CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Sentinel ile Tehdit İstihbaratı Yönetimi

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Sentinel ile tehdit istihbaratını nasıl yönetebileceğinizi keşfedin. Güvenlik analizlerinizi üst düzeye taşıyın.

Microsoft Sentinel ile Tehdit İstihbaratı Yönetimi

Microsoft Sentinel, siber tehditleri analiz etmenin ve yönetmenin en etkili yollarından birini sunar. Bu blogda, tehdit istihbaratının önemi, göstergeleri ve analistlerin rolü üzerinde duracağız.

Giriş ve Konumlandırma

Siber güvenlik, günümüzün dijital dünyasında en önemli önceliklerden biri haline gelmiştir. Tehditlerin sürekli evrim geçirdiği bir ortamda, kuruluşların bu saldırıları anlamaları, analiz etmeleri ve proaktif bir şekilde yanıt vermeleri kritik öneme sahiptir. Microsoft Sentinel, bu bağlamda tehdit istihbaratı yönetimi için güçlü bir araç olarak öne çıkmaktadır. Microsoft Sentinel, güvenlik bilgisi ve olay yönetimi (SIEM) sürecini destekleyerek, kullanıcılara mevcut tehditleri zamanında tanımlama ve etkili bir şekilde yanıt verme olanağı sunar.

Tehdit İstihbaratı (TI) Nedir?

Tehdit istihbaratı, siber saldırganların kimlikleri, yöntemleri ve kullandıkları altyapılar hakkında toplanan verilerin analiz edilerek savunma amaçlı kullanılmasına olanak tanır. Bu veriler, potansiyel tehditleri anlamada ve kuruluşların güvenlik duruşunu güçlendirmede kritik bir rol oynar. Microsoft Sentinel, bu tür istihbaratları toplamak ve analiz etmek için entegre bir platform sağlar. TI, siber saldırılarla mücadelede daha bilinçli kararlar almak için gereklidir.

Neden Önemlidir?

Modern siber tehditler, giderek daha karmaşık hale gelmektedir. Saldırganlar, sürekli olarak yeni yöntemler ve teknikler geliştirmekte, bu da savunma sistemlerini alt etmek için zorluklar yaratmaktadır. Microsoft Sentinel ile tehdit istihbaratı yönetimi, kuruluşların güvenlik açıklarını tanımlamalarına ve bu açıkları kapatmalarına yardımcı olur. Örneğin, bir kurum bir saldırı belirtisi (Indicator of Compromise - IoC) belirlediğinde, bu bilgi Sentinel içinde analiz edilebilir. Bu analiz, tehditlerin hangi sistemlerde olduğunu ve ne tür bir etki yapabileceğini anlamada yardımcı olur.

Siber Güvenlik, Pentest ve Savunma Bağlamı

Siber güvenlik, saldırı yüzeyini daraltmak ve zararlı etkinlikleri tespit etmek için sürekli bir çaba gerektirir. Penetrasyon testi (pentest), bu tür zafiyetleri keşfetmek için kullanılan metodolojilerdir ve tehdit istihbaratı burada kritik bir rol oynamaktadır. Pentest sonuçları, güvenlik ekibinin Microsoft Sentinel gibi platformlarda göz önünde bulundurması gereken pratik bilgiler sunar. Böylece, kuruluşlar tehditlere yanıt verme yeteneklerini artırabilirler.

Teknik İçeriğe Hazırlık

Microsoft Sentinel, tehdit istihbaratını entegre etmek ve analiz etmek için bir dizi özellik sunar. TI verileri, ortalama bir siber güvenlik analistinin ihtiyacı olan bilgileri içermekte; IP adresleri, dosya hash'leri ve alan adları gibi IoC türleri ile bu veriler arasındaki ilişkileri ortaya koymaktadır. Örnek vermek gerekirse, bir saldırı sırasında kullanılan zararlı IP adreslerini belirlemek için aşağıdaki gibi bir sorgu kullanılabilir:

ThreatIntelligenceIndicator
| where ActiveIndicator == true
| join kind=inner (DeviceNetworkEvents) on $left.IpAddresses == $right.RemoteIP

Bu sorgu, etkin bir gösterge olan IP adreslerini kullanarak, ağ logları ile eşleştirme yapar ve potansiyel olarak tehdit oluşturan bağlantıları açığa çıkarır. Burada, elde edilen verilerin doğru bir şekilde analiz edilmesi, bilgi güvenliği yönetimi açısından büyük önem taşır.

Bununla birlikte, Microsoft Sentinel, farklı paylaşım protokolleri ve TI verilerinizi yönetmek için kullanabileceğiniz TI Map gibi araçlarla da entegre çalışır. Tehdit verilerinin paylaşım standardı olan TAXII, bu yapı içerisinde kritik bir yere sahiptir.

Sonuç olarak, Microsoft Sentinel ile tehdit istihbaratı yönetimi, kuruluşların tehditleri tanıma ve etkili bir şekilde yanıt verme yeteneklerini artırırken, aynı zamanda siber güvenlik stratejilerini daha da güçlendirmelerine yardımcı olur. Bu yazının ilerleyen bölümlerinde, Microsoft Sentinel'ın sunduğu özelliklerin detaylarına inmeyi ve pratik örnekler üzerinden bu sistemin nasıl çalıştığını incelemeyi hedefleyeceğiz.

Teknik Analiz ve Uygulama

Tehdit İstihbaratı (TI) Nedir?

Siber güvenlik alanında "Tehdit İstihbaratı" (Threat Intelligence), siber saldırganların kimlikleri, yöntemleri ve kullandıkları altyapılar hakkında toplanan verilerin analiz edilip savunma amaçlı kullanılmasını ifade eder. Bu analiz süreci, güvenlik ekiplerine saldırı öncesinde ve sırasında daha etkin ve hızlı müdahale imkanı sağlar.

Gösterge Türleri (IoC)

Gösterge türleri (Indicators of Compromise - IoC), siber tehditleri gösterebilen veri parçalarıdır. Aşağıda bazı yaygın IoC türleri açıklanmaktadır:

  • IP Adresleri: Saldırganlara ait komuta kontrol (C2) sunucularının ağ adresleri.
  • Dosya Hash'leri: Zararlı yazılımların benzersiz matematiksel parmak izleri (MD5, SHA256).
  • Alan Adları: Oltalama saldırılarında kullanılan sahte web sitesi adresleri.

Bu tür göstergeler, güvenlik araçları aracılığıyla anlık olarak izlenebilir ve herhangi bir anomali tespit edildiğinde daha detaylı analiz yapılabilir.

Paylaşım Protokolleri

Tehdit istihbarat verileri, STIX formatında yapılandırılır ve farklı güvenlik platformları arasında otomatik olarak paylaşılır. Bu veri paylaşımında en yaygın kullanılan protokollerden biri TAXII'dir. TAXII, Threat Intelligence veri akışını düzenlemek için kullanılan bir protokoldür ve bu sayede güvenlik araçları arasında etkili bilgi paylaşımı sağlanır.

Sentinel TI Konnektörleri

Microsoft Sentinel, dış dünyadaki tehdit istihbarat bilgilerini çekmek için çeşitli konnektörler kullanır. En yaygın iki konnektör, TAXII ve MISP (Malware Information Sharing Platform) olarak öne çıkar. TAXII ile, Sentinel'in dış TI beslemelerinden veri çekmesi sağlanırken, MISP ile de tehdit bilgileri daha eşgüdümlü ve organizasyonel düzeyde paylaşılabilir.

Confidence Level (Güven Seviyesi)

Tehdit istihbarat verilerinin doğruluğu, güven seviyeleriyle derecelendirilir. Güven seviyesi, bir istihbarat bilgisinin ne kadar güvenilir olduğunu belirten 0-100 arası bir puanlama sistemine dayanır. Yüksek güven seviyesi, istihbarat bilgisinin geçerliliğini artırırken, düşük güven seviyeleri dikkatle ele alınmalıdır.

KQL ile TI Eşleştirme

Microsoft Sentinel üzerinde Tehdit İstihbaratı verileri, KQL (Kusto Query Language) kullanılarak eşleştirilir. Örneğin, ağ veya oturum loglarına mevcut TI göstergelerini entegre etmek için aşağıdaki sorgu kullanılabilir:

let TIIndicators = ThreatIntelligenceIndicator
| where ActiveIndicator == true;
SecurityEvent
| join kind=inner (TIIndicators) on $left.SourceIP == $right.IPAddress
| project TimeGenerated, SourceIP, Action

Bu sorgu ile güvenlik olayları ve aktif TI göstergeleri birleştirilerek siber saldırı tespiti için yeterli veri sağlanmış olur.

TI Map Analytics Rules

Microsoft Sentinel, TI verileri ile otomatik olarak olay başlatan hazır kurallar sunar. "TI Map" olarak bilinen bu kurallar, istihbarat verileri ile ham logların kıyaslanarak tehdit tespiti yapabilmesine olanak tanır. Örneğin, bir alarm tetiklendiğinde analistlerin bu göstergelerin detaylarını inceleyerek bilginin kaynağını doğrulaması ve kurum içindeki potansiyel etkisini hızlı bir şekilde analiz etmesi gerekir.

İstihbarat Sayfası (Threat Intelligence Blade)

Sentinel arayüzünde güncel tehdit istihbaratı bilgileri "İstihbarat Sayfası" (Threat Intelligence Blade) olarak adlandırılır. Bu sayfada analistler, mevcut göstergeleri, bunların güven seviyelerini ve geçmiş verileri görüntüleyebilir. Ayrıca, yeni göstergelerin eklenmesi ve mevcut göstergelere etiketler atanması mümkün kılınmıştır. Etiketleme işlemi, örneğin "Ransomware" veya "APT28" şeklinde tanımlayıcı etiketlerin atanmasıyla, veri yönetimini ve analizini kolaylaştırır.

Microsoft Defender TI

Son olarak, Microsoft'un gelişmiş tehdit istihbaratı platformu olan Microsoft Defender Threat Intelligence (MDTI), Sentinel ile etkin bir şekilde entegre çalışarak dünya genelindeki tüm tehdit verilerini sağlar. Bu sistem, analistlere daha geniş bir perspektif sunarak, olası tehditleri değerlendirip önlemler almak için gerekli bilgileri sağlamaktadır.

Sonuç

Microsoft Sentinel’in sunduğu tehdit istihbaratı yönetimi, siber güvenlik analistlerinin tehditleri daha etkili bir şekilde tespit etmesine ve yanıt vermesine olanak tanır. Kapsamlı bir anlayışa sahip olunması gereken bu sistemi etkili bir şekilde kullanmak, günümüz siber tehditlerine karşı korunmanın temel taşlarından biridir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Microsoft Sentinel, modern siber tehditlere karşı etkili bir savunma sağlamak için tasarlanmış bir güvenlik bilgi ve olay yönetimi (SIEM) platformudur. Tehdit istihbaratı, bu platformun en kritik bileşenlerinden biridir ve siber saldırılara karşı erken uyarı ve etkin yanıt sağlama konusunda önemli bir rol oynamaktadır. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak, olası yanlış yapılandırma veya zafiyetlerin etkilerini analiz edilecek, sızan veri ve servis tespiti üzerine bilgiler verilecek, profesyonel önlemler ve hardening önerileri paylaşılacaktır.

Elde Edilen Bulguların Yorumlanması

Microsoft Sentinel ile toplanan tehdit verileri, saldırganların kullandığı IP adresleri, dosya hash'leri ve domain adları gibi kritik göstergeler (IoC) içerir. Bu göstergelerin doğru analizi, potansiyel tehditlerin belirlenmesinde ve müdahale stratejilerinin geliştirilmesinde büyük önem taşır.

Örneğin, bir analist, aşağıdaki gibi bir KQL (Kusto Query Language) sorgusu ile belirli bir zararlı IP adresinin ağ loglarında bulunup bulunmadığını hızlıca kontrol edebilir:

ThreatIntelligenceIndicator
| where ActiveIndicator == true
| where IndicatorType == "IP Address"
| where Indicator == "192.0.2.0"

Bu sorgu, aktif durumdaki zararlı IP adreslerinin listelenmesini ve analiz edilmesini sağlar. Eğer arama sonuçları bu IP adresini barındırıyorsa, ilgili ağ bileşenlerinde daha derinlemesine bir inceleme yapılması gerektiği anlamına gelir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar veya sızan veriler, siber güvenlik açığının en yaygın nedenlerindendir. Örneğin, bir uygulamanın yerel ağ ayarlarının yanlış yapılandırılması, saldırganların sisteme erişim sağlamasını kolaylaştırabilir. Sentinels’teki zafiyet değerlendirmesi sırasında, güvenli olmayan ayarlarla ilgili bulgular tespit edilirse, bu durum organizasyonun genel güvenliğini tehdit eder.

Yanlış yapılandırmaların sonuçları şu şekilde özetlenebilir:

  • Erişim izinleri: Kullanıcıların gereksiz yere yönetici yetkilerine sahip olması.
  • Zayıf parola politikaları: Parolaların kuvvetli olmaması ve sık değiştirilmemesi.
  • Ağ segmentasyonu eksiklikleri: Kritik verilerin ve sistemlerin birbirinden yeterince izole edilmemesi.

Bu gibi durumlar, saldırganların network içine daha kolay girmesine ve zararlı faaliyetler gerçekleştirmesine zemin hazırlar.

Sızan Veri ve Servis Tespiti

Sızan verilerin analiz edilmesi, tehditlerin ne ölçüde ciddi olduğunu ve hangi savunma mekanizmalarının devreye alınması gerektiğini belirlemede kritik bir adımdır. Örneğin, bir veri ihlali sonrası belirli bir kullanıcının kimlik bilgileri sızdığında, bu durum hemen sponsorluk yetkililiği ve kullanıcı aktiviteleri üzerine bir sorgulama yapılmasını gerektirir.

AuditLogs
| where OperationName == "UserLoggedIn"
| where UserPrincipalName == "suspicious_user@example.com"
| summarize Count = count() by bin(TimeGenerated, 1h)
| order by TimeGenerated desc

Yukarıdaki sorgu, bir kullanıcının oturum açma aktivitelerini saat bazında izlemeyi mümkün kılarak şüpheli bir aktivite belirlenmesine yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik postürünü iyileştirmek ve siber tehditlere karşı dayanıklılığı artırmak için aşağıdaki teknik önlemler alınabilir:

  1. Güvenlik Yapılandırma Yönetimi: Tüm sistemlerde güvenlik yapılandırmalarını düzenli olarak inceleyin ve güncelleyin.
  2. Ağ Segmentasyonu: Kritik sistemleri izole ederek, saldırganların geniş alanları ele geçirmesini zorlaştırın.
  3. Kimlik ve Erişim Yönetimi: Kullanıcıların yalnızca ihtiyaç duydukları yetkilerle sisteme erişmesini sağlayın ve düzenli erişim incelemeleri yapın.
  4. Eğitim ve Bilinçlendirme: Çalışanların siber güvenlik konusunda bilinçlendirilmesi, insan faktöründen kaynaklanan hataların azaltılmasına yardımcı olur.
  5. Güncel Yazılımlar: Tüm yazılımların en son güvenlik yamaları ile güncellenmesini sağlamak, bilinen zafiyetlere karşı koruma sağlar.

Sonuç Özeti

Microsoft Sentinel aracılığıyla elde edilen tehdit verileri ve analizler, kurumların siber güvenlik duruşunu güçlendirmek için kritik öneme sahiptir. Yanlış yapılandırmalar, zafiyetler ve sızan verilerle ilgili detaylı analizler yapılması, siber tehditlere karşı etkin bir savunma geliştirilmesine olanak tanır. Belirtilen profesyonel önlemler ve hardening önerileri uygulanarak, organizasyonların siber saldırılara karşı daha dirençli hale gelmesi mümkündür.