CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Sentinel ile UEBA: Kullanıcı ve Varlık Davranış Analizinde Derinlemesine İnceleme

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Sentinel’in UEBA (Kullanıcı ve Varlık Davranış Analizi) ile siber güvenliği güçlendirin. Anomali tespiti ve daha fazlası için detayları keşfedin!

Microsoft Sentinel ile UEBA: Kullanıcı ve Varlık Davranış Analizinde Derinlemesine İnceleme

Microsoft Sentinel ile UEBA kullanarak kullanıcı ve cihaz davranışlarını analiz edin. Anomali tespiti ve siber güvenlik için gereken tüm bilgileri öğrenin. Detaylar için hemen okuyun!

Giriş ve Konumlandırma

Giriş

Siber güvenlik tehditlerinin giderek sofistike hale gelmesi, organizasyonların güvenlik durumlarını gerçek zamanlı olarak izleyebilme ve tehditleri proaktif bir şekilde tespit edebilme ihtiyacını artırmıştır. Bu bağlamda, Microsoft Sentinel gibi güçlü güvenlik bilgi ve olay yönetimi (SIEM) çözümleri, kullanıcı ve varlık davranış analizi (UEBA) teknolojisi ile entegre edilerek önemli bir avantaj sunmaktadır. UEBA, kullanıcıların ve cihazların normal davranış kalıplarını öğrenerek, bu kalıpların dışındaki anormallikleri tespit eder. Bu sayede, potansiyel iç ve dış tehditler hızlı bir şekilde ortaya çıkarılabilir.

UEBA Nedir?

Kullanıcı ve Varlık Davranış Analizi (UEBA), organizasyona ait kullanıcıların ve cihazların davranışlarını sürekli izleyen, geçmiş verileri analiz ederek standart bir davranış profili oluşturan bir güvenlik mekanizmasıdır. Kullanıcıların önceki aktiviteleri incelendiğinde, belirli bir zaman diliminde ortaya çıkan davranış kalıpları, tehdit algılama işlemlerinin temelini oluşturur. Örneğin, bir kullanıcının her zamanki çalışma saatleri dışında giriş yaptığı veya beklenmeyen bir bölgeden bağlandığı durumlarda sistem anormallik tespit eder.

Neden Önemlidir?

Geleneksel güvenlik çözümleri, genellikle tanımlı tehditlere odaklanırken, UEBA sistemleri bilinmeyen tehditleri de tanıma kapasitesine sahiptir. Anomali tespiti, potansiyel güvenlik ihlallerine yol açabilecek karmaşık ve önceden belirlenmemiş davranışları yakalamasında kritik bir rol oynar. Bu, siber tehditlerin önlenmesi ve olay müdahalesinin hızlandırılması açısından hayati bir öneme sahiptir. Örneğin, bir kullanıcının e-posta kutusuna erişim sağlayıp hassas verilere ulaşmaya çalışması gibi olağandışı durumlar, UEBA sayesinde hızlı bir şekilde tespit edilerek müdahale edilebilir.

Siber Güvenlik ve Pentest Bağlamı

Pentest (penetrasyon testi) süreçlerinde, organizasyonların sistemlerinin zayıf noktalarını tespit etmek için birçok farklı yöntem uygulanır. UEBA, bu süreçte mevcut veri analitiği ile birleşerek, saldırı yüzeyini anlamak ve analiz etmek için en iyi uygulamaları sunar. Potansiyel bir siber saldırgan, genellikle bir kuruluşa sızdıktan sonra, kullanıcı veya varlık hareketlerini takip ederek hedeflerine ulaşmaya çalışır. UEBA, bu tür yatay hareketleri tespit edebilmek için kritik verileri izler ve analiz eder. Örneğin, bir kullanıcının normalde erişmediği kaynaklara aniden erişim sağlaması, anomali olarak kaydedilir ve güvenlik analistleri tarafından daha ayrıntılı bir incelemeye tabi tutulur.

Kullanıcı Davranış Analizinde Teknik Yaklaşımlar

Microsoft Sentinel’in UEBA özellikleri, kullanıcı davranışlarının yanı sıra varlık yönetimini de içerir. Her bir varlık, belirli bir risk profili ile puanlanır (Priority Score) ve bu sayede analistler, hangi vakalara öncelik verilmesi gerektiğini anlayabilir. UEBA sistemleri, kullanıcıların davranışsal temel çizgelerini belirlemek için geçmiş verileri kullanır ve bu temel çizgiden sapmaları, anomali olarak tespit eder. Örneğin, bir kullanıcının daha önce hiç erişmediği bir sunucu üzerinde işlem gerçekleştirmeye çalışması, sistem tarafından kritik bir anomali olarak değerlendirilebilir.

Bunun yanı sıra, varlık sayfaları üzerinden yapılan analizler, güvenlik ekiplerine spesifik kullanıcılar veya cihazlar hakkında kapsamlı bir görünürlük sağlar. Kullanıcılar arasındaki akran analizi (peer group analysis), anormal davranışları daha iyi anlamak için önemli bir araçtır. Tüm bu yaklaşımlar, kullanıcı ve varlık davranışlarının sürekli izlenmesi ve analiz edilmesi sonucunda, güvenlik olaylarına hızlı ve etkili bir yanıt verilmesini mümkün kılar.

Sonuç

Teknoloji dünyası giderek daha karmaşık hale gelirken, güvenlik ekiplerinin yeni nesil tehditlere karşı daha donanımlı olmaları şarttır. Microsoft Sentinel ile UEBA, kullanıcılara ve varlıklara dair dinamik bir görünürlük sağlarken, siber güvenlik stratejilerinin daha etkili bir şekilde hayata geçirilmesine katkıda bulunur. Bu blog serisinin ilerleyen bölümlerinde, UEBA’nın detaylarına, işleyiş mekanizmalarına ve pratik uygulamalarına derinlemesine inceleme yapacağız.

Teknik Analiz ve Uygulama

Tekniğe Dair Derinlemesine İnceleme

Kullanıcı ve Varlık Davranış Analizi (UEBA), Microsoft Sentinel içerisinde merkezi bir rol oynamaktadır. UEBA, kullanıcıların ve varlıkların davranışlarını analiz ederek anomali tespiti gerçekleştiren bir teknolojidir. Bu bölümde, Microsoft Sentinel kullanarak UEBA ile kullanıcı ve varlık davranışlarının analizini detaylı bir şekilde ele alacağız.

UEBA Nedir?

UEBA, sistem kullanıcılarının geçmiş aktivitelerini inceleyerek standart bir davranış profili oluşturur ve bu profilin dışındaki sıra dışı hareketleri anomali olarak işaretler. Bu süreç, potansiyel tehditleri belirlemenin yanı sıra, saldırganların farklı hesaplar arasında yatay hareketini de tespit etmeye yardımcı olur.

UEBA, kullanıcı davranışlarını ve davranış kalıplarını analiz ederek,
normalden sapmaları tespit eder ve gizli tehditleri ortaya çıkarır.

Varlık Türleri

UEBA tarafından izlenen temel varlıkların başında kullanıcılar, cihazlar ve IP adresleri gelir. Kullanıcılar, hesap adları, SID (Security Identifier) değerleri ve davranış profilleri ile belirlenirken, cihazlar ise sunucular ve iş istasyonları gibi fiziksel donanımlardır. IP adresleri şüpheli aktivitelerin izlenmesini sağlar ve ağ trafiği üzerinde değerlendirilmektedir.

Davranışsal Baseline (Temel Çizgi)

Davranışsal baseline, her bir kullanıcının normal davranış profilidir. Örneğin, bir kullanıcının günlük olarak girdiği sistemlere erişim süreleri ve bu süreler içinde gerçekleştirdiği işlemler kayıt altına alınır. 

Kullanıcı davranış profili oluşturulurken, geçmiş faaliyetlerini
göz önünde bulundurarak bir temel çizgi belirlenir.

Investigation Priority Score

Misssion Sentinel içindeki "Investigation Priority Score", bir varlığın ne kadar riskli olduğunu belirten bir değerdir. 0 ile 10 arasında bir puan ile gösterilen bu değer, analistlerin hangi vakalara öncelik vermesi gerektiğini belirlemede kritik bir öneme sahiptir.

Prioritization, kullanıcının geçmiş hareketleri ile
karşılaştırmalı bir analiz yapılarak gerçekleştirilir.

Anomali Kategorileri

UEBA sisteminde tespit edilen anomali türleri, kullanıcıların davranış profillerindeki beklenmedik değişiklikler olarak tanımlanabilir. Bunlar arasında zaman anomalleri (kullanıcının olağan çalışma saatleri dışında sistemlere erişimi), konum anomalleri (daha önce ziyaret edilmemiş yerlerden oturum açma) ve kaynak anomalleri (normalde erişilmeyen hassas verilere erişme girişimleri) yer alır.

Peer Group Analysis (Akran Analizi)

Akran analizi, belirli bir kullanıcının davranışlarının, aynı departmandaki diğer çalışanlarla karşılaştırılmasıyla yapılır. Bu yöntemle, kullanıcının hareketleri sadece kendi geçmişi ile değil, aynı zamanda grup bazında da değerlendirilebilir. Akran analizi sayesinde, kullanıcıların hangi davranışlarının anomali olarak işaretlendiği daha net bir şekilde görünür.

Entity Pages (Varlık Sayfaları)

Varlık sayfaları, spesifik bir kullanıcı veya cihaz hakkında tüm alarmları, olayları ve davranış özetlerini tek bir görsel ekranda sunar. Bu sayfalar, güvenlik analistlerinin hızlı bir şekilde verileri analiz etmeleri ve gerektiğinde müdahale etmeleri için gerekli bilgileri sağlar.

UEBA Veri Kaynakları

UEBA motorunu beslemek için gerekli olan veri kaynakları arasında "SigninLogs", "AuditLogs" ve "SecurityEvent" bulunmaktadır. Bu veri kaynakları, kullanıcıların sistemlerdeki davranışları hakkında kritik bilgiler sunar. Örneğin, 

SigninLogs, bulut tabanlı kimlik doğrulama kayıtlarını içerirken,
AuditLogs, sistem üzerindeki yönetici değişikliklerini kaydeder.

Yatay Hareket (Lateral Movement) Tespiti

UEBA, saldırganların ele geçirdiği bir hesap üzerinden diğer hesaplara geçen olağan dışı oturum zincirlerini takip etme yeteneğine sahiptir. Bu durum, ağ içindeki tehditleri hızlı bir şekilde tespit etmek ve engellemek için büyük öneme sahiptir.

Blast Radius (Patlama Alanı)

Son olarak, "Blast Radius", ele geçirilen bir varlığın ağ içerisindeki potansiyel erişim alanını tanımlar. Saldırganın ele geçirdiği bir varlık hakkında, kişinin diğer sistemlere veya dosyalara yapabileceği olası saldırıların büyüklüğünü değerlendirmek bu terimin kullanımı ile sağlanır.

Blast Radius, bir kullanıcıdan kaynaklanan potansiyel zarar
alanını ifade eder ve siber güvenlik tehditlerinin etkisini
anlamak için kritik bir araçtır.

Microsoft Sentinel ile UEBA, siber güvenliği güçlendiren ve tehditleri daha etkili bir şekilde tespit etmede önemli bir yöntemdir. Kullanıcı ve varlık davranışlarının derinlemesine analizi, bilgi güvenliği stratejilerinin başarısını artırır ve sistemleri daha dayanıklı hale getirir.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

Microsoft Sentinel üzerinden gerçekleştirilen UEBA (Kullanıcı ve Varlık Davranış Analizi) uygulaması, kullanıcıların ve cihazların normal davranış kalıplarını öğrenerek anomali tespiti yapma imkanı sunar. Bu süreç, siber güvenlik için oldukça kritik olan risk değerlendirme aşamasını kapsar. Risk analizi, anomali ve olağan dışı davranışların analiz edilmesiyle başlar ve bu bulguların güvenlik anlamı yorumlanır.

Sentinel'de tespit edilen anomali türleri, kullanıcıların veya cihazların standart davranış çizgisinden sapmalarını kapsar. Örneğin, bir kullanıcının daha önce gerçekleştirmediği bir lokasyondan erişim sağlaması durumunda, bu Location Anomaly olarak sınıflandırılır. Ayrıca, kullanıcının çalışma saatleri dışında sistemlere erişim sağlaması gibi durumlar da Time Anomaly kategorisine girer. Bu tür davranışların belirlenmesi, özellikle bir hesabın ele geçirilip geçirilmediğini anlamak açısından kritik öneme sahiptir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar veya var olan sistem zafiyetleri, güvenlik açığı oluşturabilir ve saldırılara zemin hazırlayabilir. Örneğin, kullanıcıların alışık olduğu kısıtlı erişim alanlarından farklı bir yere erişmeye çalışması; verilerin sızdığı veya kritik sistemlerin ele geçirildiği bir durumu işaret edebilir. Bu tür anomali durumlarının erken tespiti için Sentinel'in sunduğu Investigation Priority Score kullanılmalıdır. Bu skor, tespit edilen anomali durumlarının risk seviyesini 0 ile 10 arasında değerlendirmekte ve analistlerin hangi durumlara öncelik vermesi gerektiğini göstermektedir.

Yanlış yapılandırmalar ayrıca servis tespitini de etkileyebilir. Örneğin, yanlış yapılandırılmış bir API veya sunucu, sızma testlerine açık hale gelerek saldırganların erişimini kolaylaştırabilir. Bu tür durumları tespit etmek için Entity Pages kullanılabilir; bu sayfalar üzerinden spesifik kullanıcı veya cihazlara ait tüm alarmlar, olaylar ve davranış özetleri tek bir görselde toplanmaktadır.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen bulgular doğrultusunda uygulanabilecek profesyonel önlemler arasında, sistemlerin ve cihazların sürekli olarak güncellenmesi ve güvenlik yamalarının zamanında uygulanması yer alır. Bunun yanı sıra, kullanıcıların normal davranış profillerinin sürekli olarak gözden geçirilmesi, güvenlik duvarı kurallarının sıkılaştırılması ve ağ segmentasyonu gibi yöntemler de önemlidir.

Özellikle Lateral Movement tespiti için, Sentinel'in izleme mekanizmaları etkin bir şekilde kullanılmalıdır. Yapılan araştırmalara göre, bir saldırganın ele geçirdiği hesaptan diğer tüm hesaplara ve cihazlara geçiş yaparken oluşturduğu olağan dışı oturum zincirleri, siber güvenlik ihlalleri açısından kritik bir göstergedir.

Bir diğer önemli önlem ise Blast Radius tespitidir. Bu, ele geçirilen bir varlığın ağ içerisindeki potansiyel etkisini göstermektedir. Eğer bir saldırgan, bir kuruluştaki bir varlığı ele geçirirse, bu varlığın erişebileceği alan ve verebileceği zararın hesaplanması son derece önemlidir. Bu yönde, sistemlerin hardening (sertleştirme) önerileri arasında, erişim kontrol listelerinin (ACL) gözden geçirilmesi ve çok faktörlü kimlik doğrulamaların (MFA) entegrasyonu yer alır.

Sonuç

Microsoft Sentinel ile uygulanan UEBA, kullanıcı ve varlık davranışlarının derinlemesine analiz edilmesini sağlayarak güvenlik ihlallerinin erken tespiti için kritik bir araçtır. Anomali tespitleri sayesinde potansiyel riskler hızlı bir şekilde belirlenebilirken, yanlış yapılandırmalar ve zafiyetlerin analizi de güvenlik anlamında ciddi önlemlerin alınmasına olanak tanımaktadır. Uygulanan profesyonel önlemler ve hardening stratejileri, sızma, veri kaybı ve diğer güvenlik tehditlerine karşı kurumsal güvenlik yapısını sağlamlaştırmaya yardımcı olur.