CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

SIEM Veri Yapıları: Siber Güvenlikte Kritik Rolü

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

SIEM veri yapıları, güvenlik olaylarının doğru analizi için temel oluşturur. Detaylı bir inceleme ile güvenliğinizi artırın.

SIEM Veri Yapıları: Siber Güvenlikte Kritik Rolü

SIEM sistemleri, güvenlik olaylarını etkin bir şekilde toplamak ve analiz etmek için kritik öneme sahiptir. Veri yapıları, log işlemlerinde belirleyici bir rol oynar. Bu yazıda, SIEM veri yapılarının önemi ve işleyişini keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında tehditlerin sürekli evrim geçirdiği günümüzde, organizasyonların güvenlik altyapılarını sağlıklı bir şekilde yönetebilmesi için etkili veri yönetim sistemlerine ihtiyaç duymaktadır. Bu kapsamda, Güvenlik Bilgilendirme ve Olay Yönetimi (SIEM) sistemleri, kuruluşların güvenlik olaylarını toplamak, analiz etmek ve ilişkilendirmek için kritik bir rol oynamaktadır.

SIEM Tanımı

SIEM, izleme, analiz ve olay respond etme süreçlerini bir araya getiren bir sistem olarak tanımlanabilir. SIEM çözümleri, güvenlik cihazlarından, ağ cihazlarından, sunuculardan ve uygulamalardan gelen log verilerini toplayarak, potansiyel tehditleri tanımlamak için bu verileri analiz eder. Bu analizler aracılığıyla, güvenlik ekipleri, anormallikleri tespit edebilir ve hızlı bir şekilde müdahale edebilir. SIEM'in işlevselliğinin temelinde bu verilerin doğru bir biçimde yapılandırılması yatmaktadır.

Veri Yapısı Kavramı

SIEM sistemlerinde veri yapısı, logların belirli bir formatta toplanmasını, depolanmasını ve işlenmesini sağlar. Farklı kaynaklardan gelen logların standartlaştırılması, organizasyonun hedeflerine ulaşması için kritik bir öneme sahiptir. Loglar, belirli alanlardan oluşur ve her bir alan, olayın belirli bir yönünü temsil eder. Örneğin, loglarda bulunan "timestamp" (zaman damgası), olayın ne zaman gerçekleştiğini gösterirken; "source" ve "destination" (kaynak ve hedef) alanları, olayın nereden geldiği ve nereye gittiği hakkında bilgi verir.

Neden Önemlidir?

Siber güvenlik tehditleri, giderek daha karmaşık ve çeşitli hale gelirken; SIEM sistemleri, bu tehditleri yönetebilmek adına önemli bir araçtır. Pentest (penetrasyon testi) süreçleri sırasında, SIEM sistemleri, tespit edilen zayıflıklara karşı savunma stratejilerinin geliştirilmesine yardımcı olur. Temel yapı taşları oluşturdukları için, SIEM veri yapıları; güvenlik olaylarının analizi, günlük raporlar oluşturma ve gerçek zamanlı tehdit modellerinin geliştirilmesi açısından kritik bir rol oynamaktadır.

SIEM sistemlerindeki veri işleme süreci, logların toplanması, analiz edilmesi ve ilişkilendirilmesi gibi adımları içerir. Bu sayede, güvenlik analistleri, çeşitli kaynaklardan gelen log verilerini tek bir platformda inceleyebilir. Bununla birlikte, veri normalizasyonu, logların anlaşılır ve işlenebilir bir formatta birleştirilmesine olanak tanır.

Örnek Log Yapısı:
timestamp: 2023-10-01 12:30:45
source: 192.168.0.1
destination: 203.0.113.195
event: Login Attempt
username: admin

Siber Güvenlikteki Bağlamı

Siber güvenlikte, olayların hızlı bir şekilde tespit edilmesi ve analiz edilmesi gereklidir. SIEM sistemleri, bu bağlamda olayların ilişkilendirilmesi ve tehdit tespitinde önemli bir rol üstlenmektedir. Özellikle, SIEM veri yapıları, analistlerin tehditleri tespit etmesini ve etkilenen alanları hızlı bir şekilde belirlemesini sağlarken; saldırıların önlenmesi konusunda proaktif bir yaklaşım geliştirilmesine yardımcı olur.

Bu noktada, SIEM veri yapılarının önemini anlamak, hem güvenlik analistleri hem de müdahale ekipleri için kritik bir beceri haline gelmiştir. SIEM veri yapılarının etkin bir şekilde kullanılması, hem zaman yönetimi hem de kaynak verimliliği açısından büyük avantajlar sağlar.

Sonuç olarak, SIEM veri yapıları, siber güvenlik alanında yalnızca veri yönetimi değil, aynı zamanda etkin bir tehdit tespiti ve müdahale süreci için vazgeçilmez bir unsurdur. Bu blogda, SIEM'in temel unsurlarını daha detaylı olarak inceleyeceğiz ve veri yapılarının nasıl işlediğini, karşılaşılan zorlukları ve optimize edilme yöntemlerini ele alacağız.

Teknik Analiz ve Uygulama

SIEM Tanımı

SIEM (Security Information and Event Management), güvenlik olaylarını toplayan, analiz eden ve ilişkilendiren bir yönetim sistemidir. Bu sistemlerin temel amacı, farklı kaynaklardan gelen güvenlik verilerini merkezi bir noktada toplamak, bu verileri anlamlandırmak ve güvenlik tehlikelerini bütünsel bir şekilde değerlendirmektir. SIEM çözümleri, genellikle bir ağ üzerindeki logları toplamak için kullanılır, ancak aynı zamanda olay yanıtı ve forensics (delil toplama) işlemleri için de kritik bir rol oynar.

Veri Yapısı Kavramı

SIEM sistemlerinde veri yapısı, logların belirli bir formatta toplanmasını ve analiz edilmesini sağlar. Her log, belirli alanlar içerir ve bu alanlar, verinin analizini kolaylaştıracak şekilde yapılandırılmıştır. Verilerin bu şekilde yapılandırılması, farklı kaynaklardan gelen logların daha hızlı ve etkili bir şekilde işlenmesini sağlar.

Log Alanları

SIEM logları genellikle aşağıdaki alanlardan oluşur:

  • Timestamp: Olayın gerçekleştiği zamanı belirten bilgi.
  • Source: Olayın kaynağını ifade eder. Bu, bir IP adresi ya da bir kullanıcı adı olabilir.
  • Destination: Olayın hedefini gösterir, yani verinin nereye yönlendirildiğini belirtir.
  • Event: Olayın türünü tanımlar.
  • User: Olayla ilişkili kullanıcı bilgisini taşır.
  • Action: Kullanıcının gerçekleştirdiği eylemi belirtir.

Logların bu alanlara ayrılması, veri analizi sürecinde büyük bir kolaylık sağlar. Örneğin, bir log kaydı şu şekilde olabilmektedir:

[2023-10-01 12:34:56] Source: 192.168.1.1, Destination: 192.168.1.100, Event: Login Attempt, User: johndoe, Action: Failed

Veri Tipleri

SIEM sisteminde işlenen veriler, genellikle üç ana gruba ayrılır: ham veri (Raw Logs), standartlaştırılmış veri (Normalized Data) ve zenginleştirilmiş veri (Enriched Data).

  • Ham Veri (Raw Logs): Kaynağından doğrudan elde edilen veri.
  • Standartlaştırılmış Veri (Normalized Data): Farklı kaynaklardan gelen logların belirli bir formatta birleştirilmesi ile oluşur; bu işleme normalizasyon denir.
  • Zenginleştirilmiş Veri (Enriched Data): Standartlaştırılmış veriye ek bilgi eklenerek elde edilen veri.

Normalizasyon süreci, her logun aynı formatta olması gerektiğinden, verilerin analiz edilmesini ve raporlanmasını büyük ölçüde kolaylaştırır.

Normalizasyon

Farklı kaynaklardan gelen logların tek formatta birleştirilmesine normalizasyon denir. Bu aşamada, sistemler logları belirli bir şablonda yapılandırarak analiz edebilir hale gelir. Normalizasyon işlemi sırasında aşağıdaki gibi adımlar uygulanır:

  1. Toplama (Collect): Farklı veri kaynaklarından logların toplanması.
  2. Parçalama (Parse): Logların alanlarına ayrılması.
  3. Normalizasyon (Normalize): Logların belirli bir formatta birleştirilmesi.
  4. Depolama (Store): Normalleştirilmiş verilerin bir veritabanında saklanması.
  5. Analiz (Analyze): Verilerin analiz edilmesi.
  6. Korelasyon (Correlate): Olayların birbiriyle ilişkilendirilmesi.

Örnek bir normalizasyon süreci şu şekilde olabilir:

Ham Veri: [2023-10-01 12:34:56] 192.168.1.1 - LOGIN - johndoe
Normalizasyon: { "timestamp": "2023-10-01 12:34:56", "source": "192.168.1.1", "event": "LOGIN", "user": "johndoe" }

Veri İşleme Süreci

SIEM veri işleme belirli adımlarla gerçekleşir. İşlem adımları, verinin toplanmasından analiz edilmesine kadar uzanır. Veri işleme süreci temel olarak aşağıdaki adımları içerir:

  • Toplama
  • Parçalama
  • Normalizasyon
  • Analiz
  • Korelasyon

Bu adımlar, veri üzerindeki potansiyel tehditlerin belirlenmesine olanak tanır. Örneğin, bir SIEM sistemi, her gün binlerce log parçasını işler. Korelasyon işlemi, farklı loglar arasındaki ilişkiyi belirleyerek, olayların ardındaki büyük resmi görmeyi sağlar.

Korelasyon

SIEM sistemlerinde farklı olayların ilişkilendirilmesine korelasyon denir. Korelasyon, güvenlik analistlerinin potansiyel tehditleri daha hızlı tespit etmesine yardımcı olur. Sistem, belirli kurallar ve algoritmalar kullanarak veri kümeleri arasındaki ilişkinin belirlenmesini sağlar. Örneğin, belirli bir kullanıcı adı ile bir IP adresinin sürekli olarak başarısız giriş denemelerine neden olup olmadığını kontrol edebiliriz.

Korelasyonun etkinliği, veri hacmi, karmaşık formatlar ve gürültü gibi çeşitli zorluklarla sınırlandırılabilir. Örneğin, özensiz bir veri toplanması, sahte olumlu sonuçlar üretebilir, bu da analistlerin dikkati dağılmasına neden olur.

Sonuç olarak, SIEM veri yapıları siber güvenlikte kritik bir rol oynar. Logların doğru yapılandırılması ve işlenmesi, organizasyonların güvenlik tehditlerini daha etkin bir biçimde algılamalarına olanak tanır. SIEM sistemleri, siber tehditlerle başa çıkmak için güçlü bir araçtır ve modern güvenlik altyapılarında vazgeçilmez bir bileşen haline gelmiştir.

Risk, Yorumlama ve Savunma

Elde Edilen Bulguların Güvenlik Anlamı

SIEM (Security Information and Event Management) sistemleri, güvenlik olaylarını toplama, analiz etme ve ilişkilendirme amacıyla kullanılan kritik araçlardır. Ancak, bu sistemlerin etkin bir şekilde çalışabilmesi için öncelikle verilerin doğru yorumlanması gerekir. Bir SIEM çözümünden elde edilen verilerin güvenlik anlamı, çeşitli faktörlere dayanır. Log kayıtları, kullanılan sistemlerin kimlik bilgileri, IP adresleri, olay zaman damgaları ve daha fazlası gibi alanları içerir. Bu tür verilerin analizi, siber güvenlik analistlerinin potansiyel tehditleri tespit etmeleri ve güvenlik olaylarını anlamaları için kritik öneme sahiptir.

Güvenlik olaylarının yorumlanması sırasında dikkat edilmesi gereken en önemli unsurlardan biri, içerdikleri verinin tamlığını ve doğruluğunu sağlamaktır. Eğer bir sistemde halihazırda yanlış yapılandırmalar veya zafiyetler mevcutsa, bu durum SIEM'den elde edilen verilerin güvenilirliğini azaltabilir. Örneğin, zayıf bir kullanıcı şifresi veya açık bir port, bir sızma denemesine zemin hazırlayabilir.

Örnek: 
IP Adresi: 192.168.1.10
Olay Zamanı: 2023-09-25 14:30:00
Olay Kimliği: 12345
Kullanıcı: admin

Burada dikkat edilmesi gereken bir diğer nokta, önceden tanımlı anormal davranışların sorgulanmasıdır. Örneğin, kullanıcı kimlik bilgileri üzerinde gerçekleştirilen beklenmedik girişimler veya veri akışı anormallikleri, dikkatle izlenmeli ve analiz edilmelidir.

Yanlış Yapılandırmalar ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, bir sistemin güvenlik seviyesini ciddi şekilde etkileyebilir. SIEM sistemlerinde yapılan yanlış bir ayar, potansiyel tehditlerin gözden kaçmasına neden olabilir. Örneğin, önemli log alanlarının atlanması veya doğru yapının sağlanmaması, güvenlik analizlerinin yetersiz kalmasına yol açabilir.

Bu tür zafiyetler, kötü niyetli kullanıcıların ağa girmesi için kapı aralayabilir; dolayısıyla, bu tür tehditlerin belirlenmesi için sürekli bir gözlem ve analiz süreci gereklidir. Düşük seviyedeki log kayıtlarının izlenmesi, bir kuruluşun güvenlik geliştirme sürecinde önem taşır.

Sızan Veri, Topoloji ve Servis Tespiti

SIEM sistemlerinden elde edilen bilgiler, veri sızıntılarının, servislerin ve topolojilerin tespitine yardımcı olabilir. Sızan veriler özellikle kullanıcı bilgileri, finansal bilgiler veya kurum içi gizli veriler olabilir. Bu nedenle, günlük kayıtlarında kullanıcı eylemleri ve olası veri sızmalarının izlenmesi gereklidir.

Örneğin, anormal veri akışlarına ilişkin bir log kaydı;

Timestamp: 2023-09-25 15:00:00
Source: 192.168.1.100
Destination: 10.0.0.1
Event: Data Exfiltration Attempt

Bu tür loglardan elde edilen bilgiler, aşağıdaki şekilde analiz edilerek, daha kapsamlı bir güvenlik stratejisinin parçası haline getirilebilir:

  1. Servis Tespiti: Hangi servislerin çalıştığını ve bunların ne kadar süre boyunca aktif kaldığını belirlemek.
  2. Topoloji Tespiti: Ağa bağlı cihazların ve kullanıcıların dağılımını anlamak, hangi cihazların güvenlik zafiyetleri barındırabileceğini değerlendirmek.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik zafiyetlerinin minimize edilmesi için aşağıdaki önlemler alınmalıdır:

  • Güçlü Şifre Politikası: Her kullanıcı için karmaşık şifreler belirlenmeli ve bu şifrelerin kimler tarafından kullanıldığı izlenmelidir.
  • Güncellemelerin Takibi: Yazılımlar ve sistemler düzenli olarak güncellenmeli ve güvenlik yamanmaları (patch) zamanında uygulanmalıdır.
  • Ağ Segmentasyonu: Kritik verilerin ve sistemlerin birbirinden ayrılması; böylece siber saldırganların erişim alanlarının kısıtlanması sağlanmalıdır.
  • Eğitim ve Farkındalık Programları: Kullanıcılar, olası tehditler konusunda eğitilmeli ve güvenlik politikalarının önemini kavramaları sağlanmalıdır.

Sonuç Özeti

Bu bölümde, SIEM veri yapılarının siber güvenlikteki kritik rolü üzerinde duruldu. Elde edilen bulguların yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkisi, sızan verilerin tespiti ve profesyonel güvenlik önlemleri hakkında detaylı bilgiler verildi. Güçlü bir siber güvenlik stratejisi, sürekli risk değerlendirmesi gerektirmekte ve uygun hardening teknikleri ile desteklenmelidir. Bu sayede olası tehditlerin önüne geçilebilirken, mevcut güvenlik seviyesi de artırılabilir.