CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Sigma Kuralları ile Her SIEM'e Uygun Sorgular Yazın

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Sigma kuralları, siber güvenlikte evrensel tespit mantığını sağlar. Her SIEM platformunda kullanılabilen esnek kurallar oluşturun.

Sigma Kuralları ile Her SIEM'e Uygun Sorgular Yazın

Siber güvenlikte geçişkenliği artıran Sigma kuralları, tespit mantığını her SIEM platformunda etkili bir şekilde kullanmanıza olanak tanır. Bu yazıda, Sigma'nın sağladığı esneklik ve avantajları keşfedin.

Giriş ve Konumlandırma

Günümüzde siber güvenlik, sürekli değişen tehdit vektörleri ve gelişen teknolojiler ile daha da karmaşık hale gelmiştir. Kuruluşlar, bu tehditleri tespit etmek ve müdahale etmek için güvenlik bilgi ve olay yönetimi (SIEM) sistemlerini kullanmaktadır. Ancak, her SIEM platformunun kendine özgü sorgu dilleri ve yapıları olması, güvenlik analistleri için büyük bir zorluk teşkil eder. İşte burada Sigma kuralları devreye girer; bu evrensel kural dili, analistlerin tespit mantığını SIEM platformlarından bağımsız olarak yazmasına olanak tanır.

Sigma'nın sağladığı taşınabilirlik, bir tehdit istihbaratı raporu yayınlandığında tüm dünyadaki güvenlik analistlerinin aynı kuralı kendi sistemlerinde hızlı bir şekilde devreye almasını sağlar. Örneğin, bir analist, belirli bir saldırıların tespit edilmesine yönelik kuralları yalnızca bir kez yazarak, bu kuralların farklı SIEM platformları üzerinde çalışabilmesini sağlayabilir. Bu özellik, "Bir Kez Yaz, Her Yerde Çalıştır" felsefesini gerçekleştirmektedir.

Siber Güvenlik Açısından Önem

Siber güvenlik, yalnızca bir IT sorunu değil, aynı zamanda bir iş sorunudur. Kuruluşlar, veri ihlalleri ve siber saldırılar sonucunda büyük maddi kayıplar ve itibar kaybı yaşayabilir. Bu noktada, etkin bir siber savunma stratejisi geliştirmek kritik önem taşır. Sigma kuralları, siber güvenlik ekiplerine esneklik kazandırarak, farklı SIEM platformları arasında geçiş yaparken tespit kurallarını kaybetmeden hızlıca adapte olmalarını sağlar. Bu sayede, kurum içi güvenlik ekipleri siber tehditlere karşı daha hızlı ve etkili bir şekilde yanıt verebilir.

Buying into one specific SIEM vendor can create challenges in terms of cost, functionality, and adaptability. Sigma’nın sunduğu vendor bağımsızlığı, güvenlik süreçlerinin daha verimli hale gelmesini sağlar. Analistler, farklı sistemlerde aynı kural seti ile tutarlı bir şekilde çalışarak, yalnızca bir dil kullanmanın getirdiği avantajlardan yararlanabilirler. Bu bağlamda, Sigma kuralları, siber güvenliğin evrensel dilinde önemli bir araç olarak öne çıkmaktadır.

Teknik İçeriğe Hazırlık

Sigma kuralları, YAML (Yet Another Markup Language) formatında yazılır. YAML formatı, hem makineler tarafından kolayca okunabilen hem de insanlar için anlaşılır bir yapı sunar. Bu formatın temel bileşenlerini anlayarak, etkili ve işlevsel kurallar yazmak mümkün hale gelir:

title: Sample Rule
logsource:
    category: os
    product: windows
detection:
    selection:
        EventID: 4624
    condition: selection

Yukarıda bir örneğini gördüğünüz gibi, temel bir Sigma kuralı, logsource ve detection gibi ana bileşenleri içerir. Bu yapıyı anlamak, kullanıcıların kendi sorgularını oluşturmasını ve mevcut olanları düzenlemesini kolaylaştırır. Kuralın öncelikli amacı, belirli bir log kaynağında ya da saldırı belirtisi olan değerlerin tespitini sağlamaktır. Bu bağlamda, geliştireceğimiz teknik bilgi birikimi, okuyuculara kendi siber güvenlik ortamlarında Sigma kurallarını etkili bir şekilde kullanma becerisi kazandıracaktır.

Sigma kurallarının avantajlarını maksimize etmek için, analistlerin bu kuralların mantığını anlaması ve çeşitli senaryolarda nasıl uygulanabileceğini kavraması gerekmektedir. Aynı zamanda, forumlar ve topluluklar aracılığıyla geliştirilen "Community Rules" gibi kaynaklar, analistlerin işlerini daha da kolaylaştıracak destekler sunmaktadır. Bu sayede, dünya genelindeki güvenlik uzmanları ortak bir hedef doğrultusunda daha güçlü bir siber güvenlik ağı oluşturabilir.

Teknik Analiz ve Uygulama

Sigma Kuralları ile Sorgu Geliştirme Süreci

Siber güvenlik alanında, etkili bir alarm yönetimi ve tespit mekanizması kurmak için esnek ve tekrar kullanılabilir kurallar oluşturmak kritik öneme sahiptir. Sigma, bu ihtiyacı karşılamak üzere tasarlanmış bir kural dilidir. Sigma kuralları, siber güvenlik analistlerinin ihtiyaç duyduğu esneklik ve taşınabilirliği sağlayarak, sorguları her SIEM (Security Information and Event Management) platformunda kullanılabilir hale getirir. Bu bölümde, Sigma kuralları ile sorgu yazma sürecini, yapısını ve uygulama aşamalarını derinlemesine inceleyeceğiz.

Bir Kez Yaz, Her Yerde Uygula

Sigma'nın en önemli avantajlarından biri, bir kez yazılan tespit mantığının, herhangi bir kod değişikliği olmadan çok sayıda SIEM aracı üzerinde çalıştırılabilmesidir. Örneğin, bir saldırı tespit kuralını Sigma formatında yazdığınızda, bu kuralı Splunk, Elastic veya başka bir SIEM üzerinde kullanmak oldukça basittir.

Aşağıda, özgün bir Sigma kuralı örneği verilmiştir:

title: Example Rule
logsource:
  category: process_creation
  service: windows
detection:
  selection:
    EventID: 4688
    NewProcessName: '**\powershell.exe'
  condition: selection

Yukarıdaki örnekte, Windows loglarından süreç oluşturma olaylarını izlemek için bir kural geliştirilmiştir. EventID: 4688 ifadesi, yeni bir süreç oluşturulma olayını belirtirken, NewProcessName: '**\powershell.exe’ kısmı, yalnızca powershell.exe adını içeren süreçleri hedef alır.

YAML Yapısının Anatomisi

Sigma kuralları, YAML formatında yazıldığı için bu yapının ana bölümlerini anlamak önemlidir. Kuralın temel bileşenleri şunlardır:

  • Logsource: Kuralın hangi log kaynakları üzerinde çalışacağını belirtir. Bu bölüm, kuralın hangi işletim sistemi veya cihaz loglarına yönelik olduğunu tanımlar.
  • Detection: Saldırı belirtisi olan değerlerin ve mantıksal koşulların tanımlandığı bölüm. Detection altında birden fazla seçim barındırabilir.
  • Condition: Detection içinde belirtilen seçimlerin, hangi mantıkla (AND, OR) birleşeceğini belirleyen sonuç ifadesidir.

Okunabilir Kurallar

Sigma kuralları, hem makineler tarafından kolayca okunabilen hem de insanlar için anlaşılır bir format sunar. Bu, ekiplerin hızlı bir şekilde kuralları oluşturmasına ve anlamasına olanak tanır. Yazdığınız Sigma kurallarını diğer güvenlik uzmanlarıyla paylaşmak istediğinizde, onların kolayca anlayabilmesi ve üzerinde değişiklik yapabilmesi bu avantajdan faydalanır.

Satıcı Bağımsızlığı

Sigma'nın sunduğu bir başka önemli özellik, satıcı bağımsızlığıdır. Bu özellik, siber güvenlik ekiplerinin farklı SIEM platformları arasında geçiş yaparken, tespit kurallarını kaybetmeden hızla adapte olmalarını sağlar. Bu sayede, yeni güvenlik sistemleri entegre edilirken mevcut kurallar üzerinde değişiklik yapmak yerine Sigma ile yazılmış bir kuralı kullanmaya devam edebilirsiniz.

Dönüşüm Motorları

Sigma kurallarını diğer SIEM platformlarına dönüştürmek için kullanılan komut satırı araçları, "sigmac" olarak adlandırılır. Bu araç, Sigma kurallarını SPL (Search Processing Language), KQL (Kusto Query Language) veya diğer hedef sorgu dillerine dönüştürür. Örneğin, sigmac komutunu kullanarak aşağıdaki gibi bir dönüşüm yapabilirsiniz:

sigmac -t splunk my_sigma_rule.yml

Yukarıdaki komut, my_sigma_rule.yml dosyasındaki Sigma kuralını Splunk uyumlu bir sorguya dönüştürerek çıktı verecektir.

Sonuç

Sigma kuralları, siber güvenlik analistlerinin etkili bir şekilde tespit yöntemlerini uygulamalarına olanak tanır. Oluşturulan kurallar sayesinde, algılama süreçleri hem esneklik kazanır hem de satıcı bağımsızlığı sağlanır. Geliştirilen kurallar sayesinde siber tehditlere karşı sağlıklı bir savunma mekanizması oluşturulabilir. Bu bölümde ele alınan noktalar, siber güvenlik uzmanlarının Sigma kuralları ile her türlü SIEM sisteminde sorgular geliştirmelerine yardımcı olacaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında tehdit tespiti ve savunma stratejileri güçlü ve etkili bir yapı gerektirir. Sigma kuralları, SIEM sistemleri arasında tutarlılığı artırırken, siber güvenlik analistlerine riskleri ve bulguları daha etkin bir şekilde yorumlama imkanı sağlar. Bu bölümde, elde edilen sonuçların güvenlik anlamı, yanıt verme süreçleri ve profesyonel savunma önlemleri üzerinde durulacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Elde edilen bulgular, genellikle bir saldırının varlığına veya potansiyel bir güvenlik açığına işaret eder. Örneğin, bir sızma testi sırasında toplanan log verilerini analiz ettiğimizde, olağandışı işlem ve bağlantıların tespiti önemlidir. Örnek bir Sigma kuralı kullanarak sistem üzerinde gerçekleştirilen anormal API çağrılarını tespit edebiliriz. Aşağıda, böyle bir tespiti gerçekleştiren örnek bir kural gösterilmektedir:

title: Suspicious API Calls
logsource:
  product: windows
  service: sysmon
detection:
  selection:
    EventID: 10
    TargetImage|endswith: ['powershell.exe', 'cmd.exe']
  condition: selection

Bu kural, Windows sistemlerinde şüpheli API çağrılarının tespit edilmesini sağlar. Analistlerin, bu tür olayların nedenini anlaması, bir saldırının varlığını veya yanlış yapılandırmaların etkisini değerlendirmesi açısından kritik öneme sahiptir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar ve mevcut zafiyetler, siber güvenlik açısından önemli riskler taşır. Örneğin, kötü yapılandırılmış bir firewall veya yetersiz güncellemeler, bir saldırganın sistemlere sızmasına olanak tanıyabilir. Böyle durumlarda, hızlı tespit ve çözüm süreci kritik öneme sahiptir. Sigma kuralları, zafiyet tanımlamalarını ve yanlış yapılandırmaları hedefleyerek analistlere bu konuda yardımcı olabilir.

Bir başka örnek olarak, bir sistemde çalışan bir web uygulamasında yapılan izinsiz değişiklikleri tespit etmek için aşağıdaki Sigma kuralı kullanılabilir:

title: Unauthorized Changes in Web Application
logsource:
  product: webserver
detection:
  selection:
    EventType: 'Modification'
    User: 'unknown'
  condition: selection

Bu kural, bilinmeyen kullanıcılar tarafından yapılan izinsiz değişiklikleri tespit edebilir. Bu tür durumlar, potansiyel sızma vakalarını ortaya çıkarabilir ve savunma seviyesini artırmak adına hemen müdahale gerektirir.

Sızan Veri, Topoloji ve Servis Tespiti

Siber güvenlik olaylarına müdahale ederken, sızan verilerin belirlenmesi ve potansiyel olarak etkilenmiş sistemlerin topolojisinin belirlenmesi gereklidir. Sigma kuralları, analiz sürecinde yardımcı bir araç olarak işlev görür. Örneğin, bir yetkisiz veri sızıntısı tespit edildiğinde, hangi verilerin sızdırıldığını ve bu verilerin hangi cihazlardan geldiğini belirlemek için aşağıdaki kural kullanılabilir:

title: Data Exfiltration Detection
logsource:
  product: network
detection:
  selection:
    Action: 'Exfiltration'
    DestinationAddress: 'suspicious_ip_address'
  condition: selection

Bu kural, kötü niyetli bir IP adresine veri sızdırılması durumunu tespit etmemizi sağlar. Sonuçların yorumlanması, sistem mimarisinin ve ilgili servislerin nasıl etkilendiğini anlamamıza yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik tehditlerine karşı alınabilecek önlemler arasında sistemlerin düzenli olarak güncellenmesi, doğru yapılandırılması ve güvenlik politikalarının oluşturulması yer alır. Aşağıdaki adımlar, sistem hardening sürecinde dikkate alınması gereken temel unsurlardır:

  1. Düzenli Yazılım Güncellemeleri: Yazılımlarınızı güncel tutmak, bilinen zafiyetlere karşı savunmanızı artırır.
  2. Ağ Segmentasyonu: Farklı ağ segmentleri oluşturmak, yayılma ve sızma riskini azaltır.
  3. Güvenlik Duvarı Kuralları: Kullanıcı erişim kontrollerinin sıkı bir şekilde yönetilmesi sağlanmalıdır.
  4. Log Yönetimi: Log verilerinin düzenli olarak analiz edilmesi, anormal aktivitelerin erken tespitini sağlar.
  5. Eğitim: Çalışanlara düzenli olarak siber güvenlik eğitimi verilmesi, insan kaynaklı hataların önüne geçer.

Sonuç

Sigma kuralları, siber güvenlik analistleri için güçlü bir araç seti sunar. Elde edilen bulguların güvenlik anlamı, yanlış yapılandırmaların etkisi ve sızma durumları analiz edilerek etkili bir risk değerlendirmesi yapılabilir. Profesyonel savunma önlemleri alındığında, sistemlerinizi daha güvenli hale getirerek tehditlere karşı koymak mümkündür. Bu süreç, sürekli bir değerlendirme ve adaptasyon gerektirir.