CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Kullanıcı Oturum Analizi: Siber Güvenlikte Kritik Bir Araç

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Kullanıcı oturum analizi, siber güvenlikte tehditleri belirlemek için kritik öneme sahiptir. Oturum verilerini inceleyerek riskleri azaltır.

Kullanıcı Oturum Analizi: Siber Güvenlikte Kritik Bir Araç

Siber güvenlikte kullanıcı oturum analizi, oturum açma, kapama ve kullanıcı davranışlarını izlemek için önemli bir süreçtir. Özellikle tehdit tespiti açısından kritik rol oynamaktadır.

Giriş ve Konumlandırma

Kullanıcı oturum analizi, siber güvenlik alanında önemli bir çalışma disiplini olup, kullanıcıların sistem ve ağ üzerindeki davranışlarını anlamak için kritik veriler sunar. Bu analiz, kullanıcı oturumlarının belirli bir zaman dilimi boyunca nasıl gerçekleştiğini gözlemleyerek, güvenlik ihlallerinin tespit edilmesine ve önlenmesine yardımcı olur. Siber güvenlik uzmanları, kullanıcı oturum verilerini kullanarak, kimlik avı (phishing) saldırıları, kötü amaçlı yazılımlar ve sisteme yetkisiz erişim gibi pek çok güvenlik tehdidini analiz edebilir.

Kullanıcı Oturum Verilerinin Tanımı

Kullanıcı oturum verileri, bir kullanıcının oturum açtığı, kapattığı, ekranını kilitlediği ve aktif kullanım geçmişine dair forensik veri yapılarını içerir. Bu veriler, kullanıcıların sistemdeki etkileşimlerini takip etmek için kritik öneme sahiptir. Genellikle çoklu log ve artifact kaynakları kullanılarak tutulur ve analiz edilir. Bu loglar, kullanıcı aktivitelerinin zaman bazında analizine olanak tanır ve oturum süresince oluşan olayları detaylı olarak incelemeye imkan sağlar.

Temel Session Log Kaynakları

Kullanıcı oturum analizi için temel log kaynakları arasında güvenlik logları, kayıt defteri (registry), uzaktan masaüstü protokolleri (RDP) ve terminal hizmetleri logları bulunmaktadır. Bu log kaynakları, kullanıcıların oturum açma, kapatma ve diğer etkileşimlerine dair bilgileri içerir. 

Event ID 4624: Başarılı oturum açma
Event ID 4634: Oturum kapatma
Event ID 4648: Açık kimlik bilgisi kullanımı

Bu tür veriler, kullanıcının sisteme erişimi ile ilgili önemli bilgileri sağlayarak, kötüye kullanımların ve güvenlik ihlallerinin tespit edilmesine yardımcı olur.

Kullanıcı Oturum Analizinin Önemi

Siber güvenlik uzmanları için kullanıcı oturum analizi, kullanıcı davranışlarının detaylı bir şekilde incelenmesini sağlar. Özellikle iç tehditlerin tespiti, yetkisiz erişimin izlenmesi ve kimlik bilgisi kötüye kullanımı gibi alanlarda büyük önem taşır. Kullanıcının oturum verilerini analiz ederek, zaman çizelgeleri oluşturmak ve olayları kronolojik sıraya dizmek mümkün olur. Bu, güvenlik analistlerine şüpheli aktiviteleri hızlıca tanıyabilme ve gerektiğinde hızlı yanıt verme imkânı sunar.

Pentest ve Savunma Açısından Kullanıcı Oturum Analizi

Pentesterlar, sistemlerin güvenliğini değerlendirmek amacı ile kullanıcı oturum analizi üzerinde yoğunlaşarak, potansiyel zayıflıkları tespit edebilirler. Bu bağlamda, analiz edilen veriler güvenlik açıklarının ortaya çıkmasına yol açabilir. Örneğin, bir kullanıcının otomatik olarak giriş yapması, belirli bir hizmete erişim iznini kaybetmesi veya ortak hesap kullanımı gibi durumlar, oturum analizleri ile ortaya çıkabilir.

Aynı zamanda, bu tür analizler siber savunma stratejilerine de katkı sağlar. Kullanıcı oturum verilerinin incelenmesi, potansiyel tehditlerin önceden tahmin edilmesi ve çözüm önerilerinin geliştirilmesine yardımcı olur.

Zaman Çizelgesi Oluşturma ve Analiz Süreci

Kullanıcı oturumlarının analizi, zaman çizelgesi oluşturma sürecini içerir. Kullanıcıların sistem üzerinde gerçekleştirdiği her bir eylem, bir zaman damgası ile kaydedilir. Bu zaman damgaları, olayların ne zaman gerçekleştiğini ve hangi oturumda yer aldığını belirlemede kritik rol oynar.

Kullanıcı oturum analizi sürecinde, aşağıdaki adımlar izlenir:

  1. Log kaynaklarının toplanması
  2. Verilerin analizi
  3. Olayların korelasyonu
  4. Şüpheli aktivitelerin tespiti
  5. Gerekli güvenlik önlemlerinin alınması

Görüldüğü üzere, kullanıcı oturum analizi, siber güvenlik ortamında önemli bir yere sahiptir. Kullanıcıların sistem üzerindeki davranışlarını anlamak, olası tehditleri önceden belirlemek ve güvenlik sistemlerini güçlendirmek için bu analizin yapılması elzemdir.

Teknik Analiz ve Uygulama

Kullanıcı Oturum Analizi: Siber Güvenlikte Kritik Bir Araç

User Session Artifact Tanımı

Kullanıcı oturumları, kullanıcıların sistem üzerindeki etkileşimlerini izlemek ve analiz etmek için kritik öneme sahiptir. Kullanıcı oturum açma, oturum kapatma, ekran kilidi ve aktif kullanım geçmişini gösteren forensic veri yapılarına "user session artifacts" denir. Bu artefaktlar, sisteme giriş ve çıkış işlemleri, ekran oturumu süreleri ve kullanıcıların aktif olarak sistemde geçirdiği zaman hakkında değerli bilgiler sunar.

Temel Session Log Kaynakları

Kullanıcı oturumları ile ilgili veriler birden fazla log ve kaynak üzerinden toplanır. Temel session log kaynakları şunlardır:

  • Security Logs: Sistemin güvenlik durumu ve kullanıcı etkinlikleri hakkında bilgi sağlar.
  • Registry: Kullanıcının oturum bilgileri ve yapılandırmalarını içerir.
  • RDP (Remote Desktop Protocol): Uzaktan bağlantı ile yapılan oturumları kaydeder.
  • Event Logs: Kullanıcı etkinlikleri, sistem hataları ve diğer önemli olaylar hakkında bilgi sunar.

Bu kaynakların kombinasyonu, kullanıcı davranışlarının detaylı bir analizini yapmak için gerekli verileri sağlar.

# Event Viewer üzerinden güvenlik loglarını görüntüleme
Get-EventLog -LogName Security -After (Get-Date).AddDays(-7)

Kritik Session Event ID'leri

Her oturum durumu, belirli event ID'leri ile günlüklerde kaydedilir. Aşağıda önemli session event ID'leri ve anlamları verilmiştir:

  • 4624: Başarılı oturum açma
  • 4634: Oturum kapatma
  • 4648: Açık kimlik bilgisi kullanımı

Bu olay kimlikleri, oturum davranışlarını anlamak için önemlidir ve kötü niyetli etkinlikleri tespit etmeye yardımcı olur.

Session Analysis

Oturum analizi, kullanıcıların etkinliklerini zaman bazlı bir süreçte incelemeyi sağlar. Bu analiz, kullanıcıların sistemdeki sürelerini, gerçekleştirilen işlemleri ve potansiyel olarak şüpheli aktiviteleri belirlemeye yönelik önemli bir adımdır. Kullanıcı oturumu davranışlarının analiz edilebilmesi için farklı log kaynakları ile korelasyon yapılması gerekmektedir.

import pandas as pd

# Event log verisini yükleme
event_logs = pd.read_csv('event_logs.csv')

# Başarılı oturum açma olaylarını filtreleme
successful_logins = event_logs[event_logs['EventID'] == 4624]

Analiz Süreci

Kullanıcı oturum analizi süreci, aşağıdaki adımlardan oluşur:

  1. Veri Toplama: Gerekli log ve artefaktların toplanması.
  2. Veri Analizi: Olay ID'leri ve kullanıcı davranışlarının analizi.
  3. Çalışma Zamanları Belirleme: Kullanıcıların sistemdeki aktif olduğu zaman dilimlerini belirleme.
  4. Şüpheli Davranışları Tespit Etme: Anormalliklerin belirlenmesi ve kayıt altına alınması.

Bu aşamalar, SOC (Security Operations Center) analistlerinin kullanıcı oturumlarının güvenliğini sağlamak için uyguladığı standart işlemlerdir.

User Session Avantajları

Kullanıcı oturum analizi, aşağıdaki avantajları sunar:

  • İç Tehdit Analizi: Kullanıcıların kendi hesaplarını kötüye kullanıp kullanmadıklarını belirleme.
  • Yetkisiz Erişim Tespiti: Sistem üzerinde yetkisiz girişlerin izlenmesi ve engellenmesi.
  • Kimlik Bilgisi Kötüye Kullanımı Tespiti: Aynı anda birden fazla kullanıcının oturum açmasını tespit etme.

Credential Abuse

Kimlik bilgisi kötüye kullanımı, oturum analizi ile tespit edilebilecek kritik tehditlerden biridir. Kullanıcıların kimlik bilgilerini çalan veya kötü niyetle kullanan saldırılara karşı erken önlemler almak için bu analiz teknikleri kullanılmalıdır.

Timeline Reconstruction

Kullanıcı oturumlarının zaman bazlı yapısı, olayların kronolojik bir sıralama ile sunulmasına olanak tanır. Bu yapı, olayların hangi sırayla ve ne zaman gerçekleştiğini açıkça gösterir.

{
  "timeline": [
    {"timestamp": "2023-01-01T10:00:00Z", "event": "Başarılı oturum açma"},
    {"timestamp": "2023-01-01T10:05:00Z", "event": "Erişim"},
    {"timestamp": "2023-01-01T10:30:00Z", "event": "Oturum kapatma"}
  ]
}

Session Anti-Forensics Riskleri

Kullanıcı oturumu analizlerinde bazı anti-forensics riskler bulunmaktadır. Bunlar arasında logların silinmesi, saat kayması ve ortak hesap kullanımı gibi durumlar yer alıyor. Bu tür durumlar, forensic analizlerin geçerliliğini zayıflatabilir.

SOC L2 User Session Operasyonu

SOC analistleri, kullanıcı oturum artefaktlarını inceleyerek şüpheli oturum davranışlarını tespit eder. Bu süreç, kimlik tehditlerini analiz etmeyi ve sistem mesajları üzerinden kullanıcıların erişimlerini takip etmeyi kapsar. SOC L2 analistleri, oturumların detaylı bir analizi ile güvenlik açıklarını belirleyerek gerektiğinde müdahale edebilirler.

Bu süreçlerin birlikte kullanılması, sistemin bütünlüğünü korumak ve olası tehditleri bertaraf etmek için kritik bir bileşen oluşturur. Kullanıcı oturumları ile ilgili sağlıklı bir anlayış, siber güvenlik alanında etkili savunmalar kurulmasına yardımcı olur.

Risk, Yorumlama ve Savunma

Kullanıcı oturum analizi, siber güvenlikte önemli bir yer tutmakta ve güvenlik süreçlerinin önemli bir parçası haline gelmektedir. Bu analiz, kullanıcıların oturum açma, kapatma, ekran kilitleme ve aktif kullanım geçmişlerini inceleyerek potansiyel güvenlik tehditlerini belirlemeye olanak tanır. Ancak, bu verilerin güvenli bir şekilde yorumlanması ve pratik adımlar alınması kritik öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Kullanıcı oturumlarıyla ilgili ayrıntılı loglar, kullanıcı davranışlarını yansıtmakta ve şüpheli aktivitelerin tespiti için bir temel oluşturmaktadır. Örneğin, Windows sistemlerinde kullanılan belirli Event ID’leri, oturum açma (Event ID 4624) ve oturum kapatma (Event ID 4634) işlemlerinin yanı sıra, açık kimlik bilgisi kullanımı (Event ID 4648) gibi kritik olayları raporlamaktadır. Bu durum, bir kullanıcının kimlik bilgilerinin kötüye kullanıldığını veya potansiyel bir saldırganın sisteme eriştiğini gösterir.

Bir kullanıcı oturumu üzerinden yapılan analizlerde, özellikle zaman bazlı çıkarımlar yapmak önemlidir. Kullanıcı davranışları sıradan bir dizi etkinlikten oluşurken, sıradışı durumlar veya anormal zaman dilimleri izlendiğinde, güvenlik analistleri durumu derinlemesine incelemelidir.

Yanlış Yapılandırmalar ve Zafiyetler

Kullanıcı oturum verilerinin analizinde, yanlış yapılandırmalar veya sistem zafiyetleri belirgin hale gelebilir. Örneğin, kullanıcıların ortak hesaplar üzerinden hizmet alması, oturumların kötüye kullanılmasına ve güvenlik ihlallerine yol açabilir. Bu tür durumlarda, multiplayer hesap kullanımını ve şifrelerin paylaşımını minimize etmek amacıyla kullanıcı erişimlerini sıkı bir şekilde denetlemek gerekmektedir.

Daha da önemlisi, zaman damgası kaymaları (Timestamp Drift) gibi durumlar, logların doğru bir şekilde yorumlanmasını zorlaştırabilir. Koordineli Standart Zaman (UTC) dışında kalan oturum açma zamanları, belirli hatalara ve yanlış yorumlamalara neden olabilir. Bu nedenle, sistemlerin güncel zamanı ve senkronizasyonu sağlanmalıdır.

# Sistemde zaman damgası kontrolü yapın
timedatectl

Sızan Veri ve Topoloji Tespiti

Siber olaylara dair tespit edilen veriler, kullanıcı hesapları üzerindeki potansiyel tehditleri anlamak için kritik bir rol oynamaktadır. Analizler, nesnelerin oturum geçmişini, erişim noktalarının belirlenmesini ve sızma girişimlerinin ortaya konmasını sağlamaktadır. Kullanıcıların sık sık aynı IP adreslerinden bağlantı kurmaları veya geografik olarak farklı yerlerden giriş yapmaları, kullanıcı hesaplarının saldırıya uğradığına dair ipuçları sunabilir.

# 192.168.1.10 IP adresine yapılan başarılı giriş denemeleri
Event ID: 4624
Timestamp: 2023-10-03T10:00:00Z
User: johndoe

Profesyonel Önlemler ve Hardening Önerileri

Kullanıcı oturum analizi sürecinde elde edilen bulgulara dayalı olarak, aşağıdaki profesyonel önlemler önerilmektedir:

  1. İki Faktörlü Kimlik Doğrulama (2FA): Kullanıcı hesaplarına ek bir güvenlik katmanı eklemek için zorunlu hale getirilmelidir.
  2. Erişim Kontrol Listeleri (ACL): Kullanıcıların yalnızca gerekli erişimlerinin olması sağlanmalı, yetkisiz erişimlerin önüne geçilmelidir.
  3. Düzenli Log İncelemeleri: Log verileri düzenli olarak incelenmeli ve anormal davranışlar için sürekli izleme yapılmalıdır.
  4. Güvenlik Bilinci Eğitimi: Kullanıcılara siber güvenlik tehditleri ve şifre kullanımı hakkında eğitim verilerek, kötüye kullanma vakalarının önüne geçilmelidir.
  5. Şifre Politikasının Sertleştirilmesi: Güçlü ve karmaşık şifre politikaları uygulanmalı, periyodik olarak kullanıcı şifrelerinin değiştirilmesi teşvik edilmelidir.

Sonuç Özeti

Kullanıcı oturum analizi, siber güvenlik stratejilerinin ayrılmaz bir parçası olarak, potansiyel tehditlerin ve zafiyetlerin belirlenmesi için kritik bir araçtır. Yanlış yapılandırmalar ve güvenlik açıkları, kullanıcı hesaplarının kötüye kullanılmasına sebep olabilir. Bu nedenle, sistemlerin güvenliğini artırmak için temel analizlerin yapılması ve önerilen önlemlerin uygulanması elzemdir. Bu süreçte elde edilen bulgular, yalnızca mevcut tehditleri ortaya çıkarmakla kalmayıp, gelecekteki siber olayların önlenmesi için önemli bir yol haritası sunmaktadır.