CyberFlow Logo CyberFlow BLOG
Soc L1 Tehdit Vektorleri Phishing Analizi

SIEM ile Phishing Alarm Korelasyonu: Güvenlikte Yeni Yaklaşımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Tehdit Vektorleri Phishing Analizi

SIEM teknolojisi ile phishing tespitinde alarm korelasyonlarını anlamak, siber güvenlik stratejilerinizi güçlendirmek için kritik öneme sahiptir.

SIEM ile Phishing Alarm Korelasyonu: Güvenlikte Yeni Yaklaşımlar

SIEM ile phishing alarm korelasyonu, siber güvenlik alanında tehditleri daha etkili bir şekilde tespit etmenin yollarını sunuyor. Eğitimimizin detaylarıyla bu süreçteki adımları keşfedin.

Giriş ve Konumlandırma

SIEM Kavramı

Günümüzde siber güvenlik, kurumsal yapılar için kritik bir öneme sahiptir. Siber saldırılar, özellikle phishing (oltalama) yöntemleriyle gerçekleştirilse de, bu tür tehditlerin tespit edilmesi, sınırlı kaynakların yönetimi açısından zor bir görev olarak öne çıkmaktadır. Security Information and Event Management (SIEM), bu noktada devreye girerek, logları toplayıp analiz eden bir platform sunmaktadır. SIEM, çeşitli güvenlik olaylarını ilişkilendirerek tehdit korelasyonu sağlamakta ve bu sayede güvenlik uzmanın tekil alarmlardan daha fazla görünürlük elde etmesini mümkün kılmaktadır.

Korelasyon Tabanlı Tespit

Korelasyon, farklı güvenlik olaylarını bir araya getirerek bunlar arasında bağlantılar kurmaya yarayan bir süreçtir. Oltalama saldırılarına karşı etkili bir koruma sağlamak için, veri kaynaklarının akıllıca kullanılması ve doğru bir şekilde ilişkilendirilmesi gerekmektedir. Örneğin, bir phishing e-postası alındığında, SIEM sistemi bu e-postanın kimden geldiğini, iletimin ne zaman yapıldığını ve kullanıcının bu e-postaya karşı nasıl bir tepki verdiğini bir araya getirir. 

# Örnek SIEM sorgusu
SELECT * FROM Email_Logs
WHERE from_email IN (SELECT malicious_email FROM Threat_Intel)
AND timestamp BETWEEN '2023-01-01' AND '2023-01-31';

Yukarıdaki sorgu, belirli bir zaman diliminde zararlı e-postaları tespit etmek için kullanılmaktadır. Burada kullanıcının karşılaştığı potansiyel phishing durumlarını net bir şekilde analiz etmek mümkün hale gelmektedir.

SIEM Veri Kaynakları

Phishing saldırılarının tespit edilmesi adına, SIEM sistemlerinin envanterindeki veri kaynakları oldukça çeşitli ve kritik öneme sahiptir. Örneğin:

  • Email Log: Mesaj teslimi ve header verileri, olası oturum açma bilgileri ve içerik detayları sağlar.
  • Proxy Log: Kullanıcıların hangi URL'lere eriştiğini gösterir, bu da sahte sitelere yönelimi analiz etmekte önemli rol oynar.
  • Identity Log: Kimlik doğrulama aktivitelerini kaydeder, bu da kullanıcıların hesaplarında olağan dışı aktiviteleri izlemeyi kolaylaştırır.

Bu veri kaynaklarının etkin bir şekilde kullanılması, phishing tehditlerine karşı geliştirilecek savunma stratejileri için vazgeçilmezdir.

Alarm Doğruluğu

Phishing alarm doğruluğu, siber güvenlikte kritik bir faktördür. Yüksek sahte pozitif (false positive) oranları, güvenlik ekiplerinin gerçek tehditleri göz ardı etmelerine yol açabilir. SIEM sistemlerinde alarm doğruluğunu artırmak için detaylı korelasyon kurallarının tanımlanması ve sürekli güncellemeler yapılması gerekecektir. Alarm doğruluğu, hem güvenlik uzmanlarının verimliliğini artırır, hem de işletmenin güvenlik harcamalarını optimize eder.

Detection Rule ve SIEM Tespit Katmanları

SIEM sistemlerinde tespit mantığı, detection rule adı verilen yapılarla tanımlanır. Phishing gibi siber tehditlere karşı etkili olabilmek için bu kuralların iyi bir şekilde yapılandırılmış olması önemlidir. Örneğin, belirli anahtar kelimeleri veya davranışsal anomalileri içeren kurallar, olası saldırıları tespit etmede kritik bir rol oynar. 

# Örnek bir tespit kuralı
if (event.category == 'phishing' AND severity > 7) {
    trigger_alert();
}

Yukarıdaki kurala göre, phishing olarak kategorize edilen ve yüksek seviye tehdit olarak değerlendirilen durumlar için bir alarm tetiklenmektedir.

Savunma Önceliği

Kötü yapılandırılmış SIEM sistemleri, ciddi tehditleri kaçırabilir. Bu nedenle, güvenlik ekiplerinin belirli zaman dilimlerinde sistemlerini gözden geçirmesi ve doğru yapılandırdığından emin olması önem taşır. Ayrıca, sistemin sürekli olarak güncellenmesi ve yeni tehditler için optimize edilmesi gerekmektedir. Savunma stratejisi, sürekli iyileştirme temeli üzerine oturtulmalıdır; bu sayede, SIEM sistemleri daha güçlü ve daha güvenilir hale gelecektir.

Sonuç olarak, SIEM ile phishing alarm korelasyonu, siber güvenlik alanında yeni ve etkili bir yaklaşım sunmaktadır. Bu yazıda ele alınan kavramlar, okuyucuya bu süreci daha iyi anlaması için gerekli temelleri sunmakta ve siber tehditlere karşı daha etkin bir koruma sağlayabilmek adına önemli bir zemin oluşturmaktadır. Uygulamanın derinliklerine inmek ve farklı tespit mekanizmalarını incelemek için, bir sonraki bölümlerde daha detaylı analizlere yer verilecektir.

Teknik Analiz ve Uygulama

SIEM Kavramı

Security Information and Event Management (SIEM), güvenlik loglarını toplayarak analiz eden ve bu veriler üzerinden tehdit korelasyonu sağlayan bir platformdur. SIEM, organizasyonların güvenlik durumunu gerçek zamanlı izlemeye olanak tanır. Phishing saldırıları gibi siber tehditlerin etkin bir şekilde tespit edilmesi için SIEM çözümleri, çoklu verinin bir araya getirilmesi ve bütüncül bir bakış açısı sunması açısından kritik öneme sahiptir.

Korelasyon Tabanlı Tespit

Korelasyon, farklı güvenlik olaylarının ilişkilendirilmesi yoluyla tehdit tespiti yapma sürecidir. SIEM sistemlerinde birden fazla veri kaynağından gelen loglar arasında bağlantılar kurmak, daha önce görülmemiş phishing saldırılarını tespit etme şansını artırmaktadır. Örneğin, bir e-posta logu ile URL erişim verilerinin birleştirilmesi, olumsuz bir durum tespit edildiğinde hızlı bir şekilde müdahaleye olanak tanır.

# Örnek bir SIEM korelasyon kuralı
rule phishing_detection {
    when {
        event.type == "email" and 
        event.reason == "phishing_attempt" and
        event.url in known_bad_urls
    }
    then {
        alert("Potential phishing threat detected.")
    }
}

SIEM Veri Kaynakları

SIEM sistemleri, phishing tespitinde kullanılan başlıca veri kaynaklarını içerir. Bu veri kaynakları arasında email logları, proxy logları, kimlik doğrulama aktiviteleri (identity logs) ve olay göstergeleri (IOC) gibi unsurlar bulunur. Bu verilerin etkin bir şekilde kullanılması, güvenlik ihlallerinin daha önce tespit edilmesini sağlar.

Email Logları

Email logları, mesaj teslim ve header verileri dahil olmak üzere e-posta ile ilgili tüm bilgileri içerir. Phishing saldırılarının çoğu e-posta yolu ile gerçekleştirildiğinden, bu logların analizi büyük önem taşır.

Proxy Logları

Proxy logları, URL erişim verilerini kaydeder. Kullanıcıların hangi web sitelerine eriştiği bilgisi, şüpheli aktivitelerin tespitinde kritik bir rol oynamaktadır.

Identity Logları

Kimlik doğrulama aktivitelerini takip eden identity logları, kullanıcıların sisteme giriş ve çıkışlarını kaydeder. Bu veriler, belirli bir kullanıcının olağan dışı hareketlerini gözlemlemek için kullanılır.

Alarm Doğruluğu

SIEM sistemlerinde alarmların doğruluğu, güvenlik yönetimi açısından önemli bir faktördür. Yanlış pozitif oranının düşük olması, güvenlik ekiplerinin odaklanmasını ve kaynakların etkin kullanımını sağlar. Kaliteli log verisi, doğru kurallar ve sürekli iyileştirme, SIEM stratejisinin başarıya ulaşmasında kritik öneme sahiptir.

Detection Rule

Tespit mantığını ifade eden detection rule'lar, SIEM sistemlerinde olayların nasıl analiz edileceğini belirleyen yapılarıdır. Bu kurallar, belirli koşulların sağlanması durumunda kritik olayların tetiklenmesini sağlar. Aşağıdaki örnek, bir phishing saldırısının tespiti için kullanılacak bir detection rule’ı göstermektedir.

detection_rule:
  name: detect_phishing_emails
  conditions:
    - event.type: email
    - event.subject: "Urgent: Account Verification"
    - event.sender: "phishing@example.com"
  actions:
    - alert: "Potential phishing email detected."

SIEM Tespit Katmanları

SIEM sistemlerinde tehdit tespit katmanları, olayların daha efektif bir şekilde analiz edilmesine olanak tanır. Bu katmanlar, genellikle veri toplama, analiz ve alarm verme aşamaları olarak sıralanabilir. Her bir katman, güvenlik ilerlemesini artıracak şekilde yapılandırılmalıdır.

Security Alert

SIEM tarafından üretilen güvenlik uyarılarına security alert denir. Bu uyarılar, organizasyon içindeki güvenlik ekiplerini saldırılara karşı bilinçlendirmek için kritik öneme sahiptir. Güvenlik uyarılarının hızlı ve etkili bir şekilde değerlendirilmesi, maliyetleri azaltma ve olası bir güvenlik ihlalinin etkisini en aza indirme açısından son derece önemlidir.

Savunma Önceliği

Modern güvenlik ortamlarında, etkili bir phishing savunma stratejisi oluşturmak için iyi yapılandırılmış bir SIEM sistemi gereklidir. Kötü yapılandırılmış SIEM sistemleri, tehditleri gözden kaçırabilir. Dolayısıyla, düzenli güncellemeler ve sistem analizi, savunma önceliği olarak ele alınmalıdır.

Sonuç olarak, SIEM ile phishing alarm korelasyonu, siber güvenlik yönetiminde önemli bir yere sahiptir. Çoklu veri kaynaklarının korelasyona tabi tutulması, güvenlik ekiplerine daha derinlemesine bir görünürlük sağlamaktadır. Bu süreç, hem güvenlik tehditlerinin tespitini artırmakta hem de yanıt verme sürelerini kısaltmaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlikte risk analizi, bir kuruluşun güvenlik duruşunu sürekli olarak değerlendirme ve geliştirme sürecinin temel bir parçasıdır. Özellikle phishing saldırılarında, güvenlik olaylarının doğru bir şekilde yorumlanabilmesi, potansiyel tehlikelerin zamanında tespit edilmesi açısından kritik öneme sahiptir. Bu bölümde, SIEM (Security Information and Event Management) sistemleri ile phishing alarmlarının korelasyonunu inceleyerek güvenlik risklerini, bu risklerin yorumlanmasını ve savunma mekanizmalarını ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

SIEM sistemleri, farklı veri kaynaklarından aldığı log verilerini analiz ederek sahtekârlık girişimlerini tespit etme yeteneğine sahiptir. Phishing saldırıları genellikle kötü amaçlı e-postalar veya sahte web siteleri aracılığıyla gerçekleştirildiği için bu sistemler, e-posta logları, proxy logları ve kimlik doğrulama aktivitelerini gözlemleyerek riskleri belirleyebilir. Örneğin, bir phishing e-postasının tespit edilmesi, e-posta loglarının incelenmesi sonucu ortaya çıkabilir:

Email Logs: Örnek - "From: attacker@example.com | Subject: Urgent Update Required"

Yukarıdaki gibi bir bulgu, sadece bir e-posta ile sınırlı kalmaz; bu tür logların analizi sonucunda aynı kaynak IP ile yapılan diğer aktiviteler de incelenebilir. Böylelikle, farklı güvenlik olayları arasında ilişki kurarak tehditlerin kökenine inmek mümkün hale gelir.

Yanlış Yapılandırmalar ve Zafiyetler

SIEM sistemleri, doğru yapılandırılmadığında ya da yetersiz veri kaynakları kullanıldığında tehdit tespiti konusunda caydırıcı olamaz. Örneğin, bir SIEM sistemi yalnızca e-posta logları üzerinde çalışıyorsa, diğer kritik veri kaynaklarını göz ardı edebilir. Bu durum, tespit yapılamaması ve dolayısıyla olası bir phishing saldırısının başarılı olmasına yol açabilir.

Kötü yapılandırmalar, yanlış alarmların (false positives) artmasına ve güvenlik ekiplerinin zaman kaybetmesine neden olur. Bu tür bir süreçte, tespit edilen anormal aktivitelerin yanlış anlaşılması, bazı gerçek tehditlerin gözden kaçmasına sebep olabilir.

Sızan Veri ve Topoloji

Elde edilen bulgular, organizasyonun güvenlik topolojisini anlamak için hayati önem taşır. Bir phishing girişimi, kimlik bilgilerini çalarken aynı zamanda belli veri sızıntılarına da neden olabilir. Gözlemlenen olaylar arasında, kullanıcı kimlik bilgilerinin kötü niyetli bir aktör tarafından ele geçirildiği durumlar da yer alabilir.

Veri sızıntısı tespiti, özellikle kullanıcı kimliklerinin kötüye kullanılması durumunda büyük önem taşır. SIEM sistemleri, bu tür verilerin sorgulanması ve izlenmesi için çeşitli IOC (Indicators of Compromise) eşleştirmeleri yapmaktadır:

# IOC Eşleştirme İçin Basit Bir Algoritma
def check_ioc(log_entry, ioc_list):
    for ioc in ioc_list:
        if ioc in log_entry:
            return True
    return False

Yukarıdaki örnek algoritma, log girişlerinde bilinen tehdit göstergelerini kontrol eder ve potansiyel tehditleri tespit etmek için kullanılabilir.

Profesyonel Önlemler ve Hardening Önerileri

Kuruluşlar, SIEM sistemlerinin etkinliğini artırmak ve phishing gibi saldırılara karşı daha dayanıklı hale gelmek için profesyonel önlemler almalıdır:

  1. Çok Katmanlı Savunma: Birincil savunma aracı olarak SIEM sistemlerinin yanı sıra, çeşitli güvenlik çözümleri (örn. EDR, firewall) entegre edilmelidir.
  2. Log Yönetimi İyileştirmeleri: Log kalitesinin artırılması, olayların daha doğru bir şekilde analiz edilmesine olanak tanır. Düşük kaliteli loglar tespit süreçlerini zorlaştırır.
  3. Eğitim ve Farkındalık: Kullanıcıların phishing tehlikeleri hakkında eğitim alması, insan faktöründen kaynaklanan zafiyetleri azaltır.
  4. Sürekli İyileştirme: Güvenlik politikalarının belirli aralıklarla gözden geçirilmesi ve güncellenmesi gerekmektedir.

Kısa Sonuç Özeti

SIEM sistemleri, phishing saldırılarının tespitinde oldukça etkili bir araçtır. Ancak, doğru yapılandırma ve kapsamlı veri kaynakları kullanımı, etkinliğini artıran önemli unsurlardır. Yanlış yapılandırmalar, gerçek tehditlerin gözden kaçmasına neden olabilir. Kuruluşların, sürekli olarak eğitim almaları, log yönetimlerini iyileştirmeleri ve çok katmanlı güvenlik stratejileri geliştirmeleri, siber güvenlikte karşılaşabilecekleri zayıflıkları azaltacaktır. Phishing alarmlarının korelasyonu, bu tür stratejilerin uygulanmasında önemli bir rol oynamaktadır.