CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Log Kaynaklarını Ortak Dilde Sorgulamak: Normalizasyon ve Şema

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Normalizasyon ve şema, farklı log kaynaklarını ortak bir dil ile sorgulamanın temellerini oluşturur. Siber güvenlikteki önemi ve uygulamaları hakkında bilgi edinin.

Log Kaynaklarını Ortak Dilde Sorgulamak: Normalizasyon ve Şema

Siber güvenlik alanında log kaynakları arasındaki farklılıkları minimize etmek için normalizasyon ve şema uygulamalarını öğrenin. Bu yöntemler sayesinde log verisini daha verimli sorgulayabilirsiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında log verileri, organizasyonların sistemi hakkında kritik bilgilere ulaşmasının yanı sıra potansiyel tehditleri tanımlamak için de büyük önem taşımaktadır. Ancak, farklı cihaz ve sistemlerden gelen log verileri genellikle tutarsız terminoloji ve yapı kullanır. Bu durum, verilerin analizini ve yorumlanmasını zorlaştırır. İşte bu noktada, log kaynaklarının normalizasyonu ve şemasının önemi ortaya çıkar.

Log Normalizasyonu Nedir?

Log normalizasyonu, farklı cihazlardan gelen benzer verilerin ortak bir isimlendirme kuralına göre düzenlenmesi işlemidir. Örneğin, bir IP adresinin farklı cihaz markaları tarafından farklı alan adları (src, src_ip, SourceAddress gibi) ile ifade edilmesi, kullanıcıların her cihaz için ayrı ayrı sorgular oluşturmasını gerektirir. Normalizasyon sayesinde, bu karmaşık yapıdan kurtulup tek bir standart alan adı üzerinden analiz yapabilmek mümkün hale gelir. Bu işlem, siber güvenlik araştırmacılarının, olayları daha etkin bir şekilde gözlemlemelerine ve yorumlamalarına olanak tanır.

Örnek: 
- Cisco: src_ip
- Fortinet: SourceAddress

Eğer bu veriler normalize edilmezse, bir ağda belirli bir IP adresini bulmak için tüm cihazlar hakkında bilgi sahibi olmak gerekir. Normalizasyon, bu tür karmaşıklıkları gidermenin yanı sıra, farklı sistemler arasında veri paylaşımını ve analizi kolaylaştırır. Bu süreç aynı zamanda, güvenlik analistlerinin belirli bir olay ya da tehdit üzerinde hızlıca çalışabilmesine olanak tanır.

Sistem Standartları ve Şema

Log normalizasyonunun sağladığı bu kolaylık, yalnızca verilerin ismini değiştirmekle sınırlı değildir; aynı zamanda verilerin hangi başlıklar altında, hangi tipte ve hangi hiyerarşi ile saklanacağını belirleyen temel bir iskelet olan "şema" ile de ilişkilidir. Şema, verilerin yapısal planını ve kurallarını içerir. Bu sayede, verilerin düzene konulması ve veriler üzerinde analiz yapılması süreci daha sistematik hale gelir.

Siber güvenlik dünyasında, farklı normalizasyon standartları mevcut olup, bu standartlar platformlara göre değişiklik gösterir. Örneğin, Splunk tarafından kullanılan CIM (Common Information Model), Elasticsearch için geliştirilmiş olan ECS (Elastic Common Schema) ve Microsoft Sentinel tarafından kullanılan ASIM (Advanced Security Information Model) en bilinen normalizasyon modellerindendir. Bu modellerin her biri, log verilerinin belirli bir standartla eşleştirilmesine yardımcı olur.

Normalizasyon Modelleri:
- CIM: Splunk
- ECS: Elasticsearch
- ASIM: Microsoft Sentinel

Verinin Önemi ve Uygulama

Günümüzde siber güvenlik uzmanları, karşılaşabilecekleri tehditlere karşı daha iyi bir savunma hattı belirlemek amacıyla veri normalizasyonuna daha fazla önem vermektedir. Normalizasyon sayesinde doğru yapılandırılmış log verileri üzerinde yazılan korelasyon kuralları, cihaz markası değişse bile etkin bir şekilde çalışmaya devam eder. Bu durum, ağ güvenliğinin sürdürülebilir olmasını sağlar.

Ayrıca, normalizasyonun beraberinde getirdiği veri zenginleştirme (enrichment) kavramı da büyük bir öneme sahiptir. Normalize edilen verilere ek detaylar (IP lokasyonu veya Threat Intel bilgisi gibi) eklenerek, verilerin güvenlik analizi çok daha derinlemesine yapılabilir. Nihai hedef, tehditleri önceden tespit etmek ve etkin bir savunma yapılmasını sağlamak olduğundan, bu süreçlerin önemi göz ardı edilemez.

Sonuç

Log kaynağı normalizasyonu, siber güvenlik alanında verimlilik ve doğru analiz sağlamak için kritik bir süreçtir. Sunulan veriler üzerinde uygun şemalar ile çalışmak, analistlerin karmaşık verileri anlamalarına ve etkili bir şekilde yorumlamalarına yardımcı olur. Yakın gelecekte, siber güvenlik uygulamalarının bu standartları benimsedikleri takdirde, daha güvenli ve sürdürülebilir sistemler oluşturma şansı artacaktır.

Teknik Analiz ve Uygulama

Siber güvenlik alanında, çok sayıda cihazdan ve log kaynağından gelen verilerin yönetimi, analiz ve ilişkilendirilmesi oldukça zordur. Bu nedenle, farklı veri kaynaklarını ortak bir dilde (normalizasyon) sorgulamak ve anlamak büyük önem taşır. Normalizasyon, verilerin belirli bir formata dönüştürülmesi sürecidir ve bu süreçte önemli bir yapı olan "şema" devreye girer. Şema, verilerin hangi başlıklar altında, hangi tipte ve hangi hiyerarşiyle saklanacağını tanımlayan teknik bir iskelet oluşturur.

Normalizasyon Süreci

Normalizasyon, farklı cihazların ve log kaynaklarının kullandığı değişken isimlendirme kurallarını standart bir formata dönüştürmek için kullanılır. Örneğin, bir IP adresini sorgulamak için bir cihaz "src_ip", başka bir cihaz ise "SourceAddress" alan adını kullanabilir. Eğer bu veriler normalize edilmezse, belirli bir IP adresini bulmak için her markanın kullanmış olduğu farklı alan adlarını bilmek gerekecektir. Bu durum, zaman ve kaynak kaybına neden olur. Normalizasyon sayesinde, tek bir standart alan adı üzerinden analiz yapmak mümkün hale gelir.

Örnek: 
Log kaynaklarından gelen IP adreslerinin standartlaştırılması
1. Cihaz A: src_ip
2. Cihaz B: SourceAddress
3. Cihaz C: client_ip

Burada, normalizasyon süreci boyunca her bir veri alanı, ortak bir adlandırma biçimine dönüştürülür.

Şemanın Önemi

Veri yapısını belirleyen şema, normalizasyonun temel bileşenlerinden biridir. Doğru bir şema yapısı üzerinde, farklı cihazlardan gelen veriler rahatlıkla eşleştirilebilir. Örneğin, Cisco bir firewall cihazına ait logları işlerken "source_ip" alanını kullanıyorsanız, bu cihazdan Fortinet markasına geçiş yaptığınızda da verilerinizi bu alan adı üzerinden sorgulayarak alarm veya dashboard'ların bozulmasını önleyebilirsiniz.

{
  "source_ip": "192.168.1.1",
  "timestamp": "2023-10-01T10:00:00Z",
  "action": "ALLOW"
}

Yukarıdaki örnekte, "source_ip" alanı, farklı cihazlardan gelen verilerin standardize edilmiş bir örneğidir.

Verilerin Sınıflandırılması

Verilerin sadece isimleriyle değil, aynı zamanda kategorileriyle de ilgilenmek gerekir. Bu noktada, sınıflandırma terimi devreye girer. Çeşitli log kaynaklarının kategorileri (örneğin Network, Authentication, Malware) belirlenebilir ve bu sayede verilerin hiyerarşisi oluşturulur. Sınıflandırma, veri taksonomisi olarak tanımlanır ve siber güvenlikte olayların daha iyi analiz edilmesine olanak tanır.

Normalizasyon ve Şemanın Faydaları

Normalizasyon ve şemanın sağladığı faydalar arasında, verilerin birleşik bir yapıya sahip olması, sorguların ve analizlerin daha verimli hale gelmesi, ve cihazdan cihaza geçişler sırasında esnekliğin korunması yer alır. Özellikle büyük ölçekli networklerde, birçok farklı cihazın bulunduğu durumlarda, bu iki aşama sayesinde bir standardizasyon sağlanır. 

Çıktı:
- Kullanılan bir normalizasyon modeli ile tüm veriler ortak bir formata dönüştürülür.
- Veriler üzerinde gerçekleştirilen korelasyon kuralları, cihaz markası değişse bile çalışmaya devam eder.

Bu durum, siber güvenlik analistlerinin ya da ekiplerinin aynı dilde konuşmasını sağlar ve analiz süreçlerini hızlandırarak daha etkin sonuçlar elde etmelerine yardımcı olur. Ayrıca, doğru normalize edilmiş verilerin üzerine yapılan zenginleştirme işlemleri (örneğin, IP lokasyonu veya tehdide dair bilgi eklenmesi) ile analizlerin kalitesi de artırılabilir.

Normalizasyon ve şemanın sağladığı bu avantajlardan yararlanmak, siber güvenlikte etkin bir gözlem ve savunma mekanizması oluşturmanın temel unsurlarından biridir. Bu bağlamda, CIM (Common Information Model), ECS (Elastic Common Schema) gibi standartların kullanımı, veri yönetimi sürecinin işlevselliğini artırmak için kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında verilerin doğru yorumlanması, özellikle logların normalize edilmesi ve uygun şemaların uygulanmasıyla mümkündür. Bu süreç, log kaynaklarının güvenlik anlamını doğru bir şekilde değerlendirmek ve yanlış yapılandırma ya da zafiyetleri tespit etmek açısından kritik öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Log verileri, ağın durumunu, erişim denemelerini, saldırıları ve sistem aktivitelerini yansıtan önemli birer kaynak teşkil eder. Ancak, bu verilerin yorumlanabilir hale gelebilmesi için normalizasyon işlemi yapılmalıdır. Normalizasyon sayesinde, farklı cihazların ürettiği loglardaki benzer veriler ortak bir yapı altında toplanır. Bu süreç, örneğin bir IP adresinin, Cisco cihazında src_ip olarak, Fortinet'de ise source_ip olarak görünmesi durumunu ortadan kaldırır. Bu sayede, araştırmacılar ve güvenlik ekipleri, farklı kaynaklardan gelen verileri daha esnek bir biçimde analiz edebilirler.

Bir örnek vermek gerekirse, normalizasyon yapılmamış bir sistemde, aynı servisin logları farklı alan isimleri ile birleştirilmeye çalışılırsa, analiz sürecinde zaman kaybı yaşanır. Ancak, normalize edildikten sonra tüm logların aynı yapıda yer alması, hızlı ve etkili bir analiz imkanı sağlar:

{
  "source_ip": "192.0.2.1",
  "event_type": "login_attempt",
  "status": "failed"
}

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar ve zafiyetler, siber güvenlik alanında ciddi tehditler oluşturur. Eğer log verileri normalize edilmezse, güvenlik ihlallerinin tespiti büyük ölçüde zorlaşır. Örneğin, bir firewallden gelecek logların yanlış alan adları ile yapılandırılması durumunda, saldırı tespit sistemleri her alarmda farklı alan yapılarıyla karşılaşacak ve bu, alarm yönetimini son derece karmaşık hale getirecektir. Bu tür durumlar, sızan verilerin tespiti, topoloji analizleri ve servis tespiti konularında ciddi sıkıntılara yol açar.

Normalizasyon sayesinde, bu tür zafiyetlerin etkisi en aza indirilir. Doğru bir yapılandırma ile, sistem yöneticileri istedikleri bilgilere kolayca ulaşabilir ve potansiyel tehditleri daha hızlı bir şekilde tespit edebilir.

Sızan Veri, Topoloji ve Servis Tespiti

Siber güvenlikte sızan verilerin tespiti, büyük öneme sahiptir. Normalizasyon, logları standart bir forma dönüştürdüğünden, analiz süreci daha hızlı ve etkili hale gelir. Diğer yandan, topoloji analizi ve hizmet tespitinde, verilerin kategorik olarak düzenlenmesi önemli bir rol oynar. Örneğin, bir saldırının nasıl gerçekleştiğini ve hangi sistemlerin hedef alındığını anlamak için aşağıdaki gibi bir sorgu kullanılabilir:

SELECT source_ip, target_service, COUNT(*)
FROM logs
WHERE event_type = 'suspicious_activity'
GROUP BY source_ip, target_service

Bu tür bir sorgu, kullanıcıların hangi hizmetleri hedef aldığını ve saldırganların yönlendiklerini belirlemek açısından kritik bilgi sağlar.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik önlemleri alınırken, normalizasyon ve şemaların uygulanması, saldırılara karşı daha dayanıklı bir yapı sağlayacaktır. Aşağıda bu süreçte dikkat edilmesi gereken bazı önlemler listelenmiştir:

  1. Doğru Normalizasyon Uygulamaları: Logların standart bir formata dönüştürüldüğünden emin olun.
  2. Otomatik İzleme Araçları: Güvenlik ihlalleri için otomatik izleme sistemleri kullanarak hızlı müdahale yeteneği kazanın.
  3. Güvenlik Duvarı Kuralları: Firewall cihazlarınızın ayarlarını düzenli olarak gözden geçirin ve güncelleyin.
  4. Eğitim ve Farkındalık: Ekip üyelerine düzenli eğiterek yanlış yapılandırmaRisklerini azaltın.
  5. Zenginleştirme: Normalleştirilmiş verilere, IP lokasyon bilgisi veya tehdit istihbaratı gibi ek veriler ekleyerek analiz sürecini güçlendirin.

Kısa Sonuç Özeti

Sonuç olarak, log kaynaklarının normalizasyonu ve şemalandırılması, siber güvenliğin temel taşlarını oluşturmaktadır. Elde edilen bulguların doğru yorumlanması, yanlış yapılandırmaların etkilerinin anlaşılması ve potansiyel zayıf noktaların belirlenmesi açısından hayati öneme sahiptir. Güvenlik ekiplerinin, bu bilgileri etkili bir şekilde kullanmaları, potansiyel tehditlere karşı sağlam bir savunma mekanizması oluşturmalarına yardımcı olacaktır.