CyberFlow Logo CyberFlow BLOG
Soc L1 Tehdit Vektorleri Malware Giris

SIEM ile Malware Alarm Korelasyonu: Güvenlikte Yeni Yaklaşımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Tehdit Vektorleri Malware Giris

SIEM platformları sayesinde malware alarmlarının korelasyonu nasıl sağlanır? Siber güvenlikte tehdit tespiti için önemli bilgileri keşfedin.

SIEM ile Malware Alarm Korelasyonu: Güvenlikte Yeni Yaklaşımlar

SIEM ile malware alarmlarını korele etmek, siber güvenlikte etkin bir yaklaşım sunar. Bu yazıda, SIEM kavramından alarm yönetimine kadar önemli noktaları ele alıyoruz.

Giriş ve Konumlandırma

SIEM Kavramı

Siber güvenlik alanında kullanılan temel araçlardan biri olan Güvenlik Bilgisi ve Olay Yönetimi (Security Information and Event Management - SIEM), bir organizasyonun güvenlik verilerini toplamak, analiz etmek ve yönetmek için geliştirilmiş bir platformdur. SIEM sistemleri, ağ ve sistemlerden gelen logları bir central üzerinde toplar, bu verileri gerçek zamanlı olarak analiz eder ve potansiyel tehditleri tespit etme amacı güder. Böylece, güvenlik uzmanları için olay yönetimini daha etkili hale getirir. Günümüzde, siber tehditlerin giderek karmaşıklaşmasıyla birlikte SIEM sistemlerinin önemi de artmaktadır.

SIEM uygulamaları, temel olarak çok sayıda veri kaynağından gelen bilgilerle çalışır. Örneğin, firewall logları, Endpoint Detection and Response (EDR) logları, Intrusion Detection Systems (IDS) ve proxy logları bu veri kaynaklarının başında gelir. Bu kaynaklardan gelen verilerin analiz edilmesi, kötü niyetli etkinliklerin tespit edilmesinde kritik bir rol oynar.

log_sources = ["Firewall Logs", "EDR Logs", "IDS Logs", "Proxy Logs"]
for log in log_sources:
    print(f"Veri kaynağı: {log}")

Korelasyon Gücü

SIEM sistemlerinin en büyük avantajlarından biri, farklı veri kaynaklarından gelen logları bir araya getirerek olaylar arasında korelasyon sağlamasıdır. Olay korelasyonu, birden fazla güvenlik alarmlarını analiz ederek gerçek tehditlerin tespit edilmesini kolaylaştırır. Tekil alarmların, birbirleriyle ilişkili olabileceği durumlarda, bu alarmların korele edilmesi, daha büyük tehditleri ortaya çıkarabilir. Böylelikle, sadece bireysel alarmlara bakmak yerine, bu alarmlar arasında bir bağ kurarak daha kapsamlı bir analiz gerçekleştirilir.

Örneğin, bir kullanıcının alışılmadık bir şekilde belirli portlar üzerinden etkinlik göstermesi durumunda, eğer aynı anda bu kullanıcının hesabıyla ilişkili olarak toplu veri indirme işlemleri gerçekleşiyorsa, bu durum potansiyel bir siber saldırının işareti olabilir. Bu tür bir durum, SIEM sistemi tarafından otomatik olarak tespit edilebilir.

Temel Log Kaynakları

SIEM uygulamaları, çeşitli kaynaklardan gelen logları analiz ederken bu kaynakların kalitesi ve güvenilirliği son derece önemlidir. Anahtar veri kaynakları şunlardır:

  • Firewall Logları: Ağ trafiğinin analizine olanak tanır.
  • EDR Logları: Uç nokta davranışlarını izler.
  • IDS Logları: Elde edilen istihbaratı değerlendirir.
  • Proxy Logları: Kullanıcıların internete erişim alışkanlıklarını kaydeder.

Bu logların doğru ve etkili bir şekilde analiz edilmesi, herhangi bir saldırının önceden tespit edilmesi ve gerekli önlemlerin alınabilmesi açısından kritik öneme sahiptir.

Event Correlation

Event correlation, siber güvenlikte olayların ilişkili olduğunu anlamak ve bunları değerlendirmek için kullanılan bir tekniktir. SIEM sistemleri, event correlation özelliği ile birden fazla veri kaynağından gelen alarmları bir araya getirir ve bu alarmların birbirleriyle olan ilişkilerini ortaya koyar. Örneğin, bir kullanıcının beklenmedik bir bölgeden giriş yapması ile mevcut bir malware ücreti arasında bir ilişki kurulabilir.

Bu tür bir analiz, yalnızca siber güvenlik uzmanlarının olayları anlamalarına yardımcı olmakla kalmaz, aynı zamanda tehdit avcılarının ve olay müdahale ekiplerinin daha proaktif bir yaklaşım benimsemelerine olanak tanır.

Alarm Kalitesi

SIEM sistemleri, yüksek kaliteli alarmlar üretebilmek için sürekli optimizasyon gerektirir. Yanlış pozitifler (false positives) azaltılmadığı sürece, güvenlik ekipleri sürekli olarak gereksiz alarmlar arasında kaybolabilirler. Dolayısıyla, alarm yönetimi esnasında bağlamsal analizlerin gerçekleştirilmesi, tehditlerin gerçekliğini değerlendirme açısından kritik bir öneme sahiptir. Bu noktada, doğru yapılandırılmış SIEM çözümleri, güvenlik ekiplerinin odaklanmalarını gereksiz alarmlardan çok gerçek tehditlere yönlendirebilir.

Artık siber güvenlik ortamında SIEM sistemi kullanmanın daha fazla anlam kazandığı bir dönemdeyiz. SIEM ile malware alarm korelasyonu, organizasyonlar için önemli bir savunma stratejisi olarak ön plana çıkmakta ve güvenlik olaylarına karşı daha etkili bir yanıt verilmesine olanak tanımaktadır.

Teknik Analiz ve Uygulama

SIEM Kavramı

Security Information and Event Management (SIEM), güvenlik loglarını toplamak, analiz etmek ve korumak için kullanılan bir sistemler bütünü olarak tanımlanabilir. SIEM çözümleri, ağdaki çeşitli cihazlardan ve sistemlerden gelen verileri birleştirerek güvenlik olaylarını yönetmeyi sağlar. Bu platformlar, bilgiler arasında ilişkilendirmeler yaparak potansiyel tehditleri ortaya çıkarma yeteneği ile öne çıkar. SIEM, organizasyonların güvenlik durumunu geliştirmek ve tehditlere karşı daha hızlı yanıt vermek için kritik bir araçtır.

Korelasyon Gücü

SIEM'in en güçlü yanlarından biri, olay korelasyonu yeteneğidir. Olay korelasyonu, birden fazla güvenlik olayının ilişkilendirilerek analiz edilmesini ifade eder. Tekil alarm tarzındaki bildirimler genellikle gerçek bir tehditin tespitinde yetersiz kalabilir. Korelasyonlu olaylar, birincil tehdit göstergeleri arasında bağlantılar kurarak daha anlamlı ve faydalı içgörüler sunar. Olay korelasyonu süreci, çeşitli veri noktalarının bir araya getirilmesi ve bunların birbirleriyle ilişkilerinin değerlendirildiği bir yöntemle gerçekleştirilir.

Örneğin, bir ağ geçidi (Firewall) tarafından kaydedilen olağan dışı bir girişim, bir Endpoint Detection and Response (EDR) sistemi tarafından tespit edilen şüpheli bir işlem ile ilişkilendirildiğinde, potansiyel bir tehditin varlığı daha net bir şekilde belirlenebilir. Bu bağlamda, aşağıda basit bir korelasyon kuralı örneği verilmiştir:

SELECT *
FROM firewall_logs AS f
JOIN edr_logs AS e ON f.source_ip = e.source_ip 
WHERE f.event_type = 'IntrusionAttempt' AND e.process_name = 'malicious.exe';

Bu SQL sorgusu, ağ geçidinde bir saldırı girişimi ile tespit edilen kötü amaçlı bir işlem arasındaki ilişkiyi bulmayı amaçlar.

Temel Log Kaynakları

SIEM sistemleri, çeşitli log kaynaklarından gelen verileri toplar. Bu kaynaklar arasında Firewall logları, EDR logları, IDS (Intrusion Detection System) logları, DNS logları ve endpoint logları yer alır. Her bir log kaynağının sağladığı bilgiler farklıdır, ancak birlikte kullanıldıklarında güvenlik durumunu daha iyi analiz etme olanağı sunar. Aşağıda bu log kaynaklarına dair kısa tanımlar bulunmaktadır:

  • EDR Logları: Endpoint davranış verileri. Kötü niyetli veya şüpheli aktiviteleri tespit etmek için kullanılır.
  • Firewall Logları: Ağ geçiş kayıtları. Güvenlik duvarı üzerinden gerçekleşen tüm trafik olaylarını içerir.
  • DNS Logları: Alan adı sorgu kayıtları. Kullanıcıların hangi web sitelerine eriştiği bilgilerini sunar.

Event Correlation

Olay korelasyonu, SIEM mimarisinin merkezinde yer alır. Birden fazla olayın bir araya getirilip analiz edilmesi ile, potansiyel tehditlerin daha iyi anlaşılmasına yardımcı olur. Bu süreçte, çeşitli log kaynakları arasında bağlam oluşturmak kritik bir rol oynar. Örneğin, belirli bir tarih ve zamanda yapılan şüpheli bir DNS sorgusu ile bir EDR kaydında görülen anormal bir işlem birbirleriyle ilişkilendirilerek dikkat çekici bir tehdit algısı oluşabilir.

Alarm Kalitesi

SIEM sistemlerinde alarm kalitesi, güvenlik olaylarının gerçekliğini ve önemini değerlendirmek için kilit bir etmendir. Bir alarmın "gerçek" bir tehdidi temsil etmesi durumunda, koruma stratejileri bu alarmlara dayanır. Ancak, yanlış pozitif (false positive) alarm sayısının fazlalığı analiz sürecini karmaşık hale getirir. Bu nedenle, doğru ve güvenilir alarm üretimi, sistemin etkinliği açısından kritik bir önem taşır. SIEM’lerin etkin bir şekilde çalışabilmesi için sürekli olarak korelasyon kurallarının optimize edilmesi gereklidir.

Alert Yönetimi

SIEM sistemlerinde bir tehdit algılandığında üretilen güvenlik bildirimine alarm (alert) adı verilir. Almaların yönetimi, güvenlik ekiplerinin iş yükünü azaltacak şekilde yapılandırılmalıdır. Alarm yönetimi sürecinde, her bir alarmın önceliği belirlenmeli ve tehlike seviyesine göre kategorize edilmelidir. Bu, güvenlik olaylarına yanıt verme sürelerini optimize eder ve kritik durumlara müdahale mutlakiyetini artırır.

False Positive

Yanlış pozitif durumları, güvenlik ekipleri için ciddi sıkıntılara neden olabilir. Bu durumlar, gerçek tehditleri gizleyebilir ve ekiplerin zamanını boşa harcamasına yol açabilir. Dolayısıyla, SIEM sistemlerinde yanlış pozitiflerin azaltılması, kullanıcı davranışlarının ve sistem aktivitelerinin bağlamsal analiz metodolojileriyle gözlemlenmesi yoluyla önemli bir hedef haline gelir.

Sonuç olarak, SIEM çözümleri, birçok farklı veri kaynağını bir araya getirerek güvenlik tehditlerini daha etkili bir şekilde tespit etme kabiliyeti sunar. Sürekli optimizasyon ve bağlamsal analizlerin yapılması, SIEM sisteminin verimliliğini artırır. Kapsamlı bir yaklaşım benimsendiğinde, SIEM çözümleri ile malware alarm korelasyonu, organizasyonların siber güvenlik savunmalarını zenginleştirmek için önemli bir strateji oluşturur.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Siber güvenlik alanında, olayların ve tehditlerin doğru bir şekilde yorumlanması ve yönetilmesi, güvenlik stratejilerinin etkili olabilmesi için kritik öneme sahiptir. SIEM (Security Information and Event Management) teknolojileri, organizasyonların güvenlik durumunu anlamasına yardımcı olan önemli araçlardır. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacağız, yanlış yapılandırmaların ve zafiyetlerin etkilerini inceleyeceğiz. Ayrıca, sızan veriler, topolojiler ve servis tespiti gibi sonuçları değerlendirecek ve uygun savunma önlemleri ile hardening önerileri sunacağız.

Elde Edilen Bulguların Analizi

SIEM sistemleri, çeşitli kaynaklardan (Firewall, EDR, IDS, Proxy, vb.) topladığı log verileri ile olay korelasyonu yapabilir. Bu verilerin analizi, bir siber saldırının detaylarını anlamak ve potansiyel riskleri değerlendirmek için kritik öneme sahiptir. Örneğin, bir firewall logunda belirli bir IP adresinin aşırı sayıda istek gönderdiği gözlemlenirse, bu durum bir DDoS saldırısının habercisi olabilir.

# Firewall log örneği
2023-10-10 10:15:00 ALLOW IN 192.168.1.10 - 50.23.12.56 - HTTP - 1500 B
2023-10-10 10:15:10 ALLOW IN 192.168.1.10 - 50.23.12.56 - HTTP - 1600 B
2023-10-10 10:15:20 ALLOW IN 192.168.1.10 - 50.23.12.56 - HTTP - 1400 B
...

Burada dikkat edilmesi gereken nokta, bu tür durumlarda hızlı bir şekilde siber olay müdahale (Incident Response) sürecine geçmektir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, SIEM sistemlerinin etkinliğini azaltabilir ve güvenlik açıklarına neden olabilir. Örneğin, bir SIEM çözümünde log toplama sürelerinin yanlış ayarlanması, kritik olayların gözden kaçmasına neden olabilir. Bu tür durumlar, sistemin "kör noktalar" oluşturmasına yol açarak siber tehditlerin algılanmasını geciktirebilir. Dolayısıyla, yapılandırmaların düzenli olarak gözden geçirilmesi ve güncellenmesi büyük önem taşır.

Sızan Veri ve Servis Tespiti

Sızan verilerin tespiti, bir olayın analizinde oldukça kritik bir aşamadır. Örneğin, bir veri ihlali durumunda, hangi verilere erişildiği ve hangi bilgilerin ifşa olduğu gibi detaylar, olası zararları değerlendirirken büyük önem taşır. Bu aşamada, checkpoint’ler ve log incelemeleri, hangi kaynakların etkilendiğini ve potansiyel olarak hangi servislerin etkilenmiş olabileceğini anlamamıza yardımcı olur.

# Akış yönlendirme komutları ile veri akışını izleme
tcpdump -i eth0 -nn -s0 -v port 80

Profesyonel Önlemler ve Hardening Önerileri

Risk yönetim stratejilerinin bir parçası olarak, bazı profesyonel önlemler ve hardening önerileri uygulanabilir:

  1. Log Yönetimi ve Analizi: Logların düzenli olarak toplanması, analiz edilmesi ve saklanması; potansiyel tehditlerin zamanında tespit edilmesi için hayati öneme sahiptir.

  2. Sistem Yapılandırma Yönetimi: Sistemlerdeki yapılandırmaların güncel tutulması ve sıkı bir değişiklik yönetim süreci uygulanması, yanlış yapılandırma riskini azaltır.

  3. Düzenli Penetrasyon Testleri: Dışardan gelecek tehditlere karşı organizasyonların dayanıklılığını test etmek için düzenli penetrasyon testleri yapılmalıdır.

  4. Eğitim ve Farkındalık Programları: Kullanıcıların güvenlik konusunda bilinçlendirilmesi, sosyal mühendislik saldırılarına karşı savunmayı güçlendirir.

  5. Yanlış Pozitif Analizi: SIEM sistemlerinde yanlış pozitif alarmların minimize edilmesi için düzenli olarak korelasyon kuralları gözden geçirilmelidir.

Sonuç

SIEM sistemleri, güvenlik durumu analizi ve sızıntı yönetiminde önemli bir rol oynamaktadır. Yanlış yapılandırmaların etkilerini anlamak ve sızan verilerin analizinde kullanılan yöntemler, organizasyonların güvenlik stratejilerini etkili bir şekilde uygulaması açısından kritik önem taşımaktadır. Uygulanan profesyonel önlemler ve hardening stratejileri, siber tehditlere karşı daha dayanıklı bir organizasyon yapısı oluşturmamıza olanak tanır.