CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

SIEM Üzerinde Log Kaynağı Sağlık Kontrolü: Temel Bilgiler ve İpuçları

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

SIEM sisteminin log kaynaklarının sağlık kontrolünü yapmanın önemini keşfedin. Eşleşmeleri ve denetimleri öğrenin.

SIEM Üzerinde Log Kaynağı Sağlık Kontrolü: Temel Bilgiler ve İpuçları

SIEM sistemlerinde log kaynaklarının sağlık kontrolü, güvenlik analizi için kritik öneme sahiptir. Bu yazıda, sağlık kontrolü süreçlerinin nasıl işlediğini ve nelere dikkat edilmesi gerektiğini öğreneceksiniz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında etkin bir tehdit tespiti ve yönetimi yapmak için SIEM (Security Information and Event Management) sistemleri, organizasyonların güvenlik altyapısının kalbini oluşturmaktadır. Bu sistemler, ağ üzerindeki pek çok cihazdan ve uygulamadan gelen log verilerini toplayarak, analiz eder ve bu veriler üzerinden potansiyel tehditleri belirlemeye yardımcı olur. Ancak SIEM sistemlerinin etkinliği, bu sistemlere bağlı olan log kaynaklarının sağlıklı bir şekilde çalışmasına bağlıdır. İşte burada "Log Kaynağı Sağlık Kontrolü" devreye girer; bu, SIEM sisteminin temel bileşenlerinin izlenmesi ve sağlıklı işleyişinin garantilenmesi için kritik bir adımdır.

Log kaynağı sağlık kontrolü, SIEM sistemine bağlı cihazların veri gönderip göndermediğini izlemek ve herhangi bir aksaklığı anında tespit etmek amacıyla yapılan bir denetimdir. SOC (Security Operations Center) ekiplerinin görünürlüğünü arttıran bu süreç, aynı zamanda siber saldırılara karşı hızlı tepki verebilme yeteneğini de artırır. Hızla değişen tehdit ortamında, bu tür sağlık kontrollerinin düzenli olarak yapılması, organizasyonların siber güvenlik stratejilerinin sağlamlığı açısından hayati öneme sahiptir.

Neden Önemli?

Siber güvenlikte tehlikelerin çoğu, sistemlerin veri toplama ve analiz süreçleri sırasında meydana gelen aksaklıklardan kaynaklanır. SIEM sistemi, log verilerini toplayarak tehditleri ortaya çıkarmaya çalışırken, bu verilerin doğru ve zamanında ulaşması gereklidir. Örneğin, "Log Gecikmesi" (Ingestion Lag) kavramı, bir olayın gerçekleştiği an ile SIEM ekranına yansıtıldığı an arasındaki zaman farkını tanımlar. Eğer bu fark çok açılırsa, analistler bir saldırıyı gereken zamanda fark edemeyebilirler; bu da ciddi bir güvenlik açığına yol açar.

Log sağlık kontrolü aynı zamanda, log kaynaklarının performansını ve verimliliğini izlemek için de gereklidir. Ekibin kullanabileceği istatistikler ve metrikler, log akışındaki anormalliklerin tespit edilmesine yardımcı olarak potansiyel saldırıları önceden engellemeye veya daha hızlı bir şekilde tepki vermeye olanak sağlar.

Siber Güvenlik Bağlamında

Pentesting (penetrasyon testi) süreçlerinde, log verilerinin kalitesi ve sağlığı güvenlik uzmanlarına kritik bilgiler sağlar. Bir saldırganın sisteme giriş yaptığı anı veya kötü niyetli bir etkinliği tespit edebilmek için, log kaynaklarının kesintisiz ve doğru çalışması gereklidir. Ayrıca, logların doğru bir şekilde ayrıştırılması (parsing), yani ham verilerin uygun alanlara bölünmesi de çok önemlidir. Eğer bir cihazın ayrıştırma hatası oranı artıyorsa, bu durum logların güvenilirliğini tehdit eder ve hızlı bir müdahale gerektirir.

İyi bir SIEM çözümü, sadece dışarıyı izlemekle kalmamalı, aynı zamanda kendi iç sağlığını da izleyebilmeli ve bu bilgileri analiste etkili bir dashboard ile sunabilmelidir. Bu sayede, siber güvenlik ekipleri hem tehditleri değerlendirebilir hem de kendi altyapılarının sağlığını sürdürebilir.

Hazırlık ve Nüanslar

Log kaynağı sağlık kontrolü süreci, her ne kadar basit görünse de, derinlemesine bir teknik bilgi ve sürekli izleme gerektirir. Bu blog serisinde, log kaynağı sağlık kontrolünün temel bileşenlerini, sağlık belirtilerini ve kontrol listelerini ele alacağız. Ayrıca, sağlık kontrolü sırasında karşılaşabileceğiniz potansiyel sorunların nasıl giderileceğine dair pratik ipuçları sunacağız. Bu bilgiler, hem yeni başlayanlar hem de deneyimli analistler için değerli bir kaynak olacaktır.

Siber güvenlik alanında bu tür bilinçli yaklaşımlar, organizasyonların dayanıklılığını artırır ve siber tehditlere karşı daha etkili savunmalar geliştirilmesine yardımcı olur. Şimdi, bu sağlık kontrolünün ayrıntılarına ve iyi bir pratik uygulama için gerekli bilgilere dalalım.

Teknik Analiz ve Uygulama

Sistemin Nabzı: Sağlık Kontrolü

Siber güvenlikte, SIEM (Security Information and Event Management) sistemleri, organizasyonların güvenlik olaylarını izlemesi ve yanıt vermesi için kritik öneme sahiptir. Bu sistemlerin etkinliği, log kaynaklarının sağlığının sürekli izlenmesine bağlıdır. Log kaynaklarının sağlık kontrolü, sistemdeki tüm cihazların bilgileri zamanında ve doğru bir şekilde SIEM'e gönderip göndermediğini belirlemeye yardımcı olur. Sağlık kontrolü, SOC (Security Operations Center) ekipleri için günlük rutinlerin en temel parçalarından biridir.

Görünmez Tehlike: Log Gecikmesi

Log gecikmesi, bir olayın gerçekleştiği an ile bu olayın SIEM ekranına düştüğü an arasındaki zaman farkını ifade eder. Bu sürenin aşırı uzun olması, saldırıların tespit edilmesinde önemli bir gecikmeye yol açabilir ve bu durum, siber güvenlikte büyük bir risk oluşturur.

Log gecikmesi ile ilgili belirtileri izlemek için, log toplama sistemlerinde periyodik kontroller yapılmalıdır. Aşağıdaki komut, gecikmeyi izlemek için kullanılabilecek temel bir ölçümdür:

# Vaka log gecikmesini izleme
grep --include=\*.log "event_time" /var/log/sis_events.log | awk '{print $1,$2,$3}' | sort | uniq -c

Bu komut, event_time kelimesi içeren logları tarayarak zaman damgalarını toplayacak ve tekrar edenleri sayacaktır. Elde edilen veriler, bir anomalinin olup olmadığını belirlemek için kullanılabilir.

Grafik Okuma: Sağlık Belirtileri

Log kaynakları arızalandığında veya sağlıksız çalıştığında, SIEM üzerinde çeşitli sağlık belirtileri ortaya çıkar. Örneğin, bir log kaynağının EPS (Events Per Second) değerinin aniden sıfıra düşmesi, log akışının tamamen durduğunu gösterir. Bu durumu izlemek için kullanılabilecek bir grafik, belirli bir süre boyunca EPS değerlerinin trendini göstermektir. Eğer grafik "Flatline" (Düz Çizgi) olarak görünüyorsa, bu durumda o log kaynağında bir sorun olabileceğini gösterir.

# EPS değerlerini görselleştirmek için basit bir matplotlib grafik
import matplotlib.pyplot as plt

# Örnek EPS değerleri
eps_values = [100, 200, 150, 0, 250, 300]
time_period = ['T1', 'T2', 'T3', 'T4', 'T5', 'T6']

plt.plot(time_period, eps_values)
plt.title('Log Kaynağı EPS Değerleri')
plt.xlabel('Zaman Periyodu')
plt.ylabel('EPS')
plt.axhline(0, color='red', linestyle='--')  # Düz çizgi
plt.show()

Öz-İzleme: Self-Monitoring

SIEM sistemlerinin kendi bileşenlerinin yanı sıra log kaynaklarının sağlığını izlemek için oluşturduğu iç denetim mekanizmasına self-monitoring denir. Bu, disk, CPU ve bellek gibi bileşenlerin aktiflik durumunu izlemeyi içerir. İyi bir SIEM, dışarıda olan tehlikelerin yanı sıra, kendi iç sağlığını da takip etmelidir. Sağlık kontrollerini otomatikleştirmek, analistlerin manuel inceleme ihtiyacını azaltır ve yanlış anlaşılmalara sebep olan insan hatalarını en aza indirir.

Otomatik Denetim: Threshold Alarms

Log sağlığını otomatik hale getirmek için "eşik değeri" (threshold) tabanlı alarmlar kurmak faydalı olabilir. Örneğin, "Domain Controller logları son 10 dakikada ortalama 50 EPS altına düşerse bana haber ver" kuralı, anormal bir durumun fark edilmesini sağlar. Bu tür alarmlar, log kaynaklarının aktivitesini sürekli izler ve olası sorunlarda anında bildirimde bulunur.

Veri Kalitesi: Parsing Sağlığı

Bir log kaynağı sağlıksız çalışsa da ya da log akışı devam etse bile, verilerin doğru ayrıştırılamaması siber güvenlik açısından büyük bir tehdit oluşturur. Eğer bir cihazın parsing failure (ayrıştırma hatası) oranı artıyorsa, bu durum log formatının değişmiş olabileceğini gösterir. Bu tür bir sorunla karşılaşılması durumunda, logun kaynağında bir sorun olduğunu belirtilmelidir.

# Parsing hatalarını izlemek için örnek bir kuyruk
cat /var/log/syslog | grep "parse error"

Bu komut, syslog dosyasında ayrıştırma hatalarını belirtilerek, sorunun kaynağını tespit etmeye yardımcı olacaktır.

Özet: Sağlık Denetim Listesi

Sonuç olarak, sağlık kontrolü listesi, bir SOC analistinin çalışma gününe başlamadan önce gözden geçirmesi gereken ilk belgedir. Bu liste, log kaynaklarının durumu ile ilgili potansiyel sorunları çabuk tespit etmeye yardımcı olur:

  • Log gecikmesi kontrolü
  • EPS trend analizi
  • Self-monitoring bileşen durumu
  • Threshold alarm bildirimleri
  • Parsing sağlık durumu

Bu noktaların gözden kaçırılmaması, efektif bir siber güvenlik operasyon merkezi için kritiktir. Sağlık kontrollerini düzenli yapmak, organizasyonunuzun genel güvenlik duruşunu büyük ölçüde iyileştirecektir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, log kaynakları sistemlerin sağlığını izlemek ve güvenlik olaylarına yanıt vermek için kritik öneme sahiptir. SIEM (Security Information and Event Management) çözümleri, log kaynaklarından elde edilen verileri analiz ederek güvenlik durumunu değerlendirmeye yardımcı olur. Ancak, bu verilerin güvenlik anlamını yorumlamak için sistematik bir yaklaşım gereklidir. Aksi takdirde, yanlış yapılandırmalar, güvenlik açıkları ve sızma olayları gözden kaçabilir.

Log Gecikmesi ve Oluşturduğu Riskler

Log gecikmesi, bir olayın meydana gelmesi ile bu olayın SIEM sistemine ulaşması arasında geçen süreyi ifade eder. Eğer bu gecikme aşırı açığa çıkarsa, analistlerin güvenlik tehditlerini zamanında tespit etmesi mümkün olmayabilir. Örneğin, bir saldırı 2 saat boyunca tespit edilmese, bu, sistemin kaldırabileceğinden daha büyük bir zarar yaratabilir.

Aşağıdaki durum, log gecikmesinin ne denli kritik bir risk oluşturabileceğini göstermektedir:

Log Gecikmesi: Bir DDoS saldırısının başladığını tespit etmek için SIEM ekranında güncellenmiş veriler, olayın üzerinden geçen 120 dakikadan sonra görülüyor. Bu, sistem yöneticisinin tepkisini geciktirir ve saldırının şiddetini artırır.

Bu tür gecikmeler, sistemin doğal savunma mekanizmalarını zayıflatır ve nitelikli bir tehdit gözlemi yapılamaz. Dolayısıyla, log gecikmesini en aza indirmek için verimli bir sağlık kontrolü mekanizması oluşturulmalıdır.

Yanlış Yapılandırma ve Zafiyet Belirtileri

Log kaynaklarının sağlığı izlenmediğinde ortaya çıkan bir başka sorun, yanlış yapılandırmalardır. Hem yazılımsal hem donanımsal kaynakların hataları, log akışında "flatline" (düz çizgi) durumuna yol açabilir. Bu, log akışının tamamen durduğu anlamına gelir ve mevcut tehditleri gizleyebilir. Log kaynaklarından alınan verilerde anormal artışlar veya azalmalar ise acil bir durumun belirtisi olabilir.

Örneğin, log miktarlarının normalin üstünde olması "Abnormal Volume" olarak değerlendirilir ve bu genellikle bir siber saldırının habercisi olarak algılanır:

Durum: 5000 log girişinin kaydedildiği bir saat içinde, normalde 200 log kaydı olmalı. Bu durum, bir güvenlik açığının işareti olabilir.

Bu tür anormalliklerin izlenmesi ve zamanında analiz edilmesi, güvenlik ekiplerinin müdahale süresini önemli ölçüde kısaltır.

Verilerin Anlamlı Olması ve Parsing Sorunları

Log akışı sağlanıyor olsa da, verilerin doğru bir şekilde ayrıştırılmaması ("Parsing Failure") da ciddi bir güvenlik sorunu oluşturur. Eğer SIEM veriyi okuyamazsa, analistler anlamlı bir analiz yapamayabilir. Bunun sonucunda gözden kaçırılan riskler, sistemin açıklıklarına yol açabilir.

Parsing Failure: Belirli bir cihazdan gelen logların %30'u ayrıştırılamıyor. Bu, log formatının değişmesinden kaynaklanıyor olabilir ve gerekli güncellemeler yapılmadığı takdirde uzun vadede sistem güvenliğini tehlikeye atar.

Bu durumu önlemek için, log kaynaklarının formatlarının güncel tutulması ve sağlık kontrollerinin düzenli olarak yapılması gerekmektedir.

Profesyonel Önlemler ve Hardening Önerileri

Log kaynaklarının güvenliğini artırmak ve mücbir sebeplere karşı dayanağı güçlendirmek için aşağıdaki profesyonel önlemler alınmalıdır:

  1. Eşik Değerleri Belirlemek: Log akışı için belirli eşik değerleri tanımlanmalı ve bu değerlerin altına düşüldüğünde alarm sistemleri devreye girmelidir.

    Örnek Kural: Eğer Domain Controller logları son 10 dakikada ortalama 50 EPS altına düşerse haber ver.

  2. Düzenli Sağlık Kontrolleri: Log kaynaklarının ve SIEM sistemlerinin düzenli olarak sağlık kontrolleri yapılmalı, log akışı ve sistem kaynaklarının durumu sürekli izlenmelidir.

  3. Otomatik Uyarı Sistemleri Kullanmak: Log akışında herhangi bir abnormal durum tespit edildiğinde otomatik uyarılar gönderen sistemler kurulmalıdır.

Sonuç Özeti

Log kaynaklarının sağlık kontrolü, siber güvenlikte kritik bir unsur olarak öne çıkmaktadır. Log gecikmeleri, yanlış yapılandırmalar ve veri ayrıştırma hataları, güvenlik açılarını oluşturabilir. Bu nedenle, düzenli sağlık kontrolleri, yapılandırma yönetimi ve etkili alarm sistemleri kullanmak, risklerin minimize edilmesi ve sistemin güvenliğinin artırılması açısından gereklidir. Siber tehditlere karşı mücadelede proaktif bir yaklaşım sergilemek, güvenlik açıklarının tespit edilmesi için hayati öneme sahiptir.