CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

SRUM Database Analizi: Siber Güvenlikte Kritik Bir Araç

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

SRUM veritabanı analizi ile siber güvenlikte kullanıcı aktivitelerini izleyin ve network forensics dünyasına adım atın.

SRUM Database Analizi: Siber Güvenlikte Kritik Bir Araç

SRUM (System Resource Usage Monitor) veritabanı, kullanıcı davranışlarını analiz etmede önemli bir role sahiptir. Bu blog yazısında, SRUM analizi ve forensic avantajları hakkında bilgi edineceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, veri analizi ve incelemesi, saldırıların tespiti ve analizinde hayati bir rol oynamaktadır. Bu bağlamda, SRUM (System Resource Usage Monitoring) veri tabanı, Windows sistemlerinde kullanıcı aktivitelerinin detaylı takibi için kritik bir araç olarak öne çıkmaktadır. SRUM veri tabanı, uygulama kullanım geçmişinden ağ bağlantılarına kadar pek çok bilgiyi derleyerek, siber güvenlik uzmanlarına şüpheli aktiviteleri tanımlama ve çözümleme fırsatı sunar.

SRUM Nedir?

SRUM, Windows işletim sistemlerinde enerji tüketimi, ağ aktiviteleri ve kullanıcı uygulama kullanımını takip eden bir veritabanıdır. Microsoft tarafından geliştirilen bu sistem, kullanıcıların bilgisayarlarında gerçekleştirdiği işlemleri kaydeder ve bu verileri analiz etmek suretiyle birçok siber güvenlik senaryosunda önemli bir rol oynar. Analiz edilen verilerin türleri, kullanıcı davranışlarının ve sistem üzerindeki işlemlerin daha iyi anlaşılmasını sağlar.

SRUM’ın temel veri türleri arasında uygulama kullanımı, ağ bağlantı verileri ve enerji tüketim istatistikleri yer almaktadır. Bu tür veriler, belirli bir zaman diliminde hangi uygulamaların ve hizmetlerin aktif olduğunu, nasıl bir ağ trafiği oluşturduğunu ve bu süreçte sistem kaynaklarının ne şekilde kullanıldığını gösterir. SRUM, bu bilgiler üzerinde yapılan analizlerle kullanıcı aktivitelerinin detaylı bir izini sürebilir.

SRUM’IN Önemi

Siber güvenlik alanında, her türlü bilgi kaynağı, potansiyel bir saldırıyı veya güvenlik açığını tespit etmek için kullanılabilir. SRUM veri tabanının sunduğu ayrıntılı kullanıcı aktivite kayıtları, hem saldırı tespiti hem de olası tehditlerin analizi açısından son derece değerlidir. Özellikle, bir sistemde şüpheli bir faaliyet tespit edildiğinde, SRUM verilerini inceleyerek hangi uygulamaların çalıştığını, hangi ağ bağlantılarının aktif olduğunu ve hangi enerji tüketim seviyelerinin oluştuğunu öğrenmek mümkündür.

Özellikle penetrasyon testleri (pentest) sırasında, saldırganların sistemde gerçekleştirdiği aktivitelerin izlenebilirliği, sızma girişimlerinin kaynağına inen detaylı raporlamalarla sağlanır. Örneğin, SRUM verileri kullanılarak şüpheli bir uygulamanın daha önce hangi zaman dilimlerinde aktif olduğu, hangi ağlardan veri alışverişi yaptığı gibi bilgiler elde edilebilir. Bu tür bilgiler, güvenlik analistlerinin potansiyel tehditleri daha iyi analiz etmesine ve gerektiğinde sistemlerin savunmasını güçlendirmesine yardımcı olur.

SRUM ve Siber Güvenlik Stratejileri

Çeşitli siber tehditler karşısında etkin bir savunma mekanizması oluşturmak için SRUM analizi önem taşır. Siber güvenlik uzmanları, SRUM’ın sağladığı verileri kullanarak kullanıcı davranışlarını ve sistem aktivitelerini inceleyerek, potansiyel saldırıların önüne geçebilir veya mevcut tehditlere daha hızlı bir şekilde karşılık verebilir. Örneğin, siber yardım masası (SOC) analistleri, SRUM verilerini yorumlayarak şüpheli ağ aktivitelerini tespit edebilir ve acil bir durum olduğunda hızlı harekete geçebilir.

Bu analizin ilk adımı, SRUM veri tabanının konumunu ve yapılandırmasını anlamaktır. SRUM verilerinin bulunduğu dosya genellikle C:\Windows\System32\sru\srudb.dat konumundadır. Bu dosya, analizlerin başlangıç noktası olarak kullanılabilir. SRUM verileri, inceleme için Eric Zimmerman tarafından geliştirilen srumecmd aracı gibi araçlar kullanılarak işlenebilir. SRUM veri tabanını analiz etmek için temel kullanım şu şekildedir:

srumecmd.exe -f c:\windows\system32\sru\srudb.dat

Bu komut, SRUM verilerini analiz ederek kullanıcı aktiviteleri hakkında bilgi sağlayacak ve böylece siber güvenlik uzmanlarının takibinde gerekli verileri sunacaktır.

Sonuç olarak, SRUM veri tabanı analizi, siber güvenlik stratejileri geliştirmek adına kritik bir bileşen olarak karşımıza çıkmaktadır. Kullanıcı davranışlarını izlemek ve potansiyel tehditleri hızlıca tespit etmek için sağladığı veriler sayesinde, siber güvenlik uzmanları, tehditlere karşı daha hazırlıklı ve etkin bir yaklaşım sergileyebilirler. Bu bağlamda, SRUM analizi, siber güvenlik alanında önemli bir analiz aracının nasıl kullanılması gerektiğini anlamada anahtar rol oynamaktadır.

Teknik Analiz ve Uygulama

SRUM Tanımı

Windows işletim sistemlerinde, kullanıcı aktiviteleri ile ilgili detaylı verilerin toplandığı bir veri tabanı olan System Resource Usage Monitoring (SRUM), uygulama kullanımı, ağ bağlantıları ve enerji tüketimi gibi bilgileri saklar. SRUM, kullanıcı davranışlarını incelemek, şüpheli uygulama aktivitelerini tespit etmek ve sistem performansını analiz etmek amacıyla kritik bir araçtır. Veritabanı, ESE (Extensible Storage Engine) formatında yapılandırılmıştır ve geleneksel SQL veritabanlarından farklı bir başvuru yapısı sunar.

SRUM Dosya Konumu

SRUM veritabanı, sistem düzeyinde belirli bir dizinde saklanır. Bu dizin, Windows işletim sistemi dosyalarının yer aldığı klasörlerden biridir. Veritabanının varsayılan konumu aşağıdaki gibidir:

C:\Windows\System32\sru\srudb.dat

Bu dosya, Windows sisteminde kullanıcı aktivitelerini ve kaynak kullanımlarını izlemek için kullanılmakta ve gerektiğinde adli inceleme için analiz edilebilir.

SRUM Veri Türleri

SRUM veri tabanı, kullanıcı aktiviteleri hakkında çeşitli türde veriler tutar. Bu veriler, adli soruşturmalar sırasında şüpheli davranışları tespit etmek için oldukça önemlidir. Temel veri türleri şunlardır:

  • Application Usage: Uygulama kullanım geçmişi.
  • Network Usage: Ağ bağlantı verileri.
  • Energy Usage: Enerji tüketim bilgileri.
  • Detailed User Activity: Detaylı kullanıcı davranışı.

Bu veri türleri, bir kullanıcının sistem ile etkileşimini daha iyi anlayarak, potansiyel güvenlik tehditlerini tespit etmeye yardımcı olur.

SrumECmd Aracı

SRUM verilerini analiz etmek için kullanılan en etkili araçlardan biri, Eric Zimmerman tarafından geliştirilen ve SRUM database’in analizini kolaylaştıran SrumECmd'dir. Bu araç, kullanıcı aktivitelerini inceleyerek, şüpheli uygulama davranışlarını tespit etmekte kritik bir rol oynar.

SrumECmd Kullanımı

SrumECmd'yi kullanarak SRUM verilerini analiz etmek oldukça basittir. İlk olarak SrumECmd.exe dosyasını çalıştırarak şuradaki komutu girmemiz gerekmektedir:

srumecmd.exe -f C:\Windows\System32\sru\srudb.dat

Bu komut, SRUM veritabanını analiz eder ve kullanıcı aktivite verilerini listeleyerek, daha fazla detay elde etmemizi sağlar. Komutun çıktısı, kullanıcı uygulama ve ağ aktiviteleri hakkında kapsamlı bilgiler sunacaktır.

SRUM Forensic Avantajları

SRUM, adli analizler açısından birçok avantaja sahiptir. Bu avantajlar arasında:

  • Uygulama Kullanım Takibi: Kullanıcıların hangi uygulamaları ne zaman kullandığını belirlemek için kullanılır.
  • Ağ Aktivite Analizi: SRUM verileri, kullanıcıların ağ üzerinde gerçekleştirdiği etkinlikleri detaylı bir şekilde izleme imkanı sunar.
  • Zaman Çizelgesi Oluşturma: SRUM verileri, kullanıcı davranışlarının zaman açısından bir şemasını oluşturarak olayların sırasını gözlemleme olanağı sağlar.

Bu avantajlar, SOC (Security Operations Center) analistlerinin kullanıcı davranışlarını incelemesine ve potansiyel tehditleri tespit etmesine olanak tanır.

Network Forensics

SRUM, ağ adli analizi için önemli verilere ev sahipliği yapmaktadır. Kullanıcıların gerçekleştirdiği ağ bağlantıları, SRUM veritabanında saklandığı için, şüpheli aktiviteler tespit edilebilir. Örneğin, belirli bir zaman diliminde kullanıcıların hangi IP adreslerine bağlandığı ve bu bağlantıların hangi uygulamalar tarafından gerçekleştirildiği analiz edilebilir.

Timeline Reconstruction

SRUM, kullanıcı etkinliklerinin zaman çizelgesini çıkartmak için etkili bir yöntem sunar. Toplanan veriler sayesinde, bir kullanıcının belirli bir zamanda hangi uygulamaları kullandığı, hangi ağ bağlantılarını gerçekleştirdiği ve enerji tüketimi gibi bilgiler elde edilir.

SRUM'dan alınan verileri kullanarak oluşturulan zaman çizelgeleri, olayların sırasını daha iyi anlamamıza ve olası bir güvenlik ihlalinin arka planını analiz etmemize yardımcı olabilir.

SRUM Anti-Forensics Riskleri

SRUM analizinde, veri tabanı bozulması veya kullanıcılar tarafından manuel silme gibi riskler bulunmaktadır. Bu tür riskler, veri bütünlüğünü tehlikeye atabilmekte ve analizin doğruluğunu azaltabilmektedir. Bu nedenle, veri tabanının düzenli olarak yedeklenmesi ve analizleri yaparken dikkatli olunması gerekmektedir.

SRUM, siber güvenlik alanında güçlü bir analiz aracı olarak kullanıcı davranışlarının daha iyi anlaşılmasına yardımcı olurken, dikkatlice kullanılması gereken birçok teknik detayı da barındırmaktadır. Kullanıcı aktivitelerini izlemek ve analiz etmek amacıyla yapılacak olan SRUM veritabanı incelemeleri, siber güvenliği sağlamada önemli bir adım olacaktır.

Risk, Yorumlama ve Savunma

Riskin Tanımlanması ve Yorumlanması

SRUM (System Resource Usage Monitoring) veri tabanı, Windows sistemlerindeki kullanıcı aktivitelerini detaylıca kaydeden kritik bir bileşendir. SSRUM verileri, uygulama kullanımı, ağ bağlantıları ve enerji tüketimi gibi alanlarda bilgi sağlayarak, siber güvenlik analistlerine analitik bir zemin sunar. Ancak bu verilerin doğru yorumlanması, potansiyel tehditlerin farkına varmak ve uygun savunma önlemlerini geliştirmek açısından hayati önem taşır. Kullanıcı aktivite verileri arasında yapısal ve davranışsal anormallikler ile yanlış yapılandırmalar, sistem güvenliğini tehdit eden faktörlerdir.

Örnek: 
- Kullanıcıların sıkça eriştiği şüpheli bir uygulamanın üst seviyede CPU kullanımı göstermesi, bir saldırının sürdüğünün veya bir trojanın varlığının göstergesi olabilir.

Sızan veri veya zafiyet tespit edildiğinde, bu durum doğrudan organizasyonun siber güvenliğini etkileyebilir. Örneğin, eğer bir saldırgan uygulama verilerini analiz ederek hassas bilgilere erişim sağlarsa, bu durum ciddi bir güvenlik açığına neden olacaktır. SRUM, bu tür durumların önceden tespit edilmesine yardımcı olabilecek bir araç olma özelliği taşır.

Veri Analizinin Önemi

SRUM verilerini analiz etmenin temel amacı, kullanıcı davranışlarının ve ağ aktivitelerinin zaman çizelgesini oluşturarak şüpheli aktivitelerin tespit edilmesidir. Aşağıda, SRUM verilerinin belirleyici noktalarına ilişkin bir liste ve açıklamaları yer almaktadır:

  • Uygulama Kullanımı: Hangi uygulamaların ne sıklıkta kullanıldığını gösterir.
  • Ağ Kullanımı: Kullanıcının hangi IP adresleriyle bağlantı kurduğunu ve bu bağlantıların süresini takip eder.
  • Enerji Kullanımı: Uygulamaların enerji tüketim verilerini sağlar, şüpheli aktivitelerin tespiti için enerji israfı hesaplanabilir.

Bu veriler, olası kötü niyetli etkinliklerin belirlenmesi açısından kritik bir öneme sahiptir. Özellikle, SRUM tabanlı analizler, normal kullanıcı davranışlarından sapmaların tespit edilmesine yardımcı olur.

srumecmd.exe -f c:\windows\system32\sru\srudb.dat

Yukarıdaki komut, SRUM verilerini okumak ve analiz yapmak için gerekli olan SRUM parser aracını çalıştırmaktadır.

Savunma Önlemleri ve Hardening Önerileri

SRUM verilerinin analizi sonucunda elde edilen bulgular, organizasyonların güvenlik stratejilerini güçlendirmeleri için bir fırsat sunar. Savunma açısından şu önlemler önerilmektedir:

  1. Erişim Kontrollerinin Güçlendirilmesi: Kullanıcıların yalnızca ihtiyaç duyduğu verilere ve uygulamalara erişimi sağlamak için sıkı erişim kontrolleri uygulanmalıdır. Rol tabanlı erişim yönetimi (RBAC) bu konuda etkin bir yöntemdir.

  2. Ağ Segmentasyonu: Ağ üzerindeki kaynaklar arasında segmentasyon sağlanarak, kötü niyetli bir saldırganın tüm ağa erişimi engellenebilir. Bu, kritik sistemlerin daha güvenli hale gelmesine yardımcı olur.

  3. Güvenlik Güncellemelerinin Düzenli Olarak Yapılması: Yazılımların ve işletim sistemlerinin güncel tutulması, bilinen zafiyetlerin kapatılmasına katkı sağlar.

  4. SRUM Verileri Üzerinden Sürekli İzleme: SRUM analizleri düzenli olarak yapılmalı, gözlemlenen anomali ve alışılmadık davranışlar anında değerlendirilmelidir.

  5. Manual Silme ve Veri Koruma: Kötü niyetli kullanıcıların kayıt silme eylemlerinin tespiti için veri koruma stratejileri geliştirilmelidir. SRUM, veri kaybını önlemek amacıyla önemli bir araç olarak kullanılabilir.

Sonuç

SRUM veritabanı, siber güvenlikte kritik bir rol oynamaktadır. Kullanıcı aktiviteleri üzerindeki derin analiz, potansiyel güvenlik açıklarını ve tehditleri belirlemek için temel bir kaynaktır. Risklerin doğru bir şekilde yorumlanması ve etkili savunma stratejilerinin uygulanması, siber güvenlik duruşunu güçlendirecektir. Verilerin sürekli izlenmesi ve analizi ile olası tehditlerin önüne geçmek mümkündür. Böylelikle, siber güvenlik süreçleri daha etkili ve sağlam hale getirilebilir.