CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Sigma Dönüşüm Süreci: YAML'dan SIEM Sorgusuna Geçiş Rehberi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Sigma kurallarının hızlı ve etkili bir şekilde SIEM platformlarına nasıl dönüştürüleceğini öğrenin. Adım adım rehberimizle bilgi güvenliğinizi güçlendirin.

Sigma Dönüşüm Süreci: YAML'dan SIEM Sorgusuna Geçiş Rehberi

YAML tabanlı Sigma kurallarını SIEM sorgularına nasıl dönüştüreceğinizi keşfedin. Bu blogda, dönüşüm sürecinin temel kavramlarını ve pratik uygulamalarını ele alıyoruz.

Giriş ve Konumlandırma

Sigma Dönüşüm Süreci: YAML'dan SIEM Sorgusuna Geçiş Rehberi

Siber güvenlik alanında sürekli gelişim, mevcut tehditlerin yönetiminde kritik bir rol oynamaktadır. Sigma, bu gelişimin bir parçası olarak öne çıkmakta ve birçok siber güvenlik uzmanı için vazgeçilmez bir araç haline gelmektedir. Sigma, farklı SIEM (Security Information and Event Management) platformları için YAML formatında yazılmış kurallar sağlayarak, güvenlik analistlerinin tehditleri tespit etmesini ve yönetmesini büyük ölçüde kolaylaştırmaktadır.

YAML’dan SIEM sorgusuna dönüşüm süreci, algılanan tehditlerin hızla karşılanabilmesi için modern bir yaklaşım sunar. Özellikle büyük ölçekli saldırılar sırasında (örneğin, Log4j istismarı gibi) analistlerin önceden tanımlanmış Sigma kurallarını hedef SIEM sistemlerine hızla entegre edebilmesi ciddi bir avantaj sağlar. Bu dönüşüm, bilgi güvenliğinin dinamik ve karmaşık yapısı içerisinde kritik bir öneme sahiptir.

Sigma ve Dönüşüm Sürecinin Önemi

Siber güvenlik alanında, zamanın kritik olduğu durumlarla sıkça karşılaşılmaktadır. Tehditleri hızlıca tespit etmek ve yanıt vermek, siber müdahale ekibinin kritik bir yeteneğidir. İşte bu noktada Sigma ön plana çıkar; Sigma, kullanıcıların hangi platformu kullandığını bilmeden, temel bir format sunarak çeşitli SIEM sistemlerine ilgili kuralı hızlı bir şekilde dönüştürme kapasitesini sağlar.

Kuralların dönüşümü, yalnızca biçimsel bir değişimden daha fazlasıdır; mantık ve yapı açısından da önemlidir. Dönüşüm süreci esnasında, kuralların içindeki alan isimleri, hedef SIEM platformlarının kullandığı spesifik alan adlarıyla otomatik olarak eşleştirilir. Bu durum, analistlerin siber olayları daha etkin bir şekilde takip edebilmesini ve olası saldırılara karşı hızlı bir reaksiyon geliştirmesini sağlar.

Teknik Bağlam ve Uygulamalar

Sigma'nın bir diğer avantajı, kullanıcıların tehditlere karşı daha etkin bir yöntem geliştirmelerine olanak tanımasıdır. Dönüşüm sürecindeki uygulamalar, analistlerin karmaşık sorgu dillerini öğrenmelerine gerek kalmadan tehdit tespiti yapabilmeleri için basit ve anlaşılır bir arayüz sunar. Sigma, böylece kullanıcıların güvenlik olaylarına olan duyarlılığını artırır.

Aynı zamanda, sigma-cli veya Uncoder.io gibi modern araçlar, Sigma kurallarını farklı SIEM platformlarına dönüştürmek için tasarlanmış yenilikçi çözümler sunar. Bu araçlar, dönüşümün zaman alıcı süreçlerini minimize ederek, analistlerin anında müdahale edebileceği yapılar geliştirmektedir.

Dönüşüm sürecinin bir başka önemli boyutu da, kuralların dil bilgisine dayalı mantığıdır. Dönüştürücü araçlar, Sigma kurallarının mantığını ve yapısını koruyarak, SIEM’e özgü dilleri kullanır. Bu, analistin kuralı doğru bir şekilde uygulayabilmesi için gereklidir. Örneğin, Sigma'daki 'ParentImage' alanı, Splunk için 'parent_process_name' olarak değişirken, Azure Sentinel için 'ParentProcessName' şeklinde otomatik olarak güncellenir.

Sonuç ve İleriye Dönük Perspektif

Sonuç olarak, Sigma’nın sunduğu dönüşüm süreci, güvenlik ekiplerinin tehditlere hızlı yanıt verme kabiliyetlerini artırmasının yanı sıra, kullanılan SIEM sistemleri arasında bir köprü vazifesi görmektedir. Sigma, yalnızca bir dizi kural sağlamakla kalmamakta, aynı zamanda siber güvenlik uzmanlarının iş akışlarını optimize etmelerine ve daha etkili hale getirmelerine olanak tanımaktadır.

Siber güvenliğin daha otomatik ve entegre hale gelmesi, gelecekteki tehditlere karşı daha iyi bir savunma mekanizması geliştirilmesine yardımcı olacaktır. Bu bağlamda, Sigma dönüşüm sürecini ve getirdiği avantajları anlamak, modern siber güvenlik uygulamalarında kritik bir beceri olarak öne çıkmaktadır.

Teknik Analiz ve Uygulama

Derleyici Araç

Sigma kurallarını YAML formatında tanımlamak, siber güvenlik analistleri için önemli bir iştir. Ancak bu kuralları uygulamak ve çeşitli Security Information and Event Management (SIEM) sistemlerine uyarlamak, verimliliği artırmak açısından kritik öneme sahiptir. Bu noktada, sigma-cli gibi modern derleyici araçları devreye girer. sigma-cli, Sigma kurallarını SIEM platformları için uygun sorgulara dönüştüren bir komut satırı aracıdır.

Aşağıda, sigma-cli ile basit bir dönüşüm sürecinin örneği verilmiştir:

sigma-cli convert -t splunk example_rule.yml

Bu komut, example_rule.yml dosyasındaki Sigma kuralını Splunk için uygun bir sorgu diline dönüştürür.

Akıllı Eşleştirme

Dönüşüm sürecinin temel bileşenlerinden biri de alan eşleştirmedir. Sigma dönüşüm süreci, YAML içindeki standart alan isimlerini hedef SIEM platformunun kullandığı spesifik alan adlarıyla otomatik olarak eşleştirir. Örneğin, Sigma kuralındaki ParentImage alanı, Splunk için parent_process_name olarak ve Microsoft Sentinel için ParentProcessName şeklinde dönüştürülür. Bu eşleştirme süreci, analistlerin hızlı bir şekilde doğru sorgu oluşturmasına olanak tanır.

Dönüşümdeki alan eşleştirme mantığını açıklamak gerekirse, bu işlem bir "mapping" yapısı olarak adlandırılır. Mapping, her alanın uygun SIEM platformunda karşılığı olup olmadığını kontrol eder ve uyumsuz olanları düzeltmek için gerekli adımları atar.

Dönüşümün Bileşenleri

Dönüşüm sürecindeki temel kavramları ve teknik rolleri anlamak, başarılı bir uygulama için önemlidir. Her kural elemanı, dönüşüm sürecinde belirli bir işlevi yerine getirir. Örneğin, hedef platform belirtmek için kullanılan teknik modül "target" olarak adlandırılır. Hedef platform, kuralların dönüştürüleceği sistemdir (örneğin: Splunk, Sentinel, Elasticsearch).

Dönüştürücünün arka ucu (backend) ise, dönüşüm sırasında hedef platformun diline özgü kuralları içeren yapı olarak görev yapar. Bu sayede dönüşüm süreci sırasında geçerli dil kurallarının dikkate alınması sağlanır.

target: splunk
backend: splunk_backend

Yukarıdaki YAML örneği, Splunk platformu için bir dönüşüm ayarını göstermektedir.

Dil Bilgisi Motoru

Teknik modülde, "Logic Translation" adı verilen dil bilgisi motoru, YAML içinde tanımlanan AND/OR mantığının hedef dile kusursuz bir şekilde aktarılmasını sağlar. Bu, kullanıcıların karmaşık sorgular oluşturmasına olanak tanır. Örnek vermek gerekirse, şu şekilde bir sorgu yazılabilir:

| where (event_type = 'failed_login' AND user = 'admin') OR (event_type = 'malicious_download')

Bu örnekte, hem failed_login hem de malicious_download gibi durumlar tespit edildiğinde, analist bu sorunun potansiyel bir tehdit olduğunu hemen fark edebilir.

Hızlı Reaksiyon

Siber güvenlik dünyasında hız kritik bir faktördür. Örneğin, büyük bir saldırı durumunda (örneğin, Log4j gibi) hazır Sigma kurallarını dönüştürüp SIEM'e yapıştırmak, bir analistin en hızlı savunma refleksidir. Bu duruma hazırlıklı olmak için analistler, dönüşüm sürecinin akışını önceden belirlemeli ve gerekli araçları kullanarak süreçleri hızlandırmalıdır. Bu nedenle, dönüşüm akışını düzenli olarak güncellemek önemlidir.

Sözlük Yönetimi

Dönüşüm sırasında, eğer bir Sigma kuralındaki bir alanın hedef SIEM'de karşılığı yoksa veya farklıysa, bu durumun giderilmesi için yol haritası dosyası kullanılır. Bu dosya, eşleştirme yapısının temelini oluşturur ve analistlerin yeni alanların nasıl eşleştirileceğine dair bir referans sunar. Böylece, dönüşüm süreci sırasında karşılaşılabilecek problemler hızlıca çözülmüş olur.

Yol haritası dosyası örneği aşağıdaki gibi bir yapı içerebilir:

# mapping.yaml
field_mapping:
  - sigma_field: "ParentImage"
    target_field: "parent_process_name"

Bu yapı, ParentImage alanının nasıl dönüştürüleceğini açıkça belirtmektedir.

MODÜL FİNALİ

Sigma dönüşümü ve operasyonel entegrasyon konusundaki bu temel kavramlar, dönüşüm sürecinin daha etkili bir şekilde yönetilmesine yardımcı olacaktır. Sistematik ve metodik bir yaklaşım ile analistler, siber güvenlik alanında daha başarılı bir şekilde tehditlere karşı koyabilirler. Herhangi bir SIEM platformuna geçiş yaparken, bu bileşenleri anlayarak ve uygulayarak, siber güvenlik yönetimi süreçlerinizi büyük ölçüde optimize edebilirsiniz.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, sistemlerin güvenliği için yapılan her türlü değerlendirme, risk analizi ile başlar. Bu süreçte temel hedef, toplanan verilerin güvenlik açısından yorumlanarak olası tehditlerin tespiti ve bunun sonucunda etkin savunma stratejilerinin geliştirilmesidir. Sigma dönüşüm süreci, bu anlamda analistlerin kullanımına sunduğu önemli bir altyapıdır.

Elde Edilen Bulguların Güvenlik Anlamı

SIEM platformları üzerinden gerçekleştirilen analizlerde elde edilen bulgular, sistemlerin zafiyetlerini ortaya çıkarabilir. Örneğin, bir SIEM sorgusunda anormal bir trafik artışı tespit edildiğinde, bu durum potansiyel bir DDoS saldırısını işaret edebilir. İlgili log kayıtları, IP adresleri, zaman damgaları ve saldırı türü gibi parametreler üzerinden değerlendirilerek, saldırının boyutu ve etkisi hakkında bilgi sahibi olunabilir.

Ayrıca, yanlış yapılandırmalar da ciddi güvenlik riskleri oluşturabilir. Örneğin, bir güvenlik duvarının veya erişim kontrol listesinin yanlış yapılandırılması, kötü niyetli kişilerin sisteme erişim sağlamasına yol açabilir. Bu tür durumlar, etkin bir risk değerlendirmesi ile tespit edilip, hızlıca düzeltilebilir.

Yanlış Yapılandırmalar ve Zafiyetlerin Etkisi

Bir sistemin yanlış yapılandırılması veya mevcut zafiyetler, yalnızca sızıntıları gerçekleştirmekle kalmaz; aynı zamanda sistemin işleyişinde de kesintilere neden olabilir. Örnek vermek gerekirse, web sunucusunda güncellenmemiş bir yazılım veya yamanmamış bir güvenlik açığı, siber saldırganlar için bir kapı aralayabilir. Dolayısıyla, bu durumların düzenli olarak gözden geçirilmesi ve düzeltici önlemlerin alınması şarttır.

Sigma dönüşüm süreci, bu zafiyetlerin tespitinde de yardımcı olur. Yeterli düzeyde güncel Sigma kuralları ile bir güvenlik zafiyeti tespit edildiğinde, analistlerin hızlı bir şekilde doğru SIEM sorgularını oluşturmasına olanak tanır. Böylece, doğru yönlendirmelerle sisteminizi korumanız mümkündür.

- detection:
    selection:
      EventID: 4688
      ParentImage: "*powershell.exe"
    condition: selection

Yukarıdaki örnek, herhangi bir PowerShell kullanımının işlem oluşturma (Process Creation) etkinliğini izlemek için kullanılan bir Sigma kuralını temsil eder. Bu tür kurallar ile güvenlik analistleri, şüpheli aktiviteleri tespit etme sürecini hızlandırabilirler.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilerin analizi, potansiyel olarak saldırganların hangi bilgileri ele geçirmiş olabileceğini gösterir. Elde edilen kayıtlar üzerinden, veri türleri (örneğin, kullanıcı adı, şifre, e-posta adresleri) ve bu verilerin hangi yollarla sızdırıldığı tespit edilebilir. Özellikle, kritik hizmetlerin (örneğin, aktif dizin, veritabanları) sızdırılması, ciddi güvenlik sorunları doğurabilir ve olası veri ihlalleri ile sonuçlanabilir.

Topoloji analizi, siber güvenlik önlemlerinin etkinliğini artırmak için önemlidir. Ağın mimarisi ve iletişim yolları üzerinden potansiyel zayıf noktaların belirlenmesi, savunma stratejilerinin geliştirilmesi için gereklidir. Haritalandırılan bir sistem topolojisi sayesinde, tüm kritik bileşenlerin hangi alanlarda ve nasıl korunması gerektiği net bir şekilde görülebilir.

Profesyonel Önlemler ve Hardening

Sistem güvenliğini artırmak için uygulanması gereken en önemli profesyonel önlemlerden biri, hardening (sertleştirme) uygulamalarını hayata geçirmektir. Hardening, bir sistemin gereksiz hizmetlerden arındırılması, güncellemelerin düzenli yapılması ve güvenlik duvarı kurallarının optimize edilmesi gibi yöntemleri kapsar. Aşağıda, hardening için uygulanabilir bazı öneriler bulunmaktadır:

  1. Güncellemeleri Takip Edin: Yazılımların güncel versiyonlarını kullanarak, bilinen zafiyetlere karşı koruma sağlanmalıdır.
  2. Minimal İzinler İlkesi: Kullanıcılara ve sistem bileşenlerine sadece gerekli izinlerin verilmesi, iç tehditlerin önlenmesine yardımcı olur.
  3. Güvenlik Duvarı ve İzin Kontrol Listeleri: İzin kontrollerinin ve güvenlik duvarı kurallarının düzenli olarak gözden geçirilmesi.

Sonuç Özeti

Risk değerlendirme süreci ve güvenlik değerlendirmeleri, siber güvenlik ortamında büyük öneme sahiptir. Elde edilen bulguların güvenlik anlamının doğru yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerinin anlaşılması, sızan verilere dair yapılan analizler, profesyonel önlemler ve hardening uygulamaları, etkili bir savunma mekanizması oluşturur. Sigma dönüşüm süreci, bu anlamda analistlerin hayatını kolaylaştırarak sistem güvenliğini artırmayı hedefler.