken, gece yarısı 03:00'te sisteme giriş yapması bir alarm oluşturur. Bu gibi durumlar, potansiyel saldırıları ya da hesapların kötüye kullanımı gibi tehditleri ortaya çıkarabilir.

Kullanıcı ve Varlık Davranış Analitiği (UEBA)

Modern güvenlik stratejileri, kullanıcı ve varlık davranış analitiği (UEBA) üzerinde yoğunlaşmaktadır. UEBA, kullanıcıların ve sistem hesaplarının normal davranışlarını modelleyerek, anormal aktiviteleri tespit etmeyi amaçlar. Zaman serisi analizi sayesinde, sistemin varsayılan kullanıcı davranışları daha net bir şekilde belirlenebilir ve bu davranışlar zamanla değişebileceği için, potansiyel tehditler hızlıca tespit edilebilir.

Sonuç

Kimlik ve erişim loglarında zaman serisi analizi, siber güvenlik alanında önemli bir araçtır. Bu metodoloji ile kullanıcı davranışlarını, erişim etkinliklerini ve sistem üzerinde meydana gelen anomali ve tehditleri daha etkili bir şekilde tespit edebiliriz. Böylece hem saldırılara karşı koyma kapasitemiz artar hem de potansiyel risklerin önceden belirlenmesi sağlanır. Zaman serisi analizi, siber güvenlik uygulamalarında vazgeçilmez bir yere sahip olmaya devam edecektir.

Teknik Analiz ve Uygulama

Zaman serisi analizi, kimlik ve erişim yönetimi (IAM) loglarının değerlendirilmesinde kritik bir rol oynamaktadır. Bu bağlamda, log verileri üzerinde gerçekleştirilecek teknik analiz, anormalliklerin ve potansiyel tehditlerin belirlenmesine olanak tanıyarak, organizasyonların siber güvenliğini artırmaktadır. Bu bölümde, zaman serisi analizi kavramının temel özelliklerini ve uygulama yöntemlerini detaylı bir biçimde inceleyeceğiz.

Zaman Serisi Analizinin Amacı

Zaman serisi analizi, belirli bir zaman aralığında log kayıtlarını inceleyerek kullanıcı davranışlarının kalıplarını anlamayı amaçlar. Kopukluklar ya da ani değişimler, potansiyel güvenlik tehditlerinin göstergeleri olabilir. Örneğin, bir kullanıcının İstanbul'da oturum açtıktan yalnızca 10 dakika sonra New York'tan başarılı bir giriş yapması, "İmkansız Seyahat" anomalisine işaret eder. Bu tür durumları tespit etmek için zaman aralıları ile log verileri arasında kıyaslama yapılmalıdır.

Log Tipleri ve Hedefleri

Kimlik ve erişim logları, kullanıcıların sisteme giriş ve çıkış süreçlerini, yapılan işlemleri ve bu işlemlerin zaman damgalarını içerir. Logların başlıca türleri şunlardır:

  • Kimlik Doğrulama Logları: Kullanıcının oturum açma denemelerini kaydeder.
  • Yetkilendirme Logları: Kullanıcının erişim yetkilerini ve bu yetkilere erişim süreçlerini içerir.
  • Hesap Verilebilirlik Logları: Kullanıcıların sisteme erişim sürelerini ve gerçekleştirdikleri işlemleri loglar.

İmkansız Seyahat (Impossible Travel)

Bu tür analizler sırasında zaman serisi verilerinden en önemli çıkarımlar biri, İmkansız Seyahat anomalisidir. Kullanıcıların coğrafi olarak birbirine zıt iki noktaya kısa süre içinde başarılı bir şekilde erişimleri analiz edilmelidir. Örneğin, Kozmik Olumsuzluk (Cosmic Anomaly) adı verilen bir durum, kullanıcının beklenen coğrafi hareketlerine göre değerlendirildiğinde, hız ve mesafe açısından mantıksızlık gösterir. Bu tür analizler için Python kullanarak basit bir gösterim yapabiliriz:

import pandas as pd
from datetime import datetime

# Örnek log verileri
data = {
    'user': ['Ali', 'Ali'],
    'location': ['İstanbul', 'New York'],
    'timestamp': ['2023-10-10 10:00:00', '2023-10-10 10:10:00']
}

log_df = pd.DataFrame(data)
log_df['timestamp'] = pd.to_datetime(log_df['timestamp'])

# Zaman farkını hesapla
time_difference = log_df['timestamp'].diff().dt.total_seconds()</code>
if time_difference.iloc[1] <= 600:  # 10 dakika limit
    print("İmkansız Seyahat Tespit Edildi")

Kayan Pencere (Sliding Window)

Zaman serisi analizi sırasında, belirli bir zaman aralığını incelemek için kayan pencere tekniği sıklıkla kullanılmaktadır. Bu yöntem, belirli bir zaman diliminde gerçekleşen olayların sürekli olarak gözlemlenmesini sağlar. Örneğin, son 1 saatteki giriş başarısızlıklarını değerlendirmek için aşağıdaki gibi bir uygulama yapabiliriz:

from datetime import timedelta

def check_failed_logins(log_data, time_frame=timedelta(hours=1)):
    current_time = log_data['timestamp'].max()
    login_attempts = log_data[(current_time - log_data['timestamp']) <= time_frame]
    failed_attempts_count = login_attempts[login_attempts['status'] == 'failed'].count()
    
    return failed_attempts_count

# Örnek kullanım
log_data = pd.DataFrame({
    'timestamp': [datetime(2023, 10, 10, 9, 0), datetime(2023, 10, 10, 9, 30)],
    'status': ['failed', 'failed']
})

print(check_failed_logins(log_data))

Davranışsal Anomali Göstergeleri

Zaman serisi analizi, ayrıca davranışsal anomalilerin tespit edilmesinde de kullanılır. Kullanıcıların normal hareket profilleri oluşturulabilmekte, bu profillerden sapmalar tespit edilerek güvenlik ihlalleri belirlenebilmektedir. Örneğin, bir kullanıcının 09:00 - 18:00 saatleri arasında aktifken, gece yarısı 03:00’de sisteme giriş yapması bir "Uyku Saati Anomalisi" olarak değerlendirilebilir.

Kullanıcı ve Varlık Davranış Analitiği (UEBA)

Zaman serisi özelliklerini ve makine öğrenmesi tekniklerini bir araya getirerek, tüm kimlik tabanlı sapmaları ve anomalileri tek bir risk skoru ile değerlendiren sistemler, Kullanıcı ve Varlık Davranış Analitiği (UEBA) olarak adlandırılmaktadır. Bu sistemler, gelişmiş bir algılama ve yanıtlama yeteneği sağlar. Örneğin, bir hizmet hesabının beklenmedik zaman aralıklarında sisteme giriş yapması, büyük bir tehdit göstergesi olarak kabul edilir.

Sonuç olarak, zaman serisi analizi, kimlik ve erişim loglarının değerlendirilmesinde temel bir araçtır. Anomali tespiti açısından büyük bir önem taşır ve siber güvenlik stratejileri kapsamında etkin bir şekilde kullanılmalıdır. Bu tür analizlerin doğru bir şekilde gerçekleştirilmesi, organizasyonların tehditlere karşı hazırlıklı olmasını ve olası saldırılara karşı daha etkili bir reaksiyon göstermesini sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, kimlik ve erişim loglarının analizi kritik önem taşır. Zaman serisi analizi ile elde edilen bulgular, kurumların kimlik ve erişim yönetimi (IAM) sistemlerindeki zafiyetleri ortaya koyabilir. Bu bölümde, elde edilen verilerin yorumlanması, olası risklerin değerlendirilmesi ve savunma mekanizmalarının geliştirilmesi üzerine durulacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Zaman serisi analizi, kimlik ve erişim loglarının zaman içinde incelenmesini sağlar. Bu sayede kullanıcıların giriş zamanları, IP adresleri, kullanılan cihazlar ve yapılan işlemler gibi çeşitli veriler toplanır. Örneğin, bir kullanıcının sistem üzerinde alışılmadık bir etkinlik gerçekleştirmesi, örneğin sabah 09:00 - akşam 18:00 saatleri arasında aktif bir kullanıcıdan gece yarısı 03:00’te giriş yapması, "Uyku Saati Anomalisi" olarak tanımlanır. Bu tür anomaliler, kötü niyetli bir girişimin işareti olabilir ve hemen incelenmelidir.

Aşağıdaki kod bloğunda, bir kullanıcıda "Uyku Saati" anomalisi tespit edilip edilmediğini kontrol etmek için basit bir Python betiği örneği verilmiştir:

import pandas as pd
from datetime import datetime

# Log verileri simüle edilmiştir
data = {
    "user": ["user1", "user1", "user2"],
    "login_time": ["2023-01-01 02:30", "2023-01-01 09:15", "2023-01-01 03:00"]
}
logs = pd.DataFrame(data)
logs['login_time'] = pd.to_datetime(logs['login_time'])

# Çalışma saatleri
work_hours_start = 9
work_hours_end = 18

# Anomalilerin tespiti
for index, row in logs.iterrows():
    hour = row['login_time'].hour
    if hour < work_hours_start or hour >= work_hours_end:
        print(f"Anomali tespit edildi: {row['user']} {row['login_time']} saatinde giriş yaptı.")

Yanlış Yapılandırmaların ve Zafiyetlerin Etkisi

Kimlik ve erişim loglarının zaman serisi analizinde, yanlış yapılandırmalar ciddi riskler oluşturmaktadır. Örneğin, birer servis hesabının zaman dışı etkinlikleri, potansiyel bir tehdidin kanıtı olabilir. Eğer bir servis hesabı sürekli olarak belirli saat dilimlerinde çalışıyorsa ve bu saatler dışında da etkinlik gösteriyorsa, bu durum müdahale gerektirir. Bu tür durumlar, zaman penceresinde ki periyodiklik tablo dışı sonuçlar ortaya çıkarabilir.

Sızan Veri ve Topoloji

Sızma olan bir durumun bulunması, sızan verilerin analizini gerektirir. Zaman serisi analiziyle elde edilen anomalilerin bazıları, kullanıcıların kimlik bilgilerini tehlikeye atabilir. Örneğin, bir servisin IP adresini gizlice değiştirilmesi veya sahte bir oturum açılması gibi aktiviteler oldukça risklidir. Topoloji, aktif sistemlerin ilişkilerini ve etkileşimlerini gösterirken, zaman serisi kullanılarak yapılan analiz, bu sisteme ait gizli aktivitelere ulaşmanıza yardımcı olur.

Profesyonel Önlemler

Kurumsal güvenliği artırmak için atılması gereken adımlar arasında:

  1. Hedefli İzleme: Anomalilerin tespit edilmesi amacıyla zaman serisi analizi kullanılmalıdır. Aktivite logları, kullanıcı profilleriyle karşılaştırılıp düzenli olarak izlenmelidir.

  2. Otomatik Uyarı Sistemleri: Anomalili aktiviteler hemen tespit edebilmek için otomatik olarak uyarılar oluşturulmalıdır.

  3. Eğitim Programları: Çalışanların sosyal mühendislik ve diğer tehditler hakkında bilinçlendirilmesi için düzenli eğitimler verilmelidir.

  4. Güçlendirme (Hardening): Sistemlerin güçlendirilmesi amacıyla gereksiz hizmetlerin kapatılması, güncellemelerin sürekli yapılması ve çift faktörlü kimlik doğrulama (MFA) sistemlerinin uygulanması önemlidir.

Sonuç Özeti

Zaman serisi analizi, kimlik ve erişim loglarının güvenliğini artırmak için kritik bir araçtır. Elde edilen bulgular, yanlış yapılandırmalar ve zafiyetlerin etkisini ortaya koyabilir ve siber ataklara karşı riskleri azaltmada yardımcı olabilir. Profesyonel önlemlerle bir araya getirilen bu analizler, proaktif bir güvenlik stratejisi oluşturulmasına büyük katkı sağlamakta ve kurumsal güvenlik seviyesini yükseltmektedir.