CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Korelasyonun Temelleri ve SIEM Mimarisi: Güvenlikte Kritik Unsurlar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Korelasyon ve SIEM mimarisi hakkında temel bilgiler edinin. Güvenlik olaylarını anlamlandırmak için kritik öneme sahip konuları keşfedin.

Korelasyonun Temelleri ve SIEM Mimarisi: Güvenlikte Kritik Unsurlar

Korelasyon, farklı kaynaklardan gelen olayların anlamlı güvenlik vakalarına dönüşmesini sağlar. SIEM mimarisi ve olay yönetimi üzerindeki etkilerini keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında, sistemlerin bütünlüğünü ve verilerin güvenliğini sağlamak için kullanılan yararlı araçlardan biri, Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleridir. SIEM, çeşitli kaynaklardan gelen verileri toplayarak bunları analiz eder ve güvenlik olaylarını tespit etmek için anlamlı bir bütün haline getirir. Bu bağlamda, "korelasyon" kavramı, farklı kaynaklardan gelen olayların bir araya getirilerek, güvenlik tehditlerinin belirlenmesi sürecinin en kritik unsurlarından biridir.

Korelasyon Kavramı

Korelasyon, birbirinden bağımsız görünen olay verilerinin bir araya getirilerek, potansiyel bir güvenlik olayını işaret etmelerini sağlayan bir süreçtir. Örneğin, bir kullanıcı hesabının iki farklı lokasyondan aynı anda oturum açmaya çalışması, yalnızca bir olay olarak görülen bir durum değildir. Ancak bu durum, korelasyon kuralları aracılığıyla değerlendirildiğinde, kullanıcının hesabının ele geçirilmiş olabileceğine dair önemli bir ipucu sunar. Bu tür bir analiz, güvenlik ekiplerine hızlı ve etkili yanıt verme imkanı tanır.

Korelasyon yetenekleri, günümüzdeki karmaşık tehdit manzarası karşısında güvenliğin sağlanmasında büyük önem taşır. Birçok siber saldırı, farklı aşamalardan oluşur ve bu saldırıların tespit edilmesi sadece bir event (olay) izlemekten daha fazlasını gerektirir. Modern siber güvenlik tehditleri, genellikle çeşitli yollarla sisteme sızabilen çok aşamalı saldırılar olduğu için, korelasyon kullanarak bu aktiviteleri anlamak ve izlemek kritik bir rol oynar.

SIEM Bileşenleri

SIEM sistemleri, birkaç kilit bileşenden oluşur. Bu bileşenler arasında Collector (toplayıcı), Indexer (indeksleyici), Korelasyon Motoru ve Veri İşleme Aşamaları yer alır. Bir Collector, log kaynaklarından verileri toplayıp merkezi bir sisteme ileten NOKTADIR. Bu veriler daha sonra Indexer tarafından düzenlenir ve hızlı bir şekilde aranabilir hale getirilir. Korelasyon motoru ise toplanan bu verilere dayalı olarak tanımlı kuralların aktif olarak çalıştırıldığı analiz motorudur. 

Bileşenler:
- Collector: Verileri toplayan birim
- Indexer: Gelen verileri düzenleyen birim
- Korelasyon Motoru: Analiz ve tehdit tespiti yapan motor

Neden Önemli?

Siber güvenlik ve pentesting (penetrasyon testi) faaliyetlerinde, korelasyon yetenekleri özellikle önemlidir. Geleneksel savunma mekanizmaları, genellikle belirli bir olaya odaklanır; fakat korelasyon, saldırganların daha izlenebilir hale gelen çok aşamalı saldırılarını ortaya çıkararak bunların önlenmesine yardımcı olur. Bir saldırı planı veya bir güvenlik açığı belirlenmeden önce, olaylar arasında kurallar çerçevesinde ilişkilendirme yapmak, erken uyarı sistemleri açısından son derece değerlidir.

Veri işleme aşamaları sırasında, log verisi, ham veriden anlamlı bilgilere ayrıştırılır ve analiz için hazırlık yapılır. Bu süreçte, her bir kural, işletmenin ihtiyaçlarına ve güvenlik tehdit modeline uygun olarak optimize edilmelidir.

Okuyucu Hazırlığı

Bu blog yazısı, okuyucuları SIEM mimarisinin temelleri ve korelasyon kavramı hakkında daha derin bir anlayış kazandırmaya yöneliktir. OKUYUCU, SIEM bileşenlerinin nasıl çalıştığını, korelasyon kuralları yazarken dikkat edilmesi gereken noktaları ve veri işleme aşamalarını anlamalıdır. Ayrıca, gerçek zamanlı analiz ve gecikme (latency) kavramları üzerinden, siber savunma stratejileri oluşturma konusunda bilgi sahibi olacaktır. Bu yazının ilerleyen bölümlerinde, SIEM sisteminin mimarisi ve bu mimarinin sağladığı avantajlar üzerinde durulacaktır.

Sonuç olarak, korelasyon ve SIEM yapıları, siber güvenlik alanında etkin bir koruma sağlamak için kaçınılmaz unsurlardır. Ancak bu sistemlerin verimli bir şekilde çalışabilmesi için, yapıların doğru bir şekilde anlaşılması ve uygulanması gereklidir.

Teknik Analiz ve Uygulama

Siber güvenlik alanında koruma sağlamak için kullanılan SIEM (Security Information and Event Management) sistemleri, veri korelasyonuna dayanarak çalışır. Bu bölümde, SIEM mimarisinin teknik detaylarını derinlemesine inceleyecek ve uygulamalı örneklerle açıklayacağız. SIEM'in etkin bir şekilde çalışabilmesi için farklı bileşenlerin nasıl etkileşime girdiğine ve korelasyon kurallarının nasıl oluşturulması gerektiğine bakacağız.

Korelasyon Kavramı

Korelasyon, farklı kaynaklardan gelen ve görünüşte bağımsız olan olayların, anlamlı bir güvenlik vakasını işaret edecek şekilde birleştirilmesi işlemidir. Bu işlem, bir olayın tek başına önemli olmayabileceği durumlarda, bu olayların bir araya gelerek bir tehdidi işaretleyip işaretlemediğini belirlemeye yardımcı olur.

Korelasyonun temel amacı, güvenlik uzmanlarının daha önce belirlenmiş kurallar doğrultusunda, gelen log verilerini anlamlı hale getirmektir. Örneğin, bir kullanıcı hesabı için olağan dışı bir oturum açma girişimi ile birlikte kapsama alınması gereken bir sunucuya saldırı girişimi, basit görünen iki olayın aslında bir tehdit senaryosu oluşturduğunu gösterebilir. Bu tür karmaşık durumları tespit edebilmek için etkin korelasyon kuralları yazmak zorunludur.

SIEM Bileşenleri

Modern bir SIEM mimarisi çeşitli bileşenlerden oluşur. Bu bileşenlerin temel görevleri şunlardır:

  • Collector: Log kaynaklarından verileri toplayan ve merkezi sisteme ileten birim.
  • Indexer: Gelen verileri düzenleyen, etiketleyen ve hızlı arama için disk üzerinde depolayan birim.
  • Correlation Engine: Tanımlanmış kuralları gerçek zamanlı veri akışı üzerinde çalıştıran analiz motoru.
  • Parsing: Ham log verisinin anlamlı alanlara ayrıştırılması.
  • Normalization: Farklı üreticilerden gelen log formatlarının ortak bir şemaya dönüştürülmesi.
  • Aggregation: Benzer kayıtların sistem kaynaklarını tüketmemek için tekilleştirilmesi.

Bu bileşenler bir araya gelerek SIEM sisteminin verimli bir şekilde çalışmasını sağlar.

EPS (Events Per Second)

EPS, bir SIEM sisteminin saniyede işleyebildiği toplam olay sayısını ifade eden bir performans metriğidir. EPS değeri, sistemin veri işleme kapasitesini belirler. Yüksek bir EPS değeri, daha fazla veri akışını yönetebildiği anlamına gelir. EPS değeri, SIEM sisteminin altyapısının ne kadar etkili olduğunu gösterir ve güvenlik analistlerinin sistem üzerinde daha fazla etkinlik gerçekleştirmesine olanak tanır.

Veri İşleme Aşamaları

Bir log verisinin SIEM'e girişinden, kurala girmesine kadar geçen süreç birkaç aşamadan oluşur:

  1. Toplama (Collection): Logların kaynaklarından toplanması.
  2. Ayrıştırma (Parsing): Logların anlamlı alanlara ayrıştırılması.
  3. Normalizasyon (Normalization): Farklı formatların standart bir yapıya dönüştürülmesi.
  4. Yığınlama (Aggregation): Tekilleştirilmiş verilerin herhangi bir mükerrerlikten arındırılması.
  5. Analiz (Analysis): Korelasyon kurallarının uygulanması.

Bu aşamalar, güvenlik bilgilerini anlamlı hale getirerek saldırı tespiti sürecini hızlandırır.

# Örnek: Basit bir SQL sorgusu ile log verilerinin analizi
SELECT user, timestamp, action
FROM logs
WHERE action = 'failed_login'
AND timestamp > NOW() - INTERVAL 1 HOUR;

Yukarıdaki SQL sorgusu, son bir saat içinde başarısız oturum açma girişimlerini izlemenin bir örneğidir. Belirli bir kural setine göre, farklı kullanıcılar tarafından gerçekleştirilen bu tür eylemler, sistem üzerinde otomatik bir alarm yaratabilir.

Gecikme (Latency)

Bir olayın gerçekleşme zamanı ile SIEM sistemine ulaşıp işlenme zamanı arasındaki farka "Log Latency" denir. Gecikmenin minimum düzeyde tutulması, SIEM sisteminin gerçek zamanlı tehdit algılama yeteneğini artırır. Bu nedenle, hemen hemen her sistemde gecikmeyi en aza indirmek için performans iyileştirmelerine gidilmesi önerilir.

Gerçek Zamanlı Analiz

Gerçek zamanlı analiz, verilerin sisteme girdiği anda kural motorundan geçirilmesi anlamına gelir. Bu aşama, tehditlerin anında tespit edilmesi için kritik öneme sahiptir. SIEM sistemlerinin temel işlevlerinden biri, bu analizlerin sürekli olarak gerçekleştirilmesidir.

SIEM Mimarisi ve Ölçeklenebilirlik

Dağıtık (Distributed) SIEM mimarisi, yüksek veri hacmini işlemek için yatayda ölçeklenebilir bir yapı sunar. Bu tür bir mimari, daha fazla veri kaynaklarını entegre etmeyi ve daha büyük veri setleri üzerinde çalışmayı mümkün kılar. Dağıtık yapı, performansı artırırken, aynı zamanda sistemin ölçeklenebilirliğini de sağladığından, büyüyen güvenlik ihtiyaçlarına karşı esnek bir çözüm sunar.

Yanlış Pozitif (False Positive)

Yanlış pozitif, bir korelasyon kuralının normal bir aktiviteyi hatalı bir şekilde saldırı olarak raporlamasıdır. Bu durumda, güvenlik ekipleri gereksiz yere alarm durumuna geçer ve değerli zaman kaybı yaşanır. Dolayısıyla, yazılan her kural işletme ihtiyaçlarına ve tehdit modeline uygun olmalıdır.

Savunma mühendisinin bu durumu minimize etmesi için kurallarını titizlikle yazması, sistemin genel güvenlik düzeyini artıracak ve kaynak israfını azaltacaktır.

Bu analizlerin tümü, siber güvenlik stratejilerinin etkili bir şekilde uygulanmasını sağlayarak bir organizasyonun güvenlik duruşunu önemli ölçüde iyileştirebilir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk, farklı kaynaklardan gelen veri ve olayların birlikte değerlendirilmesiyle belirlenir. Bu sürecin doğru bir şekilde yürütülmesi, güvenlik olaylarının doğrusal bir analizden geçirilmeli ve kritik noktaları ortaya çıkarmalıdır. Güvenliktek sorunları anlamak için SIEM (Security Information and Event Management) sistemleri, geleneksel yöntemlere oranla daha etkin bir yaklaşım sunmaktadır.

Verilerin Anlamı

Veri toplama süreci, zararlı olayların ve anormal davranışların belirlenmesinde ilk adımdır. Örnek olarak, bir kullanıcı girişinin log verileri; IP adresi, zaman damgası, kullanıcı adı ve erişim yapılan kaynak gibi bilgiler içerir. Bu bilgiler, bir vakayı değerlendirmek için büyük önem taşır. SIEM sistemleri, verileri toplar ve belirli kurallara ve algoritmalara dayalı olarak analiz eder. Aşağıdaki örnekte, bir kullanıcı giriş verisi gösterilmektedir:

{
  "timestamp": "2023-10-30T14:00:00Z",
  "user": "admin",
  "ip_address": "192.168.1.1",
  "action": "login",
  "status": "success"
}

Bu veri, başarılı bir kullanıcı girişini belirtmektedir. Ancak, aynı zamanda başka bir kullanıcıdan gelen anormal IP adresi veya zaman bilgisi, potansiyel bir güvenlik açığını işaret edebilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber güvenlikte yaygın bir sorun olup, güvenlik politikalarının uygulanmasında ciddi zafiyetler oluşturabilir. Örneğin, bir firewall’ın yanlış yapılandırılması, istenmeyen dış bağlantılara izin verebilir. Bu tür durumlar, saldırganların sistemlere sızmasını kolaylaştırır.

Aşağıdaki yapılandırma hatası, bir güvenlik duvarının yanlış ayarlandığını göstermektedir:

# Yanlış yapılandırma örneği
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP # Diğer tüm bağlantıları engelliyor.

Burada, HTTP ve HTTPS bağlantıları açılmış ancak diğer tüm bağlantılar engellenmiştir. Eğer dahili bir sistemin bu güvenlik duvarına ulaşması gerekiyorsa, yapılandırma gereksinimi olan gerekler göz önünde bulundurulmamıştır.

Veri Sızıntısı ve Servis Tespiti

Veri sızıntıları ve yanlış bilgi akışı, işletmeler için büyük tehditler oluşturur. Bir SIEM sistemi, anormal veri akışları ve beklenmedik davranışlar üzerinden bu tür tehditlerin tespit edilmesine olanak tanır. Örneğin, bir kullanıcının bir anda çok sayıda belge indirmesi veya hassas bilgilere erişmeye çalışması, alarm işareti olarak karşılanabilir.

Bir SIEM sistemini kullanırken, veri akışını izlemek ve anormal örüntüleri tespit etmek için aşağıdaki türde kurallar yazılmalıdır:

# Anormal kullanım tespiti için kural örneği
match:
  - event_type: download
    threshold: 10
    time_frame: 1h
    description: "Bir saatte 10'dan fazla belge indirilmesi"

Bu kural, bir saat içinde 10’dan fazla belge indirildiğinde alarm vermekte olup, olası bir veri sızıntısının işareti olarak yorumlanabilir.

Savunma Önlemleri ve Hardening Önerileri

Savunma mühendisliği, zafiyetleri azaltmak ve güvenlik kazalarını önlemek için proaktif bir yaklaşım sergilemelidir. Aşağıda, savunma için önerilen bazı önlemler listelenmiştir:

  • Güvenlik Duvarı Kuralları: Güvenlik politikalarını gözden geçirerek, en az ayrıcalık ilkesine uygun şekilde yapılandırılmalıdır.
  • Düzenli Güncelleme: Yazılımların ve sistem bileşenlerinin güncellemeleri ciddiye alınmalı, zafiyetler kapanmalıdır.
  • Eğitim ve Farkındalık: Kullanıcıların siber güvenlik konusunda eğitilmesi, insan hatalarından kaynaklanabilecek potansiyel zafiyetleri azaltabilir.
  • Saldırı Tespit ve Yanıt Sistemleri: Anormal durumlara hızlı tepki vermek için etkili bir olay yönetim süreci oluşturulmalıdır.

Sonuç

Risk değerlendirmesi ve yorumlama, siber güvenlikte kritik bir unsurdur. Veri toplama ve analiz süreçlerinin sağlam temellere dayandırılması sayesinde, güvenlik olayları anlaşılabilir hale gelir. Yanlış yapılandırmalar, zafiyetler ve veri sızıntıları gibi tehditler sistematik bir şekilde ele alındığında, organizasyonlar daha sağlam bir güvenlik stratejisine sahip olabilirler. Proaktif savunma önlemleri ve düzenli güncellemelerle, siber saldırılara karşı direnç artırılabilir.