CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Kimlik ve Erişim Yönetimi Loglarının Analizi: Siber Güvenlikte Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Kimlik ve Erişim Yönetimi loglarının analizi ile siber güvenliğinizi güçlendirin. Olayları ve tehditleri tanıyın.

Kimlik ve Erişim Yönetimi Loglarının Analizi: Siber Güvenlikte Kritik Adımlar

Kimlik ve Erişim Yönetimi loglarının analizi, siber güvenlikte kritik bir rol oynar. Bu yazıda IAM loglarının önemi, yetki yükseltme ve kritik olaylar hakkında bilgi edineceksiniz.

Giriş ve Konumlandırma

Siber güvenlik, dijital varlıkların korunması amacını güden bir alan olarak, sürekli değişen tehditler ve karmaşık saldırı vektörleri ile beslenmektedir. Bu dinamik yapı içinde, kimlik ve erişim yönetimi (IAM) sistemleri, kullanıcıların bilgi sistemlerine nasıl, ne zaman ve neden eriştiğini belirleyen temel unsurlardan biridir. IAM, kurumların bilgi güvenliği stratejilerinin merkezinde yer alarak, yetkili ve yetkisiz erişimleri ayırt etme yeteneği sağlar.

IAM Tanımı

Kimlik ve erişim yönetimi, kurum içindeki kullanıcıların sistemlere erişimini yöneten, kimlik doğrulama ve yetkilendirme süreçlerini merkezi olarak kontrol eden bir yapıdır. Bu sistem, kullanıcıların kimlik bilgilerini doğrulamak ve bu kimlikleri ile yetkilendirme düzeylerini eşleştirmek üzere tasarlanmıştır. IAM, kurumsal veri varlıklarının güvenliği açısından kritik bir öneme sahiptir ve doğru uygulanmadığında, veri ihlallerine ve saldırı senaryolarına kapı aralayabilir.

AAA Mimarisi

IAM sistemlerinin temelini oluşturan AAA (Authentication, Authorization, Accounting) mimarisi, güvenlik süreçlerini üç ana bileşene ayırır:

  • Kimlik Doğrulama (Authentication): Kullanıcının kim olduğunu doğrulama sürecidir. Parolalar, biometrik veriler ve çok faktörlü kimlik doğrulama yöntemleri bu aşamada kullanılır.
  • Yetkilendirme (Authorization): Doğrulanan kullanıcının hangi kaynaklara veya sistemlere erişebileceğini belirlemedir. Burada, kullanıcı rolleri ve izin setleri kritik bir rol oynar.
  • Hesap Verilebilirlik (Accounting): Kullanıcının sistemdeki etkinliklerinin loglanması ve izlenmesidir. Bu süreç, kullanıcı davranışlarının izlenmesi ve güvenlik ihlallerinin tespitinde önemli bir bileşendir.

IAM Loglarının Önemi

Siber güvenlik dedektifleri ve analistleri için IAM logları, olağanüstü durumları tespit etmek ve olası tehditlere karşı hızlı tepki vermek için büyük öneme sahiptir. Loglar, kullanıcıların sistem içindeki aktivitelerini izler ve kaydeder, bu da şüpheli davranışların erken aşamalarda ortaya çıkarılmasına yardımcı olur. Örneğin, bir kullanıcının yetkisi dahilinde olmayan kaynaklara erişmeye çalışması, hemen müdahale edilmesi gereken bir güvenlik ihlali olarak değerlendirilebilir.

Yetki Yükseltme (Privilege Escalation)

Yetki yükseltme, sisteme kısıtlı yetkilerle erişim sağlayan bir saldırganın, daha fazla veriye erişmek için yönetici haklarını elde etmeye çalışması durumudur. Bu tür saldırılar genellikle hedef sistem üzerindeki zafiyetlerin istismarıyla gerçekleştirilir. Yetki yükseltme girişimlerine karşı koymak için IAM loglarının sistematik olarak analiz edilmesi bir gereklilik haline gelir.

Not: "Event ID 4728" gibi kritik olay kayıtları, kullanıcıların görevden alınmalarını ya da yetkili gruplara eklenmesini izlemek için dikkate alınmalıdır.

MFA Yorgunluğu (MFA Fatigue)

Son yıllarda, çok faktörlü kimlik doğrulama (MFA) sistemleri, kullanıcıların hesaplarını korumak için yaygın olarak kullanılmaktadır. Ancak, saldırganlar, sürekli MFA bildirimi göndererek hedef kullanıcıyı bıktırma taktiği ile bu sistemleri aşmayı denemektedir. MFA yorgunluğu, bu tür saldırılara karşı korunmak için, logların detaylı bir analizini ve kullanıcı etkinliklerinin gözlemlenmesini gerektirir.

Hizmet Hesapları (Service Accounts)

Sistemlerde kullanıcılar yerine arka planda çalışan veritabanları ve uygulamalar tarafından kullanılan özel hesaplara hizmet hesapları denir. Bu hesaplar genellikle şifre değişim döngüsü daha az olan ve sistemlere sürekli erişim sağlayan hesaplar olduğundan, anormal etkinlikler ve kötüye kullanımlar için kritik öneme sahiptir. Güvenlik analistleri, bu hesapların aktivitelerini sürekli olarak gözlemlemeli ve belirlenen anormalliklerde hızlı hareket etmelidir.

Sonuç

Kimlik ve erişim yönetimi loglarının analizi, modern siber güvenlik stratejilerinin vazgeçilmez bir parçasıdır. Bireylerin ve kurumların bilgi varlıklarını korumak için IAM süreçlerinin etkin bir şekilde uygulanması ve loglarından elde edilen verilerin titizlikle analiz edilmesi gerekmektedir. Bu nedenle, güvenlik uzmanlarının IAM loglarını doğru bir şekilde anlama, yorumlama ve analiz etme becerisine sahip olmaları, siber tehditlerle başa çıkma yeteneklerini artıracaktır. Blogun kalan bölümlerinde bu logların nasıl analiz edileceği ve hangi teknik yöntemlerin kullanılacağı detaylandırılacaktır.

Teknik Analiz ve Uygulama

IAM Tanımı

Kimlik ve Erişim Yönetimi (IAM), kurumdaki kullanıcıların bilgi sistemlerine erişimini yönetmeyi amaçlayan süreçler ve teknolojiler bütünüdür. IAM, kimlik doğrulama (authentication), yetkilendirme (authorization) ve hesap verilebilirlik (accounting) işlevlerini içeren AAA modeline dayanır. Bu model, kullanıcının kimliğini doğrularken, hangi kaynaklara erişebileceğini belirler ve kullanıcı etkinliklerini takip eder. Kısaca, IAM sistemi, iç güvenlik politikalarının uygulanmasında kritik rol oynar.

AAA Mimarisi

AAA mimarisi, bir sistemde kullanıcıların kimlik doğrulaması, kaynak erişim yetkilerinin belirlenmesi ve kullanıcı aktivitelerinin izlenmesi işlevlerini içerir.

  1. Authentication (Kimlik Doğrulama): Kullanıcının iddia ettiği kişi olup olmadığının doğrulanması, genellikle parolalar veya biyometrik verilerle yapılır. 

    example: username: admin, password: ********

  2. Authorization (Yetkilendirme): Doğrulanan kullanıcının sistemde hangi dosyalara veya kaynaklara erişim sağlayacağı belirlenir.

  3. Accounting (Hesap Verilebilirlik): Kullanıcıların sistemde gerçekleştirdiği işlemler ve süreleri loglanarak takip edilir. Bu süreç, olası güvenlik ihlallerinin tespitinde önemli bir rol oynar.

IAM Loglarının Önemi

IAM logları, güvenlik uzmanları için kritik öneme sahiptir. Bu loglar sayesinde kullanıcı davranışları, sistem erişimleri ve olası güvenlik olayları hakkında detaylı bilgi edinilebilir. Log analizi, saldırıların tespit edilmesine ve sistem zayıflıklarının belirlenmesine olanak tanır. Örneğin, bir kullanıcının beklenmedik bir zamanda veya yerden giriş yapması, potansiyel bir güvenlik tehlikesinin işareti olabilir.

Yetki Yükseltme (Privilege Escalation)

Yetki yükseltme, kısıtlı yetkilerle sistemde yer alan bir saldırganın, daha fazla verilere veya kaynaklara erişebilmek amacıyla yönetici (admin) hakları kazanma çabasıdır. Bu tür saldırıların log analizi ile tespit edilmesi, sorunların erken aşamalarda çözülmesini sağlar. Örneğin:

Event ID 4720: Yeni bir kullanıcı hesabının sisteme eklenmesi.
Event ID 4728: Kritikal bir güvenlik grubuna yeni bir üye eklenmesi.

Yukarıdaki olay kimlikleri, yetki yükseltme çabalarını tespit etme amacıyla takip edilmelidir.

Kritik Active Directory Olayları

Active Directory (AD) ortamlarında izlenen önemli olaylar şunlardır:

  • Event ID 4740: Çok sayıda hatalı giriş ya da brute force saldırısı neticesinde bir kullanıcının hesabının kilitlenmesi.
  • Event ID 4728/4732: Yönetici gruplarına yeni kullanıcıların eklenmesi.

Bu olayların analizi, saldırganların sistemi ele geçirme çabalarının tespit edilmesinde hayati bir rol oynar.

MFA Yorgunluğu (MFA Fatigue)

Çok faktörlü kimlik doğrulama (MFA), kullanıcıların kimliklerini almak için birden fazla doğrulama aşamasından geçmesini gerektirir. Ancak, MFA yorgunluğu saldırıları, saldırganların kullanıcıları bıktırarak onay almak için sürekli MFA bildirimleri göndermesiyle meydana gelir. Bu kez, kullanıcı onayıyla sisteme sızan bir saldırı durumu ortaya çıkar.

Hizmet Hesapları (Service Accounts)

Hizmet hesapları, arka planda çalışan uygulamalar veya veritabanları tarafından kullanılan ve nadiren değiştirilen özel hesaplar olarak tanımlanır. Bu hesapların etkileşimli olarak sisteme giriş yapması, potansiyel bir güvenlik açığı oluşturabilir. Hizmet hesaplarının etkinliği, log analizi ve anomali tespit sistemleri aracılığıyla izlenmelidir.

Kimlik Doğrulama Protokolleri

Kimlik doğrulama süreçlerini destekleyen protokoller şunlardır:

  • Kerberos: Bilet tabanlı güvenli kimlik doğrulama protokolü, genellikle Active Directory ortamlarında kullanılır.
  • SAML: Farklı web uygulamaları arasında güvenli kimlik doğrulama sağlayan bir standarttır.
  • OAuth 2.0: Kullanıcıların şifresini paylaşmadan üçüncü parti uygulamalara erişim yetkisi vererek kaynaklarına ulaşım sağlar.

Bu protokollerin düzgün bir biçimde yapılandırılması, kimlik doğrulama süreçlerinde meydana gelebilecek zafiyetlerin önüne geçmek için elzemdir.

Hizmet Hesabı Anomalisi

Hizmet hesaplarıyla ilgili anomali, oturum açma girişimlerinin izlenmesi ile tespit edilebilir. Anormal oturum açma denemeleri, bu hesapların kötüye kullanılması hakkında bilgi verir.

İmkansız Seyahat (Impossible Travel)

İmkansız seyahat durumu, aynı kullanıcı kimliğiyle, fiziksel olarak seyahat edilemeyecek kadar kısa bir süre içerisinde iki farklı coğrafi konumdan giriş yapılması durumunu ifade eder. Bu, bir kullanıcı kimliğinin ele geçirilmesine veya kötüye kullanılmasına işaret edebilir.

Örnek: Kullanıcının Türkiye'den ve aynı zamanda ABD'den giriş yapması.

Bu tarz durumlar, güvenlik analistleri tarafından yakından izlenmeli ve detaylı bir analiz sürecine tabi tutulmalıdır.

Son olarak, IAM loglarının analizi, siber güvenlikte riskleri minimize etmek için vazgeçilmezdir. Olası tehditlerin belirlenmesi ve önlenmesi, sürekli olarak bu logların gözden geçirilmesi ve analiz edilmesine bağlıdır.

Risk, Yorumlama ve Savunma

Günümüzde siber güvenlik, hem organizasyonların hem de bireylerin en büyük endişelerinden biri haline gelmiştir. Özellikle kimlik ve erişim yönetimi (IAM) loglarının analizi, güvenlik açısından kritik bir adım oluşturmaktadır. Bu bölümde, IAM loglarının analizinin nasıl yapılacağı, potansiyel risklerin neler olduğu ve savunma mekanizmalarının nasıl güçlendirileceği ele alınacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

IAM logları, kullanıcıların sistemlere nasıl eriştiğini ve bu erişimin hangi şartlar altında gerçekleştirildiğini gösterir. Örneğin, bir kullanıcının belirli bir zamanda, alışılmadık bir lokasyondan sisteme giriş yaptığını gösteren bir log girişi, potansiyel bir güvenlik tehdidini işaret etmektedir. Böyle bir durum, "imkansız seyahat" olarak adlandırılır ve derhal dikkate alınmalıdır.

Event ID: 4781
User: johndoe
Location: Türkiye
Timestamp: 2023-10-15 14:32:00

Yukarıdaki örnekte, kullanıcı Türkiye'den giriş yaparken, aynı kullanıcının başka bir log girişinin ABD'den 14:30'da gerçekleştiğini varsaydığımızda, bu durum ciddi bir güvenlik sorunu oluşturabilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Kimlik ve erişim yönetimi sistemlerinde yapılan yanlış yapılandırmalar, siber saldırganların saldırı yapmasını kolaylaştırabilir. Örneğin, gereksiz yere geniş yetkilere sahip kullanıcı hesapları oluşturmak, bir saldırganın bu hesapları hedef alarak sistemde daha fazla yetki kazanmasına (yetki yükseltme) yol açabilir. 

Event ID: 4728
User: johndoe
Group: Domain Admins
Action: Added to group
Timestamp: 2023-10-15 14:35:00

Yukarıdaki log, saldırganların sadece bir kullanıcının erişim haklarını artırarak sistemde daha fazla yetki elde edebileceğine dair bir örnektir. Bu tür durumların araştırılması ve gerekli güvenlik önlemlerinin alınması kritik önemdedir.

Sızan Veri ve Topoloji Analizi

İhlal sonrası analiz yapılırken, sızan verilerin niteliklerinin incelenmesi önemlidir. Kullanıcı hesapları veya hizmet hesapları aracılığıyla elde edilen verilerin izlenmesi, saldırının kaynağını anlamamıza yardımcı olur. Hizmet hesapları (service accounts), genellikle sistem bileşenlerinin arka planda çalışması için kullanılır. Ancak bu hesapların yanlış kullanımı sistemin güvenliğini zayıflatabilir.

Event ID: 4740
User: service_account
Action: Account locked due to suspicious activity
Timestamp: 2023-10-15 15:00:00

Bu log girişi, bir hizmet hesabının şüpheli aktiviteler nedeniyle kilitlendiğini göstermektedir. Bu tür durumlar, hizmet hesaplarının anomalilerin izlenmesi gerektiğini ortaya koyar.

Profesyonel Önlemler ve Hardening Önerileri

IAM sistemlerini güvence altına almak için aşağıdaki profesyonel önlemler önerilmektedir:

  1. Yetkilendirme Prensipleri: En az ayrıcalık prensibine uygun olarak kullanıcı hesapları oluşturulmalı, böylece yalnızca gerekli olan erişimler verilmelidir.
  2. MFA Uygulaması: Çok faktörlü kimlik doğrulama (MFA) kullanmak, kimlik hırsızlığını önlemek için etkili bir yöntemdir.
  3. İzleme ve Analiz Araçları: Log yönetimi ve izleme araçları kullanılarak, IAM logları sürekli olarak analiz edilmelidir.
  4. Düzenli Güvenlik Değerlendirmeleri: Yapılandırmaların ve kullanıcı erişim haklarının düzenli olarak gözden geçirilmesi, potansiyel zafiyetleri erken tespit etmek açısından kritik öneme sahiptir.
  5. Yedekleme ve Kurtarma Planları: Verilerin düzenli yedeklenmesi ve kurtarma prosedürlerinin oluşturulması, veri kaybı riskini düşürmektedir.

Sonuç

IAM loglarının analizi, siber güvenlikte kritik bir adım olarak öne çıkmaktadır. Kullanıcı hareketlerinin ve erişimlerin düzenli olarak izlenmesi, potansiyel zafiyetlerin tespit edilmesini sağlar. Yanlış yapılandırmalar ve yetki yükseltme gibi durumlar, siber saldırılara kapı aralar. Bu nedenle, güvenlik stratejilerinin sürekli olarak güncellenmesi ve iyileştirilmesi gerekmektedir. Sonuç olarak, siber güvenlikte güçlü bir savunma hattı oluşturmak için IAM loglarının doğru yönetimi kritik bir rol oynamaktadır.