CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Log Kaynağı Kesintisi: Tehditleri Tespit Etmek için Stratejiler

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Log kaynağı kesintisi, siber güvenlik alanında büyük riskler barındırır. Bu yazıda kesinti tespitinin püf noktalarını öğreneceksiniz.

Log Kaynağı Kesintisi: Tehditleri Tespit Etmek için Stratejiler

Log kaynağı kesintisi, siber güvenlik uzmanları için kritik bir meseledir. Bu blog yazısında, kesintilerin nasıl tespit edileceği ve olası risklerin nasıl yönetileceği ele alınıyor.

Giriş ve Konumlandırma

Siber güvenlik alanında, organizasyonların bilgi güvenliği seviyeleri büyük ölçüde log yönetimi ve izleme sistemlerinin etkinliğine bağlıdır. Log kaynağı kesintisi, yani bir cihazın veya uygulamanın merkezi bir sistemle (genellikle SIEM – Güvenlik Bilgisi ve Olay Yönetimi) veri akışını durdurması, bu etkinliği doğrudan etkileyen kritik bir durumdur. Log kaynağının durması, güvenlik analistinin o cihazdan gelen olayları göremez hale gelmesine yol açar ve bu durum "körlük" durumu olarak bilinir. Bu nedenle, log kaynağı kesintisinin tespiti ve yönetimi, siber güvenlik stratejilerinin temel unsurlarından biridir.

Neden Log Kaynağı Kesintisi Önemlidir?

Log kaynağı kesintisinin önemini anlamak için, siber güvenlik olaylarının izlenmesi ve analiz edilmesinin temellerini incelemek gerekir. Güvenlik analistleri, bir saldırının yönünü, kaynaklarını ve etkilerini belirlemek için sürekli olarak log verilerine başvururlar. Loglar, sistemlerin, uygulamaların ve cihazların durumuna dair güncel bilgiler sunar. Bu bilgilerin kesilmesi, bir saldırgandan veya tehditten haberdar olmadan önemli bilgi kaybına neden olabilir.

Özellikle gelişmiş kalıcı tehditler (APT) gibi siber tehdit aktörleri, sistemlere sızdıktan sonra izlerini kaybettirmek amacıyla log akışlarını kesme stratejileri geliştirmiştir. Bu bağlamda, log kaynağı kesintisinin tespiti, hem savunma hem de saldırı tespiti açısından kritik bir yetkinlik haline gelmektedir. Olay müdahale süreçlerinde, analistlerin etkili bir şekilde çalışabilmesi için log kaynaklarının sürekli izlenmesi ve durumlarının kontrol altında tutulması gerekmektedir.

Siber Güvenlik ve Pentest Bağlamı

Siber güvenlik alanında, penetrasyon testleri (pentest) sıklıkla, organizasyonların güvenlik açıklarını keşfetmek ve bunlara karşı gerekli önlemleri almak amacıyla yapılır. Pentest süreçlerinde log kaynağı kesintisi, bir sistemin güvenlik açıklarının bulunmasını engelleyebilir. Logların antropolojik analizleri, saldırıların tespitinde kritik öneme sahiptir. Bu nedenle, pentest takımları, simülasyonları sırasında log kaynağı kesintisi gibi senaryoları hesaba katmalı ve potansiyel zafiyetleri göz önünde bulundurmalıdır.

Log Kaynağı Sağlığını İzleme

Log kaynağı kesintilerinin etkili bir şekilde yönetilmesi için doğru metodolojilerin geliştirilmesi gerekmektedir. İki ana sağlık metriği: "son görülme zamanı" ve "saniyede log sayısı (EPS – Events Per Second)" burada karşımıza çıkar. Bu metrikler, bir kaynağın aktif olup olmadığını ve log akışındaki olası ani düşüşleri tespit etmek için kullanılır. Örneğin, aşağıdaki gibi bir sağlık kontrolü yapılarak, kaynakların durumunu sürekli izlemek mümkündür:

if (last_seen_time > threshold_time) {
    alert("Log kaynağı çevrimdışı!");
}

Bu tip kontroller, analistlerin olası kesintileri anında tespit etmelerine ve gerekli müdahaleleri yapmalarına olanak tanır.

Sonuç olarak, log kaynağı kesintisi tespiti, günümüzde siber güvenliğin kritik bir parçası haline gelmiştir. Bu bölümde, kesintinin ne olduğu, öneminin neden bu kadar büyük olduğu ve siber güvenlik, pentesting ve savunma bağlamındaki rolü üzerine kısaca bilgi verdik. İzleyen bölümlerde, log kaynağı kesintilerinin tespitine yönelik stratejileri, izleme sistemlerini ve çözüm önerilerini ele alacağız.

Teknik Analiz ve Uygulama

Görünmezlik Tehlikesi

Log kaynağı kesintisi, bir cihazın veya uygulamanın SIEM (Security Information and Event Management) sistemine veri göndermeyi bırakması sonucunda ortaya çıkar. Bu durum, analistlerin siber saldırılara ve güvenlik olaylarına dair verileri gözlemlemesini engelleyerek "görünmezlik" yaratır. Şu durumda, bir SOC'un (Security Operation Center) en kritik metriklerinden biri olan 'Log Source Up-time' oranı büyük önem taşır. Log kaynağı kesildiğinde, sistemin genel güvenlik durumunu belirlemek ve tehditleri tespit etmek zorlaşır.

Bu tür bir durumun sürekliliği, log kaynağının düzgün çalışıp çalışmadığını anlamak için iki ana metrikle izlenir: en son görülen log kaydı zamanı ve saniyede gelen log sayısındaki (EPS) ani düşüşler. Bu iki metrik, log akışının sağlıklı bir şekilde devam edip etmediğini anlamak için kritik öneme sahiptir.

Sağlık Metrikleri: Last Seen ve EPS

Log akışını izlemek için kullanılan sağlık metriklerinden ilki "Last Seen" (Son Görülme) zamanıdır. Bir kaynağın en son veriyi SIEM'e ne zaman gönderdiği, sistemin sağlığını değerlendirmek için temel bir göstergedir. Örneğin, bir cihazdan en son log kaydı alındıysa ve bu kayıttan belirli bir süre geçtiyse, cihazın "ölü" olabileceği düşünülmelidir.

Diğer bir önemli metrik ise EPS (Events Per Second) değeridir. Log akışındaki ani düşüşler, bir sorunun işareti olabilir. Eğer logların sayısında %50’lik bir düşüş olursa, bu durum "Threshold Alert" (eşik uyarısı) oluşturur ve analistlerin hemen müdahale etmesini gerektirir.

# Örnek Python kodu ile log kaynağının durumunu kontrol etme
def check_log_source_status(last_seen, eps):
    from datetime import datetime, timedelta

    current_time = datetime.now()
    if current_time - last_seen > timedelta(minutes=15):
        return "Log source may be down."
    
    if eps < 5:  # Her saniyede 5'ten az log geldiğinde
        return "Alert: Low log generation rate."

    return "Log source is healthy."

Neden Kesildi? Troubleshooting

Log akışının kesilmesinin birçok teknik nedeni bulunabilir. Bu durumların hızla anlaşılması ve doğru bir şekilde ele alınması, siber güvenlik farkındalığı için oldukça kritiktir:

  1. Agent Failure: Kaynaktaki log toplama yazılımının çökmesi veya durması.
  2. Network Issues: Kaynak ile SIEM arasındaki ağ bağlantısının kopması ya da bir firewall engeli.
  3. Credential Expired: Log verilerinin toplanmasında kullanılan kimlik bilgileri (WMI/SSH) süresinin dolması sonucu erişim hatası.

Her bir neden, farklı çözümler ve kontrol adımları gerektirir. Örneğin, bir ağ sorunu tespit edildiğinde, ağ bağlantılarının kontrol edilerek olası bir kesintinin çözülmesi gerekir.

Hayat Sinyali: Heartbeat

Bazı log toplayıcı ajanlar, log üretilse bile düzenli aralıklarla belirli bir “Kalp Atışı” (Heartbeat) sinyali gönderirler. Bu sinyal, sistemin çalışıp çalışmadığını doğrulamak için kritik bir yöntemdir. Eğer bu kalp atışları kesilirse, SIEM sistemleri hemen bir "Cihaz Çevrimdışı" alarmı üretir ve olası bir sorunun başlangıcını raporlar.

Kalp atışlarının düzenli kontrol edilmesi, log kaynağının sağlığını izlemek için etkili bir strateji olabilir. SIEM üzerinde kendiliğinden izleme (Self-Monitoring) kuralları oluşturmak, analistlerin her an ekranı izlemesini gereksiz kılar. Örneğin:

# Örnek bir izleme kuralı
- rule:
    name: "Log Source Heartbeat Monitor"
    condition: "If no data received from device X for 15 minutes"
    action: "Open a critical incident"

Otomasyon: Kaynak İzleme Kuralları

Otomasyonu sağlamak için, log kesintilerini tespit etmek amacıyla SIEM üzerinde kurallar oluşturabilirsiniz. Örneğin, belirli bir süre boyunca log verisi alınmadığında kritik seviyede bir vaka açılmasını sağlayan kurallar, yönetim sürecini daha etkin hale getirir. Bu tür otomasyonlar, analistlerin müdahale gerektiren durumları daha çabuk tespit edebilmesi için fırsat sağlar ve yanı sıra insan hatasını azaltır.

Güvenlik Riski: İzleri Gizleme

Gelişmiş saldırganlar (APT grupları), tespit edilmemek için ilk adımda loglama servislerini veya SIEM ile olan bağlantıyı bozmaya çalışırlar. Bu tür bir saldırının belirtileri arasında "Service Stopped" veya "Connection Terminated" gibi log mesajlarının tespit edilmesi bulunur. Bu mesajlar, analistlerin dikkat etmesi gereken kritik işaretlerdir ve hemen araştırma gerektiren durumları işaret eder.

Özet: Sağlık Kontrol Listesi

Sonuç olarak, log kaynağı yönetimi, SOC operasyonunun etkinliği ve sürekliliği açısından vazgeçilmezdir. Log kaynağı kesintisinin hızlı bir şekilde tespit edilmesi, tehditlerin önüne geçilmesi için gereklidir. Kullanılan sağlık metrikleri, kalp atışları, otomasyon ve olası güvenlik risklerini göz önünde bulundurmak, siber güvenlik alanında daha dirençli bir yapı kurmanıza yardımcı olacaktır.

Risk, Yorumlama ve Savunma

Log kaynağı kesintileri, siber güvenlik alanında ciddi riskler oluşturur ve bu durum, bir sistemin güvenliğini tehdit edebilir. Log kaynağının çevrimdışı olması, sistem analistinin meydana gelen olayları veya saldırıları izleyememesi anlamına gelir ve bu, kötü niyetli faaliyetlerin tespiti açısından gözlemlenmeyen bir alan yaratır. Bu bölümde, log kaynağı kesintileri ile ilgili risklerin değerlendirilmesi, yorumlanması ve savunma stratejilerinin oluşturulması üzerinde durulacaktır.

Görünmezlik Tehlikesi

Log kaynağındaki kesinti durumunda, bir cihazın veya uygulamanın veri akışının durması analisti 'sağlıklı' bir durumun varlığına dair yanıltabilir. Örneğin, SIEM'e veri göndermeyen bir sistem, bir saldırganın hedef aldığını ve sistem üzerinde zararlı eylemler gerçekleştirdiğini gizleyebilir. Bu 'körlük' durumu, analistin olayları zamanında tespit etmesini engeller ve proaktif savunma için çok kritik bir risk oluşturur.

Sağlık Metrikleri: Last Seen ve EPS

Log akışının sağlığını kontrol etmek için iki temel metrik kullanılır: Son Görülme Zamanı ve Saniyede Gelen Log Sayısı (EPS). Bu metrikler, log kaynağının sağlıklı çalışıp çalışmadığını belirlemede kritik öneme sahiptir.

Son Görülme Zamanı: En son logun SIEM'e gönderildiği zamandır.
EPS: Saniyede gelen log sayısıdır; sürekli bir azalma saldırının bir belirtisi olabilir.

Analist, bu metrikleri izleyerek anormal durumları derhal tespit etmeli ve gerekli önlemleri almalıdır.

Neden Kesildi? Troubleshooting

Log akışındaki kesintinin çeşitli teknik nedenleri olabilir. Aşağıdaki nedenler, log kaynağının çevrimdışı hale gelmesine yol açabilecek yaygın durumlardır:

  1. Agent Failure: Log toplayıcı yazılımın çökmesi veya durması.
  2. Network Issues: Kaynak ile SIEM arasındaki ağ kopması veya güvenlik duvarı (firewall) engeli.
  3. Credential Expired: Yetkilendirme için kullanılan şifrenin süresi dolmuş olması.

Bu durumlar, belirli bir zaman diliminde gözlemlenebilir ve analist, sorunları en kısa sürede ele alarak sistemin tekrar çevrimiçi olmasını sağlamalıdır.

Hayat Sinyali: Heartbeat

Log toplayıcı ajanlar, log üretilse dahi belirli aralıklarla merkez sunucuya bir 'kalp atışı' (heartbeat) sinyali gönderir. Eğer bu sinyal alınmazsa, SIEM sisteminin 'Cihaz Çevrimdışı' alarmı üretmesi sağlanır. Bu tür bir otomasyon, analistin sürekli ekran başında beklemesini gereksiz kılarak iş süreçlerini optimize eder. 

Heartbeat durdurulduğunda, SIEM anında alarm üretecek şekilde yapılandırılmış olmalıdır.

Güvenlik Riski: İzleri Gizleme

Gelişmiş sürekli tehdit (APT) grupları, tespit edilmemek için loglama servislerini veya SIEM ile olan bağlantıyı bozmaya çalışırlar. Log kesintisi tespit edildiğinde, sistemde görülen 'Service Stopped' veya 'Connection Terminated' gibi son mesajlar, bir saldırının başlangıcını işaret edebilir. Bunun için saldırının etkilerini gözlemlemek üzere, belirli izleme kuralları oluşturulmalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Log kaynağı yönetimi, SOC operasyonunun sürekliliği için hayatidir. Aşağıdaki önlemler, riskleri azaltma çabasında kritik rol oynar:

  • Kural Tabanlı İzleme: Log kaynağından belirli bir süre veri gelmezse (örneğin, 15 dakika) kritik bir vaka açılmalıdır.
  • Log Entegritesi Kontrolü: Logların değişmeden ve eksilmeden kaydedilmesini sağlamak için gerekli önlemler alınmalıdır.
  • Sağlık Dashboard'ları: Tüm log kaynaklarının 'Up/Down' durumlarını gösteren merkezi izleyici ekranları oluşturulmalıdır.
  • Periyodik Güvenlik Testleri: Ağ ve sistem güvenliği düzenli olarak test edilmeli ve log kaynağında zafiyetler aramalıdır.

Sonuç

Log kaynağı kesintileri, siber güvenlikte büyük riskler barındırmakta ve sistemin görünmeyen alanlarında tehditlerin belirmesine sebep olabilmektedir. Bu nedenle, analistlerin log akışını sürekli izlemeleri, anormallikleri hızlıca tespit etmeleri ve etkin bir şekilde sorun çözümlemesi hayati öneme sahiptir. Güvenlik alanında belirlenen stratejik önlemler ile bu risklerin minimize edilmesi mümkün olmaktadır.