CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Olay, Alarm ve Korelasyon: Siber Güvenlikte Temel Farklılıklar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Olay, alarm ve korelasyon kavramları arasındaki temel farklılıkları ve bu unsurların siber güvenlikteki rolünü keşfedin.

Olay, Alarm ve Korelasyon: Siber Güvenlikte Temel Farklılıklar

Siber güvenlikte olay, alarm ve korelasyon kavramlarını anlamak kritik öneme sahiptir. Bu yazıda, bu kavramlar arasındaki temel farkları ve işlevlerini sizlerle paylaşıyoruz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik dünyasında, olay (event), alarm (alert) ve korelasyon (correlation) kavramları kritik bir öneme sahiptir. Bu terminolojiyi doğru anlamak, siber saldırılara karşı koymak için geliştirilecek stratejilerin temeli niteliğindedir. Bireyler ve kuruluşlar, siber tehditlere karşı savunma mekanizmaları oluşturmadan önce, bu kavramların tanımlarını ve birbirleriyle olan ilişkilerini kavramalıdır.

Siber güvenlik alanında, olay bir sistemde, ağda veya bir uygulamada gerçekleşen her türlü bireysel etkinliğin kayıt altına alınmış halidir. Örneğin, bir kullanıcının sisteme giriş yapması, bir olay olarak tanımlanır. Bu basit ama kritik tanım, siber saldırıların soruşturmada kullanılacak temel veri noktalarının oluşturulmasında önemli rol oynamaktadır.

Olay ile Alarm Arasındaki Farklar

Olaylar genellikle günlük (log) dosyalarında yer alırken, alarmlar bu olayların belirli tetikleyicilere veya kurallara göre analiz edilmesiyle ortaya çıkar. Bir alarm, belirli bir güvenlik kuralının ihlal edildiğini veya sisteme yönelik potansiyel bir tehdit olduğunu bildirir. Alarmın doğru bir şekilde yorumlanabilmesi için olayların bağlam içerisinde değerlendirilmesi gerekir.

Korelasyon ise farklı olayların mantıksal bir yapı içinde birleştirilmesi anlamına gelir. Örneğin, bir kullanıcının arka arkaya gerçekleştirilen beş başarısız girişinin yanı sıra, bir başarılı girişin gerçekleşmesi söz konusu olduğunda, bu olaylar bir korelasyon kuralı kullanılarak ilişkilendirilebilir. Bu tür bir ilişkilendirme, analistler için güvenlik tehditlerinin daha etkili ve anlaşılır bir şekilde değerlendirilmesine olanak tanır.

Bu Kavramların Önemi

Siber güvenlik yönetimi açısından olay, alarm ve korelasyon kavramlarının anlaşılması hayati önem taşır. Her bir kavram, farklı bir aşamayı temsil ederken, siber tehdit kaynaklarının tespit edilmesi ve yönetilmesinde temel bir rol oynar. Saldırıların karmaşıklığı arttıkça, analistlerin geçerli olaylardan ne zaman alarm çıkarmaları gerektiğini anlamaları ve yanlış alarmlardan kaçınmaları gerekir. Alarm yorgunluğu, analistlerin çok sayıda yanlış alarmla karşılaşması durumunu ifade eder ve bu durumun önüne geçilmesi, güvenlik operasyonlarının etkinliğini artırmak açısından kritik bir adımdır.

Eğitim ve Analiz

Olay, alarm ve korelasyon kavramlarının siber güvenlik eğitiminde yer alması, analistlerin saldırıların nasıl işlendiğini, hangi durumlarda alarm oluşturulması gerektiğini ve hangi koşullara bağlı olarak korelasyon kurallarının devreye girmesi gerektiğini anlamalarına yardımcı olur. Örneğin, SIEM (Security Information and Event Management) sistemleri, yüksek hacimli verileri işleyebilme kabiliyeti sayesinde, olayları gerçek zamanlı olarak analiz eder ve bunları bağlamsal olarak yorumlayarak alarmlara dönüştürebilir.

event:
  description: "Kullanıcının sisteme giriş yapılması"
alert:
  description: "Sistemdeki olağan dışı giriş denemeleri sonucu üretilen bildirim"
correlation:
  description: "Kötü niyetli bir girişim tespit etmek için kullanılan mantık işlemlerinin sonucu"

Bu bağlamda, okuyucuların bu kavramlarla ilgili bilgi birikimlerinin artırılması, siber güvenlik operasyonlarının verimliliğini sağlamada ve tehdit önleme stratejilerinin geliştirilmesinde önemli bir etki yaratacaktır. Olayların doğru bir şekilde kaydedilmesi, alarmların etkili bir şekilde yönetilmesi ve korelasyon süreçlerinin doğru uygulanması, siber tehditlerle daha etkili bir biçimde mücadele etmeyi mümkün kılar. Dolayısıyla, bu üç temel kavramın incelenmesi siber güvenlik pratiğinin çok yönlü dinamiklerini anlamak açısından kritik bir öneme sahiptir.

Teknik Analiz ve Uygulama

Olay (Event) Tanımı

Siber güvenlikte "olay" terimi, ağda, sistemde veya uygulamada gerçekleşen tekil bir aksiyonun kaydedilmesi anlamına gelir. Bu olaylar, örneğin kullanıcıların giriş yapması, dosya değişiklikleri veya sistem hataları gibi her türlü aktiviteyi içerebilir. Olayları doğru bir şekilde tespit etmek ve sınıflandırmak, güvenlik analizi için kritik öneme sahiptir.

Bir sistemdeki olayları incelemek için aşağıdaki komutla tüm sunucu günlüklerini sorgulayabiliriz:

cat /var/log/syslog | grep 'login'

Bu komut, sistemdeki giriş olaylarını filtreleyerek, sadece kullanıcı girişleri ile ilgili logları görmemizi sağlar.

Kavramları Eşleştirme

Siber güvenlik sistemlerinde olayların analiz edilmesi, üç temel yapı taşına dayanır: Olay (Event), Alarm (Alert) ve Korelasyon (Correlation). Bu kavramlar arasındaki ilişkileri anlamak, güvenlik vakalarının doğru bir şekilde yönetilmesi açısından oldukça önemlidir.

  • Olay: Bir kullanıcı veya sistem aktivitesine dayanan tekil log kaydıdır.
  • Alarm: Korelasyon kuralı tarafından tetiklenen ve analiste gönderilen bildirimdir; durumu incelemek için dikkat çekici bir unsurdur.
  • Korelasyon, birden fazla olayın mantıklı bir çerçevede bir araya getirilmesidir. Örneğin, bir kullanıcı beş başarısız girişten sonra bir başarılı giriş yapıyorsa, bu durum güvenlik açığına işaret ediyor olabilir.

Incident (Vaka) Oluşumu

Bir alarm, yalnızca bir olayın tetiklenmesiyle ortaya çıkar ama bu alarmın güvenlik vakasına dönüşmesi için belirli kriterlerin karşılanması gerekir. Örneğin;

if [[ $ALARM == 'true' && $SEVERITY == 'Critical' ]]; then
    echo "Olayı incele";
fi

Burada, kritik bir alarmın tetiklendiği durumlarda olayı incelemek için bir koşul belirleyerek güvenlik analistlerinin gerekli müdahaleyi yapmasını sağlarız.

Alarm Yorgunluğu (Alert Fatigue)

Alarm yorgunluğu, kötü yazılmış korelasyon kuralları nedeniyle analistlerin çok fazla anlamlı veya hatalı bildirime maruz kalıp duyarsızlaşmasına denir. Bu durum, güvenlik ekiplerinin etkinliğini azaltabilir. Alarm yorgunluğunun etkilerini en aza indirmek için doğru ve geçerli alarma odaklanmak önemlidir. Ayrıca, alarm önceliklendirmesi yapılması gerekebilir.

Alarm Önceliklendirme

Alarmların ciddiyet seviyeleri (Severity) genellikle üç kategoride değerlendirilir:

  • Düşük (Low): Bilgi amaçlı veya acil müdahale gerektirmeyen durumlar.
  • Orta (Medium): İncelenmesi gereken ancak sistem kesintisine yol açmayan olaylar.
  • Kritik (Critical): Aktif bir saldırı göstergesi olan ve derhal müdahale gerektiren yüksek riskli durumlar.

Bu seviyeleri belirlemek, ağdaki durumu daha iyi anlamamıza yardımcı olur. Örneğin, kritik alarmlara öncelik vermek, zamanında müdahaleyi kolaylaştırır.

# Alarm ciddiyetini belirleme
if [[ $ALARM_SEVERITY == 'Critical' ]]; then
    assessThreatLevel "High"
elif [[ $ALARM_SEVERITY == 'Medium' ]]; then
    assessThreatLevel "Moderate"
else
    assessThreatLevel "Low"
fi

Korelasyonun Amacı

Korelasyon, birçok farklı olayı bir bütün olarak değerlendirerek anlamlı bir bilgi oluşturur. Gerçek bir saldırının tespit edilmesi için birden fazla olayın analiz edilmesi şarttır. Korelasyon kuralları, olayları analiz ederek tek bir anlamlı alarma dönüştürme görevini üstlenir.

Bir korelasyon örneği şu şekilde açıklanabilir:

Olaylar: 
- Kullanıcı A, 5 kez başarısız giriş yapıyor. 
- Kullanıcı A'nın başarısız girişlerinden sonra sistemdeki bir dosya değiştirilmiş.
- Kullanıcı A daha sonra tekrar giriş yaptı.

Sonuç: Potansiyel bir güvenlik ihlali.

Burada, olaylar bir araya getirilerek güvenlik durumunun analizi yapılır. Bu tür analizler, siber güvenlik sistemlerinin daha etkin bir şekilde çalışmasına olanak tanır.

Kural Tetikleyicisi

Bir korelasyon kuralının çalışıp alarm üretebilmesi için gereken özel koşula "Trigger" denir. Korelasyon kuralları doğru bağlam ve şartlar altında çalıştığında anlamlı sonuçlar üretir.

# Örnek kural tetikleme
if [[ $FAILED_LOGIN_ATTEMPTS -ge 5 && $SUCCESSFUL_LOGIN -eq 1 ]]; then
    generateAlert
fi

Bu kod parçası, belirli bir sayıda başarısız girişin ardından bir başarılı giriş yapılması durumunda alarm oluşturur.

Alarm Türleri

Alarmlar, kesinlikle doğruluk payı taşımalıdır. Aksi takdirde, yanlış pozitifler (False Positives) veya yanlış negatifler (False Negatives) sorunlarını doğurabilir. Alarmın doğruluğu, güvenlik altyapısının güvenirliği açısından kritiktir ve bu nedenle düzenli olarak gözden geçirilmesi gerekmektedir.

Bağlam (Context) Ekleme

Bir alarmın değerini artıran unsurlardan biri, bağlamın (context) detaylandırılmasıdır. Kullanıcı, zaman dilimi, sistem durumu gibi bilgiler alana eklenerek analistlerin durumu daha iyi anlamasına yardımcı olur. Bu durum, alarm işlemlerinin etkinliği açısından önemli bir pozitif etki yaratır.

Kural Devre Dışı Bırakma

Alarmlar, zaman zaman yanlış pozitifler üretebilir. Çok fazla yanlış pozitif üreten bir kural geçici olarak devre dışı bırakılabilir. Bu işlem, analistlerin dikkatini doğru uyarılara yönlendirmelerine olanak tanır.

# Kuralı devre dışı bırakma komutu
disableRule "High Failure Rate Rule"

Bu komut, sürekli anormallik yaratan bir kuralı devre dışı bırakarak güvenlik süreçlerini optimize eder.

Sonuç olarak, olay, alarm ve korelasyonun doğru yönetilmesi, siber güvenlik koruma katmanlarının etkili ve verimli bir şekilde çalışmasını sağlar. Kullanılan teknikler ve yaklaşımlar, güvenlik analizi ve olay yönetimi açısından kritik rol oynamaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk, sahibi olduğu sistem ve verilerin karşılaşabileceği tehdit ve zafiyetler ile bağlantılıdır. Böylelikle, her bir olayın (event) güvenlik katmanında nasıl bir risk oluşturduğunu anlamak, siber savunma gücünü artırmak adına kritik bir öneme sahiptir. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlamanın yanı sıra, yanlış yapılandırma veya zafiyetlerin etkisi, sızan veriler, sistem topolojisi ve servis tespiti gibi konular ele alınacaktır.

Riskin Tanımlanması

Bir sistemde meydana gelen her olay, olasılıklar ve potansiyel etkiler açısından incelenmelidir. Olaylar, kullanıcıların sisteme giriş yapması, veri transferleri veya uygunsuz erişim girişimleri gibi tekil aktiviteleri içerir. Her bir olayın analiz edilmesi, tehditlerin, zafiyetlerin ve güvenlik açıklarının tespit edilmesi adına önemlidir. Örneğin:

Kullanıcı A'nın sisteme 5 kez hatalı giriş denemesi yapması.

Bu tür bir olay, potansiyel bir sızma girişimine işaret edebilir ve bu durum, sistemin güvenliği açısından yüksek risk taşıyan bir kriter haline gelir.

Yorumlama Süreci

Olayların doğru bir şekilde yorumlanması, "True Positive" ve "False Positive" gibi kavramların ayrımını yapabilmek için gereklidir. Gerçek anlamda zararlı bir aktivite, "True Positive" olarak tanımlanırken, normal bir davranışın sistemde tehlike olarak algılanması "False Positive" durumunu doğurur. Yanlış yapılandırmalar veya hatalı kural yazılımı nedeniyle olumsuz sonuçlar doğurabilir. Örneğin, kötü yapılandırılmış bir alarm kuralı, sık sık yanlış uyarılar (False Positive) üretebilir, bu da analistlerin gerçek tehditleri gözden kaçırmasına yol açar.

Güvenlik Zafiyetleri ve Etkileri

Sızan veriler ve güvenlik zafiyetleri, kuruluşlar için ciddi tehlikeler taşır. Örneğin, bir kurumun veri tabanında güvenlik açığı tespit edildiğinde, saldırganlar bu açığı kullanarak kritik verilere erişim sağlayabilirler. Bu durum, yalnızca veri kaybı değil, aynı zamanda kurumsal itibarın zedelenmesine de neden olabilir. En yaygın güvenlik zafiyetlerinden biri olan SQL Injection, kötü yapılandırılmış veritabanı sorgularının yanı sıra, zayıf kullanıcılardan toplanan bilgiler sayesinde oluşturulabilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik önlemleri almak, kurumların karşılaşabileceği riskleri minimize etmek adına kritik bir adımdır. İşte bazı temel öneriler:

  1. Etkileşimli Güvenlik Duvarları Kullanımı: Ağ trafiğini izleyerek anormal aktiviteleri engellemeye yardımcı olur.
  2. Düzenli Güncellemeler ve Yamalar: Sistemlerin güncel kalması için yazılım ve donanımların düzenli olarak güncellenmesi önemlidir.
  3. Erişim Kontrollerinin Sağlanması: Kullanıcı erişim izinlerinin minimum düzeyde tutulması, potansiyel zararın sınırlandırılmasında etkili olacaktır.
  4. Eğitim ve Farkındalık Yaratma: Çalışanlara düzenli olarak siber güvenlik eğitimi verilmesi, insan faktörünü azaltabilir.

Hardening süreçleri sırasında izlenmesi gereken önemli adımlar:

- Sistemin gereksiz servislerini kapatmak
- Varsayılan şifrelerin değiştirilmesi
- Güçlü şifre politikaları oluşturmak

Bu adımların atılmasıyla birlikte, siber saldırıların etkileri minimize edilebilir.

Sonuç

Siber güvenlikte risk, güvenlik tehditleri ve zafiyetlerle doğrudan ilişkilidir. Olayların etkili bir şekilde yorumlanması, yanlış yapılandırmaların ve zafiyetlerin hızlı bir şekilde tespit edilmesi için gereklidir. Kuruluşlar, sistemlerini güvenli hale getirmek için proaktif önlemler almalı ve siber güvenlik süreçlerini sürekli olarak iyileştirmelidir. Sadece teknolojik önlemlerle değil, aynı zamanda kullanıcıların bilinçlendirilmesi ile siber tehditlere karşı daha dayanıklı bir yapı oluşturulabilir.