CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

SIEM Veri Modelleri ve Şemalar: Siber Güvenlikte Taksonomi ve Faydaları

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Siber güvenlikte SIEM sistemleri için veri modellerinin ve şemaların rolünü keşfedin. Taksonomi, standartizasyon ve veri etiketleme konularındaki bilgileri öğrenin.

SIEM Veri Modelleri ve Şemalar: Siber Güvenlikte Taksonomi ve Faydaları

SIEM sistemlerinde etkili veri yönetimi için önemli olan veri modelleri, şemalar ve taksonomi konularını derinlemesine inceleyin. Siber güvenlikte veri standartizasyonunun avantajlarını öğrenin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, modern işletmelerin en kritik unsurlarından biri haline gelmiştir. Bu bağlamda, güvenlik olayları yönetimi (SIEM) ve bu süreçte kullanılan veri modelleri ve şemalar, siber tehditlerin tespit edilmesi, analiz edilmesi ve yanıt verilmesi için hayati bir rol oynamaktadır. SIEM çözümleri, çeşitli kaynaklardan gelen verileri toplar, bu verileri düzenler ve anlamlandırarak güvenlik ekiplerinin daha bilinçli ve etkili kararlar almasına yardımcı olur. Ancak, bu sistemlerin etkinliğini artırmak için, veri iletiminde ve işlenmesinde belirli bir taksonomi ve standartlara uyulması gerekmektedir.

Taksonomi Kavramı

Taksonomi, güvenlik olaylarının ve log verilerinin ortak bir isimlendirme ve sınıflandırma sistemine dayalı olarak düzenlenmesi anlamına gelir. Siber güvenlikte taksonomik bir yapı oluşturmak, geniş veri setleri arasındaki ilişkileri anlamayı kolaylaştırır. Farklı güvenlik cihazlarından ve uygulamalardan gelen verilerin aynı dilde ifade edilmesi, bu verilerdeki benzerliklerin ve farklılıkların daha iyi analiz edilmesini sağlar.

Taksonomik yapının oluşturulmasının en önemli avantajlarından biri, korelasyon kurallarının daha etkin bir şekilde yazılabilmesidir. Örneğin, farklı marka güvenlik sistemlerinden gelen alarmların belirli bir kural altında birleştirilmesi, güvenlik analizlerinde büyük bir kolaylık sağlamaktadır. Bu, yalnızca tehditlerin daha hızlı tespit edilmesini sağlamakla kalmaz, aynı zamanda organizasyonların savunma stratejilerini de güçlendirir.

Veri Modellerinin Faydaları

Ortak veri modelleri, güvenlik analistlerine veri analizi ve yorumlama süreçlerinde pek çok avantaj sunmaktadır. En belirgin yarar, veri setinin sorgulanabilirliğini artırmasıdır. Standartlaştırılmış alan isimleri (field names) ve veri türleri, verilerin daha tutarlı bir yapı içinde saklanmasını sağlar. Örneğin, bir log verisinde aşağıdaki alanlar kullanılabilir:

- src_ip: İletişimi başlatan kaynağın IP adresi
- dest_port: Hedef sisteme bağlanılmak istenen servis portu
- action: Güvenlik duvarı veya cihazın trafiğe uyguladığı işlem (örneğin, allowed veya blocked)

Bu tür standartlaştırmalar, logların analizini hızlandırır ve güvenlik olaylarına hızla yanıt verme kapasitesini artırır. Örneğin, bir güvenlik analisti, bir ağda yapılan yetkisiz erişim girişimlerini kolayca tespit edebilir ve buna göre eylem planı oluşturabilir.

Şema Standardizasyonu

Veri modellerinin bir diğer önemli yanı ise şema standardizasyonudur. Şema, log verilerinin nasıl organize edileceğini ve saklanacağını belirleyen yapıdır. Örneğin, SIEM sistemlerinde kullanılan standart şemalar, log verilerinin daha tutarlı bir biçimde değerlendirilmesini sağlamaktadır. Log Event Extended Format (LEEF) ve Common Event Format (CEF) gibi yaygın olarak kullanılan formatlar, farklı üreticilerin loglarının bir arada yorumlanabilmesine olanak tanır.

Bunun yanı sıra, açık kaynaklı bir çerçeve olan Açık Siber Güvenlik Şeması (OCSF), siber güvenlik sektöründe log formatlarının standartlaştırılmasında önemli bir rol oynamaktadır. OCSF, farklı cihazlardaki logları tek bir standart değere dönüştürülmesini amaçlar ve bu yönüyle siber güvenlik analistleri arasında veri paylaşımını kolaylaştırır.

Teknolojik Altyapı ve Uygulamalar

Siber güvenlik alanında veri modellerinin ve şemalarının ne kadar önemli olduğu, sadece saldırıların tespit edilmesi ile sınırlı kalmaz. Aynı zamanda penetrasyon testleri (pentest) ile organizasyonların güvenlik durumunu değerlendirme amacıyla yapılan çalışmalarda da bu unsurlar ön plana çıkar. Güvenlik açıklarını belirlemek ve mevcut güvenlik çözümlerinin etkinliğini test etmek için sağlam bir taksonomi ve standartlaştırma altyapısına ihtiyaç duyulmaktadır.

Sonuç olarak, SIEM veri modelleri ve şemalarının siber güvenlikteki yeri sadece veri yönetimi değil, aynı zamanda etkili bir güvenlik stratejisi oluşturmanın temelidir. Bu yazı dizisinin ilerleyen bölümlerinde, bu yapıların daha derinlikli analizi, pratik uygulamaları ve sağladığı faydaların detayları üzerinde durulacaktır.

Teknik Analiz ve Uygulama

Taksonomi Kavramı

Siber güvenlikte, taksonomi, güvenlik olaylarının ve log verilerinin ortak bir isimlendirme ve sınıflandırma mantığıyla düzenlenmesine olanak tanır. Bu yapı, güvenlik analistlerinin her bir olayı, tehditleri ve riskleri anlamasını kolaylaştırır. Özellikle SIEM (Security Information and Event Management) sistemlerinde, olayları sistemli bir biçimde kategorilemek, güvenlik verilerinin analizini ve müdahaleyi optimize eder.

Veri Modellerinin Faydaları

Veri modelleri, siber güvenlikte veri analizi ve korelasyonu için büyük önem taşır. Ortak veri modellerinin kullanılması, satıcıdan bağımsız korelasyon kuralları yazmayı sağlar. Örneğin, bir SIEM sisteminde farklı üreticilerin oluşturduğu logların belirli bir yapıya oturtulması durumunda, bu loglar üzerinde yapılan sorguların efektifliği artar. Bu da güvenlik olaylarının daha etkin bir biçimde izlenmesi ve yönetilmesine olanak tanır.

Şema Standardizasyonu

Bir şema, veritabanı veya SIEM içerisinde logların hangi alan adları ve veri tipleriyle saklanacağını belirleyen yapıdır. Şema standardizasyonu, belirli log formatlarının, örneğin LEEF, CEF veya CIM gibi, ortak bir yapıda toplanmasına imkan tanır. 

{
  "src_ip": "192.168.1.1",
  "dest_ip": "10.0.0.1",
  "action": "allowed",
  "dest_port": 8080
}

Yukarıda görülen JSON formatındaki örnek, bir güvenlik duvarı logunun temel alanlarını göstermektedir. Bu alanlar, cihazlar arasında veri akışının takibi için kritik öneme sahiptir.

Şema (Schema) Tanımı

Şema, verilerin nasıl organize edildiğini belirleyen yapı olduğundan, siber güvenlik sistemleri için hayati bir rol oynar. Şema sayesinde, farklı cihazlardan gelen verinin tutarlı bir yapıda saklanması ve işlenmesi sağlanır.

Temel Şema Alanları

Ağ güvenliği loglarında sıkça kullanılan ortak şema alanları arasında şunlar yer alır:

  • src_ip: İletişimi başlatan kaynağın IP adresi.
  • dest_ip: Hedef sistemin IP adresi.
  • action: Güvenlik duvarının veya cihazın trafiğe uyguladığı işlem (örneğin, allowed veya blocked).
  • dest_port: Hedef sistemde bağlanılmak istenen servis portu.

Bu alanlar, siber saldırıların ve olayların analizinde kritik bilgi yükleri taşır.

Veri Etiketleme (Tagging)

Loglara etiket eklemek, verilerin organizasyonundaki rolü oldukça büyüktür. Etiketleme, benzer olayların aynı veri modelinde gruplanmasını kolaylaştırır. Örneğin, bir güvenlik çözümünde, DDoS saldırılarına dair loglar "DDoS" etiketi altında toplanabilir. Bu, analiz sürecini hızlandırır ve olası tehditlerin daha hızlı tespit edilmesini sağlar.

Açık Siber Güvenlik Şema Çerçevesi

Siber güvenlik sektöründe log formatlarını standardize etmek amacıyla çeşitli açık kaynaklı çerçeveler geliştirilmiştir. Öne çıkanlardan biri, AWS, Splunk ve IBM gibi şirketlerin desteğiyle oluşturulan Açık Siber Güvenlik Şema Çerçevesi (OCSF) dir. Bu çerçeve, farklı cihazlardan ve sistemlerden gelen loglar için tek bir standart sağlama amacı taşır. Özellikle farklı üreticilerin benzer loglarını standart bir yapıya dönüştürmek, güvenlik olaylarının analizinde büyük kolaylık sağlar.

Log Formatları ve Üreticiler

Farklı üreticilere ait standart log formatları arasında şu örnekleri vermek mümkündür:

  • LEEF (Log Event Extended Format): IBM QRadar tarafından yaygın olarak kullanılan bir format.
  • CEF (Common Event Format): Micro Focus ArcSight ekosistemi için geliştirilmiş bir log formatıdır.
  • CIM (Common Information Model): Splunk'ın veri modelleri için kullandığı ortak bilgi modelidir.

Bu formatları bilmek, sistem entegrasyonu ve veri analizi sırasında büyük avantaj sağlar.

Eylem (Action) Normalizasyonu

Veri normalizasyonu, farklı cihazların ürettiği loglar arasındaki tutarsızlıkları giderme sürecidir. Belirli aksiyonların (örneğin; "allowed" veya "blocked") standart hale getirilmesi, analistlerin verileri daha etkin bir şekilde yorumlamasını sağlar. Bu süreç, özellikle büyük veri setleri ile çalışırken, anormalliklerin hızlı bir şekilde tespit edilmesinde kritik öneme sahiptir.

Kategori ve Tür İlişkisi

Farklı olayların kategorize edilmesi, siber güvenlikte önemli bir sınıflandırma sağlar. Bir olayın üst sınıfını belirlemek için "Kategori" kullanılırken, daha spesifik alt detayını belirtmek için "Türü" kullanılmaktadır. Bu ikili yapı, siber güvenlik analistlerinin olayları daha derinlemesine anlaması ve gerektiklerinde müdahale etmeleri için gerekli bilgiyi sağlar.

Sonuç olarak, SIEM veri modelleri ve şemaları, siber güvenlikte etkin bir izleme ve analiz yapabilmek için kritik rol oynar. Taksonomi, standartlaştırma ve etiketleme uygulamaları sayesinde veri yönetimi ve olay yanıtı süreçleri güçlenmektedir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, elde edilen verilerin doğru bir şekilde yorumlanması ve bu veriler üzerinden savunma stratejilerinin geliştirilmesi kritik bir öneme sahiptir. SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemleri, log verilerini toplamak ve analiz etmek için standartlaşmış veri modelleri ve şemalar kullanır. Bu yazıda, risk değerlendirme süreçlerinde bu yapıların nasıl kullanıldığını, ortaya çıkan sorunları ve alınması gereken önlemleri inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

SIEM sistemleri, ağ ve sistem verilerini toplayarak potansiyel tehditleri tespit eder. Elde edilen verilerin doğru yorumlanması, güvenlik ekiplerinin yanıltıcı alarm ve gerçek tehditler arasında ayrım yapmasını sağlar. Örneğin, bir anomali tespiti, ağı etkileyen bir saldırının ilk belirtisi olabilir. Aşağıdaki örnek, bu durumun nasıl daha iyi anlaşılmasını sağlar:

{
  "src_ip": "192.168.1.1",
  "dest_ip": "10.0.0.5",
  "action": "blocked",
  "timestamp": "2023-10-01T12:00:00Z"
}

Bu log kaydı, 192.168.1.1 IP adresinden 10.0.0.5 IP adresine gerçekleştirilen bir bağlantının güvenlik duvarı tarafından engellendiğini gösterir. Bu tür bir olay, olası bir saldırı veya daha önce belirlenen bir güvenlik kuralını ihlal eden bir durumun göstergesi olabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, bilgi güvenliği alanında önemli zafiyetlere yol açabilmektedir. Örneğin, bir güvenlik duvarı kuralları düzgün bir şekilde yapılandırılmadığında, yetkisiz erişimlere açık hale gelir. SIEM sistemleri, yapılandırma hatalarını tespit etmek için log verilerini analiz eder.

Bir güvenlik duvarı yapılandırmasındaki zafiyet, kötü niyetli bir kullanıcının sisteme erişim sağlama girişimlerini artırabilir. Bu nedenle, ağ topolojisi ve servis tespiti gibi bilgiler, güvenlik olaylarının anlaşılmasında kritik rol oynamaktadır.

Sızan Veri ve Topoloji

Veri sızıntıları, genellikle zayıf sistem yapılandırmaları ve denetimleri sonucunda ortaya çıkar. Bu tür durumlar, sızan verilerin ve saldırganların hangi yolları kullandığını anlamak için kritik bilgiler sunar. Örneğin, bir veri setinde şunları gözlemleyebiliriz:

  • Salan Veri Türleri: Hedef sistemden çalınan veri türleri (örneğin, kullanıcı bilgileri, şifreler).
  • Bağlantı Topolojisi: Saldırganın hangi yollarla ağa girdiği ve hangi sistemlere erişim sağladığı.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik zafiyetlerini minimize etmek için çeşitli profesyonel önlemler ve hardening teknikleri uygulanabilir:

  1. Yapılandırma Denetimi: Tüm sistem bileşenlerinin düzenli olarak kontrol edilmesi ve güncellemelerin zamanında yapılması gereklidir.
  2. Erişim Kontrolleri: Yetkisiz erişimlere karşı katı erişim kontrol politikalarının uygulanması.
  3. Log Yönetimi: Logların düzenli olarak incelenmesi ve anormal faaliyetlerin anında rapor edilmesi.
  4. Ağ Segmentasyonu: Kritik verilerin tutulduğu alanların ayrılması, sızma riskini azaltır.

Sonuç Özeti

Siber güvenlikte risk değerlendirme süreçleri, etkin bir şekilde yapılandırılmış SIEM sistemleri ile yürütülür. Elde edilen verilerin güvenlik anlamının doğru yorumlanması, olası tehditlerin önlenmesinde kritik bir rol oynamaktadır. Yanlış yapılandırmaların ve zafiyetlerin sistem güvenliğini nasıl olumsuz etkilediği, net bir şekilde ortaya konmalıdır.

Ayrıca, belirli önlemler ve hardening teknikleri uygulandığında, güvenlik zafiyetleri minimize edilebilir. Bu nedenle, SIEM veri modelleri ve şemaların doğru kullanılmasının önemi asla göz ardı edilmemelidir.