CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

`Project` ve `Extend` ile Siber Güvenlikte Verilerinizi Daha Anlamlı Hale Getirin

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Siber güvenlikte veri analizi için `project` ve `extend` operatörlerini öğrenin.

Project ve Extend ile Siber Güvenlikte Verilerinizi Daha Anlamlı Hale Getirin

project ve extend operatörleri, siber güvenlikte veri analizi ve raporlama süreçlerini kolaylaştıran güçlü araçlardır. Bu yazıda, bu operatörlerin işleyişini keşfedin.

Giriş ve Konumlandırma

Siber güvenlik dünyasında, verilerin doğru bir şekilde analiz edilmesi ve sunulması, güvenlik tehditlerine karşı etkili bir savunma mekanizması oluşturmanın temel unsurlarından biridir. Güçlü bir siber savunma için, yalnızca verinin toplanması yeterli değildir; aynı zamanda o veriyi anlamlı bir hale getirerek analiz etmek de kritik bir öneme sahiptir. İşte bu bağlamda, project ve extend operatörleri, verileri anlamlı hale getirmenin ve siber güvenlik süreçlerini optimize etmenin anahtar araçları olarak ön plana çıkmaktadır.

Verilerin Anlamlı Hale Getirilmesi

Günümüzün karmaşık veri dünyasında, işlenen verilerin sayısı hızla artmakta ve bu durum, analiz süreçlerini zorlaştırmaktadır. project operatörü, analiz edildiğinde önemli olan belirli sütunları seçip diğerlerini gizleyerek verilerin sadeleştirilmesine olanak tanır. Bu, analistlerin yalnızca ihtiyaç duydukları verilere odaklanmalarını ve işlemleri daha hızlı gerçekleştirmelerini sağlar. Örneğin, KQL (Kusto Query Language) kullanarak basit bir sorgu yazımında:

| project Kullanıcı = AccountName, IP_Adres = IPAddress

şeklindeki bir kullanım, karmaşık veriler arasında kaybolmadan, belirli öğeleri öne çıkararak daha anlaşılır hale getirir.

Siber Güvenlikte Önemi

Siber güvenlik analistleri, farklı veri setlerini kullanarak potansiyel tehditleri tespit etme amacı güderler. Verilerin net bir şekilde sunulması, sorunların daha hızlı bir biçimde saptanmasını ve çözülmesini sağlar. extend operatörü ise, mevcut veriyi zenginleştirerek yeni hesaplanmış sütunlar yaratma olanağı sunar. Böylece, daha fazla bilgiye sahip olabilmek için mevcut verilerden yararlanarak yeni göstergeler oluşturulabilir. Örneğin:

| extend Risk_Skoru = Sayfa_Sayısı * 10

yazımı, mevcut verilerden yeni bir değerlendirme yapılabilmesi için esneklik sağlar. Bu tür işlemler, siber tehditlerin risk düzeylerini belirlemek amacıyla kritik öneme sahiptir.

Pentest ve Savunma Açısından Bağlamlandırma

Siber güvenlikte penetrasyon testi (pentest), sistemlerin zayıf noktalarını tespit etmek için yapılan simüle edilmiş saldırılardır. Bu süreçte, elde edilen verilerin analizi, saldırı vektörlerinin belirlenmesi ve güvenlik açığı istihbaratının geliştirilmesi açısından son derece önemlidir. Kullanıcıların hareketlerini izlemek, logları analiz etmek ve anormal davranışları tespit etmek için kapsamlı ve net verilere ihtiyaç vardır. project ve extend operatörlerinin etkin bir şekilde kullanılması, bu verilere ulaşmanın yanı sıra analistin karar verme süreçlerini hızlandırır ve daha isabetli sonuçlar elde edilmesine yardımcı olur.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu blog serisi boyunca, verilerinizi daha anlamlı bir hale getirmek için project ve extend operatörlerinin nasıl kullanılacağını derinlemesine inceleyeceğiz. Teknik detaylara inerek, örnek uygulamalar ve pratik kullanım senaryoları ile konuyu daha iyi kavrayacak ve siber güvenlik stratejilerinizi geliştirebilmek için yeni bakış açıları kazanacaksınız. Bu yazılar, siber güvenlik uzmanlarının ve analistlerinin günlük işlemlerinde karşılaştıkları zorlukların üstesinden gelmek için ihtiyaç duyacakları değerli bilgiler sunmaktadır. Verilerinizi onları daha iyi anlamanızı sağlayacak anlamlı bir biçimde düzenlemek, sadece çok sayıda veriyi işlemekten çok daha fazlasını gerektirir; bir stratejik yaklaşımdır.

Teknik Analiz ve Uygulama

Görünümü Sadeleştir

Siber güvenlik alanında veri analizi yaparken, karmaşık veri setlerinden yalnızca gerekli bilgilere ulaşmak önemlidir. Bu durumda project operatörü devreye girer. project, analiz için gerekli olan belirli sütunları seçip diğerlerini gizlemeye yarar. Bir siber güvenlik makalesinde, bu operatörün kullanımını daha anlaşılır kılmak için şu şekilde bir örnek verebiliriz:

| project Kullanıcı = AccountName, IP_Adresi = IPAddress

Bu komut, AccountName sütununu Kullanıcı olarak ve IPAddress sütununu IP_Adresi olarak yeniden adlandırır. Böylece, raporların okunabilirliği artar ve analiz süreci daha verimli hale gelir.

Anlamlı Başlıklar

Yaptığınız analizlerdeki sütun isimlendirmeleri, verilerin anlamını belirginleştirmek açısından kritik öneme sahiptir. Aynı project operatörünü kullanarak, değişik sütunlarınızı daha anlamlı hale getirirseniz bu, bütün verinin anlaşılabilirliğini artırır. Örneğin, sadece bir kullanıcı için IP adresini çekmek üzere şu şekilde sorgu yazabilirsiniz:

| project Kullanıcı = AccountName, IP_Adresi = IPAddress

Veri setlerinde anlamlı başlıkların olması, güvenlik uzmanlarının hızla ve etkili bir şekilde içgörü elde etmesine yardımcı olur.

Sütun Operasyonları

Bir veri kümesi üzerinde sadece bazı sütunları tutmak ve diğer sütunları kaldırmak için project-away operatörü kullanabilirsiniz. Bu operatör, belirli sütunları tablodan çıkartarak daha az karmaşık bir görünüm sağlar. Örneğin:

| project-away Kullanıcı_Şifresi, Güncelleme_Tarihi

Bu komutla, sadece ihtiyacınız olan sütunları tutarak kullanıcı şifreleri ve güncelleme tarihlerini tablodan çıkarmış olursunuz.

Veriyi Zenginleştir

Analizlerde ileri düzey bilgiler sunmak için mevcut sütunlardan yeni bilgiler oluşturmak gerekebilir. İşte bu noktada extend operatörü devreye girer. extend komutu, mevcut sütunları korurken yeni hesaplanmış sütunlar ekleyerek verinizi zenginleştirir. Örneğin, bir risk analizi uygulaması için şu şekilde kullanılabilir:

| extend Risk_Skoru = Sayfa_Sayısı * 10

Burada, Sayfa_Sayısı değişkeni kullanılarak her bir kullanıcının risk skorunu hesaplamış olduk. Bu tür hesaplamalar, siber güvenlik analizlerinde önemli anlamlar taşır.

Yeni Göstergeler

Güvenlik analistleri için kullanıcı aktivitelerini daha iyi anlamak üzere verileri zenginleştirmek her zaman kritik bir ihtiyaçtır. extend operatörü ile oluşturduğumuz yeni göstergeler, tespit ve yanıt süreçlerini kolaylaştırabilir. Örneğin, kullanıcının aktif olduğu saat dilimini göstermek için bir hesaplanan sütun eklemek mümkündür:

| extend Aktif_Saat = datetime_part("hour", ZamanDamgasi)

Bu, gün boyunca kullancıların en yoğun olduğuna dair içgörüler sunar ve bu bilgiyi güvenlik protokollerini güncellemek için kullanabilirsiniz.

Hızlı İsimlendirme

Veri analizinde belirli bir sütunun adını değiştirmek gerektiğinde, project-rename operatörü kullanmak en pratik yöntemdir. Örneğin, aşağıdaki kod ile kullanıcı bilgilerini daha anlaşılır hale getirebiliriz:

| project-rename Kullanıcı_Adı = AccountName

Bu işlem, belirtilen sütunun adını değiştirirken diğer tüm sütunları korumanıza imkan tanır.

Modül Sonu

Veri kümesi içerisinde project ve extend operatörlerinin nasıl kullanılacağını öğrendiğimizde, veri setlerini daha anlamlı hale getirmek için güçlü araçlara sahip olduğumuzu görmüş olduk. Bu iki operatör özellikle karmaşık veri setlerinde bilgiyi sadeleştirir, anlamlı hale getirir ve analiz sürecini hızlandırır. Siber güvenlikte doğru veriyi çekmek ve analiz etmek, etkin bir siber savunma stratejisi geliştirmek için kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte verilerin analizi, etkili bir risk değerlendirme stratejisi oluşturmak için kritik öneme sahiptir. Özellikle karmaşık yapılar ve büyük veri setleri arasında anlamlı bilgi elde etmek, her güvenlik uzmanının karşılaştığı temel zorluklardan biridir. Project ve Extend gibi KQL (Kusto Query Language) komutlarının etkili bir şekilde kullanılması, verilerin analizini daha da anlamlı hale getirir.

Risk Değerlendirmede Temel Adımlar

Risk analizi yaparken, elde edilen verilerin siber güvenlik açısından anlamını yorumlamak önemlidir. Güvenlik olayları, yanlış yapılandırma ya da mevcut zafiyetler, saldırganların sistemlerde neden çok hızlı hareket edebileceğini gösterir. Örneğin, sistemde bir güvenlik açığı tespit edildiğinde, bu durum kullanıcılara hasar verebilir veya kritik verilere erişimi tehdit edebilir. İşte burada project ve extend komutları devreye girmektedir.

Project Komutunun Kullanımı

Project komutu, yalnızca belirlediğiniz sütunları tutarak diğerlerini gizlemenize olanak tanır. Bu, analiz içindeki gereksiz bilgilerden arınmanızı sağlar. Örneğin, bir kullanıcı etkinlik kaydı tablosuna sahipseniz ve yalnızca kullanıcı adı ve IP adresi gibi bilgilerin analiz edilmesini istiyorsanız, aşağıdaki şekilde bir sorgu yazabilirsiniz:

Events
| project Kullanıcı = AccountName, IP_Adresi = ClientIP

Bu sorgu sonucunda, yalnızca kullanıcı adı ve IP adresi bilgilerini görebilirsiniz. Diğer tüm sütunlar, bu sorgunun sonucunda yer almayacaktır. Bu sayede, veri setiniz daha anlaşılır ve yönetilebilir hale gelir.

Extend Komutunun Önemi

Extend komutu, mevcut tablodaki verileri korurken yeni hesaplanmış sütunlar eklemenize olanak tanır. Bu, analiz sürecimizi zenginleştirir. Örneğin, bir güvenlik durumu için risk skoru oluşturmak isteyebilirsiniz; bunun için extend komutunu kullanabilirsiniz. Aşağıdaki gibi bir sorgu ile belirli değişkenlere bağlı olarak risk skoru hesaplamak mümkündür:

Events
| extend Risk_Skoru = Sayfa_Sayısı * 10

Bu sorguda, Sayfa_Sayısı sütunu kullanılarak risk skoru hesaplanmakta, böylece her bir kullanıcı etkinliği için bir risk değerlendirmesi yapılmaktadır.

Yanlış Yapılandırmalar ve Zayıflıkların Etkisi

Yanlış yapılandırmalar, genellikle güvenlik açıkları oluşturur. Eğer bir sistem yanlış biçimde yapılandırılmışsa, bu durum veri sızıntılarına veya kötü niyetli kullanıcıların erişimine yol açabilir. Örneğin, bir veritabanında kimlerin hangi verilere erişim hakkı olduğunun yanlış ayarlanması, siber saldırganlara kolaylık sağlayacaktır. Bu nedenle, Risk_Skoru gibi metriklerin sürekli olarak gözlemlenmesi, riskleri önceden tespit etmenizi sağlar.

Veri sızıntıları, genellikle sistem topolojisi veya dış iletişim sağlanan servislerin tespit edilmesi ile ortaya çıkar. Bu noktada, project komutu ile izleyici yapılandırılabilirken, extend komutu yardımıyla veri keşfi sürecine entegre edilebilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte değişkenliği azaltmak, sistemin hardening (sertleştirme) süreçlerinin aksatılmamasını gerektirir. İşte bu süreçte dikkate almanız gereken başlıca önlemler:

  1. Güncellemeleri Yönetin: Sistem yazılımlarının güncel tutulması, bilinen zayıflıklara karşı koruma sağlar.
  2. Güvenlik Duvarları ve IDS: Yenilikçi güvenlik duvarları ve saldırı tespit sistemleri kullanarak dış tehditlere karşı koruma sağlayın.
  3. Veri Sınıflandırması: Verilerinizi sınıflandırarak, hangi verilerin daha hassas olduğunu belirleyin ve buna göre koruma stratejileri geliştirin.
  4. Erişim Kontrolleri: Kullanıcı erişim kontrollerinin etkili bir biçimde yapılandırılması, herhangi bir sızıntının önüne geçilmesi için kritik bir adımdır.

Sonuç olarak, Project ve Extend gibi KQL komutlarının etkin bir kullanımı, veri analizi süreçlerini anlamlı hale getirir. Risk değerlendirmelerinizi güçlendirmek için bu araçların sunduğu olanakları etkili bir biçimde kullanmak, siber güvenlikte büyük avantajlar sağlayacaktır. Anlamlı veriler ile zafiyetleri azaltmayı amaçlamak, güvenlik stratejilerinizin başarısını artıracaktır.