CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Log ve Alarm Normalizasyonu: Siber Güvenlikte Veri Standartlaştırma Süreci

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Log ve alarm normalizasyonu nedir? Siber güvenlikte veri standartlaştırma süreciyle ilgili detayları öğrenin.

Log ve Alarm Normalizasyonu: Siber Güvenlikte Veri Standartlaştırma Süreci

Siber güvenlik alanında log ve alarm normalizasyonu, farklı kaynaklardan gelen verinin ortak bir yapı haline getirilmesi sürecidir. Bu blogda, normalizasyonun önemi ve uygulanışı hakkında bilgilere ulaşabilirsiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında etkin bir olay yönetimi için log ve alarm normalizasyonu, kritik bir rol oynamaktadır. Normalizasyon, farklı güvenlik cihazlarından ve yazılımlarından elde edilen ham verilerin, tek bir standartta toplanması ve düzenlenmesi sürecidir. Bu süreç, genellikle SOAR (Security Orchestration, Automation and Response) platformlarında gerçekleştirilir ve siber güvenliğin temel yapı taşlarından birini oluşturur. Farklı üreticilerin log formatlarının birleştirilmesi, olay yönetim süreçlerinin hızlandırılması ve analiz edilmesinin kolaylaştırılması açısından büyük önem taşır.

Normalizasyonun Nedenleri

Günümüzde organizasyonlar, çeşitli güvenlik ürünlerini ve hizmetlerini kullanmakta; bu da logların ve alarmların farklı formatlarda oluşmasına neden olmaktadır. Örneğin, Palo Alto firewall logları bir IP adresini 'dst' (Destination) anahtarıyla belirtirken, Windows Event Log'ları 'DestAddress' tanımlamasını kullanmaktadır. Her iki sistemde de aynı bilginin farklı anahtar kelimelerle temsil edilmesi, veri analizinde güçlükler yaratır. Normalizasyon, bu gibi sorunların üstesinden gelmek için geliştirilmiştir.

Normalizasyon sürecinin bir diğer avantajı da, analistlerin log ve alarm verilerini incelemesi için konsolide bir görünüm sağlamasıdır. Bu sayede, analistler markalar arasında hangi üründen geldiğine bakmaksızın verileri aynı standartta görebilirler. Örneğin, bir analist herhangi bir tehdit durumunda (threat case) ilgili IP veya hash değerlerini farklı platformlardan sorgulayabilmekte ve ortak bir veri şemasına dayalı olarak veri analizini gerçekleştirebilmektedir.

Siber Güvenlik Bağlamında Önemi

Pentest ve savunma alanında, log ve alarm normalizasyonu, güvenlik tutumlarını belirlemede hayati bir öneme sahiptir. Burada hedef, güvenlik olaylarını anlık ve etkili bir şekilde analiz etmek, tehditleri tespit etmekve hızlı bir şekilde yanıt vermektir. Normalizasyon, çoğu zaman otomasyona giden ilk adımdır. Doğru bir normalizasyon gerçekleştirildiğinde, otomatik sorgulama sistemleri tehdit istihbaratına hızlı erişim sağlayabilir.

Veri Eşleştirme ve Uzun Dönem Etkileri

Normalizasyon süreci, bir nevi veri eşleştirme (mapping) işlemiyle başlar. Verilerin farklı formatlarda temsil edilmesini ortadan kaldırarak, tüm alarmları ortak bir veri şemasına dönüştürmeyi hedefler. Data mapping, ham logs’ta bulunan ‘src_ip’ alanının, SOAR platformunda ‘SourceAddress’ alanına denk geldiğini platforma öğretme işlemidir. Bu yöntem, güvenlik siber iş akışlarını daha verimli hale getirir ve analist deneyimini artırır.

Teknolojik gelişmelerle birlikte log normalizasyonu, güvenlik olaylarının ve logların daha geniş veri şeması altında değerlendirilmesi için sürekli olarak evrilmektedir. Örneğin, CEF (Common Event Format) ve JSON gibi yaygın standartlar, logların daha esnek ve anlaşılabilir bir şekilde yapılandırılmasını sağlar. CEF, Micro Focus (ArcSight) tarafından geliştirilen bir format olarak endüstride geniş kabul görürken, JSON; modern uygulamalar ve API’ler için varsayılan veri iletim formatı haline gelmiştir.

Sonuç olarak, log ve alarm normalizasyonu, siber güvenlik dünyasında veri standartlaştırmanın temel süreçlerinden biridir. Etkin bir normalizasyon süreci, veri analizi, otomasyon ve tehdit öncesi hazırlık açısından önemli katkılar sağlamaktadır. Bilgi güvenliği yöneticilerinin, siber güvenlik stratejilerini güçlendirmek adına bu konuyu derinlemesine incelemeleri ve uygulamaları gerekmektedir. Bu yazıda, normalizasyon süreçlerinin farklı boyutlarına odaklanarak daha ayrıntılı bilgi sağlamayı amaçlıyoruz.

Teknik Analiz ve Uygulama

Normalizasyon Tanımı

Siber güvenlikte, farklı güvenlik ürünlerinden gelen logların ve alarmların birleşik bir yapıya dönüştürülmesi sürecine "normalizasyon" denir. Normalizasyon, çok sayıda cihazdan ve uygulamadan gelen verileri ortak bir formatta bir araya getirerek, analistlerin olayları daha verimli bir şekilde incelemesine olanak tanır. Bu süreç, genellikle bir güvenlik otomasyon ve yanıt platformu (SOAR) üzerinde gerçekleştirilir. Normalizasyon sayesinde, farklı kaynaklardan gelen alarmlar arasında tutarlı analiz ve yanıt yöntemleri oluşturulabilir.

Popüler Log Formatları

Log normalizasyonu sürecinde, çeşitli formatların dikkate alınması gerekmektedir. En yaygın kullanılan log formatlarından bazıları CEF (Common Event Format), LEEF (Log Event Extended Format) ve JSON'dur.

  • CEF: Micro Focus (ArcSight) tarafından geliştirilmiş ve endüstride yaygın olarak benimsenmiş bir format. CEF, birçok cihaz ve uygulama için standart bir yapı sunar.
  • LEEF: IBM QRadar tarafından kullanılan bir format olup, özel olay niteliklerini destekler.
  • JSON: Modern API'lerde veri iletiminde yaygın kullanılan esnek ve insan tarafından okunabilir bir yapıdır.

Her bir formatın kendine özgü belirli alanları vardır. Örneğin, Palo Alto güvenlik duvarı loglarında hedef IP adresi için kısaca 'dst' anahtarını kullanırken, Windows Event Log bu bilgiyi 'DestAddress' alanıyla belirtir.

Marka Bağımsız Playbooklar

Standartlaşmış log formatları oluşturmak, farklı marka ve model cihazlardan gelen verilerin işlenmesini önemlidir. Normalizasyon sürecinin en büyük avantajı, marka bağımsız playbooklar tasarlamaya imkân tanımasıdır. Markaya özel detayları ve alan adlarını göz önünde bulundurmaktan ziyade, analistlerin olayları sistematik bir biçimde incelemesine olanak tanır.

Data Mapping (Veri Eşleştirme)

Veri eşleştirme, normalizasyon sürecinin kritik bir bileşenidir. Bu işlem sırasında, gelen ham loglardaki belirli alanların SOAR içindeki standart alanlara nasıl eşleştirileceği belirlenir. Örneğin, bir logda 'src_ip' alanı ile SOAR'daki 'SourceAddress' alanı arasında bir eşleştirme yapılabilir. Bu eşleştirmenin sağlanabilmesi için doğru bir veri haritasının oluşturulması gerekmektedir. 

{
  "src_ip": "192.168.1.2",
  "destination_address": "10.0.0.5"
}

Yukarıdaki örnekte, gelen logda bulunan 'src_ip' ve 'destination_address' gibi alanları SOAR'daki belirli yapılarla eşleştirmek için bir mapping işlemi yaratılmıştır.

Alan Adı (Field Name) Farklılıkları

Farklı üreticilerin aynı veriyi temsil eden farklı alan adları kullanması, veri normalizasyonunu zorlaştıran bir durumdur. Bu durumu ele almak için, marka bağımsız standartlar geliştirmek kritik bir gerekliliktir. Zira, bütün alarmların işlenebilmesi için ortak bir veri şemasına dönüştürülmesi gerekmektedir.

Örneğin, Palo Alto loglarında 'dst' kullanılırken, başka bir markada 'destination_ip' gibi bir ifade kullanılabilir. Normalizasyon süreci, bu farklılıkları göz önünde bulundurarak uygun eşleştirmeleri yapmayı gerektirir.

Ortak Veri Şeması (Common Schema)

Ortak bir veri şeması oluşturmak, normalizasyon sürecini kolaylaştırır. Bu şema, farklı kaynaklardan gelen verilerin yapılandırılmasına olanak sağlar. Tüm loglar, bu şema dahilindeki belirli alan adları altında toplanır. Bu sayede analistler, farklı cihazlardan gelen verileri aynı standart altında görerek daha verimli bir inceleme yapabilirler.

Key-Value (Anahtar-Değer) Mantığı

Log verilerinin yapısında, anahtar-değer çiftleri kullanılır. Bu, bilgilerin standart bir formatta sunulmasını sağlar. Örneğin, CEF ve JSON formatlarında log detayları genellikle aşağıdaki gibi anahtar-değer çiftleri şeklinde temsil edilir:

{
  "src": "192.168.1.5",
  "dst": "10.0.0.10"
}

Bu yapı, analistler tarafından kolaylıkla anlaşılabilir ve takip edilebilir. Anahtarların anlamları, normalizasyon sürecinin bir parçası olarak belirlenir ve dokümante edilir.

Vaka Yönetimi Veri Tipleri

Normalizasyon sürecinin sona ermesinin ardından, verilerin vaka yönetiminde nasıl kullanılacağı önemlidir. Farklı veri tiplerinin belirli amaçları vardır; bu nedenle her bir veri tipinin rolü net bir şekilde tanımlanmalıdır. Bunun için normalizasyondan geçen veriler arasında analiz ve ilişkilendirme işlemleri yapılmalıdır.

Analist Deneyimi

Başarılı bir normalizasyon, analistlerin inceleme ekranında daha tutarlı ve düzenli bir veri akışı görmesini sağlar. Analistler, hangi güvenlik ürününden gelirse gelsin, normalizasyon sayesinde aynı standart ekranda verileri görüntüleyebilir. Bu, karar verme sürecini hızlandırır ve genel iş akışını iyileştirir.

Veri Zenginleştirmeye Hazırlık

Son aşamada ise, başarılı bir normalizasyonun temel bir gerekliliği olan veri zenginleştirme sürecine hazırlık yapılmalıdır. Normalizasyon, analistlerin IP veya Hash değerlerini tehdit istihbarat platformlarında otomatik olarak sorgulamalarına olanak tanır. Bu aşama, siber tehditlere karşı daha proaktif bir yaklaşım sağlar.

Normalizasyon süreci, güvenlik olaylarının analizi ve yanıtı açısından büyük bir fark yaratmaktadır. Bu nedenle, güvenlik uzmanlarının bu süreci etkin bir şekilde yönetmeleri ve optimize etmeleri kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte etkin bir risk yönetimi süreci, güvenlik önlemlerinin yanı sıra alınan verilerin doğru bir şekilde yorumlanmasını da içerir. Log ve alarm normalizasyonu, gelen verilerin anlamını açığa çıkarmak için kritik bir adımdır. Bu süreç, farklı kaynaklardan elde edilen verilerin bir standartta toplanmasını sağlar. Özellikle güvenlik olayları analizi sırasında, yanlış yapılandırmalar veya zafiyetler tespit edildiğinde, bu bilgilerin etkisi büyük ölçüde değişir.

Risk Değerlendirme

Öncelikle, normalizasyon süreci, her bir log kaynağından elde edilen bilgilerin güvenliğini anlamak için karşılaştırılabilir hale getirilmesini sağlar. Örneğin, Palo Alto Firewall cihazlarının loglarında hedef IP için kullanılan dst anahtarı ile Windows Event Log’da kullanılan DestAddress terimi farklılık gösterir. Normalizasyon ile bu tür farklılıkların üstesinden gelinerek, SOAR platformunda tüm loglar Destination_IP başlığı altında toplanır. Aşağıda örnek bir normalizasyon süreci gösterilmektedir:

{
  "Source": "PaloAlto",
  "Destination_IP": "192.168.1.10",
  "Action": "Allowed"
}

Bu standardizasyon, güvenlik analistlerinin aynı veri üzerinde çalışmasını kolaylaştırır ve olayların daha hızlı yorumlanmasına olanak tanır. Farklı formattaki logların aynı bakış açısıyla değerlendirilmesi, yanlış yapılandırma veya zafiyet tespiti esnasında risksiz bir bakım süreci sağlar.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, ağların güvenliğini büyük ölçüde tehdit edebilir. Örneğin, bir firewall doğru bir şekilde yapılandırılmadığında, istenmeyen trafiğin ağa girmesine izin verebilir. Bu tür durumlar, genellikle yanlış log kayıtlarıyla fark edilir. Normalizasyon süreci, yanlış yapılandırmaların hızlı bir şekilde belirlenmesini sağlar. Elde edilen log ve alarm verileri içindeki tutarsızlıklar, analistlere zayıf noktaları işaret eder.

Veri Sızıntısı ve Topoloji Tespiti

Log analizi sırasında, potansiyel veri sızıntıları veya anormal faaliyetler tespit edilebilir. Örneğin, belirli bir IP adresinden beklenmeyen miktarda veri çıkışı olduğunda, bu durum bir veri sızıntısını gösterebilir. Normalizasyondan geçiren loglar sayesinde, bu tür olaylar daha net bir şekilde ortaya konabilir.

Aşağıdaki örnekte, bir veri sızıntısı tespiti için veri incelemesi yapılmaktadır:

{
  "Source": "Server1",
  "Destination_IP": "192.168.1.100",
  "Transferred_Data": "50MB",
  "Time": "2023-10-15T14:30:00Z"
}

Yukarıdaki log kaydı, belirli bir zaman diliminde meydana gelen veri aktarımlarını gösterir. Eğer normalde bu tür bir aktarma yoksa, analiz edilmesi gereken bir durum ortaya çıkabilir.

Profesyonel Önlemler ve Hardening Önerileri

Veri normalizasyon sürecinin önemi burada daha belirgin hale gelir. Güvenlik analistleri, çeşitli kaynaklardan gelen verileri doğru bir şekilde yorumlayarak, potansiyel riskleri minimize edebilir. Güvenlik hardening önerileri arasında, sistem güncellemeleri, güçlü kimlik doğrulama yöntemleri, gereksiz servislerin kapatılması ve log verilerinin düzenli olarak izlenmesi yer alır. Aynı zamanda, tüm güvenlik cihazlarının log formatlarının standartlaştırılması durumunda, risklerin tespit etme süreci hızlandırılabilir.

Sonuç Özeti

Log ve alarm normalizasyonu, siber güvenlikte etkin bir risk yönetiminde kritik bir rol oynamaktadır. Veri standartlaştırma, güvenlik analistlerinin olası zafiyetleri ve yanlış yapılandırmaları hızlı ve doğru bir şekilde tespit etmesine olanak tanır. Doğru uygulanmış bir normalizasyon süreci, ağ güvenliğini güçlendirmek için gerekli olan analiz ve yorumlamayı sağlamaktadır. Bu sayede, siber saldırılar karşısında daha dayanıklı bir savunma mekanizması oluşturulabilir.