CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Log Korelasyonu ile Olay Zaman Çizelgesi Oluşturma

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Log korelasyonu ile olayların zaman çizelgesini nasıl oluşturabileceğinizi keşfedin. Siber güvenlikte başarılı bir izleme için kritik bir yöntem!

Log Korelasyonu ile Olay Zaman Çizelgesi Oluşturma

Log korelasyonu, siber güvenlik alanında olayların zaman çizelgesini yeniden oluşturmak için kullanılan kritik bir yöntemdir. Bu yazıda temel log kaynakları ve timeline reconstruction süreçlerini öğreneceksiniz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, olayların doğru bir şekilde analiz edilmesi ve yeniden yapılandırılması, etkili bir savunma stratejisinin temel taşlarından biridir. Log korelasyonu, farklı sistemler, güvenlik araçları ve uygulama loglarının ilişkilendirilerek olay akışının yeniden oluşturulmasını sağlamak için kritik bir yöntemdir. Bu süreç, bir saldırı anındaki olayların tam bir zaman çizelgesini oluşturarak, olayların neden ve nasıl gerçekleştiği konusunda daha derin bir anlayış kazandırır.

Log Korelasyonu Nedir?

Log korelasyonu, çok sayıda log kaynağının entegrasyonunu içerir. Farklı güvenlik araçlarından, sistemlerden ve uygulamalardan elde edilen logların bir araya getirilmesiyle, olayların daha önce göz ardı edilmiş bağlantıları açığa çıkarılabilir. Bu sayede, güvenlik analistleri herhangi bir siber saldırıyı daha etkili bir şekilde analiz edebilir ve önleyici tedbirler geliştirebilir.

Önemli Log Kaynakları

Korelasyon için belirli log kaynaklarının doğru bir şekilde belirlenmesi gerekmektedir. Örneğin, Sysmon logları, olayların detaylı bir dökümünü sağlarken; güvenlik logları, kimlik doğrulama olaylarını ve yetkilendirme ile ilgili bilgileri içerir. Proxy logları ise web trafik geçmişini detaylı bir biçimde sunabilmektedir. Bu çeşitlilik, veri analizinde zenginlik yaratmakta ve sonuçların doğruluğunu artırmaktadır.

# Sysmon log örneği
<RuleGroup name="Network Activity" groupRelation="or">
  <NetworkConnect
    <Image condition="contains">powershell.exe</Image>
    <DestinationPort condition="is">443</DestinationPort>
  </NetworkConnect>
</RuleGroup>

Neden Önemlidir?

Log korelasyonu, siber tehditlerin tespit edilmesi ve analizi açısından son derece önemlidir. Gelişmiş saldırı teknikleri, çoğu zaman birçok log kaynağı üzerinde iz bırakmakta ve bu izlerin bir araya getirilmesi, saldırının tam kapsamını anlayabilmek için gereklidir. Örneğin, bir saldırganın kullandığı yöntemlerin ve araçların belirlenmesi, tüm log kaynaklarının korelasyonu ile mümkün hale gelir. Bu bağlamda, saldırı zincirinin aydınlatılması, güvenlik analistlerine olayların zamanlaması, kaynakları ve etkilenen sistemler hakkında değerli bilgiler sunmaktadır.

Olay Zaman Çizelgesi Oluşturma

Log korelasyonunun en büyük avantajlarından biri, olay zaman çizelgesinin oluşturulmasıdır. Bir zaman çizelgesi, bir olayın başlangıcı, gelişimi ve sonuçları arasındaki tüm ilişkileri gösterebilir. Bu tür grafiksel temsil, analistlerin olayların zamanlamasını değerlendirmesine ve daha iyi bir savunma stratejisi belirlemesine olanak tanır.

Olay Zaman Çizelgesi:
1. İlk Erişim - 12:00
2. Yetkisiz Eylem - 12:01
3. Veri Akışı - 12:05
4. Alarm Durumu - 12:06

Siber Güvenlik ve Pentesting Bağlamı

Siber güvenlik alanında log korelasyonu, penetrasyon testleri (pentesting) sonucunda elde edilen verilerin analizinde de büyük rol oynamaktadır. Pentestler sırasında, savunma mekanizmalarının ne kadar etkili olduğunun belirlenmesi için logların analizi yapılır. Burada, her bir log kaynağının rolü ve önemi, pentest sonuçlarının güvenilirliğini artırır. Örneğin, bir saldırının başarılı olmasının ardındaki nedenlerin araştırılması sırasında, sistem logları ile güvenlik loglarının korele edilmesi son derece faydalı olabilir.

Kapsamlı Olay Analizi

Gelişmiş siber güvenlik çözümleri, log korelasyonu ve zaman çizelgesi oluşturma yöntemlerini kullanarak, daha doğru olay analizleri yapabilir. Bu da, saldırıların daha hızlı tespit edilmesini ve karşı önlemlerin uygulanmasını sağlar.

Sonuç olarak, log korelasyonu ve olay zaman çizelgesi oluşturma teknikleri, günümüzün dinamik siber güvenlik ortamında kritik öneme sahiptir. Güvenlik analistleri, bu yöntemleri kullanarak daha iyi kararlar verebilir ve olaylara daha etkili müdahale edebilirler. Bu yazının devamında, log korelasyonu sürecinin teknik detaylarını ele alacağız ve zaman çizelgesi oluşturma sürecinin nasıl uygulanacağını inceleyeceğiz.

Teknik Analiz ve Uygulama

Log Korelasyonu ve Olay Zaman Çizelgesi Oluşturma

Siber güvenlik alanında olayların analizi ve yeniden yapılandırılması, saldırıların tespit edilmesi ve önlenmesi açısından kritik bir işlemdir. Olay zaman çizelgesi oluşturma (timeline reconstruction), log korelasyonu kullanılarak bir olayın gelişimini anlamaya yardımcı olur. Bu bölümde, log korelasyonunun teknik yönlerini, temel log kaynaklarını ve bu kaynaklar arasındaki ilişkileri açıklayarak olay zaman çizelgesi oluşturma sürecini derinlemesine inceleyeceğiz.

Log Korelasyonu Tanımı

Log korelasyonu, farklı güvenlik logları ve sistem loglarının bir arada analiz edilerek olayların bağlam içinde yeniden yapılandırılmasını ifade eder. Bu süreç, log bilgilerini bir araya getirerek saldırı akışını net bir şekilde görselleştirmeyi amaçlar. Log korelasyonu yaparken, logların zaman damgaları (timestamps), kullanıcı aktiviteleri ve olayların ilişkileri göz önünde bulundurulur.

Temel Log Kaynakları

Olay zaman çizelgesi oluşturmak için genellikle aşağıdaki log kaynakları kullanılır:

  • Sysmon Logları: Süreç ve ağ davranışlarını takip eder.
  • Güvenlik Logları: Kimlik doğrulama olayları ve yetkilendirme denemeleri gibi bilgiler sağlar.
  • Proxy Logları: Web trafiği geçmişini içerir, bu sayede hangi sitelere erişim olduğu analiz edilebilir.
  • EDR (Endpoint Detection and Response) Logları: Son noktadaki tehditleri ve davranışları izler.
  • Registry Logları: Sistem registrindeki değişiklikleri kaydeder.

Bu log kaynakları, olayların tamamen anlaşılması için farklı bakış açıları sunarak daha sağlam bir analiz yapmamıza olanak sağlar.

Timeline Analiz Süreci

Olay zaman çizelgesi analizi, toplanan log kaynakları arasında korelasyon sağlamak için çeşitli adımlar içerir. Öncelikle, farklı kaynaklardan elde edilen loglar bir araya getirilir ve aşağıdaki gibi bir yapıda analiz edilir:

  • Logların Toplanması: Her bir log kaynağı kendi formatında toplanır.
  • Zaman Damgalarının Eşleştirilmesi: Log kayıtlarının zaman damgaları arasındaki uyum, olayların sıralaması açısından hayati öneme sahiptir.
  • İlişkilendirmenin Yapılması: Kullanıcı aktiviteleri, belirli bir olayla ilişkilendirildiğinde, loglar arasında bağ kurulması sağlanır.
# Örnek bir Python kodu ile log verilerinin zaman damgaları üzerinden analiz edilmesi
import pandas as pd

# Log dosyasını yükle
logs_sysmon = pd.read_csv('sysmon_logs.csv')
logs_security = pd.read_csv('security_logs.csv')

# Zaman damgalarını dönüştür
logs_sysmon['timestamp'] = pd.to_datetime(logs_sysmon['timestamp'])
logs_security['timestamp'] = pd.to_datetime(logs_security['timestamp'])

# Korelasyon için logları birleştir
merged_logs = pd.merge_asof(logs_sysmon.sort_values('timestamp'), 
                             logs_security.sort_values('timestamp'), 
                             on='timestamp', 
                             direction='nearest')

# Sonuçları kontrol et
print(merged_logs)

Bu örnek, Sysmon ve güvenlik logları arasında zaman damgaları üzerinden birleştirme sağlar. Bu şekilde, olayların meydana geldiği zaman dilimlerini daha iyi görebiliriz.

Timeline Reconstruction Avantajları

Log korelasyonu ile oluşturulan olay zaman çizelgeleri, saldırıların hızlı bir şekilde tespit edilmesine ve yanıt verilmesine yardımcı olur. Aşağıdaki avantajlara sahiptir:

  • Saldırı Akışının Görünürlüğü: Loglar arasındaki bağlar, saldırıların her aşamasını izlemeyi sağlar.
  • Daha Doğru Olay Analizi: Farklı kaynaklardan elde edilen bilgiler, olayların daha doğru bir şekilde analiz edilmesine ortam hazırlar.
  • Gelişmiş Tehdit Avcılığı (Threat Hunting): Saldırgan davranışlarının proaktif bir şekilde izlenebilmesine olanak tanır.

Unified Timeline ve Korelasyon Riskleri

Birleşik zaman çizelgesi (unified timeline), çoklu log kaynakları üzerinde oluşturulan bir zaman çizelgesidir. Bu yapı, çeşitli logların entegre edilmesiyle bir bütün olarak olayları gösterir. Ancak bu süreçte bazı riskler de söz konusu olabilir:

  • Zaman Uyuşmazlığı (Time Drift): Farklı cihazların saat ayarlarının tutarsızlığı, logların çakışmasına neden olabilir.
  • Eksik Loglar (Missing Logs): Önemli verilerin kaybolması, olayın tam olarak yapılandırılmasını engelleyebilir.
  • Yanlış Korelasyonlar (False Correlation): Yanlış verilerin birleştirilmesi, hatalı sonuçlara yol açabilir.

SOC L2 Timeline Reconstruction Operasyonu

SOC (Siber Operasyon Merkezi) analistleri, log korelasyonu kullanarak eksiksiz bir saldırı zaman çizelgesi oluşturmaktadır. Bu analiz, olayların bağlamını anlamaya ve potansiyel gizli tehditleri belirlemeye yardımcı olur. SOC L2 çalışmalarında, log korelasyonu süreci, farklı log kaynaklarının sistematik bir şekilde analiz edilmesi ve bu verilerin uygun araçlarla bir araya getirilmesini gerektirir.

Sonuç olarak, log korelasyonu ve olay zaman çizelgesi oluşturma, siber güvenlik alanında kritik bir rol oynamaktadır. Farklı log kaynaklarının birleşimiyle sağlanan bu süreç, olayların daha iyi analiz edilmesine ve ileride oluşabilecek saldırıların önlenmesine katkı sağlamaktadır.

Risk, Yorumlama ve Savunma

Riskler

Log korelasyonu süreci, güvenlik olaylarının daha iyi anlaşılmasını sağlarken, beraberinde bazı riskler de getirir. Bu risklerin başında, yanlış yapılandırma veya hatalı veri analizi gelmektedir. Özellikle karmaşık sistemlerde, logların düzgün bir şekilde yapılandırılmamış olması, eksik verilerin gözden kaçmasına ve sonuç olarak yanıltıcı değerlendirmelere yol açabilir. Örneğin, bir güvenlik olayında Sysmon logları eksikse, olayın doğru bir şekilde analiz edilmesi mümkün olmayacaktır. Bu durum, saldırganların tespit edilmeden ağda hareket etmelerini kolaylaştırır.

Yanlış Yorumlama

Log analizinde sık karşılaşılan bir diğer risk, yanlış ilişkilendirme (false correlation) durumudur. Verilerin birbirleriyle yanlış eşleştirilmesi, bir olayın gerçekleşmediği veya daha az önemli olduğu izlenimini verebilir. Örneğin, bir firewall logu belirli bir IP adresini engelliyor olabilir. Ancak, ilgili loglar başka bir kaynak tarafından yanlış yorumlanırsa, bu durum saldırının gözden kaçmasına neden olabilir. Dolayısıyla, log verilerinin dikkatli bir şekilde incelenmesi ve yorumlanması kritik bir gerekliliktir.

Örnek: Sysmon ve Firewall Loglarının Korelasyonu
- Sysmon logunda bir process oluşturma olayı tespit edildi.
- Firewall logu, aynı IP'den gelen bağlantıları engelledi.
- Eğer bu iki veri birbiriyle doğru şekilde ilişkilendirilmezse, saldırı öncesi hazırlıkları gözden kaçırılabilir.

Yorumlama

Log korelasyonu yaparken elde edilen verilerin güvenlik anlamı, olayların zaman akışındaki yerini anlamaktan geçer. Yüksek risk alanlarının belirlenmesi, sistemin zayıf noktalarının tespit edilmesi ve olası saldırı vektörlerinin ortaya konması için analistler, logları titizlikle incelemelidir. Tespit edilen zafiyetler ya da yanlış yapılandırmalar, bir sistemin güvenliğini doğrudan tehdit edebilir. Örneğin, herkesin erişebileceği bir sistemde bir kimlik doğrulama açığı varsa, bu durum kötü niyetli kullanıcıların sisteme erişim sağlamasına yol açabilir.

Sızan Verilerin Tespiti

Sızan verilerin tespiti, log analizi sürecinin kritik bir kısmıdır. Güvenlik logları, kullanıcı aktiviteleri, kimlik doğrulama olayları ve sistem kayıtları, potansiyel veri sızıntılarının tespitinde önemli rol oynar. Ancak, bu verilerin etkin bir şekilde yorumlanabilmesi için logların birleştirilmesi ve zaman akışının net bir şekilde gözler önüne serilmesi gerekmektedir. Böylece, bir olayın öncesi ve sonrası hakkında kapsamlı bir anlayış oluşturulabilir.

Örnek: Kimlik Doğrulama Olayı
- 10:00: Kullanıcı A, sisteme giriş yaptı.
- 10:05: Kullanıcı A'nın hesabı üzerinde yetkisiz bir aktivite.
- Log korelasyonu ile bu olayların birbirleriyle ilişkilendirilmesi, sızan verinin kaynağını bulmaya yardımcı olur.

Savunma

Elde edilen bulgular doğrultusunda güvenlik önlemleri almak, log korelasyonu sürecinin en önemli adımlarındandır. Kapsamlı bir tehdit avı (threat hunting) stratejisi geliştirmek, potansiyel saldırıları önceden tespit etmekte ve bunlara karşı hazırlıklı olmakta yardımcı olur. Birçok log kaynağını bir araya getirerek birleşik bir zaman çizelgesi oluşturmak, olası zafiyetleri ve yanlış yapılandırmaları belirlemek için kritik öneme sahiptir.

Profesyonel Önlemler ve Hardening Önerileri

  1. Log Yönetimi: Logların düzenli bir şekilde toplanması, analiz edilmesi ve saklanması. Bu süreçlerin otomatize edilmesi önemli bir adımdır.

  2. Zafiyet Tarayıcıları Kullanma: Sistemlerinizdeki potansiyel zafiyetleri düzenli olarak kontrol edin ve gerekli güncellemeleri yapın.

  3. Erişim Kontrolleri: Kullanıcı hesaplarının erişim seviyeleri gözden geçirilmeli; en düşük ayrıcalık ilkesi uygulanmalıdır.

  4. Eğitim ve Bilinçlendirme: Kullanıcıların güvenlik tehditleri konusunda bilinçlendirilmesi, insan faktöründen kaynaklanan riskleri azaltacaktır.

Sonuç

Log korelasyonu, ağ güvenliğindeki olayların doğru bir şekilde analiz edilmesi için kritik bir araçtır. Elde edilen bulguların güvenlik anlamını yorumlayarak, yanlış yapılandırmalar veya zafiyetlerin etkilerini anlayabiliriz. Tespit edilen zayıf noktaların zaman kaybetmeden kapatılması, ilerleyen dönemlerde oluşabilecek saldırılara karşı olası bir savunma mekanizması oluşturur. Sonuç olarak, sistem güvenliğinin artırılması ve potansiyel tehditlerin önceden tespit edilmesi için, hem teknik alt yapı hem de insan kaynağının sürekli eğitilmesi ve güncellenmesi gerekmektedir.