CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Siber Güvenlikte Sorgu Dillerinin Temelleri: Seçim, Filtreleme ve Agregasyon

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Bu blog yazısında, sorgu dillerinin seçim, filtreleme ve agregasyon mantığını keşfedin. Siber güvenlik alanında etkili veri analizi için ipuçları.

Siber Güvenlikte Sorgu Dillerinin Temelleri: Seçim, Filtreleme ve Agregasyon

Sorgu dilleri, siber güvenlikte verileri analiz etmek için kritik öneme sahiptir. Bu yazıda, seçim, filtreleme ve agregasyon prensiplerini detaylı bir şekilde ele alıyoruz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, dijital dünya üzerinde var olan tehditleri geçiştirmekten çok daha fazlasını ifade eder. Bu bağlamda, en kritik bileşenlerden biri de verinin analizidir. Verinin etkili bir şekilde analiz edilebilmesi, siber güvenlik süreçlerinin başarısı için hayati öneme sahiptir. Bu süreç, doğru sorgu dilleri kullanılarak gerçekleştirilen seçim, filtreleme ve agregasyon işlemleri ile desteklenir. Aşağıda bu kavramların siber güvenlik alanındaki rolü ve önemi detaylı olarak ele alınacaktır.

Sorgu Dillerinin Temeli ve Önemi

Sorgu dilleri, veri kaynaklarından anlamlı bilgiler elde etmek için kullanılan araçlardır. Seçim, filtreleme ve agregasyon, bu dillerin temel yapı taşlarıdır. Özellikle büyük veri setleri ile çalışılan durumlarda, bu araçların etkin kullanımı, zaman ve kaynak verimliliğini artırır. Örneğin, belirli bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) platformunda işlem yaparken, binlerce log arasında belirli kriterlerle daraltma yapılması gerektiğinde filtreleme işlemi devreye girer. Bu sayede analistler, günler sürecek veri incelemelerini saatlerle sınırlı bir zaman dilimine indirebilir.

filter Condition: "Result == Failure"

Kod parçacığında görüldüğü gibi, "Result" alanı üzerinden filtreleme yaparak yalnızca başarısız girişleri listelemek mümkündür. Bu tür sorgular, analistlerin zaman kaybını önler ve odaklanmalarını sağlar, böylece siber saldırıların tespit edilmesi hızlanır.

Siber Güvenlik ve Sorgulama Arasındaki Bağlantı

Pentest (penetraasyon testi) ve savunma açısından da sorgu dilleri kritik bir rol oynamaktadır. Pentest sürecinde, potansiyel zayıflıkların ve açıkların tespit edilmesi amacıyla sistemlerin, uygulamaların ve ağların detaylı bir şekilde analiz edilmesi gerekmektedir. Bu noktada seçim ve filtreleme teknikleri, test sürecinin etkinliğini artırır. Dolayısıyla, pentester’lar için bu dillerde yeterlilik, saldırıya uğramış bir sistemden veri çekebilmek ve analiz edebilmek anlamına gelir.

Savunma mekanizmaları için ise, hızlı bir şekilde olay müdahale süreçlerinin gerçekleştirilmesi büyük önem taşır. Güvenlik ihlalleri anında tespit edilmeli ve gerektiğinde önlem alınmalıdır. Bu süreçte, filtreleme ve agregasyon kullanılarak elde edilen veriler, sahte pozitiflerin ayıklanmasında ve gerçek tehditlerin tanımlanmasında belirleyici olabilir.

Okuyucuya Hazırlık

Sorgu dillerinin temel yapı taşlarını anlamak, siber güvenlik alanındaki profesyoneller için büyük bir avantaj sağlar. Bu yazıda, "seçim", "filtreleme" ve "agregasyon" kavramları ele alınarak, bunların nasıl kullanılacağı ve siber güvenlikteki etkileri üzerinde durulacaktır. Bu konuları öğrenmek, yalnızca bilgi edinmekle kalmayıp, aynı zamanda siber güvenlik stratejilerinin etkinliğini artırma noktasında da yardımcı olacaktır.

Sonuç olarak, sorgu dillerinin temel bileşenleri, siber güvenlik süreçlerinin temeline ışık tutar. Doğru uygulandığında, bu kavramlar, bilginin hızla işlenmesi, tehditlerin tespiti ve sistem güvenliğinin sağlanmasında önemli bir işlev görür. Okuyucular, ilerleyen bölümlerde bu kavramların nasıl uygulandığını ve pratikteki karşılıklarını inceleyeceklerdir.

Teknik Analiz ve Uygulama

Siber güvenlik alanında büyük veri kümelerinin analizi, özellikle de günlük dosyalarının incelenmesi, etkin bir güvenlik yönetimi için kritik öneme sahiptir. Bu noktada, sorgu dilleri (örneğin, SPL - Search Processing Language veya KQL - Kusto Query Language) işlevsel bir araç olarak öne çıkar. Bu diller, veriler üzerinde sorgulama yaparken belirli adımlar ve yöntemler izleyerek analistlerin hedeflerine ulaşmasına yardımcı olur. Bu bölümde, siber güvenlikteki sorgu dillerinin temel yapıları olan seçim, filtreleme ve agregasyon kavramlarına derinlemesine bakacağız.

Seçim (Selection)

Sorgu yazımındaki ilk adım, üzerinde çalışılacak veri kaynağının belirlenmesidir. Veritabanında hangi tabloya (örneğin, SigninLogs, FirewallLogs) başvurulacağını bilmek kritik bir öneme sahiptir. Bu aşama seçim olarak adlandırılır ve uygun tabloyu belirlemek, sorgunuzu daha hedefli hale getirir.

Örnek bir seçim ifadesi:

index=security_logs sourcetype=SigninLogs

Bu durumda, security_logs indeksinden SigninLogs türündeki kaynakları seçmiş olduk.

Filtreleme (Filtering)

Bir diğer önemli adım, veriyi daraltma işlemidir. Filtreleme, belirli koşullara uyan verilerin öne çıkmasını sağlar. Örneğin, "başarısız giriş" kayıtlarını incelemek istiyorsanız, şartlarınızı belirlemeniz gerekir.

Aşağıda, başarısız girişleri filtrelemek için bir örnek gösterilmektedir:

index=security_logs sourcetype=SigninLogs Result="Failure"

Bu sorgu, Result alanında "Failure" olan tüm kayıtları listelemektedir. Böylece, ilgili durum dışında kalan tüm veriler elenerek, analistlerin odaklanması gereken kayıtlar belirlenmiş olur. Filtreleme işleminin ne kadar erken yapıldığı, sorgunun performansını doğrudan etkiler.

Agregasyon (Aggregation)

Sorgulama sürecinin bir diğer önemli bileşeni de verilerin gruplandırılması veya özetlenmesidir. Agregasyon, genellikle büyük veri kümesinden anlamlı istatistikler çıkarmak için kullanılır. Örneğin, en çok başarısız giriş yapan kullanıcıları listelemek, veriyi gruplayarak elde edilebilir.

Örnek bir agregasyon sorgusu şu şekilde görülebilir:

index=security_logs sourcetype=SigninLogs Result="Failure"
| stats count by User
| sort -count

Bu sorgu, öncelikle başarısız giriş yapan kullanıcıları seçer, ardından stats komutu ile her kullanıcının ne kadar başarısız giriş yaptığını sayar ve sonuçları azalan sırada sıralar.

Pipeline Yapısı

Sorgu dillerinde veri akışını düzenlemek için bir "boru hattı" (pipeline) yapısı kullanılır. Bu yapıda, bir aşamanın çıktısı bir sonraki aşamaya aktarılır. Örneğin, yukarıdaki filtreleme ve agregasyon aşamaları, | operatörü ile bir araya getirilmiştir. Bu operatör, veri akışında önemli bir rol oynar ve sorgunun her aşamasında bağlayıcı işlevi üstlenir.

Performans Odaklılık

Sorgu yazımında dikkat edilmesi gereken en önemli noktalardan biri, performans odaklı bir yaklaşım sergilemektir. Filtreleme ne kadar erken yapılırsa, sorgunun çalışma süresi ve verimliliği o kadar artar. Genel bir kural olarak, veriyi kaynağında süzmek, performansı artırmanın anahtarıdır. 

index=security_logs sourcetype=SigninLogs Result="Failure"
| stats count by User
| where count > 5
| sort -count

Bu örnek, yalnızca 5 veya daha fazla başarısız giriş yapan kullanıcıları listeleyerek daha hedefli bir sonuç elde etmeyi sağlar.

Veri Aktarım Hattı

Veri aktarım hattı, sorgu bileşenlerinin nasıl etkileşimde bulunduğunu gösterir. Her aşama, veriyi bir sonraki aşamaya ileterek daha anlamlı analizlerin yapılmasına olanak tanır. Bu akış, analistlerin büyük veri yığınları içinde kaybolmasını önleyerek, etkin kararlar almasına yardımcı olur.

Soruların cevapları ve deneyimlerin paylaşımı, iş süreçlerinin optimize edilmesinde önemli bir yer tutar. Sorgu dillerinden en iyi şekilde yararlanmak için bu temel yapıları anlamak ve uygulamak, siber güvenliğin önemli bir parçası haline gelmiştir.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında, elde edilen bulguların güvenlik anlamını yorumlamak kritik öneme sahiptir. Özellikle, yanlış yapılandırmalar ya da sistem zafiyetleri durumunda, bu durumların olası etkilerini değerlendirmek, organizasyonların siber güvenlik stratejilerini belirlemesine yardımcı olabilir. Bu bölümde, siber güvenlik verisinin analizi üzerine yapılan yorumlamalardan yola çıkarak, riskleri anlayacak ve savunma stratejilerini belirleyeceğiz.

Elde Edilen Bulguların Yorumlanması

Öncelikle, siber güvenlik olayları sırasında toplanan verilerin kaynakları ve bu verilerin sistem güvenliği açısından önemi üzerine durmalıyız. Örneğin, bir SIEM (Security Information and Event Management) sistemi üzerinde toplanan log verileri, çeşitli işlemlerin ve kullanıcı aktivitelerinin kaydını tutar. Aşağıdaki sorgu, sistemdeki başarısız oturum açma girişimlerini incelemek için kullanılabilir:

SELECT * FROM SigninLogs WHERE Result = 'Failure'

Bu sorguda, "SigninLogs" tablosundaki kayıtlar, "Result" alanı "Failure" olanlar ile filtrelenmiştir. Bu tür bir sorgu, hangi kullanıcıların sistemde başarısız giriş denemeleri yaptığına dair net bir bakış sunar.

Yanlış yapılandırmalar veya zafiyetler, belirli bir kullanıcı veya sistem bileşeni için ciddi güvenlik tehditleri oluşturabilir. Örneğin, sürekli başarısız giriş denemeleri yapan bir kullanıcı, bir saldırgan tarafından hedef alınmış olabilir. Böyle durumlarda, "kim, ne zaman, nerede?" gibi sorulara yanıt aramak, potansiyel tehditleri anlamak için kritik bir adımdır.

Zafiyetlerin Etkisi

Bir sistemdeki zafiyetler spesifik bir hizmete veya veriye karşı saldırıları kolaylaştırabilir. Örneğin, bir kullanıcı hesabının zayıf şifreye sahip olması, o hesap üzerinden bir sızıntıya yol açabilir. Bu durumda, gereken önlemler alınmadığında, tüm sistemin güvenliği tehlikeye girebilir.

Elde edilen veriler, saldırı yüzeyinin genişlemesine dair işaretler içerebilir. Aktif oturumları takip etmek için şu sorgu örneği kullanılabilir:

SELECT User, COUNT(*) AS LoginAttempts 
FROM SigninLogs 
WHERE TimeStamp > NOW() - INTERVAL '1 DAY' 
GROUP BY User 
ORDER BY LoginAttempts DESC

Bu sorgu, son bir günde hangi kullanıcıların en fazla giriş girişiminde bulunduğunu gösterir. Bu tür bilgiler, hangi kullanıcıların dikkatle izlenmesi gerektiği hakkında önemli ipuçları sağlayabilir.

Savunma Önlemleri ve Hardening

Savunma stratejileri oluştururken, elde edilen bulguların yorumlanması kadar, bu verilerden çıkan sonuçların uygulanması da kritik öneme sahiptir. İlk adım olarak, sistemde tespit edilen zafiyetlerin giderilmesi ve güvenlik politikalarının güncellenmesi gerekir. Kullanıcıların güçlü şifreler kullanması ve iki faktörlü kimlik doğrulama sisteminin devreye alınması gibi basit ama etkili önlemler, güvenliği artırabilir.

Ek olarak, sunucular ve ağ cihazları için hardening süreçleri gereklidir. Bu süreçler, varsayılan ayarların değiştirilmesi, gereksiz hizmetlerin devre dışı bırakılması ve düzenli güncellemelerin yapılması gibi adımları içerir. Örneğin, gereksiz hizmetlerin kapatılması, sistemin saldırı yüzeyini azaltır.

Sonuç Özeti

Elde edilen bulguların güvenlik anlamını yorumlamak, siber güvenlik stratejileri geliştirmek için kritik bir adımdır. Yanlış yapılandırma veya zafiyetlerin etkisi, sızan veriler ve sistem topolojisi üzerinde büyük bir etki yaratabilir. Etkili savunma önlemleri almak, siber riskleri yönetmek için gereklidir. Sonuç olarak, belirli güvenlik önlemlerini uygulamak, organizasyonların siber tehditlere karşı daha sağlam bir duruş sergilemesine yardımcı olacaktır. Bu bağlamda, sürekli izleme ve güncelleme, güçlü bir siber güvenlik altyapısının temel taşlarıdır.