CyberFlow Logo CyberFlow BLOG
Soc L1 Etki Analizi

Netflow ve Proxy Logları ile Siber Tehditleri Belirlemek

✍️ Ahmet BİRKAN 📂 Soc L1 Etki Analizi

Netflow ve proxy logları, siber tehditleri belirlemede kritik bir rol oynar. Bu blog yazısında ağ analizi ve logların önemi ele alınmaktadır.

Netflow ve Proxy Logları ile Siber Tehditleri Belirlemek

Siber güvenlikte, Netflow ve proxy logları, ağ trafiğini anlamada büyük bir öneme sahiptir. Ağda meydana gelen olağan dışı hareketleri tespit etmek için kullanılırlar. Bu yazıda, bu logların nasıl kullanıldığını ayrıntılı olarak inceleyeceğiz.

Giriş ve Konumlandırma

Ağın Ayak İzleri

Siber güvenliğin dinamik ve karmaşık yapısında, tehditlerin belirlenmesi ve analizi, herhangi bir kuruluşun savunma stratejisinin temel taşlarını oluşturur. Bu bağlamda, Netflow ve Proxy logları önemli bir yere sahiptir. Netflow, ağ trafiğinin özetini çıkaran bir teknoloji olarak, cihazlar arasındaki veri akışını IP adresleri ve portlarla birlikte analiz etmemize olanak tanırken, Proxy logları da kullanıcıların internetteki etkinliklerini kaydederek potansiyel tehditleri belirlemekte kritik rol oynar.

Görünmez Veriyi Yakalamak

Küresel bir tehditle karşı karşıya kalan organizasyonlar, siber saldırganların yöntemlerini anlamak ve bu yöntemlere karşı etkin önlemler almak zorundadır. Örneğin, siber saldırganların kullandığı Comand and Control (C2) sunucuları, kötü amaçlı yazılımların kontrolünü sağlamakta ve genellikle ağ içerisinde görünmez bir şekilde hareket etmektedir. Bu tür saldırıların tespit edilmesi, ağ logları ve netflow verileri kullanılarak mümkün hale gelir.

Örnek: 
Bir dış sunucuya (C2) olan çıkış trafiği,
- Protokol: HTTPS
- Hedef IP: 192.0.2.1
- Verilen Veri: 10 GB

Yukarıdaki örnek, bir veri sızıntısının işareti olabilir ve analistler bu verilere dayanarak inceleme başlatmalıdır. C2 ile kurulan bağlantılar, özellikle dışarıya yapılan anomaliler, şüpheli aktiviteleri belirlemek için kritik öneme sahiptir.

Veri Kaynakları

Ağ seviyesindeki log kaynakları, bir güvenlik analistinin elindeki en güvenilir belgelerden biridir. EDR (Endpoint Detection and Response) sistemlerinin devre dışı kaldığı veya yüklü olmadığı durumlarda, yalnızca ağ logları analistlere bilgi sağlayabilir. Netflow kayıtları, iç ağdaki yatay hareketleri ve veri transferini görsel bir şekilde sunarak anomali tespiti için gerekli verileri sağlar.

Netflow Kayıtları Hakkında: 
- İşlem: API çağrısı
- Başlangıç IP: 192.0.2.10
- Bitiş IP: 198.51.100.25
- Trafik Hacmi: 5 GB

Dışarıya yapılan büyük veri transferleri, örneğin, beklenmedik bir şekilde artış gösteriyorsa (normalde günde 10 MB iken aniden 5 GB’a yükseliyorsa), bu durum analistlerin dikkat etmesi gereken bir “exfiltration” (veri sızıntısı) durumunu işaret eder.

Uzaktan Kumanda

Ağdaki denetim mekanizmalarının yanı sıra, Proxy logları da dış dünyanın ağınıza olan erişimini belgelemekte esastır. Kullanıcıların hangi web sitelerine gittiği ve hangi dosyaları yükleyip indirdiği gibi bilgiler, potansiyel bir saldırının izlerini sürmek için kullanılabilir. Analistler, bu tür verileri analiz ederek şüpheli URL’ler üzerinde yoğunlaşabilir ve bu URL’lere karşı izleme veya yasaklama gibi önlemler alabilirler.

Hacim Analizi

Veri analiz süreçlerinde hacim analizi, belirli bir zaman aralığında olağanüstü artış gösteren trafik hacimlerini incelemek için kritik bir stratejidir. Analistler, veri talep hacminde önemli bir değişiklik olduğunda, daha derinlemesine incelemeye yönelmelidir. Bu incelemelerde, özellikle DNS trafiğindeki kısa ama sık isteklerin varlığı, DNS Tunneling yöntemiyle dışarıya veri gönderme çabası olarak değerlendirilebilir.

Örnek:
- DNS istek hacmi: Günlük 1000 istek
- Anomalik artış: Günlük 5000 istek

Bu gibi durumlar, saldırganların içerideki sistemleri ele geçirmesi için kullandığı yolların tespit edilmesine yardımcı olur.

Normalden Sapma

Normalden sapma tespiti, ağ trafiğinde alışılmışın dışına çıkan her türlü hareketin gözlemlenmesi işlemine dayanmaktadır. Güvenlik analistleri, logları izleyerek bu sapmaları belirleyebilir ve bunların ardındaki potansiyel tehditleri açığa çıkarabilirler. Normal davranış kalıplarına uymayan her türlü hareket, tehlikeli bir durumun habercisi olabilir.

Sonuç olarak, Netflow ve Proxy logları, siber tehditlerin tespitinde ve analizinde kilit bilgiler sağlar. Bu veriler, ağ güvenliği analistlerinin tehditleri zamanında fark etmelerini ve uygun müdahalelerde bulunmalarını sağladığından, etkili bir siber savunma hattı oluşturulmasında hayati bir rol oynar. Eğitim içeriğini takip eden bölümlerde, bu verilerin nasıl analiz edileceği ve pratikte nasıl kullanılacağına dair daha detaylı bilgilere yer verilecektir.

Teknik Analiz ve Uygulama

Ağın Ayak İzleri

Netflow ve proxy logları, bir ağın üzerindeki trafiği anlamak ve siber tehditleri tanımlamak için kritik bir rol oynamaktadır. Netflow, ağdaki cihazlar arasındaki IP trafiğinin özetini (kaynak/hedef IP, port, veri boyutu) tutarken; proxy logları, kullanıcıların hangi web sitelerine eriştiği ve hangi dosyaların indirildiği hakkında detaylı bilgiler sunmaktadır. Bu bilgiler, potansiyel tehditlerin belirlenmesi ve izlenmesinde önemli bir başlangıç noktası sağlar.

Görünmez Veriyi Yakalamak

Siber saldırganların ağ üzerindeki faaliyetlerini belirlemek için agresif bir veri toplama süreci gerekmektedir. Dışarıdan gelen ve çıkan akışları inceleyerek, bir saldırının karakteristik izlerini yakalamak mümkündür. Örneğin, bir sistemin günlük trafik hacmi normalde 10 MB iken birden 5 GB'a çıkıyorsa, bu durum bir 'Exfiltration' (sızıntı) girişiminin en büyük kanıtıdır. Bu tür davranış kümeleri, ağ anomalilerinin tespitinde kritik rol oynar.

Ağdaki olağandışı trafik içerisinde ayrıca kötü niyetli bir bağlantı veya 'Command and Control' (C2) sunucusuna erişim şüphesi de taşıyan aktiviteler yer almaktadır. Bu tür bağlantılar genellikle zararlı yazılımların uzaktan kontrol edilmesi için kullanılır.

Veri Kaynakları

Ağ loglarının analizi, bir saldırının belirlenen kaynaklarına göre farklılık gösterir. Netflow ve proxy logları sayesinde, saldırganın hangi harici sunucularla iletişim kurduğunu ve ne kadar veri çıkardığını tespit edebiliriz. Örneğin, bir kullanıcıdan dışarıya yönlendirilen 10 GB'lık bir HTTPS trafiği, bilinmeyen bir IP adresine yönlendiriliyorsa, bu durum 'kritik etki' kategorisine girer ve büyük ihtimalle bir veri sızıntısı gerçekleşmiştir.

# Örnek Netflow sorgusu
show ip flow export

Bu komut, Netflow'un veri akışını izlemek için gereken temel bilgileri sağlar. Ağ yöneticileri, bu tür verilere erişerek trafiğin analizi üzerinde daha bilinçli kararlar alabilir.

Uzaktan Kumanda

Bir saldırganın, enfekte ettiği cihaz üzerindeki kontrolü sağlaması için kullandığı dış sunucularla kurduğu bağlantılara Command and Control (C2) bağlantısı denir. Bu bağlantılar, saldırının yönetilmesinin yanı sıra, kirli verilerin dışarıya sızdırılması için de kullanılır. Proxy logları, bu tür bağlantıları tespit etmede oldukça etkilidir.

Hacim Analizi

Olağan dışı bir trafik hacmi, ağ anomali tespitinin en önemli göstergelerindendir. Analist, belirli bir zaman aralığında olağanüstü bir artış gösteren trafik hacmini inceleyerek sızıntının kapsamını belirlemelidir. Hacim analizi yaparken, her türlü normal dışı davranışın araştırılması hayati önem taşır. 

# Trafik hacmi analizi için örnek komut
netstat -an | find "ESTABLISHED"

Bu komut, ağda aktif olan tüm bağlantıları göstererek, mevcut durum hakkında bilgi edinmeyi sağlar.

Normalden Sapma

Ağ trafiğinde normalden sapmalar, belirli bir zaman diliminde alışılmışın dışına çıkan tüm olguları kapsar. Bu sapmalar, genellikle bir saldırının habercisi olabilir. Örneğin, iç ağda sürekli 53. porta (DNS) kısa ama sık isteklerin yapılması, yüksek etki ile 'DNS Tunneling' yöntemi ile C2 iletişimi şüphesini doğurabilir. 

# DNS isteklerini listelemek için kullanılacak komut
tcpdump -i eth0 port 53

Bu komut, belirli bir arayüzdeki DNS trafiğini gösterir ve potansiyel saldırıları anlamada yardımcı olur.

Sonuç

Sonuç olarak, Netflow ve proxy loglarının analizi, ağ güvenliğinde kritik bir parça oluşturmaktadır. Ağ logları, tehditlerin tespitinde ve saldırganların yöntemlerinin anlaşılmasında önemli bir kaynak olarak kullanılmalıdır. Sürekli bir izleme ile olağan dışı durumlar tespit edilebilir ve gerekli önlemler alınabilir. Bu süreç, siber güvenlik savunmalarının güçlendirilmesine yardımcı olan etkin bir stratejidir.

Risk, Yorumlama ve Savunma

Ağ Analizinde Risk Değerlendirmesi

Siber güvenlik alanında, bir kuruluşun ağında meydana gelen olayların doğru bir şekilde yorumlanması, karşılaşılabilecek tehditlerin belirlenmesi açısından kritik öneme sahiptir. Ağdan elde edilen verilerin, yani netflow ve proxy loglarının analiz edilmesi, olası risklerin değerlendirilmesinde önemli bir role sahiptir. Bu bölümde, elde edilen verilerin güvenlik anlamını nasıl yorumlayabileceğimizi, yanlış yapılandırma veya zafiyetlerin etkilerini, veri sızıntılarını ve uygun savunma stratejilerini ele alacağız.

Elde Edilen Bulguların Yorumlanması

Netflow ve proxy logları, ağdaki trafiği anlamak için kullanışlı bilgiler sunar. Bu verilerin analizi, ağda meydana gelen olağan dışı davranışları tespit etmemize yardımcı olur. Örneğin, bir cihazın normalde günde belirli bir miktarda veri yüklerken aniden büyük miktarlarda veri yüklemesi, bir veri sızıntısının belirtisi olabilir. 

Örnek: Bir bilgisayar her gün ortalama 10 MB veri yüklerken, aniden 5 GB veri yüklemeye başladıysa, bu bir "sızıntı" olduğunu gösterir.

Bu tür durumlar, ağın güvenliğini tehlikeye atabilecek sıçramaların ilk sinyalleridir ve derinlemesine analiz gerektirir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber tehditlerin ortaya çıkmasının en yaygın nedenlerinden biridir. Örneğin, yeterince koruma sağlanmayan bir servis ya da zayıf parola kullanımı, sızmalara davetiye çıkarabilir.

Dış bağlantılara yapılan analizlerde örneğin, bir sunucudan bilinmeyen bir IP adresine büyük hacimde veri çıkışı olduğunda bu durum ciddi bir tehdit oluşturabilir. Aşağıdaki gibi bir durum tespiti yapılmalıdır:

Dışarıya 10 GB HTTPS trafiği (IP: Bilinmeyen Rusya IP)
Karar: Kritik Etki - Büyük ihtimalle veri sızıntısı gerçekleşti.

Bu tür bulgular, güvenlik ekiplerinin acil durum yanıtlarına ve etkili savunma stratejileri geliştirmesine olanak tanır.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verinin tespit edilmesi, yalnızca veri kaynağının belirlenmesine değil, aynı zamanda bu verinin nasıl ve nereden sızdırıldığının anlaşılmasına da olanak sağlar. Topoloji analizi, ağ üzerindeki cihazların ve bağlantıların nasıl yapılandığını anlamak için kritik bir süreçtir.

Örneğin, iç ağda sürekli olarak 53. porta (DNS) kısa ama sık istekler geliyorsa, bu durum DNS Tunneling yöntemi ile komuta kontrol (C2) iletişimi şüphesi yaratabilir.

İç ağda sürekli 53. porta (DNS) kısa ama sık istekler
Karar: Yüksek Etki - DNS Tunneling yöntemiyle C2 iletişimi şüphesi.

Bu tür analitik veriler, saldırıların kökenini bulmak ve ilgili önlemleri almak için elzemdir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliğinin artırılması için birkaç önlem önerilmektedir:

  1. Güvenlik Duvarı Kuralları: Özellikle dışarıdan gelen ve giden trafiği kontrol altına almak için firewall kurallarının optimize edilmesi gereklidir.
  2. Erişim Kontrolleri: Kullanıcıların erişim yetkileri gözden geçirilmeli ve gereksiz yere açık olan portlar kapatılmalıdır.
  3. Düzenli Güncellemeler: Sistem güncellemeleri ve yamaları ihmal edilmemelidir.
  4. Ağ Segmantasyonu: Hassas verilere erişimi sınırlandırmak amacıyla ağın segmentlere ayrılması önerilir.
  5. Sürekli Monitörizasyon: Ağ trafiği ve logların sürekli olarak izlenmesi, olası tehditlerin erken tespiti açısından kritik öneme sahiptir.

Sonuç

Netflow ve proxy loglarının analizi, ağ üzerindeki hareketlerin ve potansiyel tehditlerin tespit edilmesi için vazgeçilmezdir. Elde edilen bulguların yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerinin anlaşılması, ve profesyonel savunma stratejilerinin geliştirilmesi, siber güvenlikte başarı için önem taşır. Herhangi bir zafiyet veya tehdit tespit edildiğinde hızlı ve etkili bir şekilde hareket etmek, organizasyonların güvenliğini sağlamak için kritik bir adımdır.