CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Sysmon Event ID 3 ile Ağ Bağlantılarını Takip Etmenin Yolları

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Sysmon Event ID 3 ile ağ bağlantılarını etkili bir şekilde nasıl takip edebileceğinizi ve siber güvenlikteki önemini keşfedin.

Sysmon Event ID 3 ile Ağ Bağlantılarını Takip Etmenin Yolları

Sysmon Event ID 3, ağ bağlantılarının izlenmesine olanak tanır. Bu yazıda, ağ trafiğinin analiz edilmesi ve potansiyel tehditlerin tespit edilmesi için önemli ipuçları sunulmaktadır.

Giriş ve Konumlandırma

Siber güvenliğin dinamik bir alan olması, sürekli olarak yeni tehditlerle başa çıkma yeteneğini zorunlu kılar. Bu bağlamda, sistem olaylarının izlenmesi ve analiz edilmesi, saldırıları erken tespit etme açısından kritik bir öneme sahiptir. Microsoft'un Sysinternals Suite'inin bir parçası olan Sysmon, sistemdeki olayları kaydederek siber güvenlik analistlerine değerli bilgiler sunar. Özellikle Sysmon Event ID 3, ağ bağlantılarını takip etmede önemli bir rol oynamaktadır.

Dış Dünyaya Açılan Kapı: Event ID 3

Sysmon Event ID 3, bir sistem uygulamasının TCP veya UDP protokollerini kullanarak başka bir cihazla iletişim kurma girişimini izler. Yani, bir bilgisayarın internete veya yerel ağa bağlantı kurmaya çalıştığında, Sysmon bu durumu kaydeder. Özellikle, bu kayıtlar siber güvenlik uzmanları için saldırganların komuta kontrol (C2) sunucularıyla iletişim kurup kurmadığını anlamakta önemli bir araçtır. Standart bir güvenlik duvarı kaydı, yalnızca “A bilgisayarı B adresine gitti” şeklinde genel bir bilgi verirken, Sysmon Event ID 3; “A bilgisayarındaki X kullanıcısı, Y programını kullanarak B adresine gitti” gibi detaylı bir veri sınıfı sunar. Bu, ağ trafiğinin kaynaklarını belirlemede kritik bir adım atmamızı sağlar.

Trafik Rotası: Kaynak ve Hedef

Event ID 3'ün sunduğu bilgiler, yalnızca bağlantı kurulan hedefin IP adresi ile sınırlı kalmaz. Ayrıca iletişimin kaynağı ve hedefi ile ilgili detaylar da sunar. Bu durum, tespit edilen ağ trafiğinin hangi uygulama veya kullanıcı tarafından başlatıldığını belirlemek için kullanılır. Dolayısıyla, bir saldırının izini sürmek için ilk adım kaynağın belirlenmesidir. Örneğin, aşağıdaki gibi bir log kaydının varlığı, belirli bir uygulamanın şüpheli bir IP ile iletişim kurmaya çalıştığını gösterir:

{
  "EventID": 3,
  "Image": "C:\\Program Files\\Example\\malicious.exe",
  "SourceIp": "192.168.1.5",
  "DestinationIp": "203.0.113.25",
  "DestinationPort": 80
}

Port ve Protokol Analizi

Saldırganların çoğu zaman meşru portları kullanarak trafiği gizlemeye çalıştıkları bilinen bir gerçektir. Ancak, kullanılan port ile o portu kullanan uygulama arasında bir uyumsuzluk tespit edildiğinde, bu durum şüphe uyandırabilir. Örneğin, 443 numaralı port normalde web tarayıcıları tarafından kullanılırken, eğer bir komut satırı aracı (cmd.exe) bu portu kullanıyorsa, durum şüpheli hale gelir. Bu tür anomali tespitleri, olası bir saldırıyı erken aşamalarında belirlemekte kritik rol oynar.

Sorumluyu Bulmak: Image Alanı

Event ID 3'ün sağladığı en önemli özelliklerden biri, bağlantıyı başlatan dosyanın tam yolunu vermesidir. Bu bilgi, hangi zararlı yazılımın internete çıkmaya çalıştığını açıkça görmemizi sağlar. Yukarıda bahsedilen örnekteki "Image" alanına bakarak, sistemdeki belirli bir programın neden bir dış IP ile iletişim kurma ihtiyacı duyduğunu sorgulamak gerekir. Normal şartlarda "Calculator.exe" veya "Notepad.exe" gibi uygulamaların internete bağlanmasının bir anlamı yoktur ve bu tür durumlar "Process Injection" saldırısının belirgin kanıtlarıdır.

Anomali Tespiti: Sessiz Bağlantılar

Bazı durumlarda, saldırganlar IP adreslerini sürekli değiştirirken, bağlandıkları alan adları (domain) sabit kalabilir. Sysmon, yalnızca IP adresini değil, aynı zamanda çözümlenmiş sunucu adını da raporlayarak siber güvenlik uzmanlarına bu bilgileri sunar. Bu özellik, tehdit istihbaratı sorgularında oldukça değerlidir. Örneğin, belirli bir IP adresine birden çok kez bağlantı kurulduysa ancak diğer IP adresleri sık sık değişiyorsa, bu durum bir anomali olarak değerlendirilmelidir.

Sonuç olarak, Sysmon Event ID 3, ağ bağlantılarının izlenmesi konusunda sağladığı ayrıntılı bilgilerle, siber güvenlik uzmanlarına potansiyel tehditleri değerlendirebilme yeteneği sunar. Bu bilgiler, siber saldırılara karşı daha etkili bir savunma mekanizması oluşturmayı sağlar ve güvenlik açıklarını hızlı bir şekilde tespit etmede kritik bir rol oynar. Bu bağlamda, ağ trafiğini analiz etmenin getirdiği avantajlar, siber güvenlik alanında fark yaratma potansiyeline sahiptir.

Teknik Analiz ve Uygulama

Dış Dünyaya Açılan Kapı: Event ID 3

Sysmon (System Monitor), Windows işletim sistemlerinde güvenlik olaylarını izlemek ve raporlamak için geliştirilen bir araçtır. Sysmon, özellikle ağ etkinliklerini takip etmek amacıyla önemli olaylar kaydeder ve bu olaylardan biri Event ID 3’tür. Event ID 3, bir uygulamanın TCP veya UDP protokollerini kullanarak başka bir cihazla iletişim kurma girişimini kaydeder. Bu kayıt, bir SOC analisti için kritik bir veri kaynağıdır; zira buradan saldırganların komuta kontrol (C2) sunucuları ile iletişimde bulundukları hakkında bilgi edinilebilir.

Event ID 3’ün sağladığı veri, normal bir güvenlik duvarı kaydından çok daha zengindir. Örneğin, standart bir güvenlik duvarı kaydı size “A bilgisayarı B adresine gitti” derken, Sysmon Event ID 3, “A bilgisayarındaki X kullanıcısı, Y programını kullanarak B adresine gitti” gibi daha ayrıntılı bilgiler sunar. Bu, ağ trafiğinin kaynağını ve hedefini belirlemede büyük bir yardımcıdır.

Trafik Rotası: Kaynak ve Hedef

Sysmon Event ID 3 logları, ağ trafiğinin yönünü belirlemenin anahtarıdır. Logun temel verileri arasında kaynak IP adresi, hedef IP adresi, kaynak ve hedef portları yer alır. Aşağıda Sysmon Event ID 3’e ait bir örnek log kaydı bulunmaktadır:

{
  "EventID": 3,
  "Timestamp": "2023-10-01T12:34:56Z",
  "ProcessId": 1234,
  "Image": "C:\\Program Files\\Example\\example.exe",
  "User": "Domain\\User",
  "SourceIp": "192.168.1.10",
  "SourcePort": 12345,
  "DestinationIp": "10.0.0.5",
  "DestinationPort": 443,
  "Protocol": "TCP"
}

Bu örnek, “example.exe” adlı bir uygulamanın 192.168.1.10 IP adresinden 10.0.0.5 IP adresine 443 portunu kullanarak bir bağlantı kurduğunu göstermektedir. Bu tür bilgilerle, devreye giren bir SOC uzmanı, hangi işlemlerin ağ trafiğini başlattığını hızlı bir şekilde inceleyebilir.

Port ve Protokol Analizi

Ağ bağlantılarının detaylı analizi, şüpheli aktiviteleri tespit etmek için kritik öneme sahiptir. Port numaraları ve kullanılan protokoller bağlantının niteliğini belirler. Örneğin, normalde web tarayıcıları tarafından kullanılan 443 numaralı portun, “cmd.exe” gibi beklenmedik bir uygulama tarafından kullanılması, bu durumun şüpheli olduğuna işaret eder. Aşağıda bu tür analizler için potansiyel portlarla ilgili bazı bilgiler yer almaktadır:

  • DestinationPort 443 (HTTPS): Normalde tarayıcılar kullanır. Eğer “cmd.exe” bu portu kullanıyorsa, şüpheli bir durum söz konusudur.
  • DestinationPort 53 (DNS): Sistem servisleri kullanır. Büyük boyutlu veri çıkışı varsa, DNS Tunneling (veri sızdırma) durumu olabilir.
  • DestinationPort 445 (SMB): Bu port dosya paylaşımı için kullanılır. Eğer bir iş istasyonundan diğerine bu portla gidiliyorsa, “Yana Yayılma” (Lateral Movement) olasılığı vardır.

Bu tür port analizleri sayesinde, ağ üzerinde gerçekleşebilecek saldırı senaryoları daha hızlı tespit edilebilir.

Sorumluyu Bulmak: Image Alanı

Event ID 3 logları, ağ bağlantısını başlatan dosyanın tam yolunu sağlamaktadır. Bu alan, bir uygulama veya süreç hakkında kritik bilgilere erişim sağladığı için önemlidir. Örneğin, log içerisinde yer alan Image alanı, hangi uygulamanın internete çıkmaya çalıştığını gösterir. Eğer “Hesap Makinesi” (Calculator.exe) gibi sıradan bir uygulama ağ bağlantısı kurmaya çalışıyorsa, bu durum bir ‘process injection’ saldırısının göstergesi olabilir.

{
  "Image": "C:\\Windows\\system32\\Calculator.exe"
}

Görüldüğü üzere, bu tür bir kayıt, normal çalışma biçiminden sapmaları tespit etmekte büyük bir potansiyele sahiptir.

Anomali Tespiti: Sessiz Bağlantılar

Anomali tespiti, siber güvenlikte proaktif bir yaklaşımın önemli bir parçasıdır. Normal bir ofis bilgisayarında “Hesap Makinesi” veya “Not Defteri” gibi uygulamaların internete bağlanması için hiçbir neden yoktur. Bu tür aktiviteler, olası bir tehlikenin varlığına işaret edebilir. Anomalileri tespit etmeye yardımcı olacak parametrelerden biri, bağlantının kurulduğu hedef adresin veya sunucunun tanımlanmasıdır.

Hedef İsmi: DestinationHostname

Event ID 3, IP adresinin yanı sıra çözümlenmiş sunucu adını da sağlar. Bu veri, tehdit istihbaratı analizlerinde oldukça değerlidir ve ağ tabanlı tehditleri tanımlamada kritik rol oynar. Hedef isminin belirlenmesi, gerçekleştirilen saldırının tipik özelliklerine dair daha fazla bilgi sunabilir. Logs:

{
  "DestinationHostname": "example.com"
}

Bu bilgiler, saldırganların hangi alan adlarına bağlandığını çözümlemek için kullanılabilir.

Özet: Ağ İzlerinden Saldırı Teşhisi

Sonuç olarak, Sysmon Event ID 3, ağ bağlantılarının derinlemesine analizi için sağlam bir temeldir. Loglar sayesinde, hangi uygulamaların hangi sunucularla iletişim kurduğu, olası şüpheli durumların belirlenmesi açısından kritik bir rol oynamaktadır. Event ID 3’ün uygulanması, siber güvenlik uzmanlarına olası saldırı girişimlerini hızlı bir şekilde tespit etme ve analiz etme yeteneği kazandırır. Bu, hem güvenlik durumunun iyileştirilmesi hem de daha az görünür tehditlerin ortaya çıkarılması için son derece önemlidir.

Risk, Yorumlama ve Savunma

Sysmon, özellikle Event ID 3 ile sağladığı ağ bağlantı verileriyle, siber güvenlik analistlerine önemli bir araç sunmaktadır. Bu veri, bir sistemin dış dünyayla olan etkileşimlerini detaylandırarak, olası tehditlerin ve anormalliklerin tespit edilmesine olanak tanır. Ancak, bu değerli verilerin yanlış yorumlanması veya göz ardı edilmesi ciddi güvenlik risklerine yol açabilir. Bu bölümde, Sysmon Event ID 3 kayıtlarının güvenlik anlamını, yanlış yapılandırma ve zayıflıkların etkilerini, sızan verilerin, topolojinin ve servislerin tespitinin nasıl yapılabileceğini inceleyeceğiz.

Dış Dünyaya Açılan Kapı: Event ID 3

Sysmon Event ID 3, sistemde çalışan uygulamaların ağ bağlantılarını izler ve bu bağlantılar hakkında ayrıntılı bilgiler sağlar. Saldırganların komuta kontrol (C2) sunucularıyla haberleşmesini anlamak, bu verinin en önemli işlevlerinden biridir. Örneğin, normalde beklenmeyen bir programın internete çıkması ciddi bir tehdit göstergesi olabilir. 

Event ID 3: 
- TimeCreated: 2023-10-03T12:00:00.000Z
- Image: C:\Program Files\Suspicious\malicious.exe
- DestinationIp: 192.0.2.1
- DestinationPort: 443
- Protocol: TCP

Yukarıdaki log kaydı, "malicious.exe" isimli bir programın HTTPS üzerinden (443) şüpheli bir IP adresine (192.0.2.1) bağlantı kurduğunu gösteriyor. Bu durum, potansiyel bir zararlı yazılım aktivitesinin belirti olabilir.

Trafik Rotası: Kaynak ve Hedef

Ağ trafiği analizi esnasında, kaynak IP adresi ve hedef IP adresinin belirlenmesi kritik bir öneme sahiptir. Sysmon, tespit edilen her bağlantının hangi süreçten kaynaklandığını ve kime bağlandığını gösterir. Bu verilere erişim, özellikle olayın ortasında sorumlu uygulamayı belirlemede yardımcı olur. Sorunlu bir bağlantı saptandığında, hemen inceleme yapılmalı ve gerekli müdahaleler gerçekleştirilmelidir.

Port ve Protokol Analizi

Saldırganlar sıkça meşru portları kullanarak ağ trafiğini gizlemeye çalışırlar. Örneğin, bir zararlı yazılımın HTTPS (443) üzerinden veri sızdırması, çoğu güvenlik cihazı tarafından göz ardı edilebilir. Ancak, "cmd.exe" gibi beklenmedik bir ortamda bu portun kullanılması, dikkat edilmesi gereken bir anomaliyi işaret eder.

DestinationPort 443 (HTTPS) - "cmd.exe" kullanımı şüpheli
DestinationPort 53 (DNS) - Büyük veri çıkışı, olası DNS Tunneling

Bu tür durumlar, güvenlik ekiplerinin doğru bir şekilde tehditleri değerlendirebilmesi açısından oldukça önemlidir.

Sorumluyu Bulmak: Image Alanı

Sysmon'un sağladığı en değerli bilgilerden bir diğeri, ağ bağlantısını başlatan dosyanın tam yoludur. Bu, olay analizini hızlandırarak, hangi zararlı yazılımın kötü bir niyetle internete bağlandığını belirlemeye yardımcı olur. Örneğin:

Image: C:\Users\username\Downloads\trojan.exe

Yukarıdaki gibi bir log, belirli bir kullanıcının sisteminde şüpheli bir dosyanın çalıştığını göstermekte ve bu durumun incelenmesi gerektiğini ortaya koymaktadır.

Anomali Tespiti: Sessiz Bağlantılar

Bir ağda izinsiz yapılan bağlanmalar genellikle sessiz ve fark edilmeden gerçekleşir. Örneğin, bir.exe uygulaması, normalde internete bağlanmıyorsa ve birden bire dış dünya ile iletişim kurmaya başlarsa, bu bir anormallik olarak tanımlanmalı ve incelenmelidir.

Hedef İsmi: DestinationHostname

DestinationHostname, Sysmon'un sunduğu bir diğer kritik bilgi alanıdır. Bağlantı yapılan IP adresinin karşılığı olan sunucu adının çözülmesi, özellikle dinamik IP'lerle çalışan saldırganların izinin sürülmesinde büyük önem taşır. Birçok tehdit istihbaratı kaynağında, bu bilgiler kullanılarak daha önce belirlenmiş kötü niyetli alan adları ile kıyaslama yapılabilir.

Özet

Sysmon Event ID 3 ile elde edilen veriler, ağ üzerinde meydana gelen tüm iletişimleri kayıt altına alarak, sistemdeki anormalliklerin ve olası saldırıların tespitini sağlar. Bu verilerin göz ardı edilmesi veya yanlış yorumlanması, potansiyel tehditlerin fark edilmediği durumlara yol açabilir. Sistemlerinizi korumak adına, ağ izleme, anomali tespiti ve yapılandırma yönetimi gibi profesyonel önlemler alarak siber saldırılara karşı bir savunma mekanizması geliştirilmelidir. Güçlü bir güvenlik duruşu için, Sysmon'un sunduğu verileri etkin bir şekilde kullanmak kritik önem taşır.