CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Normalizasyon

Lookups ve Referans Tabloları: Siber Güvenliğin Temel Yapıları

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Normalizasyon

Siber güvenlik alanında, Lookups ve referans tablolarının önemi büyüktür. Bu yazıda, bu yapıları ve işlevlerini ele alıyoruz.

Lookups ve Referans Tabloları: Siber Güvenliğin Temel Yapıları

SIEM sistemlerinde Lookups ve referans tabloları kullanarak ham log verilerini nasıl daha anlamlı hale getirebileceğinizi öğrenin. Detaylı bilgi ve ipuçları burada.

Giriş ve Konumlandırma

Siber güvenlik alanında, verilerin doğru bir şekilde analiz edilmesi, hızlı yanıt verilmesi ve tehditlerin etkili bir biçimde yönetilmesi kritik bir öneme sahiptir. Bu bağlamda, Lookups ve referans tabloları, güvenlik süreçlerinin temel yapı taşlarını oluşturur. Güvenlik bilgi ve olay yönetimi (SIEM) sistemleri içinde yer alan bu kavramlar, olay verilerinin daha derin bir anlayış ile analiz edilmesine olanak tanır.

Lookups Nedir?

Lookups, SIEM sistemlerinde kullanılan, bir log'un içeriğini zenginleştirmek için kullanılan verilerdir. Şirket içinde tutulmuş statik listelerden yararlanarak, olay verilerine dair anlam katma işlevini yerine getirirler. Örneğin, bir ağ saldırısını izleme esnasında, belirli bir IP adresinin hangi departmana ait olduğu bilgisini ANINDA sunarak analistlerin hızlı bir karar verme yeteneğini artırır. Aşağıdaki kod örneği, bir log içeriğinin bir Lookup tablosu ile nasıl zenginleştirilebileceğini göstermektedir:

lookup ip_department_lookup src_ip AS ip_address OUTPUT department_name

Bu örnekte, src_ip log'daki kaynak IP adresini temsil ederken, ip_address Join işlemi için kullanılan Lookup tablosundaki alanı ifade eder. Eğer bu alanda bir eşleşme bulunsa, sonuçta ilgili department_name log'a eklenir.

Neden Statik Tablo?

Statik tablolar, belirli bir zaman diliminde sabit kalan verilerdir. Örneğin, bir organizasyonda çalışanların kimlik bilgileri veya departman bilgileri gibi veriler genellikle zamanla değişmez. Bu durum, bu bilgileri kullanılan sistemin düşüş veya yavaşlama yaşamadan hızlı bir şekilde sunabilmesine imkan tanır. Öte yandan, statik verilerle dış kaynaklardan sorgu yaparak bilgi zenginleştirmek, belirli bir süre içinde yavaşlayabilir ve API kotalarına takılabilir.

Performans Avantajları

Referans tablolarının operasyonel hız avantajı, güvenlik uzmanlarının anlık verileri çok daha hızlı bir biçimde analiz edip, zaman kaybı yaşamadan hızlı ve etkin yanıtlar vermesine olanak tanır. İyi yapılandırılmış bir referans tablosu sayesinde saniyede yüz binlerce log, dış kaynaklarla bağlantı kurmadan zenginleştirilebilir.

Temel Lookup Türleri

Güvenlik analistleri birçok farklı referans tablosu türü ile çalışabilirler, bunlar arasında:

  1. Varlık Envanteri (Asset Inventory): Bir IP adresini sunucu adına ve kritiklik seviyesine bağlar.
  2. Kimlik Verisi (Identity/HR Data): Kullanıcı adı bilgilerini (örn: jdoe) gerçek isim ve yönetici bilgisi ile ilişkilendirir.
  3. Statik IoC Listeleri: Siber istihbarat ekipleri tarafından manuel olarak yüklenen yasaklı IP ve zararlı domain listeleridir.

Bu tablolar, analistlerin ağlarındaki “kara delikleri” aydınlatmak için kullanılır, böylece olayların kök nedenlerini daha iyi anlamalarını sağlar.

Eşleştirme Kuralı ve Tablo Formatı

Etkili bir Lookup işlemi için belirli eşleştirme kurallarının uygulanması gereklidir. Örneğin, tablodaki anahtar alan log'daki veri ile tam olarak eşleşmelidir. Bu noktada src_ip değerinin tam bir ip_address ile örtüşmesi, başarılı bir zenginleştirmenin gerçekleşmesi için kritik öneme sahiptir. Bu tür tablolar genellikle basit metin dosyası formatında (CSV) tutulur ve SIEM sistemleri bu formatı standart olarak destekler.

ip_address,department_name
192.168.1.1,IT
192.168.1.2,HR

Yukarıdaki format, IP adreslerini departman isimleri ile ilişkilendiren basit bir referans tablosunu örneklendirmektedir.

Sonuç

Lookups ve referans tabloları, siber güvenlik alanında dolaylı ama güçlü bir etkiye sahiptir. Zaman ve kaynak tasarrufu sağlamakla birlikte, analiz süreçlerini hızlandırarak tehditlerin daha etkin bir şekilde yönetilmesini sağlar. Siber güvenlik uzmanları bu yapıların sağlam bir temel oluşturduğunun bilincinde olarak, sistemlerini bu tablolarla zenginleştirmelidir. Bu, sadece bir gereklilik değil, aynı zamanda günümüzde etkili bir savunma stratejisinin ayrılmaz bir parçasıdır.

Teknik Analiz ve Uygulama

Siber güvenlik alanında veri zenginleştirmesi, ham log verilerinin daha anlamlı hale getirilmesi amacıyla referans tabloları kullanılarak gerçekleştirilmektedir. Bu bağlamda, Lookups ve referans tabloları, güvenlik analistlerinin iş akışlarını optimize etmelerine ve güvenlik durumlarını belirlemelerine olanak tanır. Bu bölümde, referans tablolarının nasıl çalıştığını, hangi formatta olduklarını ve nasıl kullanılmaları gerektiğini inceleyeceğiz.

Şirket İçi Hafıza: Lookups

Lookups, bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sisteminin içinde bulunan ve ham log verilerini anlamlandırmak amacıyla kullanılan statik veya dinamik listelerdir. Örneğin, bir IP adresinin bir departmanla ilişkilendirilmesi gibi işlemler, bu tablolar aracılığıyla hızlı bir şekilde gerçekleştirilebilir.

Yavaş çalışan ve dış kaynaklara bağımlı veri çekme yöntemlerinin aksine, SIEM sistemleri referans tabloları sayesinde logları herhangi bir gecikme olmadan zenginleştirir. Bu durum, hem zaman tasarrufu sağlar hem de daha sağlam veri analizi yapma fırsatı yaratır.

Neden Statik Tablo?

Statik tablolardaki veriler, sistemdeki değişiklikler yapılmadığı sürece sabittir. Bu tablolardaki verilerin güncellenmesi, yalnızca yeni bir dosya yüklendiğinde mümkün olmaktadır. Aşağıda, statik tablo kullanımının önemli avantajlarından bazılarını görebilirsiniz:

  1. Hız: Ham logların zenginleştirilmesi, referans tablosu ile gecikmesiz bir şekilde gerçekleşir. Örneğin, 

    src_ip, departman
192.168.1.1, IT
192.168.1.2, HR

    Yukarıdaki veri seti, SIEM sistemindeki bir логun src_ip alanıyla karşılaştırıldığında, doğrudan ilgili departman bilgisi ile zenginleştirilecektir.

  2. Kolay Yönetim: Statik tablolar, sık kullanılan ve değişmeyen verilere kolay erişim sağlar.

  3. Verimlilik: Dış sistemlerdeki verilere sorgu atmak yerine, kontrol edilebilir bir veri kümesi ile hızlıca işlem yapma imkanı sunar.

Temel Lookup Türleri

Siber güvenlik analistleri, ağlarındaki 'kara delikleri' aydınlatmak için genellikle üç ana referans tablosunu kullanır:

  1. Asset Inventory (Varlık Envanteri): IP adreslerini sunucu adları ve kritiklik seviyeleri ile ilişkilendirir.

  2. Identity/HR Data (Kimlik Verisi): Kullanıcı adlarını gerçek isimlerle eşleştirir.

  3. Statik IoC Listeleri: Siber istihbarat ekiplerinin sisteme manuel olarak yüklediği yasaklı IP veya zararlı domain listelerini barındırır.

Tablo Formatı

Referans tabloları genellikle CSV (Comma-Separated Values) formatında sunulmaktadır. Bu format, verilerin düzenli ve erişilebilir olmasını sağlar. Örneğin, aşağıdaki gibi bir CSV dosyası:

ip_address, department_name
192.0.2.1, Development
203.0.113.0, Marketing

Yukarıdaki dosya, SIEM sistemi tarafından import edildiğinde, ip_address ile cihaza ait olan log verilerini zenginleştirecek şekilde kullanılabilir.

Eşleştirme Kuralı: Key Field

Lookup işleminin başarılı bir şekilde çalışabilmesi için, log verisinin içindeki bir alan ile referans tablosundaki bir sütunun birebir eşleşmesi gerekmektedir. Örneğin, src_ip alanı ile ip_address sütunu tam anlamıyla eşleşmelidir. Aksi takdirde, sistem bağlantı kuramaz ve zenginleştirme işlemi başarısız olur.

Kod örneği ile bu eşleşme durumu şu şekilde olabilir:

Log Veri
---------
src_ip: 192.0.2.1

Lookup Tablosu
---------------
ip_address   | department_name
192.0.2.1    | Development

Yukarıdaki durumda, src_ip ile ip_address eşleştiği için, log verisine department_name eklenerek zenginleştirilir.

Gelişmiş Seviye: Otomasyon

Dinamik tablolarda ise, veriler sürekli güncellenerek işlem sağlar. Örneğin, Active Directory gibi bir kaynak kullanarak kullanıcılara ve varlıklara ait bilgileri anında elde etmek mümkündür. Böylece, analistler güncel verilerle çalışarak daha etkili ve verimli analizler yapabilirler.

Modül Finali

Lookup ve referans tabloları, siber güvenlik uygulamalarında önemli bir yer tutmaktadır. Statik tablolar hızlı zenginleştirme imkanları sunarken, dinamik tablolar güncel bilgilerle poliçelerinizi güçlendirir. Verilerin doğru bir şekilde işlerlik kazanabilmesi için tablo formatları, eşleştirme kuralları ve otomasyon gibi unsurların dikkatlice yönetilmesi gerekmektedir. Bu temel yapılar, siber güvenlik çözümlerinin etkinliğini artıracak ve daha güvenli bir ağ yapısının oluşturulmasına katkıda bulunacaktır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Siber güvenlikte risk değerlendirme, analistlerin sistem içindeki güvenlik zaaflarını belirlemesine ve bunlara yönelik uygun savunma mekanizmalarını geliştirmesine yardımcı olur. Elde edilen bulguların güvenlik anlamı, genellikle sızan veriler, topoloji tespitleri ve servis durum algılamaları sayesinde daha net bir şekilde ortaya konabilir.

Elde Edilen Bulguların Güvenlik Anlamının Yorumlanması

Analistler, sistemlerini koruma altına alabilmek için loglarını sürekli olarak izlerler. Bir ağ trafiği logu, belirli bir IP adresinin hangi departmana ait olduğunu belirlemek için referans tablolarıyla zenginleştirilebilir. Örneğin, bir log kaydında src_ip alanı 192.168.1.10 olarak görünüyorsa ve bu IP'nin hangi departmana ait olduğunu bilmek istiyorsak, öncelikle bu IP’nin departman bilgisi içeren bir lookup tablosu ile ilişkilendirilmesi gerekmektedir:

ip_address, department_name
192.168.1.10, IT
192.168.1.15, HR

Burada src_ip alanının ip_address ile eşleşiyor olması, SIEM araçlarının bu log kaydını anlama ve içindeki bilgiyi zenginleştirme sürecini hızlandırır. Eğer bir eşleşme sağlanamazsa, log kaydının analizi başarısız olur ve potansiyel bir tehdit gözden kaçabilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber güvenlik stratejilerinin etkinliğini azaltan önemli bir faktördür. Örneğin, referans tablolarının oluşturulmasında ve güncellenmesinde meydana gelebilecek bir hata, zararlı aktiviteleri tespit etme kapasitesini düşürebilir. Statik listelerde güncel olmayan verilerin yer alması, analistlerin yanlış bir güven algısı oluşmasına yol açabilir. Zafiyet durumunda, sistem yöneticisi, var olan bir zafiyeti tespit ettiğinde, bu zafiyeti kapatmak için gereken önlemleri almazsa, kötü niyetli kullanıcılar bu durumu fırsata çevirebilir.

Örnek olarak, ağ üzerindeki bir saldırıyı analiz etmek için referans tablolarındaki IP adreslerinin güncelliği gibi bir kriter kullanılabilir. Eğer referans tablosunda yer alan bir IP adresi güncel değilse, bu durum sızan verilerin yanlış yorumlanmasına neden olabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veri analizinde, elde edilen bilgiler kullanılarak sistemin mimarisi ve topolojisi hakkında önemli çıkarımlar yapılabilir. Örneğin, bazı log kayıtlarında belirli bir servise (örneğin, web sunucusu) yapılan yoğun bir istek varsa, bu durum potansiyel bir DDoS saldırısının habercisi olabilir.

Topoloji tespitinde ise, ağın nasıl yapılandırıldığına dair bilgiler elde edilir. Bu, herhangi bir anormalliğin ve güvenlik açığının tespit edilmesine olanak tanır. Örneğin:

  • Asset Inventory (Varlık Envanteri): IP adreslerini sunucu adları ve kritik seviyeleri ile ilişkilendirir.
  • Kimlik/veri tabloları: Kullanıcı adları ile gerçek isimleri eşleştirir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte riskleri azaltmak için çeşitli profesyonel önlemler alınabilir:

  1. Güncel Referans Tabloları Kullanma: Statik listelerin yanı sıra, dinamik lookup tabloları kullanmak, daha güncel ve doğru verilerle güvenliği artırır. Örneğin, Active Directory'den otomatik güncellemeleri ile sağlanan tablolar, sürekli olarak yeni bilgiler sunar.

  2. Otomasyon Araçları Entegre Etme: Otomasyon, belirli güvenlik süreçlerinin hızlandırılmasına ve tekrarlayan işlemlerin minimize edilmesine yardımcı olur. Örneğin, SIEM sistemlerinde kullanılan otomasyon komutları, logların anlık analizini yaparak anormallikleri hızlıca tespit etme olanağı sağlar.

  3. Eğitim ve Farkındalık: Siber güvenlik ekiplerinin eğitim programları ile yetkinliklerini artırmak, güncel tehditler hakkında bilgili olmalarını sağlar.

  4. Güvenlik Duvarları ve İlgili Araçların Konfigürasyonu: Tüm sistem bileşenleri, doğru şekilde yapılandırılmalı ve potansiyel zafiyetler göz önünde bulundurulmalıdır. Firewall kuralları ve IDS/IPS sistemleri de sürekli güncellenmelidir.

Sonuç Özeti

Risk değerlendirme ve savunma süreçleri arasında sağlam bir entegrasyon sağlamak, siber güvenlik stratejilerinin etkinliğini artırır. Elde edilen bulguların doğru bir şekilde yorumlanması, yanlış yapılandırmaların ve zafiyetlerin tespit edilmesine, dolayısıyla sistem güvenliğinin artırılmasına olanak tanır. Önerilen profesyonel önlemler ile siber tehditlere karşı daha dayanıklı bir yapı oluşturulması mümkün hale gelir.