CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Log Kaynaklarını Devreye Alma Süreçlerinin Önemi ve Uygulamaları

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Log kaynaklarının devreye alınma sürecinin detayları, önemi ve uygulama adımları ile ilgili bilgi edinin.

Log Kaynaklarını Devreye Alma Süreçlerinin Önemi ve Uygulamaları

Siber güvenlikte log kaynaklarını devreye alma (onboarding) süreci, etkili izleme ve analiz için kritik bir adımdır. Bu yazıda, süreçteki önemli aşamaları ve en iyi uygulamaları öğrenin.

Giriş ve Konumlandırma

Siber güvenlik, günümüz dijital dünyasında her zamankinden daha kritik bir hale gelmiştir. Kuruluşlar, ağlarını ve verilerini korumak için çeşitli güvenlik çözümleri kullanmakta ve bu çözümlerden biri de Güvenlik Bilgisi ve Olay Yönetimi (SIEM) sistemleridir. SIEM çözümleri, güvenlik olaylarını izlemek ve analiz etmek için log (kayıt) verilerini toplar. Ancak, log kaynaklarını başarılı bir şekilde devreye almak (onboarding), bu sistemlerin etkinliği için hayati bir adımdır.

Log kaynaklarını devreye alma süreci, yalnızca cihazların SIEM sistemine entegre edilmesinden ibaret değildir. Bu süreç, organizasyonun siber güvenlik stratejisinin temeli olan bir dizi adımı içerir. Log kaynaklarını devreye almanın önemi, güvenlik olaylarının zamanında tespit edilmesi, analiz edilmesi ve gerektiğinde yanıt verilmesi için gerekli olan doğru ve kaliteli verilerin sağlanmasından kaynaklanmaktadır. Bu süreç, aynı zamanda güvenlik ekiplerinin etkinliğini artırmakta ve güvenlik açıklarını hızla tespit etmelerini sağlamaktadır.

Log kaynaklarının doğru bir şekilde entegre edilmemesi durumunda, olayların izlenmesi ve analiz edilmesi sürecinde ciddi sorunlar yaşanabilir. Örneğin; hatalı veya eksik log verisi, yanlış analizlere ve dolayısıyla yanlış güvenlik önlemlerine yol açabilir. Bu nedenle, log kaynaklarının devreye alma süreci, dikkatlice planlanmalı ve uygulanmalıdır.

Onboarding süreci, birçok aşamadan oluşmaktadır. İlk olarak, hangi log kaynaklarının izleneceği belirlenir. Bu aşamada, kurumda bulunan tüm sunucu, ağ cihazı ve uygulamaların envanteri çıkarılır ve bu kaynakların kritik seviyeleri analiz edilir. Bu aşama, güvenlik ekibinin, hangi cihazların öncelikle izlenmesi gerektiğine dair bilinçli kararlar almasını sağlar.

Bir sonraki aşama, kapasite planlamasıdır. Bu aşamada, her bir log kaynağının saniyede üreteceği log miktarı tahmin edilmeli ve bu veriler, SIEM sisteminin kapasite ihtiyaçlarını belirlemede kullanılan önemli bir ölçüt olan Events Per Second (EPS) ile ilişkilendirilmelidir. Saniyede üretileceği tahmin edilen log sayısı, SIEM’in donanım gereksinimlerini ve lisans maliyetlerini doğrudan etkilemektedir.

Teknik entegrasyon aşamasında, logların SIEM sistemine nasıl iletileceği belirlenir. Bu aşamada, logların Syslog üzerinden mi gönderileceği, bir ajan ile mi toplanacağı yoksa bir API aracılığıyla mı alınacağı kararlaştırılır. Burada yapılacak bağlantı testleri, sistemin işlevselliği açısından kritik öneme sahiptir.

Loglar SIEM'e ulaştığında, genellikle 'ham' metin formunda olmaktadır. Bu raw logların anlamını çıkarabilmek için, nesnelerin ayrıştırılması yani "parsing" işlemi gereklidir. Ayrıştırma yapılarak, log kayıtlarındaki IP adresleri, kullanıcı adları ve eylem türleri gibi alanların belirlenmesi sağlanır. Eğer SIEM cihazı, belirli bir log kaynağını tanımıyorsa, örneğin özel bir ayrıştırıcı oluşturulması gerekli hale gelebilir.

Veri kalitesinin sağlanması, bir sonraki önemli aşamadır. Eksik veya hatalı log verileri, güvenlik analizlerini olumsuz etkileyebilir. Dolayısıyla, logların doğrulanması, log kaynaklarının güvenilirliğini artırmak için kritik bir adımdır. Bu süreç, yalnızca sağlanan verinin kalitesini artırmakla kalmaz, aynı zamanda güvenliğin genel durumunu da iyileştirir.

Onboarding sürecinin son aşaması, yeni eklenecek log kaynakları için alarm ayarlarının yapılması ve mevcut durumun belgelendirilmesidir. Bu aşama, potansiyel gereksiz alarmların önlenmesi açısından önemlidir. Alarm geliştirme ve optimize etme süreçleri, hem siber güvenlik ekiplerinin iş yükünü azaltır hem de doğru zamanda doğru uyarıların alınmasını sağlar.

Sonuç olarak, log kaynaklarını devreye alma süreci, siber güvenlikte kritik bir rol oynamaktadır. Bu süreç, yalnızca teknolojik bir gereklilik değil, aynı zamanda kuruluşun genel güvenlik stratejisinin bir parçasıdır. Etkili bir onboarding süreci, güvenlik ekiplerinin etkinliğini artırırken, potansiyel tehditlerin hızla tespit edilmesini ve etkili bir şekilde yanıt verilmesini sağlar. Bu nedenle, mevcut log kaynaklarının ve gelecekte eklenecek olan log kaynaklarının doğru bir şekilde yönetilmesi, siber güvenlik alanında kritik bir gereklilik haline gelmektedir.

Teknik Analiz ve Uygulama

Planlama ve Envanter Çıkarma

Log kaynaklarını devreye alma süreci, öncelikle planlama ve envanter çıkarmakla başlar. Bu aşamada, kurumda mevcut olan tüm sunucu, ağ cihazı ve uygulamaların bir listesinin oluşturulması, her bir cihazın kritiklik seviyelerinin belirlenmesi ve log üretme kapasitelerinin detaylı bir şekilde analiz edilmesi gerekmektedir. Bu çalışma, siber güvenlik yönetiminde önemli bir adım olup, potansiyel tehditleri daha iyi izleme ve yanıt verme yeteneğini artırır.

Kapasite Planlama: EPS Hesaplama

Log kaynaklarının yönetimi için, her log kaynağının saniyede ne kadar log üreteceğinin tahmin edilmesi hayati bir önem arz eder. Bu değer, SIEM’in (Security Information and Event Management) donanım kapasitesini ve lisans maliyetlerini doğrudan etkiler. Saniyedeki olay sayısını ifade eden bu teknik ölçü birimine EPS (Events Per Second) denir. Aşağıda EPS hesaplama için kullanılabilecek bir formül verilmiştir:

EPS = (Log Kaynağından Beklenen Olay Sayısı) / (Zaman Aralığı)

Doğru EPS hesaplaması için her bir cihazın özellikleri ve beklenen log üretimi dikkate alınmalıdır.

Teknik Entegrasyon ve Bağlantı

EPS değerleri belirlendikten sonra, sıradaki aşama teknik entegrasyondur. Bu aşamada, cihazın logları SIEM'e göndermesi için hangi yöntemin kullanılacağı karar verilir. Cihazın Syslogmu göndereceği, üzerine bir ajan mı kurulacağı ya da bir API üzerinden veri çekileceği gibi seçenekler bu süreçte değerlendirilir. Ayrıca, entegrasyon öncesinde bağlantı testleri yapılması, olası sorunların önceden tespit edilmesine yardımcı olur.

Veri Okunabilirliği: Parsing ve Mapping

Loglar SIEM sistemine ulaştığında genellikle ‘ham’ (raw) metin formatında bulunmaktadır. Bu verilerin analist tarafından sorgulanabilmesi için içindeki IP adresi, kullanıcı adı, eylem gibi kritik alanların ayrıştırılması gerekmektedir. Bu işleme parsing denir. Eğer SIEM, belirli bir cihazın log formatını tanımıyorsa, mevcut parserlar yeterli olacaktır. Ancak tanımadığı bir formatla karşılaşırsa, özel bir ayrıştırıcı (custom parser) yazılması gerekir. Bu kısımda, logların yapılandırılması ve analiz edilebilir hale getirilmesi kritik bir rol oynar.

Aşağıda bir log parsing örneği verilmiştir:

import re

log_line = "192.168.1.1 - - [21/Oct/2021:18:10:45 +0000] \"GET /index.html HTTP/1.1\" 200 2326"
pattern = r'(?P<ip>\d+\.\d+\.\d+\.\d+) - - \[(?P<timestamp>[^\]]+)\] "(?P<request>[^"]+)" (?P<status>\d+) (?P<size>\d+)'

match = re.match(pattern, log_line)
if match:
    log_data = match.groupdict()
    print(log_data)

Bu örnekte, bir web sunucusunun günlük kaydından IP adresi, zaman damgası, istek türü, durumu ve veri boyutu ayrıştırılmıştır.

Veri Kalitesi ve Doğrulama (Validation)

Logların SIEM'e akması ve ayrıştırılması, verinin kalitesini kontrol etmeyi gerektirir. Eksik veya hatalı veriler, yanlış analiz ve yorumlar yapmaya neden olabilir. Veri kalitesinin sağlanması için şu unsurlar kontrol edilmelidir:

  1. Zaman Doğruluğu: Logdaki zaman damgasının SIEM saati ile uyumlu olup olmadığının kontrolü.
  2. Alan Tamlığı: Kritik alanların (Kaynak IP, Hedef Port vb.) her logda eksiksiz bir şekilde yer alması.

Bu kontroller, doğrulama aşamasında gerçekleştirilmelidir.

Alarm Geliştirme ve İyileştirme (Tuning)

Yeni bir log kaynağı eklendiğinde, mevcut korelasyon kuralları ile binlerce asılsız alarm üretilmesi söz konusu olabilir. Tuning aşaması, kuralların o kaynağa özel olarak optimize edilmesini sağlar. Bu süreçte, gereksiz alarmları ayıklamak ve sistemin etkinliğini artırmak amacıyla kuralların gözden geçirilmesi ve yeniden yapılandırılması esastır.

Belgeleme ve Operasyona Geçiş

Son aşama olarak, tüm süreçlerin belgelenmesi gereklidir. Bu belge, SOC (Security Operations Center) ekibine "Bu kaynak artık izlenebilir" mesajını iletecektir. Belgeleme, sürecin kalitesini artırmakla kalmaz, aynı zamanda gelecekteki referanslar için değerli bilgi sağlayacaktır.

Bu yöntemlerle log kaynaklarını etkin bir şekilde devreye almak, siber güvenlik yönetimi için kritik bir aşama olup, sürekli olarak gözden geçirilmesi ve iyileştirilmesi gereken bir süreçtir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında log kaynaklarının devreye alınması yalnızca bir sistemin çalışmasını sağlamakla kalmayıp, aynı zamanda risk değerlendirme ve savunma stratejilerinin başlıca unsuru olarak karşımıza çıkmaktadır. Logların doğru bir şekilde toplanması, işlenmesi ve analiz edilmesi, güvenlik tehditlerinin zamanında tespit edilmesi ve etkili yanıt mekanizmalarının geliştirilmesi açısından kritik öneme sahiptir. Bu bölümde, logların yorumlanmasında karşılaşılan riskler, zafiyet durumlarının etkileri, sızan veriler ve uygulama örnekleri üzerinde durulacaktır.

Elde Edilen Bulguların Yorumlanması

Log analizinin temel amacı, ağdaki olağanüstü aktiviteleri tespit etmenin yanı sıra, potansiyel riskleri belirlemektir. Her bir log kaynağı, önemli güvenlik bilgilerini barındırır ve bu bilgiler, doğru bir şekilde yorumlandığında güçlü savunma mekanizmaları inşa edilmesine olanak tanır. Örneğin, bir web sunucusundan alınan loglar, sistemin tehditlere karşı ne kadar savunmasız olduğunu gösterebilir.

Bir örnek vermek gerekirse, aşağıdaki log kaydı bağlantı hatalarını ve saldırı girişimlerini gösterebilir:

2023-10-15 14:32:01 ERROR [DataLoss] Failed login attempt from IP: 192.168.1.100, User: admin

Burada, belirtilen IP adresinin izinsiz giriş yapmaya çalıştığı ve bu durumun dikkatle izlenmesi gerektiği anlaşılmaktadır. Logları yorumlamak, yalnızca hataları veya sorunları tespit etmekle kalmayıp, aynı zamanda ağın genel sağlık durumunu da değerlendirmeye yardımcı olur.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar siber güvenlik sistemleri için ciddi bir tehdit oluşturur. Log kaynaklarının doğru bir şekilde yönetilmemesi, verilerin kaybına, zafiyetlerin artmasına ve dolayısıyla güvenlik ihlallerinin gerçekleşmesine neden olabilir. Örneğin, bir sunucu üzerinde yapılacak basit bir yanlış yapılandırma, verilerin doğru bir şekilde akışını engelleyebilir ve bu da hiç beklenmedik bir siber saldırının başarılı olmasına neden olabilir.

Yanlış yapılandırılmış bir firewall örneği ele alınabilir:

ALLOW ALL from 0.0.0.0/0 to ANY Port

Yukarıdaki yapılandırma, firewall'un tüm trafiği kabul etmesine neden olarak potansiyel saldırılara kapı aralar. Bu nedenle, yapılandırmanın düzenli olarak gözden geçirilmesi ve test edilmesi gerekir.

Sızan Veri, Topoloji ve Servis Tespiti

Log analizi aynı zamanda sızan verilerin belirlenmesi ve ağ topolojisinin anlaşılması açısından da önemlidir. Sızan veriler, dışarıya aktarım yapıldığında, çeşitli tehditlerin hali hazırda sistemde var olduğunu gösterir. Log analizi sayesinde, ağ topolojisindeki değişiklikler kolayca tespit edilebilir, bu da hangi hizmetlerin izlenmesi gerektiğini belirtir. Örnek olarak, bir ağda beklenmedik bir veri akışı algılandığında, log verileri üzerinden ilgili hizmetlerin analiz edilmesi ve risk değerlendirmesinin yapılması faydalı olacaktır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik alanında, riskleri minimize etmek için çeşitli profesyonel önlemler uygulamak gereklidir. Log yönetiminde, izlenen kayıtların bütünlüğü ve doğruluğu sağlanmalı, ayrıca kritik alanların her logda yeterince tanımlandığına emin olunmalıdır.

  1. Log Kaynağı Doğrulaması: Gelen logların gerçekten hedeflenen cihazlardan geldiğini doğrulamak için IP/Hostname bazlı analiz yapılmalıdır.
  2. Zaman Doğruluğu: Tüm loglardaki zaman damgalarının standart zaman dilimiyle uyumlu olup olmadığını kontrol edilmelidir.
  3. Alarm İyileştirme (Tuning): Mevcut log kaynakları için alarm sistemleri optimize edilerek gereksiz alarmların önüne geçilmelidir.
  4. Sağlık İzleme (Health Check): Cihaz bağlantılarının kesintisiz izlenmesi için gerekli alarm sistemleri kurulmalıdır.

Sonuç

Log kaynaklarının etkin bir şekilde devreye alınması, güvenlik stratejilerinin ve savunma önlemlerinin temel bir parçasıdır. Elde edilen verilerin doğru bir şekilde yorumlanması, yanlış yapılandırmaların etkileri, sızan verilerin tespiti ve profesyonel önlemler, etkili bir siber güvenlik yönetimi için gereklidir. Belirtilen prosedürlerin eksiksiz uygulanması, sistemlerin güvenliğini sağlamanın yanı sıra, siber saldırılara karşı dayanıklılığı artırmaktadır.