CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Sentinel ile Tehdit Avcılığı ve Gelişmiş KQL Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Sentinel ile tehdit avcılığı ve KQL hakkında derinlemesine bilgi edinin. Eğitim sayesinde siber güvenlik yetkinliklerinizi artırın.

Microsoft Sentinel ile Tehdit Avcılığı ve Gelişmiş KQL Eğitimi

Microsoft Sentinel platformu üzerinde tehdit avcılığı ve KQL (Kusto Query Language) kullanımı hakkında detaylı bilgiler edinin. Eğitimin içeriğiyle, siber güvenlik yetkinliklerinizi geliştirme fırsatını kaçırmayın.

Giriş ve Konumlandırma

Microsoft Sentinel ve Tehdit Avcılığı

Siber güvenlik ortamında, saldırganların sistemlerdeki varlıklarını gizli tutma yetenekleri giderek artmaktadır. Bu bağlamda, Microsoft Sentinel gibi modern güvenlik bilgi ve olay yönetimi (SIEM) sistemleri, tehdit avcılığı (threat hunting) sürecine önemli bir katkı sağlamaktadır. Tehdit avcılığı, mevcut güvenlik sistemleri tarafından henüz tespit edilmemiş olabilecek saldırganların proaktif bir şekilde aranmasını ifade eder. Bu süreç, güvenlik analistlerinin ağı daha derinlemesine inceleyerek, anormallikleri tespit etme ve çözüme yönelik adımlar atma yeteneğini geliştirir.

Neden Tehdit Avcılığı Önemlidir?

Siber tehditler, giderek daha karmaşık ve sofistike hale gelmektedir. Geleneksel güvenlik yöntemleri genellikle saldırıları önceden tespit etmekte zayıf kalırken, tehdit avcılığı analistlerin, saldırı vektörlerine ve tekniklerine dair bir hipotez oluşturarak, ham veriler içinde şüpheli izler aramasını sağlar. Bu bağlamda, tehdit avcılığı, yalnızca mevcut tehditleri tespit etmekle kalmaz, aynı zamanda gelecekteki saldırılara karşı hazırlıklı olma konusunda organizasyonlara büyük bir avantaj sunar.

Saldırganlar genellikle ağınızda gizlenmeyi başarır; bu nedenle, yalnızca otomatik sistem uyarılarına güvenmek yeterli değildir. Etkili bir tehdit avcılığı süreci ile analistler, potansiyel gizli tehditleri keşfedebilir, inceleyebilir ve gerektiğinde müdahale edebilirler. İşte bu noktada Microsoft Sentinel, kullanıcıların hem güvenlik durumunu anlamalarına yardımcı olur hem de mahsur kalmış ya da görünür olmayan saldırı kalıplarını belirlemelerine olanak tanır.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Pentest (penetre etme testi) ile tehdit avcılığı arasındaki ilişki, kurumların siber güvenlik savunmalarını optimize etme çabalarında önemli bir rol oynamaktadır. Pentest, sistemlerin zayıf noktalarını bulmak için yürütülen kontrollü saldırılardır; bu süreç, kuruluştan bağımsız olarak bir grup güvenlik uzmanı tarafından gerçekleştirilir. Bu süre zarfında elde edilen veriler, daha sonra tehdit avcılığı faaliyetleri için kullanılabilecek kritik ipuçları sunar. Tehdit avcıları, pentest sırasında elde ettiği sonuçları kullanarak, güvenliğin güçlendirilmesi gereken alanları tespit edebilirler.

Microsoft Sentinel, bu tür analizleri gerçekleştirmek için gerekli olan altyapıyı sağlar. Analistler, sistemdeki anormal aktiviteleri izlemek için KQL (Kusto Query Language) kullanarak sorgulama yapabilirler. Oluşturulan veriler, tehdit avcılığı faaliyetlerinde kaynak olarak kullanılabilir. Sonuç olarak, tehdit avcılığı, etkili bir siber güvenlik stratejisinin ayrılmaz bir parçası haline gelir.

Teknik İçeriğe Hazırlık

Bu blog yazısı, Microsoft Sentinel ile tehdit avcılığı ve KQL üzerinde yoğunlaşacaktır. Okuyuculara, bu araçların nasıl kullanılacağına dair derin bir anlayış kazandırarak, hem tehdit avcılığı becerilerini geliştirecek hem de güvenlik analistlerinin KQL kullanarak güvenlik verilerini nasıl işleyeceklerini öğretecektir. İlave olarak, Sentinel'in sunduğu özelliklerden olan izleme listeleri ve canlı akış (livestream) gibi öğeler, siber güvenlik stratejilerinizi güçlendirmek için hangi yolları sunabileceğini keşfetmemize olanak tanıyacaktır.

Microsoft Sentinel ve KQL ile tehdit avcılığına dair derin bir bilgi edinmek, mevcut savunma mekanizmalarınızı güçlendirmek için kritik öneme sahiptir. Bu bilgi, siber güvenlikte rekabet avantajı sağlayarak, organizasyonların tehditlere karşı daha dirençli hale gelmesine yardımcı olacaktır. Hedefimiz, okuyucuları bu teknik içerik ile donatarak, siber güvenlik alanındaki bilgi ve becerilerini artırmak ve siber güvenlik konusundaki farkındalıklarını artırmaktır.

Teknik Analiz ve Uygulama

Tehdit Avcılığı Nedir?

Tehdit avcılığı (Threat Hunting), mevcut güvenlik sistemlerinin henüz alarm üretmediği, ancak ağda saklanmış olabilecek saldırganları proaktif bir şekilde arama sürecidir. Bu süreç, yazılımcı ve siber güvenlik profesyonellerinin, sistemlerdeki anormal davranışları veya potansiyel tehditleri tanımlamak için ham verileri analiz etmeleri ile gerçekleştirilir. Tehdit avcılığı, reaktif yaklaşımın aksine; saldırıları önceden tespit etme yeteneği sunar.

Hunting vs Alerting

Tehdit avcılığı, iki temel tespit yaklaşımını birbirinden ayırmak için önemlidir: "Alerting" yani reaktif tespit ve "Hunting" yani proaktif tespit. Reaktif tespit, önceden tanımlanmış kuralların tetiklenmesiyle oluşan uyarılarla (Analytics Rules) çalışırken; proaktif tespit, analistin bir hipotez kurarak veri setleri içinde şüpheli izler aramasını içerir. Çalışma mantığında, analist önce bir hipotez (örneğin, belirli bir kullanıcı hesabının şüpheli aktivitelerde bulunma olasılığı) oluşturur ve ardından bu hipoteze dayalı olarak verileri tarar.

KQL: Boru Hattı Yapısı

KQL (Kusto Query Language), Microsoft Sentinel’de kullanılan sorgulama dilidir. KQL’de veriler, boru hattı karakteri (|) ile birbirine bağlanır ve her adımda sonuçlar filtrelenerek işlenir. Örneğin, AAD (Azure Active Directory) oturum açma loglarını incelemek için aşağıdaki gibi bir sorgu yazabilirsiniz:

SigninLogs
| where TimeGenerated >= ago(7d)
| summarize count() by UserPrincipalName
| order by count_ desc

Bu sorguda, son 7 günde oturum açma kayıtları sorgulanmakta; sonuç, kullanıcı başına oturum açma sayısını gösteren bir özetleme işlemi yapmaktadır.

Sentinel İzleme Listeleri (Watchlists)

Sentinel üzerindeki izleme listeleri, yüksek riskli kullanıcılar, kritik sunucular veya bilinen zararlı IP adresleri gibi bilgileri içeren listelerdir. Bu listeler, KQL sorgularında kullanılmak üzere Sentinel’e yüklenir. İzleme listelerinin kullanımı, belirli tehditleri tespit ederken analiz sürecini hızlandırır.

let watchlist = externaldata(UserIP: string)
['https://watchlist.sample.url']
with(format='csv');
SigninLogs
| join kind=inner (watchlist) on $left.UserIPAddress == $right.UserIP
| project UserPrincipalName, TimeGenerated

Yukarıdaki örnekte, watchlist’ten gelen zararlı IP adresleri ile oturum açma logları birleştirilmektedir.

KQL Operatörleri

Gelişmiş KQL sorgularında kullanılan operatörler, verilerin analizi ve filtrelenmesi için kritik öneme sahiptir. Bazı önemli KQL operatörleri şunlardır:

  • join: İki farklı tabloyu ortak bir sütun ile birleştirir.
  • union: Birden fazla tablodaki verileri tek bir sonuç setinde birleştirir.
  • summarize: Verileri belirli bir kritere göre özetler.

Örneğin, farklı tablolardaki belirtilen verilerin birleştirilmesi şu şekilde yapılabilir:

SigninLogs
| join kind=inner (AuditLogs) on $left.UserPrincipalName == $right.TargetUser
| project TimeGenerated, UserPrincipalName, OperationName

Zaman Serisi Analizi

Zaman serisi analizi, belirli bir zaman dilimindeki aktivite sayısını gruplamak ve anormallikleri görselleştirmek için kullanılır. Bunun için summarize ve bin fonksiyonları sıkça kullanılır.

SigninLogs
| where TimeGenerated >= ago(30d)
| summarize count() by bin(TimeGenerated, 1d)
| render timechart

Bu sorgu, oturum açma sayısını günlük bazda gruplar ve zaman grafiği olarak görselleştirir.

Sentinel Livestream

Sentinel Livestream, belirli bir KQL sorgusuna uyan verilerin anlık olarak izlenmesini sağlar. Analistler, buldukları şüpheli log satırlarını "bookmark" olarak kaydedebilir ve bunlara incelemeler ekleyerek olaylarla ilişkilendirebilir.

Gelişmiş Bilgi Modeli (ASIM) Parsers

ASIM, siber güvenlik veri kaynaklarının normalizasyonunu sağlayarak süreçlerin daha verimli yönetilmesini mümkün kılar. KQL tabanlı parser’lar, ham logları ASIM şemasına dönüştürerek, farklı kaynaklardan gelen verilerin ortak bir yapı içinde ele alınmasını sağlar.

Tehdit Avcılığı Yer İmleri

Hunting Bookmarks, avcılık sırasında bulunan kanıtları saklamanın yanı sıra, gelecekteki analizlerde kolay erişim sağlar. Analistler, belirli log satırlarına referans vererek geçmişteki incelemelerle bağlantı kurabilir.

Microsoft Sentinel İçerik Hub

Son olarak, Microsoft Sentinel Content Hub, farklı güvenlik ürünleri için hazır konnektörler, KQL sorguları ve çalışma kitapları (workbooks) indirilmesini kolaylaştıran bir alan olarak öne çıkmaktadır. Bu hub, analistlerin kapasitelerini artırırken, siber güvenlik ekipleri için zaman tasarrufu sağlar.

Bütün bu öğelerin bir araya getirilmesi, tehdit avcılığında etkili sonuçların elde edilmesine olanak tanır ve siber güvenlik alanındaki profesyonellerin bilgi birikimlerini artırır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Microsoft Sentinel, siber güvenlik tehditlerini avlamak için güçlü bir araçtır. Tehdit avcılığı, reaktif alerting (uyarı) sistemlerinin ötesine geçerek, analistlerin proaktif bir şekilde tehditleri tespit etmesine olanak tanır. Ancak bu süreç, her bulgunun güvenlik açısından doğru değerlendirilmesi ve yorumlanmasını gerektirir. Bu bölümde, elde edilen bulguların nasıl güvenlik açısından değerlendirileceği, olası yanlış yapılandırmaların ve zafiyetlerin etkileri, sızan verinin durumu, topoloji ve hizmet tespiti gibi sonuçlar ile profesyonel önlemler ve hardening önerileri ele alınacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Tehdit avcılığı sırasında elde edilen veriler, siber ağ üzerinde potansiyel tehditleri ortaya çıkarabilir. Örneğin, log analizleri ile anormal bir kullanıcı davranışı tespit edildiğinde, bu durum kötü niyetli bir girişimi işaret edebilir. Aşağıda bu tür bir durumun KQL (Kusto Query Language) ile nasıl elde edilebileceğine dair örnek bir sorgu bulunuyor:

SigninLogs
| where ResultType != "0"  // Başarısız girişimler
| summarize Count = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| order by Count desc

Bu sorgu, başarısız girişimlerin sayısını kullanıcı başına saatlik bir zaman diliminde toplar ve en çok sorumlu olan kullanıcıları belirler. Böyle bir durum, bir kullanıcı hesabının ele geçirilmeye çalışıldığını gösterebilir ve daha derinlemesine bir inceleme yapılması gerekli olabilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, sistemlerin güvenliğini ciddi şekilde tehlikeye atabilir. Örneğin, bir firewall kuralları yanlış yapılandırıldığında, dışarıdan gelen saldırılar için kapı aralanmış olur. Aynı zamanda, yetkilendirilmemiş erişim yetkilerine sahip kullanıcılar da iç tehdit oluşturabilir. Aşağıda, potansiyel bir yanlış yapılandırmayı tespit etmek için kullanılabilecek bir KQL sorgusu örneği görebilirsiniz:

AzureActivity
| where OperationName == "Microsoft.Network/Networks/Write"
| where ActivityStatus == "Succeeded"
| project TimeGenerated, Caller, ResourceGroup, ResourceId

Bu sorgu, başarılı bir şekilde ağ yapılandırmalarında değişiklik yapan kullanıcıları listeler. Böyle bir veri, özellikle kritik ağ bileşenlerine erişim izni verilip verilmediğini dikkatli bir şekilde incelemeyi gerektirir.

Sızan Veri ve Topoloji Tespiti

Sızan verilerin tespiti, bir güvenlik olayının ciddiyetinin belirlenmesinde önemli bir aşamadır. Örneğin, kullanıcı erişim logları, sızan bilgilerin hangi kullanıcılar tarafından kullanıldığını ve nereden erişildiğini rahatlıkla gösterir. Potansiyel veri sızıntılarını tespit etmek için şu sorgu kullanılabilir:

AuditLogs
| where OperationName == "UserLoggedIn"
| join kind=inner (SigninLogs) on UserPrincipalName
| project TimeGenerated, UserPrincipalName, IPAddress, Location

Bu sorgu, kullanıcıların nereden giriş yaptığını ve hangi IP adreslerinin kullanıldığını tespit eder. Elde edilen veriler, saldırının kaynağı hakkında fikir verir ve önleyici tedbirler almak için yönlendirme sağlar.

Profesyonel Önlemler ve Hardening Önerileri

Tehditlerin ve zafiyetlerin azaltılması, siber güvenlik stratejisinin temelini oluşturur. Aşağıda bazı profesyonel öneriler bulunmaktadır:

  1. Güçlü Parola Politikaları: Kullanıcı parolaları belirli periyotlarla değiştirilmelidir.

  2. Çok Faktörlü Kimlik Doğrulama (MFA): Kullanıcı hesaplarının güvenliğini artırmak için MFA uygulanmalıdır.

  3. Yayıncıya Bağımlı Olmayan Log Yönetimi: Tüm loglar, merkezi bir log yönetim sistemi üzerinde takip edilmelidir.

  4. Güncellemeler ve Yamanlar: Sistem yazılımları düzenli olarak güncellenmeli ve bilinen zafiyetler patch edilmelidir.

  5. Düzenli Güvenlik Tarama: Ağ üzerinde düzenli olarak sızma testleri ve güvenlik taramaları yapılmalıdır.

Sonuç Özeti

Microsoft Sentinel ile gerçekleştirilen tehdit avcılığı süreci, siber güvenlik risklerini proaktif olarak değerlendirmeyi ve güvenliğin sürdürülmesini amaçlar. Elde edilen bulgular, doğru yorumlandığında ağ üzerindeki potansiyel tehditleri ortaya çıkarabilir ve güvenlik açıklarının tespit edilmesine yardımcı olabilir. Yanlış yapılandırmalar ve sızan veriler gibi unsurlar, derinlemesine analiz ve profesyonel önlemler gerektirir. Güvenlik süreçlerinin sürekli optimize edilmesi, siber tehditle mücadelede önemli bir rol oynar.