CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Log Ayrıştırma ve Normalizasyon: Siber Güvenlikte Temel Adımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Log ayrıştırma ve normalizasyon süreçleri, siber güvenlikte verilerin doğru analizini sağlamak için kritik öneme sahiptir.

Log Ayrıştırma ve Normalizasyon: Siber Güvenlikte Temel Adımlar

Siber güvenlikte log ayrıştırma ve normalizasyon, verilerin analizi ve korunması için hayati adımlardır. Bu süreçler sayesinde olaylar daha anlaşılır hale gelir ve tehditler hızlıca tespit edilebilir.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, hem bireysel kullanıcılar hem de organizasyonlar için günümüzde giderek daha fazla önem kazanıyor. Daha fazla cihazın ağa bağlı olması, dolayısıyla daha fazla veri üretilmesi, saldırganların güncel taktiklerinin çeşitlenmesi ve artan veri gizliliği gereksinimleri, güvenlik analistlerinin karşılaştığı zorlukları artırmaktadır. Bu bağlamda, verilerin işlenmesi ve analiz edilmesi kritik bir yer tutar. Özellikle log ayrıştırma (parsing) ve normalizasyon süreçleri, siber güvenlik alanında temel adımlardır.

Log ayrıştırma, ham verinin analiz için anlamlı parçalara bölünmesi sürecidir. Bir bilgisayar sistemi, ağ cihazları veya uygulamalar tarafından üretilen loglar, genellikle karmaşık ve okunması zor formatlardadır. Bu loglar, bir güvenlik bilgi ve olay yönetimi (SIEM) sistemine ulaştığında, işlenmemiş veriler olarak karşımıza çıkar. Örneğin, aşağıda basit bir ham log örneği verilmiştir:

May 14 10:22:01 192.168.1.50 Failed password for admin

Bu metin parçası, sistemin bir kullanıcı adı ve parola denemesiyle ilgili bilgi verdiğini gösterirken, analistlerin bu veriyi manuel olarak analiz etmesi imkânsız hale gelebilir. Log ayrıştırma süreci, bu tarz uzun ve karmaşık metinlerden anlamlı alanlara (fields) dönüşme işlemini gerçekleştirmek için gereklidir.

Neden Önemlidir?

Log ayrıştırma işlemi, veri analitiğinin belkemiğini oluşturur. Bir log kaydının ayrıştırılması, önemli bilgilerin çıkartılmasını sağlar; örneğin, IP adresi, zaman damgası, kullanıcı adı gibi parçalar. Ancak, işlem sadece ayrıştırma ile sınırlı değildir. Loglar farklı kaynaklardan geldiği için, hepsinin kendine has formatları ve terimleri vardır. Burada devreye normalizasyon süreci girer; bu süreç, farklı isimlendirme şemalarını standart hale getirerek veri analizi için uyumlu bir yapı oluşturur.

Normalizasyon işlemi, bir SIEM sisteminde gerçekleştirilen işlemlerin bir adımıdır ve kritik bir rol oynar. Örneğin, bir saldırganın IP adresi bir firewall logunda SrcIP, bir Windows logunda ClientAddress, ve bir proxy logunda Source_IP olarak adlandırılabilir. Normalizasyon, tüm bu farklı isimlendirmelerin tek bir standart isme (örneğin src_ip) dönüştürülmesini sağlar. Bu sayede analistler, farklı cihazların loglarını karşılaştırarak korelasyon yapabilir, tehditleri daha hızlı tespit edebilir ve hızlı bir şekilde müdahale edebilir.

Siber Güvenlik Bağlamında Log Ayrıştırma ve Normalizasyon

Siber saldırılar giderek daha karmaşık hale geldikçe, log kayıtlarının analizi de kritik öneme sahip olmaktadır. Logların doğru bir şekilde ayrıştırılması ve normalizasyonu, analistlerin güvenlik olaylarını hızlı bir şekilde tanıyabilmesi ve tehditleri zamanında önleyebilmesi için gereklidir. Ayrıca, bu süreçler, çok katmanlı bir güvenlik mimarisinin parçasıdır ve olay yönetimi, risk değerlendirmesi ve güvenlik politikaları gibi diğer alanlarla entegre çalışır.

Bir güvenlik analisti, etkili bir şekilde tehditleri belirlemek ve incelemek için logları ayrıştırma ve normalizasyon süreçlerini anlamalı ve uygulamalıdır. Aksi takdirde, sistemin ürettiği veriler arasında kaybolabilir ve zaman kaybına yol açabilir.

Sonuç olarak, log ayrıştırma ve normalizasyon süreçleri, siber güvenlik alanında kritik bir başarı faktörü olarak öne çıkmaktadır. Bu süreçlerin doğru bir şekilde uygulanması, güvenlik operasyon merkezleri (SOC) için hayati önem taşır. Analistlerin etkili kararlar alabilmesi ve tehditlere hızlı bir şekilde yanıt verebilmesi için bu temel adımların iyi bir şekilde anlaşılması gerekmektedir. Bu blog serisinde, bu süreçlerin nasıl işlediğine dair daha derinlemesine bir inceleme yapacağız ve her bir adımın önemini vurgulayacağız.

Teknik Analiz ve Uygulama

İlk Karşılaşma: Ham (Raw) Log

Siber güvenlik alanında log dosyaları, ağ ve sistem olaylarının kaydını tutan temel unsurlardır. Bu kayıtlar, farklı ağ cihazları, sunucular ve uygulamalar tarafından üretildiği için genellikle karmaşık ve okunması zor formatlarda gelir. İlk etapta bu loglar, işlenmemiş (raw) haliyle sisteme ulaşır ve anlamlı alanlara bölünmesi gereken ham metin dizeleri olarak değerlendirilir. Örneğin:

May 14 10:22:01 192.168.1.50 Failed password for admin

Yukarıdaki örnek, bir zaman damgası, kaynak IP adresi ve olay mesajını içermektedir. Ancak, bu tür kayıtlar doğrudan analiz yapmak için uygun değildir; bu nedenle log ayrıştırma ve normalizasyon süreçleri kritik hale gelir.

Veriyi Parçalara Bölmek (Parsing)

Log ayrıştırma (parsing), sihirli bir işlem gibi görünse de, aslında belirli teknik adımların takip edilmesini gerektirir. SIEM (Security Information and Event Management) sistemleri, bu işlemi gerçekleştirmek için metinlerdeki belirli desenleri tanımak üzere özel arama şablonları kullanır. İçinde kritik bilgilere ulaşmak için IP adresi, kullanıcı adı, zaman damgası gibi unsurlar cımbızla çekilip etiketlenir.

Aşağıda, log ayrıştırma işleminin temel adımlarını içeren bir örnek kod gösterilmektedir:

import re

log_line = "May 14 10:22:01 192.168.1.50 Failed password for admin"

# Regular expression pattern to extract data
pattern = r'(?P<Timestamp>\w{3} \d{1,2} \d{2}:\d{2}:\d{2}) (?P<SourceIP>\d+\.\d+\.\d+\.\d+) (?P<EventMessage>.*)'

match = re.match(pattern, log_line)

if match:
    parsed_log = match.groupdict()
    print(parsed_log)

Yukarıdaki Python kodu, belirli bir log satırını ayrıştırmak için bir regular expression (regex) kullanmaktadır. groupdict() metodu, belirlenen alan adlarıyla eşleşen verileri bir sözlük yapısında döndürür. Bu, SIEM sisteminde daha anlamlı bir yapıya geçiş için ilk adımdır.

Ayrıştırmanın Arka Planı: Regular Expressions

Log ayrıştırma işlemi için kullanılan regular expressions (şablonlar), metin içindeki belirli desenleri tanımak adına kritik öneme sahiptir. Regex, bir dize üzerinde belirli kurallara dayalı arama ve eşleştirme yapmaya yarar. Örneğin, bir IP adresini belirlemek için bu ifadeleri kullanabilirsiniz:

\d+\.\d+\.\d+\.\d+

Bu regex ifadesi, dört tane 0-255 arası sayıyı tanımlayan bir desendir. SIEM motorları, bu tür kuralları kullanarak karmaşık metin dizilerini işlemek için gerekli bölgeleri ayırır ve uygun alan adlarıyla eşleştirir.

Aynı Dili Konuşmak: Normalizasyon (Normalization)

Log ayrıştırma işleminden sonra karşılaşılan bir diğer sorun, terim karmaşasından kaynaklanır. Farklı cihazlar, aynı veri öğesini farklı terminolojilerle tanımlayabilir. Örneğin, bir saldırganın IP adresi:

  • Firewall loglarında SrcIP
  • Windows loglarında ClientAddress
  • Proxy loglarında Source_IP

Normalizasyon süreci, bu farklı adlandırmaları tek bir standart hale getirmeyi amaçlar. Örneğin, tüm bu terimlerin SIEM üzerinde standart bir isimlendirmeye dönüştürülmesi, düzeltme ve verimlilik sağlar.

Common Information Model (CIM) olarak bilinen yapı, farklı güvenlik cihazlarının loglarının nasıl standart hale getirileceğinin belirlenmesini sağlar. Böylece, bir SOC analisti sistemlerinde çok farklı markaların cihazlarını daha kolay bir şekilde takip edebilir.

Sürecin Büyük Resimdeki Önemi

Log ayrıştırma ve normalizasyon süreçleri, siber güvenlik alanında bir analistin tehditleri hızlıca tespit edebilmesi ve farklı log kaynaklarını birbiriyle konuşturabilmesi için hayati önem taşımaktadır. Başarılı bir ayrıştırma işlemi gerçekleştirildiğinde, analistler tek bir sorgu ile sistemdeki tüm hareketleri kolayca görebilirler. Örneğin, bir SIEM sisteminde src_ip=x.x.x.x sorgusu ile ağdaki tüm hareketleri izlemek mümkündür.

Log işleme adımlarının doğru bir şekilde yapılması, siber güvenlik analizine daha sağlam bir temel hazırlayarak, potansiyel tehditlerin daha hızlı ve doğru bir şekilde tespit edilmesine katkı sağlar. Bu süreçlerde karşılaşılan zorlukların aşılması, siber güvenlik uygulamalarının etkinliğini artırır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında log ayrıştırma ve normalizasyon süreçleri, olayların analizi ve risklerin yönetilmesi için kritik bir öneme sahiptir. Elde edilen bulgulara güvenlik açısından yaklaşım, potansiyel zafiyetlerin ve yanlış yapılandırmalarının etkilerini anlamak için özellikle gereklidir.

Ham Log ve Tehdit Yüzeyi

Ham loglar, güvenlik cihazları ve uygulamalardan elde edilen verilerin ilk halidir. Bu veriler genellikle karmaşık ve okunması zor formatlarda gelmektedir. Örneğin, aşağıdaki gibi bir ham log kaydı düşünelim:

May 14 10:22:01 192.168.1.50 Failed password for admin

Bu tür logların doğrudan analizi, içerdikleri bilgilerin yapılandırılmamış olmasından dolayı imkânsızdır. Eğer bu kayıtlar üzerinde yeterli parsing (ayrıştırma) işlemi gerçekleştirilmezse, güvenlik analistleri olayları tanımlamada büyük zorluklar yaşayabilir ve kritik saldırılara yanıt verme süresi uzayabilir. Dolayısıyla, ham logların doğru bir şekilde ayrıştırılması, potansiyel tehditlerin ve zayıf noktaların belirlenmesi açısından hayati önemdedir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, güvenlik sistemleri üzerinde ciddi riskler oluşturabilir. Örneğin, bir firewall’da yanlış kurulan erişim listeleri veya zayıf parolalar, saldırganların sisteme sızmasına neden olabilir. Bu tür durumlarda, ham logların analizi zafiyetlerin ve hatalı yapılandırmaların belirlenmesinde kilit bir rol oynar.

Normalizasyon süreci, logların farklı kaynaklardan gelmesi durumunda standardize edilmesini sağlar. Bir saldırganın IP adresinin farklı cihazlarda farklı isimlendirilmesi, SIEM (Security Information and Event Management) sistemlerinde zorluklara yol açar:

  • Firewall loglarında: SrcIP
  • Windows loglarında: ClientAddress
  • Proxy loglarında: Source_IP

Bu çeşitlilik, olayların ve tehditlerin doğru bir şekilde korele edilmesini engeller. Normalizasyon eksikliği, bir saldırıyı tespit etmeyi zorlaştırdığı gibi, zamanında müdahaleyi de geciktirebilir.

Sızan Veri ve Topoloji Tespiti

Sızan verilerin analizi, potansiyel tehditleri daha iyi anlamak için kritik bir adımdır. Güvenlik sistemleri tarafından üretilen logların analizi, hangi verilerin sızdırıldığını ve hangi sistemlerin etkilendiğini belirlemek için önemlidir. Loglar üzerinden yapılan bu tür analizlerle aşağıdaki gibi bilgiler elde edilebilir:

  • Hangi cihazlara erişim sağlandığı
  • Hangi kullanıcı girişlerinin yapıldığı
  • Fail olan girişimlerin sayısı ve sıklığı

Bu tür bulgular, güvenlik politikalarının ve güvenlik duvarı kurallarının gözden geçirilmesine yol açabilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik risklerinin yönetimi için, aşağıdaki profesyonel önlemleri almak önemlidir:

  1. Düzenli log analizi yapın: Logların düzenli olarak gözden geçirilmesi, tehditlerin zamanında tespit edilmesini sağlar.
  2. Ayrıştırma ve normalizasyon süreçlerini optimize edin: Farklı cihazların loglarını etkili bir şekilde yorumlamak için SIEM sistemlerinin yapılandırılmasını yapın.
  3. Zayıf parolaları güçlendirin: Güçlü parola politikaları uygulayın ve kullanıcı hesabı izleme uygulamalarını devreye alın.
  4. Güvenlik güncellemelerini ihmal etmeyin: Tüm sunucu ve uygulama güncellemelerini sürekli kontrol altında tutarak oluşabilecek zafiyetleri minimize edin.
  5. Erişim denetim politikalarını gözden geçirin: Hangi kullanıcıların hangi verilere erişim hakkı olduğunu düzenli olarak kontrol edin.

Sonuç

Siber güvenlikte log ayrıştırma ve normalizasyon süreçleri, hem mevcut olan olayların hem de potansiyel risklerin yönetiminde kritik rol oynamaktadır. Ham verilerin doğru bir şekilde analiz edilmesi, zafiyetlerin belirlenmesi ve etkin savunma stratejilerinin geliştirilmesi, güvenlik yapılarının güçlendirilmesi için esastır. Zararlı etkinliklerle başa çıkmak için gerekli olan tüm bilgilerin toplanması ve yorumlanması, etkili bir savunma mekanizmasının oluşturulmasında belirleyici bir faktördür.