CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Olay ve Alarm: Siber Güvenlikte Temel Farklılıklar

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Siber güvenlikte olay ve alarm arasındaki farkları anlayın. Hangi durumların kritik olduğunu belirlemek, olayları yönetmek için önemlidir.

Olay ve Alarm: Siber Güvenlikte Temel Farklılıklar

Bu yazıda siber güvenlikte olay ve alarm arasındaki farklılıkları keşfedeceksiniz. Log kayıtlarından kritik bildirimlere geçiş sürecini adım adım öğreneceksiniz.

Giriş ve Konumlandırma

Olay ve Alarm: Siber Güvenlikte Temel Farklılıklar

Siber güvenlik alanında, olay ve alarm kavramları arasındaki ayrımı doğru bir şekilde anlamak, güvenlik süreçlerini yönetmede kritik bir öneme sahiptir. Bu kavramlar çoğu zaman karıştırılsa da, her biri farklı işlevleri ve anlamları ifade eder. Çünkü bir olay, güvenlik süreçlerinin bir parçası olarak değerlendirilirken, alarm, potansiyel bir tehdit veya ihlal durumunu işaret eden bir uyarıdır.

Olay Kavramının Tanımı

Olay, sistemde gerçekleşen her türlü işlemi ve durumu açıklayan genel bir terimdir. Örneğin, bir kullanıcının sisteme giriş yapması, bir dosyanın indirilmesi veya bir hizmetin durması gibi herhangi bir durum olay olarak kaydedilir. 

Olay = Sistemdeki her tür işlem veya durumun log kaydı

Büyük bir kurumsal ağda her saniyede on binlerce olay meydana gelir. Bu nedenle, SOC (Security Operations Center) analistleri için olayların doğasını anlamak kritik bir beceridir. Sadece bir Log kaydı türü olarak kabul edilen olaylar, çoğu zaman zararsız iken, bazıları güvenlik tehditleri ile ilgili olabilir. Bu sebeple, sıradan bir olayı doğrudan bir tehdit olarak yorumlamak yanıltıcı olabilir.

Alarm Kavramının Anlaşılması

Alarm, sistemde meydana gelen olayların belirli bir kural çerçevesinde değerlendirilmesi sonucunda oluşan bir durumdur. SIEM (Security Information and Event Management) sistemleri, belirli güvenlik kurallarına göre filtreleme yaparak, analistlerin incelemesi gereken kritik durumları belirler. Örneğin, belirlenmiş bir eşiği aşan bir olay dizisi alarm oluşturur.

Alarm = Analistin dikkatine sunulan, tehdit olabileceği düşünülen durum

Bir olay, arka planda yer alan SIEM motoru tarafından değerlendirildiğinde, olayların birbirleriyle ilişkisi ve belirli kuralların tetiklenmesi sonucunda bir alarma dönüşebilir. Örneğin, sıradan bir "yanlış parolayı girme" olayı, kendi başına bir alarm üretmeyecekken, eğer bu olayı takip eden aşırı sayıda yanlış parola girişiminde bulunulursa (örneğin, 1 dakika içinde aynı hesaba 20 farklı IP adresinden giriş denemesi yapılıyor ise), bu durum alarm olarak değerlendirilir.

Olay ve Alarm Arasındaki İlişkiler

Olaylar ve alarmlar arasındaki ilişkilerin daha iyi anlaşılabilmesi için bazı önemli kavramlar üzerinde durmak faydalıdır. İlk olarak, olayların alarmlara dönüşme süreci, belirlenen sınır değerlerine (threshold) bağlıdır. Bir olayın kritik sayılabilmesi için belirli bir kriterin (eşik değerinin) aşılması gereklidir.

Örneğin, bir kullanıcının şifresini iki kez hatalı girmesi, normal bir olaydır. Ancak, bu yanlış girişlerin sayısı, sistemde belirlenen limiti aştığında (örneğin 5 kez hatalı giriş), bir alarm üretilir. Bu tür olayların değerlendirilmesi, SOC analistinin temel yetkinliklerinden biridir.

Eşik Değerinin Önemi

Eşik değeri, herhangi bir olayın, potansiyel bir alarm üretmesi için geçmesi gereken belirli bir sınırdır. SOC analistleri, bu tür eşik değerlerini anlamadan etkin bir güvenlik yönetimi gerçekleştiremezler. Basit düzeyde bir açıdan bakıldığında, sıradan bir olay alarm düzeyine geçmeden önce, bu tür kuralların ve sınırların dikkatli bir şekilde belirlenmesi gereklidir.

Bu kavramların teknik olarak anlaşılması, siber güvenlik alanında etkin bir şekilde çalışmanın ve gelişmiş güvenlik önlemleri almanın anahtarıdır. Bu nedenle, olay ve alarm arasındaki farklılıkları ve bunların birbirleriyle olan ilişkilerini anlamak, siber güvenliğin temel unsurlarından biridir. Analistler, olayları izleme ve analiz etme becerisine sahip olmanın yanı sıra, alarmları doğru bir şekilde değerlendirme yeteneğine de sahip olmalıdır. Bu yetenekler, güvenliğin korunması adına kritik rol oynar.

Teknik Analiz ve Uygulama

Event (Olay) Kavramını Tanımlamak

Siber güvenlikte "event" (olay), sistemlerde, ağ cihazlarında veya uygulamalarda gerçekleşen her türlü işleme ve duruma verilen genel bir isimdir. Bir kullanıcının sisteme giriş yapması, bir dosyanın indirilmesi veya bir web sayfasının ziyaret edilmesi gibi işlemler, bu kapsamda değerlendirilen olaylar arasında yer almaktadır. Bu olaylar, doğrudan bir tehdit olup olmadıkları yorumlanmamış standart log kayıtlarıdır ve siber güvenlik analizinin temelini oluşturur.

Olayları gerçek dünyadaki karşılıklarıyla örneklendirirsek, bir kullanıcının bir dosyayı indirmesi veya bir sunucuya başarılı bir şekilde bağlanması gibi durumlar, aslında sisteme dair sıradan olaylardır. Ancak, bu olayların büyük bir bölümünün herhangi bir güvenlik tehdidi taşımadığı göz önünde bulundurulmalıdır.

Olayların Doğasını Anlamak

Büyük bir kurumsal ağda, saniyede on binlerce olay (EPS - Events Per Second) gerçekleşmektedir. SOC (Siber Operasyon Merkezleri) analistlerinin bilmesi gereken en önemli kural, loglanan verilerin çoğunun sistemin iç işleyişi veya kullanıcıların rutin görevleri çerçevesinde oluştuğudur. Dolayısıyla, sıradan bir log kaydını hemen bir tehdit olarak değerlendirmek yanıltıcı olabilir.

Bu aşamada, olayların doğasını anlayabilmek için SOC ekipleri, geçmişte meydana gelen olayları inceleyerek "normal" davranışları belirlemeye çalışır. Bu sayede anormal veya şüpheli durumlar daha kolay tespit edilebilir.

Alert (Alarm) Kavramını Tanımlamak

"Alert" (alarm), SIEM (Security Information and Event Management) sistemleri aracılığıyla oluşturulan, güvenlik kurallarıyla eşleşen ve analistin incelemesi için ekrana düşen kritik bildirimlerdir. Eğer bir olay şüpheli bir davranış sergiliyorsa, bu olay bir alarma dönüşebilir. Örneğin, bir kullanıcıya ait hesaba farklı IP adreslerinden peş peşe hatalı parolo girişleri yapılması, bir alarm olarak sınıflandırılabilir.

Bir alarm üretme sürecinde, belirli bir kural seti ve korelasyon teknolojisi kullanılır. Aşağıda bu sürece dair bir örnek verilmiştir:

Kural: Kullanıcıya ait bir hesaba sadece 1 dakika içinde 20 yanlış parola girişimi yapılması.
Elde edilen son: Bu durumu tespit eden SIEM motoru, alarm oluşturur.

Kavramları Hiyerarşik Olarak Ayırmak

Bir SOC ortamında olayların alarmlara dönüşme süreci, dikkatle izlenmelidir. Her olay kendi başına bir alarm oluşturmaz; bu süreç belirli koşullara bağlıdır. Basit bir "yanlış parola girildi" olayı sıradan bir durumken, arka planda çalışan SIEM motorunun farklı IP adreslerinden yapılan hatalı giriş denemelerini tespit etmesi, olayların alarmlara dönüşmesini sağlar.

Bu noktada, olayın alarmlara dönüşmesinin mantığını daha iyi anlamak için basit bir akış şeması oluşturulabilir:

  1. Olay Oluşumu: Bir kullanıcı, sistemdeki bir servise bağlanmak için parolasını hatalı girer. (Event)
  2. Korelasyon ve Filtreleme: SIEM, bu durumu izler ve zamanla diğer olaylarla birleştirir.
  3. Alarm Üretimi: Eğer belirlenen eşik (threshold) aşılırsa, sistem bir alarm oluşturur. (Alert)

Olaydan Alarma Geçiş Süreci

Sıradan bir olayın alarmlara dönüşebilmesi için belirli bir eşik (threshold) değerini aşması gerekmektedir. Örneğin, bir kullanıcının iki kez şifresini hatalı girmesi olağan bir durum olsa da, bu sayı belirli bir limiti (örneğin 5 defa) aşarsa alarm yaratma potansiyeline sahip hale gelir.

Eşik Kuralı: Kullanıcı 5 kez hatalı parola girdiğinde alarm oluştur.
Sonuç: Sistem, bu durumu tespit ederse, analistin incelemesi için alarm yaratır.

Bu tür eşik değerleri, sistem yöneticilerinin anormal davranışları hızlı bir şekilde tespit etmelerine yardımcı olur.

Senaryolar Üzerinden Event ve Alert Analizi

Son aşamada, teorik tanımları pratik örneklerle eşleştirerek, SOC analistinin olayları ve alarmları nasıl değerlendireceğini anlamak kritik öneme sahiptir. Örneğin:

  1. Olay (Event): Bir personelin sabah 08:30'da şirketin VPN servisine başarılı bir şekilde bağlanması.
  2. Alarm (Alert): Aynı personelin Türkiye'den VPN'e bağlandıktan sadece 5 dakika sonra, Rusya'dan da giriş yapmaya çalışması.

Bu tür bir senaryo, teknik analiz sürecinin önemli bir parçasıdır. Analist, bu gibi durumları değerlendirerek, gerçek bir ihlal (incident) olup olmadığına karar verebilir.

Bu bilgilerin ışığında, siber güvenlik süreçlerinin etkin bir şekilde yürütülmesi ve olayların yönetimi için SOC analistlerinin temel yetkinlikleri arasında yer alan olay ve alarm ayrımı, güvenlik stratejilerinin başarısı için elzemdir. Bu ayrımlar sayesinde, potansiyel tehditler daha hızlı tespit edilerek etkili bir müdahale süreci başlatılabilir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, olaylar ve alarmlar arasındaki net ayrımı yapabilmek, bir güvenlik olayına verilecek tepkinin türünü belirlemek açısından kritik öneme sahiptir. Bu bölümde, elde edilen bulguların güvenlik anlamı, yanlış yapılandırma ya da zafiyet durumları, sızan verinin etkileri ve profesyonel önlemler üzerinde duracağız.

Olayların Güvenlik Anlamı

Bir olay, sistemde gerçekleşen her türlü işlem veya durum olarak tanımlanabilir. Örneğin, bir kullanıcının sisteme giriş yapması veya bir dosyanın indirilmesi gibi. Önemli olan, her olayın bir tehdit oluşturup oluşturmadığını doğru bir şekilde yorumlayabilmektir. Sıra dışı bir durum, sıradan bir olaydan farklı olarak inceleme gerektirebilir.

Sistemlerde gerçekleşen ve loglanan her türlü işlem temel düzeyde bir olay (event) olarak kabul edilir.

Bir kurumsal ağda, saniyede binlerce olay meydana gelir. Her bir olayın incelenmesi, zaman alıcı ve kaynak tüketen bir süreçtir. Bu nedenle, olayların özelliklerini ve boyutunu anlamak, güvenlik analistleri için kritik bir beceridir.

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmalar, sistemin güvenliğini ciddi şekilde tehdit edebilir. Örneğin, bir firewall üzerinde açık bırakılan gereksiz portlar, kötü niyetli kullanıcıların sisteme sızma olasılığını arttırabilir. Aşağıda, yanlış yapılandırma kaynaklı olası etkiler yer almaktadır:

  • Açık portlar: Gerekli güvenlik önlemleri alınmadığında sistemin zayıf noktaları oluşur.
  • Zafiyet kullanımları: Saldırganlar, bilinen zafiyetleri kullanarak sisteme girebilirler.

Yanlış yapılandırmaların tespiti için düzenli yapılacak güvenlik taramaları, etkin bir savunma stratejisinin parçasıdır.

Sızan Veri ve Etkileri

Sızma olayları, şirketlerin itibarı üzerinde büyük bir tehdit oluşturur. Söz konusu bir veri ihlali olduğunda, kaybolan verinin özelliği oldukça önemlidir. Örneğin, müşteri bilgileri, finansal bilgiler veya kurumsal sırlar gibi hassas verilerin sızması, hem maddi hem de manevi geri dönüşü olmayan hasarlar yaratabilir.

Bir personelin sabah 08:30'da şirketin VPN servisine başarılı bir şekilde bağlanması (sadece olay) ile, aynı personelin 5 dakika sonra farklı bir IP adresinden giriş yapmaya çalışması (şüpheli alarm) arasında ciddi farklar vardır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliğin artırılması için çeşitli önlemler alınabilir. İşte bazı öneriler:

  1. Güçlü Parola Politikaları: Kullanıcıların güçlü parolalar kullanmasını sağlamak ve periyodik olarak değiştirmelerini istemek önemlidir.

  2. Ağ Segmentasyonu: Ağın farklı bileşenlerini isolate ederek, bir alandan diğerine geçişleri zorlaştırmak.

  3. Firewall ve IDS/IPS Sistemleri Kullanımı: Incoming ve outgoing trafiği sürekli gözlemlemek ve anormal aktiviteleri engellemek için etkin güvenlik duvarları ve izleme sistemleri kullanmak.

  4. Düzenli Güvenlik Taramaları: Sistemler üzerindeki zafiyetlerin düzenli olarak taranması, olası saldırıların önüne geçebilir.

  5. Eğitim ve Bilinçlendirme: Çalışanların güvenlik konularında düzenli olarak eğitilmesi, insan kaynaklı hataların azaltılmasına yardımcı olur.

Sonuç Özeti

Sonuç olarak, olayların ve alarmların ayrımı, güvenlik yönetiminde kritik bir rol oynar. Olayların doğasını anlamak ve potansiyel tehditleri saptamak, güvenlik süreçlerini etkinleştirir. Yanlış yapılandırmalar ve zafiyetler, ciddi tehditler oluşturabilirken, alınacak profesyonel güvenlik önlemleriyle bu tehditlerin etkisi önemli ölçüde azaltılabilir. Bu bağlamda, sürekli analiz ve geliştirme, her zaman ön planda tutulmalıdır.