CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Sigma Yapısı: Logsource, Detection ve Condition Bloklarının Önemi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Siber güvenlikte Sigma yapısının logsource, detection ve condition blokları arasındaki ilişkiyi keşfedin.

Sigma Yapısı: Logsource, Detection ve Condition Bloklarının Önemi

Sigma kurallarının temel blokları olan logsource, detection ve condition, siber güvenlikte etkin tehdit tespiti için kritik öneme sahiptir. Bu yazıda, bu yapıların nasıl çalıştığını ve ilişkilerini detaylı bir şekilde ele alıyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında, olayları tespit etmek ve bunlara yönelik müdahale etme sürecinde kullanılan çeşitli teknik ve yapılar mevcuttur. Bu yapılar arasında Sigma kuralı, saldırı tespiti ve analiz süreçlerinin geliştirilmesinde kritik bir rol oynamaktadır. Sigma'nın yapısı, log kaynaklarını, tespit kriterlerini ve karar verme mekanizmalarını içeren bloklar etrafında şekillenmektedir. Bu yazıda, Sigma'nın temel bileşenlerini inceleyecek ve neden bu bileşenlerin siber güvenlik açısından bu kadar önemli olduğuna dair derinlemesine bir anlayış geliştireceğiz.

Sigma Yapısının Temel Bileşenleri

Sigma'nın yapısı, üç ana bloktan oluşmaktadır: Logsource, Detection ve Condition. Her bir blok, tespit süreçlerinin başarısını doğrudan etkileyen önemli işlevlere sahiptir.

Logsource

Logsource bloğu, tespit kurallarının hangi cihaz veya uygulama üzerinde işleyeceğini tanımlar. Bu bağlamda, olayların kaydedildiği kaynakların doğru bir şekilde belirlenmesi, siber güvenlik çözümlerinin etkinliği açısından hayati öneme sahiptir. Örneğin, aşağıdaki gibi bir yapı kullanarak log kaynaklarını tanımlamak mümkündür:

logsource:
  product: 'Windows'
  service: 'Security'

Bu yapı ile Windows sistemlerindeki güvenlik olayı logları üzerinde işlem yapmayı amaçlıyoruz.

Detection

Detection bloğu, bir kuralın temelini oluşturarak, belirli bir tehdit veya olay türü ile ilgili spesifik kanıtların ve değerlerin tanımlandığı bölümdür. Burada, saldırı tespitine yönelik çeşitli kriterler belirlenir. Örneğin, “selection” ve “filter” gibi alt başlıklar kullanılarak, yakalamanız gereken olayların kapsamını belirleyebiliriz:

detection:
  selection:
    EventID: 4624
  filter:
    User: 'SYSTEM'

Bu örnekte, Windows oturum açma olayları tespit edilmeye çalışılırken sistem kullanıcılarının atlanması sağlanmaktadır.

Condition

Condition bloğu, tespit kriterlerinin nasıl bir korelasyon ile alarm durumuna dönüşeceğini tanımlar. Örneğin, “selection and not filter” ifadesi, belirli bir saldırı kriterinin gerçekleşmesi durumunda yalnızca güvenilir olmayan kullanıcılar ile ilgili bir alarmlar oluşturulmasını sağlar. Bu yapı, kullanıcı etkinliği üzerindeki anormalliklerin daha etkili bir şekilde izlenmesine olanak tanır.

condition: 'selection and not filter'

Neden Bu Bileşenler Önemlidir?

Siber güvenlik profesyonelleri, potansiyel tehditleri tespit etmenin yanı sıra, güvenlik olaylarına hızlı bir şekilde müdahale etme yeteneğine de ihtiyaç duyarlar. Sigma'nın yapı taşları olan bu bloklar, doğru bilgilere dayalı tespit ve müdahale süreçlerinin oluşturulmasında kritik rol oynamaktadır. Yetersiz yapılandırılmış bir kural, kritik bir güvenlik olayının gözden kaçmasına neden olabilir ya da yanlış alarmlara yol açarak ekibin dikkatini dağıtabilir.

Keza, siber saldırılar sürekli evrim geçirmekle birlikte, sistemler için güvenlik açıklarının bulunması daha karmaşık hale gelmektedir. Sigma yapısındaki her bir bileşen, güvenlik uzmanlarının bu karmaşıklığı anlamalarına ve daha etkili önlemler almalarına yardımcı olur. Logsource, doğru kaynakların izlenmesini sağlarken, Detection, tespit sürecinin temelini atar; Condition ise bu tespitlerin nasıl yorumlanacağına dair mantıksal bir çerçeve sunar.

Sonuç olarak, Sigma yapısının her bir bloğu, siber güvenlik alanındaki etkinliğin artırılmasında ve güvenlik olaylarına müdahale süreçlerinin optimize edilmesinde kritik öneme sahiptir. Güçlü bir siber savunma mekanizması kurmak için, bu bileşenlerin nasıl yapılandırılması ve hangi koşullarda kullanılacağı konusunda derin bir anlayışa sahip olunması gerekmektedir. Bu makalede ele alacağımız sonraki bölümlerde, bu yapıların detaylarını derinlemesine inceleyeceğiz ve uygulama düzeyindeki pratiklere de yer vereceğiz.

Teknik Analiz ve Uygulama

Nerede Aramalı?

Sigma yapısındaki ilk adım, hangi log kaynaklarının kullanılacağını belirlemektir. Bu adım, logsource bloğunda tanımlanır ve belirli cihazlar veya uygulamalar üzerinde çalışacak olan kuralların hedefini belirler. Aşağıdaki örnek, bir Windows Server log kaynağı tanımlamak için kullanılabilir:

logsource:
  product: windows
  service: security

Bu örnekte product altında, logların ait olduğu ana platform Windows olarak belirlenmiştir ve service altında güvenlik ile ilgili logları belirtiyoruz.

Kuralın Kalbi

Sigma kuralını oluşturan en önemli bölüm detection bloğudur. Burada, saldırıya dair spesifik kanıtların ve olayların tanımlandığı bir yapı mevcuttur. Detection bloğu, diğer tüm blokların beyin hücresini oluşturur. Aşağıda temel yapı ve örnek bir kullanım verilmiştir:

detection:
  selection:
    EventID: 4624
  filter:
    User: SYSTEM

Bu yapı, öncelikle 4624 numaralı olay kimliğini izlemekte ve SYSTEM kullanıcısından gelen kayıtları hariç tutmaktadır. Bu sayede, yalnızca kritik olayları takip ederek gürültüyü azaltmış oluruz.

Tespit Kriterleri

detection bloğunda yer alan selection ve filter ifadeleri, tespit kriterlerini belirler. selection altında hangi pozitif değerlerin beklenildiğini tanımlarken, filter altında diğer olasılıkların dışlanmasını sağlarız. Örneğin, bir işlemin oluşturulması sırasında gerçekleşen tüm olayları izlemek için aşağıdaki gibi bir ifade kullanılabilir:

selection:
  EventID: 4688

Bu ifade ile, yeni bir işlem oluşturma olayı tetiklendiğinde izlemeye başlayacağız.

Son Karar

Tüm tespit kriterleri toplandıktan sonra, hangi kriterlerin bir araya gelerek alarm oluşturacağını belirlemek için condition bloğuna ihtiyaç duyarız. condition satırında yazılan mantıksal ifadeler, birden fazla seçim arasındaki korelasyonu belirler. Aşağıdaki örnekte, bir saldırı kriteri gerçekleştiğinde alarm üretecek şekilde ayarlanmış bir condition kullanılmaktadır:

condition: selection and not filter

Bu ifade, seçim kriterinin gerçekleştiği, ancak belirli bir kullanıcı dışında kalan kayıtlar için alarm üretilmesini sağlar.

Mantıksal Bağlantı

Sigma kuralları, koşulların birbiriyle nasıl etkileşeceğini belirlemek için mantıksal ifadeler kullanır. condition ifadesindeki mantıksal bağlantıları doğru bir şekilde kurmak, doğru tespit ve alarm süreci için kritik öneme sahiptir. Birden fazla tespit kriterini birleştirerek daha karmaşık senaryolar oluşturmak mümkündür. Örneğin:

condition: selection1 or (selection2 and not filter)

Bu ifade sayesinde, selection1 veya selection2 kriterlerinden birinin sağlanması durumunda alarm oluşturulacaktır.

Hiyerarşik Yapı

Sigma yapısında bloklar arasındaki hiyerarşi, dosya biçimindeki boşluklar (indentation) ile belirlenir. Sigma'nın yapısal bütünlüğünü koruyabilmek için YAML formatının kurallarına uymak önemlidir. Her bir alt blok, üzerine yazıldığı üst blok ile aynı hiyerarşiyi koruyarak yapılandırılmalıdır. Örneğin:

logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4624
  condition: selection

Bu yapı, işlemlerin düzgün bir hiyerarşik düzende olduğunu göstermektedir.

Modül Sonu

Sigma kuralı oluştururken, veri hiyerarşisindeki kritik metadata alanlarını yerinde kullanmak ve yapılandırmak büyük önem taşır. Metadata, kuralların verimliliğini artırır ve hangi olayların izleneceği konusunda daha net bir bilgi sağlar. İlgili metadata alanlarını doğru bir şekilde mühürlemek, genel güvenlik stratejisinin etkinliğini artırır:

title: "Başlangıç Tespiti"
id: "T001"
status: "experimental"

Bu örnek yapı ile, kuralın başlığı, kimliği ve durumu gibi metadata alanları tanımlanarak önemli bilgiler sağlanmıştır. Sigma yapısını oluştururken, bu detayların her birine dikkat etmek, siber güvenlik stratejinizin başarısını artıracaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında etkili bir tehdit tespiti ve önleme stratejisi oluşturmanın temel unsurlarından biri, Sigma yapısındaki bileşenlerin doğru bir şekilde analiz edilmesidir. Logsource, Detection ve Condition blokları; elde edilen bulguların güvenlik anlamını yorumlamak ve sonuçlardaki olası riskleri değerlendirmek için kritik öneme sahiptir. Bu bölümde, bu bileşenlerin işlevselliğini ele alacak ve sızan veri, yanlış yapılandırma veya zafiyetlerin etkilerini inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamını Yorumlama

Logsource, sistemdeki hangi cihazların veya uygulamaların loglarının analiz edileceğini tanımlar. Örneğin, bir güvenlik duvarı log'una odaklanabiliriz. Bu loglar, saldırılar veya kullanıcı davranışları hakkında kritik bilgiler sunar. Logların doğru bir şekilde analizi, olası tehditleri belirlemek açısından son derece önemlidir. 

logsource:
  product: Windows
  service: Security

Yukarıdaki yapı, Windows platformundaki güvenlik loglarını bir kaynak olarak belirler. Bir saldırı tespit edildiğinde, bu logların içeriği üzerinden yorumlama yaparak saldırının niteliği ve hedefi hakkında bilgi edinebiliriz.

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmalar, siber güvenlik alanında ciddi riskler oluşturabilir. Örneğin, bir firewall'un yanlış ayarlanmış kuralları, saldırganların ağınıza girmesini kolaylaştırabilir. Bu tür konfigürasyon hataları, bir saldırganın sisteme erişim sağlaması için gerekli olan yolu açar. Ayrıca, yanlış yapılandırılan sistemlerde, gereksiz açık portlar veya hatalı yetkilendirme politikaları gibi zafiyetler ortaya çıkabilir.

Detection bloğu, belirli olayların tespit edilmesine olanak tanır. Örneğin:

detection:
  selection:
    EventID: 4624
  filter:
    User: SYSTEM

Bu yapı, başarılı bir kullanıcı oturum açma olayının tespit edilmesini sağlar. Ancak, aynı zamanda bu oturumun belirli bir kullanıcı tarafından değil, sistemden geldiği için bir alarm üretilmesini sağlar. Yanlışlıkla bir kötü niyetli kullanım durumu olarak değerlendirilebilir.

Sızan Veri, Topoloji ve Servis Tespiti

Siber suçluların bir sistemden bilgi sızdırması, genellikle daha büyük bir saldırının belirtisi olabilir. Örneğin, bir sistemde önemli bilgilerin sızdırıldığını tespit edildiğinde, bu durum ciddi bir güvenlik ihlali anlamına gelir ve hemen cevap verilmesi gereken bir durumdur. Detection bloğundaki tespit kriterleri, bu tür istismarları belirlemek için kritik öneme sahiptir.

Topoloji analizi de siber güvenlikte önemli bir yere sahiptir. Ağın fiziksel ve mantıksal yapısını anlamadan, saldırganların sistemde hangi yolları izleyebileceklerini ve hangi hizmetleri hedef alabileceklerini öngörmek zor olacaktır. Bu bilgilerin analizi, potansiyel saldırı vektörlerini tanımlamak için kullanılır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte bir savunma stratejisi oluşturmak, riskleri azaltmak adına kritik öneme sahiptir. İşte bu bağlamda bazı profesyonel öneriler:

  1. Log Yönetimi: Tüm log kaynaklarınızı düzenli olarak inceleyin ve analiz edin. Potansiyel tehditleri hızlıca belirlemek için otomatikleştirilmiş log analiz araçlarını kullanın.

  2. Güvenlik Duvarı Kuralları: Güvenlik duvarı kurallarınızı sıkılaştırın ve yalnızca gerekli portları açın. Gereksiz hizmetleri kapatın.

  3. Güncellemeler: Tüm yazılımların en güncel versiyonlarını kullanın. Güvenlik güncellemeleri ihmal edilmemelidir.

  4. Yetkilendirme: Kullanıcıların yetkilerini kontrol edin ve en düşük ayrıcalık prensibini uygulayın. Kullanıcıların sadece işlerini yapmak için gerekli olan erişim haklarına sahip olmalarını sağlayın.

  5. Eğitim: Kullanıcı güvenliği bilincini artırmak için düzenli eğitimler verin. Sosyal mühendislik saldırılarına karşı hassasiyet geliştirmelerini sağlayın.

Sonuç Özeti

Bu bölümde, Sigma yapısının risk, yorumlama ve savunma alanındaki önemini inceledik. Logsource, Detection ve Condition blokları, siber güvenlikte etkili bir tehdit tespiti için hayati bileşenlerdir. Yanlış yapılandırmalar ve zafiyetler ciddi riskler teşkil ederken, yapılan analiz ve yorumlamalar ile bu risklerin üstesinden gelmek mümkündür. Profesyonel önlemler ve hardening stratejileri ile sistem güvenliğini daha üst seviyelere taşımak mümkündür.