CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Normalizasyon

Olay Kategorizasyonu: Siber Güvenlikte Temel Bir Kavram

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Normalizasyon

Olay kategorizasyonu, siber güvenlikte logların etkili bir şekilde analiz edilmesi için kritik öneme sahiptir. Bu kavramı daha yakından tanıyın.

Olay Kategorizasyonu: Siber Güvenlikte Temel Bir Kavram

Olay kategorizasyonu, siber güvenlik alanında logların sınıflandırılmasını ve analizini kolaylaştırarak, tehditleri daha etkin bir şekilde tespit etmeyi sağlar. İşte bu önemli kavramı keşfedin.

Giriş ve Konumlandırma

Olay kategorizasyonu, siber güvenlik alanında kritik bir kavram olarak karşımıza çıkmaktadır. Temel olarak, bir logun içeriğine bakılarak o eylemin hangi tür olayla ilişkili olduğunu belirleme işlemi olarak tanımlanabilir. Örneğin, bir logun "Oturum Açma", "Zararlı Yazılım Tespiti" ya da "Ağ Trafiği" gibi başlıklara ait olup olmadığını saptamak, olay kategorizasyonunun temel amacıdır. Bu süreç, siber güvenlik profesyonellerinin logları anlamlandırmalarını ve doğru alarmlar oluşturabilmelerini sağlayarak, hızlı ve etkili bir şekilde olaylara müdahale etmelerine olanak tanır.

Neden Önemli?

Olayların doğru bir şekilde kategorize edilmesi, hem operasyonel verimlilik hem de güvenlik duruşu açısından önemli avantajlar sunar. Kategorize edilmemiş loglarla çalışmak, her bir sistem için ayrı kurallar yazmayı gerektirir ki bu da zaman kaybına ve hata riskine yol açar. Örneğin, 'Başarısız Girişler' için VPN’e, Windows’a ve Linux’a ayrı ayrı kurallar oluşturmak yerine, bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sisteminde sadece 'Kimlik Doğrulama Hataları' kategorisine alarm yazmak yeterlidir. Bu, hem analiz hızını artırır hem de potansiyel güvenlik tehditlerine karşı daha etkili bir savunma mekanizması oluşturur.

Olay kategorizasyonu ayrıca siber tehdit avcılığı süreçlerinde de büyük bir rol oynar. Örneğin, SOC (Güvenlik Operasyon Merkezi) analistleri, belirli bir tehdit türünü tanımlamak ve müdahale etmek için olay kategorilerini kullanır. Kaba kuvvet saldırıları gibi tehditlerin tespitinde, analistin arama çubuğunda kullanacağı filtreler, kategorize edilmiş loglar sayesinde şekillenir. Aşağıda, kaba kuvvet saldırılarına ilişkin bir örnek filtre verilmiştir:

event.category = authentication AND event.outcome = failure

Bu filtre sayesinde, analist yalnızca başarısız kimlik doğrulama girişimlerini tespit edebilir, bu da tehdidin kaynağını daha hızlı ve etkili bir şekilde belirlemesine yardımcı olur.

Siber Güvenlik ve Pentest Bağlamında Olay Kategorizasyonu

Pentest (sızma testi) süreçleri, gerçekleştirilen testlerin sonuçlarının değerlendirilmesi aşamasında olay kategorizasyonunun önemini bir kez daha öne çıkarır. Penetrasyon testleri esnasında elde edilen logların kategorize edilmesi, hangi zayıf noktaların exploite (istismar) edildiğini, hangi sistemlerin daha fazla risk taşıdığını ve hangi tür saldırıların gerçekleştirildiğini net bir biçimde göstermektedir. Kategorilerin doğru bir biçimde belirlenmesi, test sonucunun analiz edilmesini ve gerekli güvenlik önlemlerinin alınmasını kolaylaştırır.

SIEM sistemlerinde, loglar belirli uluslararası standartlara (örneğin, CIM, ECS gibi) göre ayrılır. Bu standartlar, olayın doğru bir şekilde kategorize edilerek analiz edilmesini sağlar. Olay kategorizasyonunda ilk adım, olayın türünün belirlenmesi ve bu türlerin uygun kategoriler altında toplanmasıdır. Böylelikle, siber güvenlik ekipleri, olay verilerini daha etkin bir şekilde inceleyebilir ve çabalarını daha iyi bir şekilde yönlendirebilir.

Okuyucuya Yönelik Hazırlık

Siber güvenlikte olay kategorizasyonu, yalnızca log analizi ile sınırlı olmayıp, aynı zamanda tehdit tespiti, zafiyet yönetimi ve saldırı öncesi/sonrası müdahaleler açısından da son derece önemlidir. Dolayısıyla, bu kavramın derinlemesine anlaşılması, siber güvenlik uzmanlarının daha etkili stratejiler oluşturmasını sağlamaktadır. İşte bu bağlamda, olay kategorizasyonunu ele alırken, okuyucuların teknik bilgi ile donanmış bir şekilde konuyu takip edebilmeleri için gerekli terminolojiyi ve uygulama örneklerini incelemek önemlidir.

Kategorilerin, log kaydına nasıl işlendiği ve herhangi bir olayın başarısının (Success/Failure) hangi parametrelerle değerlendirildiği gibi detaylar, olay kategorizasyonunun gerçek potansiyelini anlamak adına kritik öneme sahiptir. Bu yazıda yer alan bilgiler, okuyucuların kendi sistemlerinde olay kategorizasyonunu nasıl uygulayabilecekleri konusunda bir yol haritası sunacaktır.

Teknik Analiz ve Uygulama

Olayın Türü Nedir?

Olay kategorizasyonu, bir logun içeriğinin belirli üst başlıklarla ilişkilendirilmesi sürecidir. Örneğin, bir logun 'Oturum Açma', 'Zararlı Yazılım Tespiti' veya 'Ağ Trafiği' gibi kategorilerine atanması gerekir. Bu işlem sayesinde güvenlik analistleri, olayları daha etkin bir biçimde izleyebilir ve yanıt verebilirler.

Bununla birlikte, eğer logları kategorize etmezseniz, 'Başarısız Girişler' için farklı sistemlere ayrı kurallar yazılması gerekecektir. Örneğin, bir VPN için, Windows için veya Linux için ayrı ayrı yapılandırmalar yapılması gerekir. Oysa kategorize edilmiş bir SIEM (Güvenlik Bilgi ve Olay Yönetimi) sisteminde sadece 'Kimlik Doğrulama Hataları' kategorisine alarm yazmak yeterli olacaktır. Bu, hem zaman tasarrufu sağlar hem de daha az hata olasılığı sunar.

Operasyonel Verimlilik

Olay kategorizasyonunun en büyük faydalarından biri, operasyonel verimliliği artırmasıdır. SIEM sistemleri, logları belirli uluslararası standartlara (CIM, ECS vb.) göre ayrılmaktadır. Bu standartları tanımak, analiz süreçlerini hızlandırır ve daha iyi bir izleme sağlar.

LOGKATEGORİZASYONU SÜRECİ:

  1. Logların Toplanması: Sistemden gelen logların düzenli bir haliyle toplanması.
  2. Kategorizasyon: Her bir logun ilgili kategoriye atanması.
  3. Analiz: Kategorize edilmiş logların analizlerinin yapılması.

Temel Kategori Sınıfları

Yaygın olarak kullanılan kategori sınıfları aşağıdaki gibidir:

  • Authentication (Kimlik Doğrulama): Sisteme giriş, çıkış, parola değiştirme ve yetki hataları logları.
  • Malware (Zararlı Yazılım): Antivirüs, EDR veya Sandbox araçlarının ürettiği tehdit tespit uyarıları.
  • Network Traffic (Ağ Trafiği): Firewall veya Router'lardan geçen, izin verilen veya engellenen paketler.

Bu temel kategoriler çerçevesinde logların doğru bir biçimde sınıflandırılması, olayların hızla değerlendirilmesi ve analiz edilmesi için kritik öneme sahiptir.

Eylemin Sonucu (Success/Failure)

Her bir olayın başarısını belirlemek için olayın sonucu da göz önünde bulundurulmalıdır. Diğer bir deyişle, bir log sadece 'Oturum Açma' kategorisine ait olmakla kalmamalı, aynı zamanda bu eylemin başarılı (success) mı yoksa başarısız (failure) mı olduğu da belirtilmelidir. Bu noktada, olayın durumu, SIEM sistemleri aracılığıyla logların içeriğine enjekte edilen etiketlerle belirlenir.

Bir örnek vermek gerekirse, bir Windows sunucusuna ait '4624' kodlu bir logda kullanıcı kimlik doğrulamasının gerçekleştirilip gerçekleştirilmediği belirtilir. Ancak bu tür bir log, "Bu bir kimlik doğrulama logudur" şeklinde bir ifade içermez. Bunun yerine, parsing (ayrıştırma) motoru, bu Event ID'yi gördüğünde logun içine event.category = authentication şeklinde kendi tanıdığı bir statik veriyi enjekte eder.

Kullanım Örneği:

Aşağıdaki örnekte, bir SOC analisti Brute Force (Kaba Kuvvet) saldırısı tespit etmeye çalışmaktadır. Arama çubuğunda şöyle bir filtre kullanabilir:

event.category = authentication AND event.outcome = failure

Bu ifade, kimlik doğrulama işlemlerinin başarısız sonuçlarını gösterecek şekilde filtrelenir.

Etiketleme İşlemi

Olay kategorizasyonu sürecinin bir diğer önemli adımı, etiketleme işlemidir. Etiketler, loglara ayrıştırma aşamasında manuel olarak eklenir. Örneğin, bir logun içine statik değerlerin eklenmesi işlemi, logun daha sonra analiz edilmesi açısından büyük kolaylık sağlar.

SIEM çözümlerinde, farklı sistemlerden gelen logları işlevlerine ve türlerine göre sınıflandırma işlemi, olay kategorizasyonu olarak adlandırılır. Bu süreç, analistlerin hangi tür tehditleri incelendiğine dair daha iyi bir anlayış geliştirmelerine yardımcı olur.

Tehdit Avcılığı: Kaba Kuvvet Araması

Tehdit avcılığı, olay kategorizasyonunun en kritik uygulama alanlarından biridir. SOC analisti, belirli filtreler kullanarak olası aleyhe durumları (örneğin, kaba kuvvet saldırıları gibi) tespit edebilir. Uygulanan filtrelerin doğru bir şekilde kullanımı, analistin olayları zamanında ve etkili bir şekilde inceleyebilmesine olanak tanır.

Sonuç olarak, olay kategorizasyonu, güvenlik olaylarını etkili bir biçimde yönetmenin temel bir bileşenidir. Analiz hızını artırarak, çok çeşitli siber tehditlere karşı daha etkin bir savunma mekanizması sağlar. Bu yaklaşım, hem sistemlerin güvenliğini artırmak hem de operasyonel verimlilik sağlamak açısından kritik bir önem taşır.

Risk, Yorumlama ve Savunma

Siber güvenlikte olay kategorizasyonu, her türlü güvenlik olayını anlamak ve yönetmek için hayati bir rol oynamaktadır. Olayların doğru bir şekilde kategorize edilmesi, sadece güvenlik tehditlerini hızlıca tanımlamakla kalmaz, aynı zamanda bu tehditlerin potansiyel etkilerini de anlamamıza yardımcı olur. Mevcut güvenlik durumunu ve potansiyel riskleri değerlendirerek, sistemin güvenliğini artırmak için gerekli önlemleri alabiliriz.

Olayların Anlaşılması

Bir güvenlik olayı log kaynağında karşılaştığımızda, bu olayın ne tür bir işlem içerdiğini tanımlamak ilk adımdır. Örneğin, bir log kaydında '4624' Event ID'si ile karşılaştığımızda, bu bir kimlik doğrulama girişimi olduğu anlamına gelir. Ancak sadece bu bilgi yeterli değildir; aynı zamanda olayın sonucunu (outcome) da bilmemiz gerekir. Olayın başarılı (success) mı yoksa başarısız (failure) mı olduğunu belirlemek, bu veriyi değerlendirmek için kritik öneme sahiptir.

Event ID: 4624
Type: Authentication
Outcome: Success

Doğru bir olay kategorizasyonu ile, sistemin hangi bölümlerinin daha fazla risk altında olduğunu tanımlamak mümkündür. Örneğin, bir "Başarısız Giriş" olayı için ayrı bir alarm ayarlamak yerine, tüm kimlik doğrulama hatalarını tek bir 'Kimlik Doğrulama Hataları' kategorisine koymak daha etkilidir.

Yanlış Yapılandırma ve Zayıflıklar

Yanlış yapılandırmalar, siber güvenlikte önemli zafiyetler oluşturur. Yanlış bir erişim kontrol listesi (ACL) veya zayıf bir şifre politikası, kötü niyetli kullanıcılar tarafından istismar edilebilir. Bu tür zafiyetler tespit edildiğinde, sistemin güvenliğini sağlamak için hızlı bir şekilde müdahale etmek gereklidir.

Örneğin, bir ağ güvenlik duvarında yanlış yapılandırılmış kurallar, yetkisiz erişim girişimlerine olanak tanıyabilir. Bu tür bir olayın log verisinde 'deny' (reddetme) işlemi görülüyorsa, bu durum sistemin hala saldırılara maruz kalabileceği anlamına gelir.

Tehdit Avcılığı

Kaba kuvvet saldırıları gibi tehditlerin etkili bir şekilde tespit edilmesi için, olayların doğru bir şekilde kategorize edilmesi son derece önemlidir. SOC (Security Operations Center) analistleri, aşağıdaki gibi filtrelemeler kullanarak tehdit avcılığında daha verimli hale gelebilir:

event.category = authentication AND event.outcome = failure

Bu tür bir arama, güvenlik analistlerinin potansiyel tehditleri belirlemesini sağlarken, yanlış pozitiflerin de minimize edilmesine olanak tanır.

Profesyonel Önlemler ve Hardening

Siber güvenlikte etkin bir savunma mekanizması oluşturmak için, olayların hızlı bir şekilde kategorize edilmesi gereklidir. Aşağıda, sistem güvenliğini artırmak için önerilen bazı önlemler bulunmaktadır:

  1. Güvenlik Duvarı Yapılandırması: Tüm ağ trafiğini dikkatli bir şekilde analiz edin. Güvenlik duvarı kurallarının doğru bir şekilde yapılandırıldığından emin olun.

  2. Olay Kategorisi İyileştirmeleri: SIEM (Security Information and Event Management) sistemlerinde logların belirli standartlara göre ayrılması, analiz hızını artırır. CIM ve ECS gibi ortak bilgi modellerini inceleyin ve uygulayın.

  3. Düzenli Güncellemeler: Yazılımlarınızı ve altyapınızı güncel tuttuğunuzdan emin olun. Zafiyetleri gidermek için düzenli kontrol ve güncelleme süreçleri oluşturun.

  4. Eğitim ve Farkındalık: Çalışanlara siber güvenlik farkındalık eğitimi vererek insan faktöründen kaynaklanan zafiyetleri azaltın.

Sonuç

Olay kategorizasyonu, siber güvenlik olaylarının etkili bir şekilde yönetilmesinde anahtar bir unsurdur. Olayların türünü ve sonucunu anlamak, potansiyel tehditleri hızla değerlendirmek ve doğru savunma mekanizmalarını uygulamak için gereklidir. Yanlış yapılandırmalar ve zayıflıkların etkisini ortadan kaldırmak, güvenli bir bilgi sistemi elde etmek için esastır. Bu nedenle, olay kategorilerinin doğru bir şekilde belirlenmesi ve uygun savunma önlemlerinin alınması, siber güvenlik stratejilerinin temel taşlarından biridir.