CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Sigma ve YARA ile Siber Tehditleri Tespit Etmenin Yolları

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Sigma ve YARA'nın yeteneklerini öğrenin. Siber tehditlerin tespitini standartlaştırmanın yollarını keşfedin.

Sigma ve YARA ile Siber Tehditleri Tespit Etmenin Yolları

Sigma ve YARA, siber güvenlikte önemli rol oynayan araçlardır. Bu blogda, her iki aracın avantajlarını ve kullanım alanlarını keşfedecek, siber tehditleri tespit etmenin etkili yollarını öğreneceksiniz.

Giriş ve Konumlandırma

Siber güvenlik, günümüz dijital dünyasında en kritik konulardan biri haline gelmiştir. Kuruluşların karşılaştığı tehditlerin karmaşıklığı, bilgisayar sistemlerine yönelik saldırıların sayısını artırırken, bu saldırılara karşı koymanın yollarını öğrenmek de aynı oranda önem kazanmıştır. Bu bağlamda, Sigma ve YARA gibi araçlar, siber güvenlik alanındaki profesyoneller için oldukça değerli kaynaklar sunmaktadır. Bu blogda, Sigma ve YARA'nın çalışma mantığına dair derinlemesine bir inceleme gerçekleştirilecek ve bu araçların siber tehditlerin tespitinde nasıl kullanılabileceği anlatılacaktır.

Sigma Kuralları Nedir?

Sigma, SIEM (Security Information and Event Management) sistemlerinde kullanılmak üzere tasarlanmış bir kural formatıdır. Temel amacı, log dosyaları üzerinde yürütülen tehdit avcılığında standart hale getirilmiş bir yapı sunmaktır. Nitelikli bir tehdit tespiti için log verileri üzerinde analiz yapabilmek kritik öneme sahiptir. Sigma kuralları, her bir log kaynağında (Windows Event, Syslog, Proxy logs gibi) tehditleri tespit etmeye yönelik belirli koşulları ve dizileri tanımlar. Bu kurallar, hem insanlar hem de makineler tarafından kolayca okunabilir bir biçimde yazılmıştır ve esnek bir yapıya sahiptir.

YARA Nedir?

YARA, kötü amaçlı yazılımları ve diğer zararlı içerikleri tanımlamak için oluşturulmuş bir araçtır. YARA, belirli metin veya bayt dizileri kullanarak zararlı yazılımların tespit edilmesine olanak tanır. Dosya sistemleri, bellek dökümleri ve ağ trafiğindeki zararlı kod parçalarını aramak için kullanılan bu araç, siber saldırıları önceden belirleyebilme yeteneği sayesinde önem kazanmaktadır.

Önem ve Kullanım Alanları

Sigma ve YARA'nın birlikte kullanımı, siber güvenlik uzmanlarının her iki aracın da avantajlarından faydalanmalarına olanak tanır. Sigma'nın hiyerarşik ve esnek yapısı, kuralların farklı SIEM platformlarına kolayca dönüştürülmesine imkân verir. Bu sayede tek bir Sigma kuralı, çeşitli SIEM sistemlerinde farklı biçimlerde kullanılabilir. YARA ise, belirli bir dosya yapısının veya bellek içeriğinin incelenmesinde kritik bir rol oynamaktadır.

Siber Güvenlik ve Pentest Açısından Bağlantı

Siber güvenlik dünyasında, tehditlerin tespiti hayati bir öneme sahiptir. Olası bir saldırıda, öncelikle tehditlerin tanımlanması ve analiz edilmesi gerekir. Burada Sigma ve YARA, uzmanların hem aktif (pentest) hem de pasif (savunma) stratejilerde etkili olmasına olanak tanır. Sigma kuralları, potansiyel tehditleri tespit etmek için gerekli kriterleri belirlerken, YARA'nın esnekliği sayesinde belirlenen tehditlerin etkili bir biçimde sınıflandırılmasına yardımcı olur.

Teknik İçeriğe Hazırlık

Bu blogda ele alınacak konular arasında Sigma'nın YAML (YAML Ain't Markup Language) formatındaki yapısının incelenmesi, YARA kurallarının anatomisi, bu iki aracın kullanım alanları ve topluluklar arası paylaşım olanakları bulunmaktadır. Ayrıca, yanlış pozitiflerin yönetimi ve tespit seviyeleri gibi teknik bilgilere de değinilecektir.

Sigma ve YARA'nın Sunduğu Avantajlar

Her iki araç, siber güvenlik tehditlerini anlamak ve bunlarla başa çıkmak için standartlaşmış bir çerçeve sunar. Bunun yanında, dijital alandaki yeni tehditlere karşı hızlı bir şekilde yeni kurallar geliştirilmesi ve bu kuralların dünya genelinde paylaşılması, güvenlik uzmanlarının etkinliğini artırır. Ayrıca, YARA'nın sağladığı "exclusion" gibi istisna bölümleri, meşru yazılımların yanlışlıkla tespit edilmesini engelleyerek güvenlik çözümlerinin doğruluğunu artırır.

Sonuç olarak, Sigma ve YARA'nın etkili bir biçimde kullanılması, siber tehditlerle mücadelede büyük önem taşımaktadır. Bu araçları doğru bir şekilde anlayarak ve uygulayarak, siber güvenlik uzmanları, hem tehditleri daha etkili bir biçimde tespit edebilir hem de savunma stratejilerini güçlendirebilirler.

Teknik Analiz ve Uygulama

Sigma Kuralları Nedir?

Sigma, çeşitli SIEM (Security Information and Event Management) sistemlerindeki log verileri üzerinde tehdit avcılığı yapmaya olanak tanıyan ortak bir kural formatıdır. Bu kurallar, farklı platformlardan elde edilen verilerin işlenmesi ve saldırı tespit mantığının birleştirilmesi için geliştirilmiştir. Sigma'nın temel amacı, güvenlik analistlerinin, sistem yöneticilerinin veya siber güvenlik uzmanlarının çeşitli kaynaklardan elde edilen verileri daha etkin bir şekilde analiz etmelerini sağlamaktır.

Sigma'nın Yapı Taşları

Sigma kuralları, açık standartlara dayanmakta ve YAML (YAML Ain't Markup Language) formatında yazılmaktadır. Bu sayede hem insanlar hem de makineler tarafından okunabilir bir yapı sunmaktadır. Örnek bir Sigma kuralı aşağıdaki gibi tanımlanabilir:

title: Example Sigma Rule
id: f37e857d-5430-4a9b-8c6e-ffffff123456
status: experimental
description: "Bu kural örnek bir Sigma kuralıdır."
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image: 'C:\Windows\System32\cmd.exe'
  condition: selection

Bu örnekte, logsource bölümünde kaynağın ne olduğu tanımlanırken, detection bölümünde ise tespit edilmesi istenen durum belirtilmiştir.

YARA Nedir?

YARA, kötü amaçlı yazılımları, dosyaları veya bellek içerisindeki verileri belirli dizeler veya bayt desenleriyle tanımlamak için kullanılan bir araçtır. Özellikle zararlı yazılımları tespit etmek için yaygın bir yöntem olarak kabul edilir. YARA kuralları, tespit edilmesi gereken nesneleri ve bu nesneleri tanımlamaya yönelik koşulları içerir. Aşağıda basit bir YARA kuralı örneği verilmiştir:

rule ExampleYaraRule
{
    strings:
        $a = "malware" 
        $b = { E2 34 56 }
    condition:
        $a or $b
}

Bu örnekte, strings bölümünde aranacak metin ve bayt dizeleri tanımlanırken, condition bölümünde ise bu desenlerin hangi koşullara bağlı olarak aranacağı belirtilmiştir.

Kullanım Alanları

Sigma ve YARA'nın başlıca kullanım alanları arasında güvenlik olaylarının analizi, kötü amaçlı yazılımların tespiti ve siber tehditlerin önlenmesi yer almaktadır. Özellikle geniş çaplı veri kaynaklarından gelen logların işlenmesi ve analiz edilmesi için Sigma kuralları kullanılan temsilci bir yapı sunarken, YARA zararlı yazılımların detaylı inceleme ve sınıflandırmasını sağlamaktadır.

Sigma Kurallarının Avantajı

Sigma kuralları, mükemmel bir esneklik sunarak birden çok SIEM platformunda kullanılabilir hale getirir. Tek bir Sigma kuralı, farklı platformlar için elde edilen log verilerine kolaylıkla dönüştürülebilir. Örneğin, bir Sigma kuralı Splunk veya Elasticsearch gibi SIEM araçlarında kullanılmak üzere uygun sorgu diline dönüştürülebilir. Bu, güvenlik analistlerine zamandan tasarruf sağlamanın yanı sıra, yeni tehditlere karşı hazırlanan tespit kurallarının anında paylaşılmasına olanak tanır.

Dönüştürücü (Converter) Mantığı

Sigma'nın etkili kullanım alanlarından biri de dönüşüm araçlarıdır. Bu araçlar, yazılan Sigma kurallarını otomatik olarak hedeflenen SIEM yazılımlarına uygun hale getirebilir. Aşağıda bir örnek kullanım senaryosu yer almakta:

sigma2es my_sigma_rule.yml

Yukarıdaki komut satırı, my_sigma_rule.yml adlı Sigma kuralını Elasticsearch formatına dönüştürmektedir. Bu türizasyon, tespit süreçlerini streamline ederken analistlerin işini de kolaylaştırır.

False Positive Yönetimi

Siber güvenlikte dikkat edilmesi gereken en önemli unsurlardan biri de false positive (yanlış pozitif) yönetimidir. Hem Sigma hem de YARA kurallarında, meşru yazılımların yanlışlıkla yakalanmaması için kurala eklenen exclusion bölümü kritik bir önem taşır. Örnek bir exclusion bölümü şu şekilde yer alabilir:

detection:
  selection:
    Processes:
      - "malicious.exe"
  exclusion:
    - "trusted.exe"

Bu yapı, malicious.exe sürecini yakalarken, trusted.exe sürecini hariç tutmayı sağlar. Bu tür stratejiler, güvenilir yazılımların analizler esnasında gereksiz yere işleme alınmasını önler.

Sonuç

Sigma ve YARA kullanarak siber tehditleri tespit etmek, günümüz güvenlik ortamında kritik bir öneme sahiptir. Bu araçlar, bilgi güvenliği uzmanlarına, mevcut tehditler karşısında daha proaktif bir yaklaşım sunmakta ve siber güvenlik olaylarının daha etkin bir şekilde yönetilmesine olanak tanımaktadır. Her iki aracın etkili bir şekilde entegrasyonu ile birlikte, güvenlik analistleri hem daha hızlı hem de daha doğru analizler yapabiliyor.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, bir sistemin güvenliğini sağlamak için tehditlerin doğru bir şekilde tespit edilmesi ve anlaşılması kritik öneme sahiptir. Sigma ve YARA gibi araçlar, hem tehdit avcılığı hem de zararlı yazılımların analizi için vazgeçilmez kaynaklardır. Bu bölümde, bu araçların kullanımıyla elde edilen verilerin nasıl yorumlanacağı, olası yanlış yapılandırmaların etkileri, sızan verilerin analizi ve profesyonel önlemler konularını ele alacağız.

Elde Edilen Bulguların Yorumlanması

Bir güvenlik çözümü kullanılarak elde edilen verilerin yorumlanması, güvenlik analistlerinin en önemli görevlerinden biridir. Sigma kuralları sayesinde, sistemlerdeki log verileri üzerinde yapılan analizler, güvenlik olaylarının anlaşılmasına yardımcı olur. Örneğin, bir log kaydı üzerinden:

- id: a1b2c3d4e5f6
  title: Suspicious Process Creation
  log_source: Windows Event ID 4688
  condition: Process_Creation AND (string1 OR string2)

Yukarıdaki kurallarla, belirli diziler (string1, string2) içeren yeni süreçlerin oluşturulması tespit edilebilir. Bu tür kurallar oluşturmak, potansiyel zararlı süreçlerin erken aşamada tespit edilmesine olanak tanır.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Güvenlik sistemlerinde yaygın bir sorun, yanlış yapılandırmalardan kaynaklanan zafiyetlerdir. Yanlış yazılan Sigma kuralları ya da eksik YARA tanımlamaları, güvenlik ekiplerinin tehditleri zamanında tanımlamasını zorlaştırabilir ve bu da potansiyel bir veri sızıntısına yol açabilir. Örneğin, bir log kaynağında gereken loglamanın yapılmaması durumunda kritik bilgilerin kaybı yaşanabilir veya saldırganların izlerini gizlemeleri kolaylaşabilir.

Yanlış yapılandırmalardan kaçınmak için düzenli olarak kurallar gözden geçirilmeli ve sistemlerin güncel tehditlere karşı savunma kapasiteleri test edilmelidir.

Sızan Veri, Topoloji ve Servis Tespiti

Elde edilen bulguların yanı sıra, organizasyonun ağ yapısının ve hizmetlerinin analizi de güvenlik duruşunu etkilemektedir. Örneğin, belirli bir ağda gerçekleştirilen veri akış analizi, kötü niyetli bir etkinliği tespit etmek için kullanılabilir. YARA kuralları, dosya sistemlerinde ve hafızada zararlı yazılımları tespit etmede önemli bir rol oynayabilirken, Sigma kuralları ağ trafiğinde yapılan anormal davranışları ortaya koyabilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik açıklarını minimize etmek ve sistemlerin sağlamlığını artırmak için çeşitli hardening adımları atılmalıdır. Aşağıda, hem Sigma hem de YARA kuralları ile entegre edilebilecek güvenlik önlemleri bulunmaktadır:

  1. Sistem Güncellemeleri ve Yamalar: Tüm sistem yazılımları güncel tutulmalıdır. Zafiyet açıklıkları için düzenli olarak güvenlik yamaları uygulanmalıdır.

  2. Log Yönetimi: Belirli log kaynaklarının belirli bir süre boyunca saklanması, geçmiş olayların analizine olanak tanır. Ayrıca, bu logların belirli analitik araçlar tarafından işlenebilir olması sağlanmalıdır.

  3. Kuralların Düzenli Gözden Geçirilmesi: Sigma ve YARA kurallarının etkinliği periyodik olarak gözden geçirilmeli ve güncel tehditlere karşı güncellenmelidir. Gereksiz kurallar temizlenmeli veya optimize edilmelidir.

  4. Eğitim ve Farkındalık Faaliyetleri: Güvenlik ekiplerinin güncel tehditler konusunda sürekli eğitilmesi, sistemlerin güvenliğini artıracaktır. Ayrıca, yanlış yapılandırmaları ve zafiyetleri minimize etmek için farkındalık çalışmaları düzenlenmelidir.

Sonuç

Siber tehditlerin tespiti ve analizi, güvenlik ekiplerinin etkinliğini artıran önemli bir süreçtir. Sigma ve YARA araçları, bu süreçteki temel taşlardan biri olarak karşımıza çıkmaktadır. Yanlış yapılandırmalar ve zafiyetler dikkate alındığında, bu araçların sağladığı verilerin yorumlanması, etkili bir siber savunma stratejisi oluşturulmasına olanak tanır. Kuralların düzenli olarak gözden geçirilmesi ve sistemlerin sürekli olarak hardening edilmesi, organizasyonların güvenlik seviyelerini yükseltmek için kritik adımlardır.