CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Siber Güvenlikte Tehdit Avcılığı İçin Log Kaynaklarının Önceliklendirilmesi

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Tehdit avcılığında log kaynaklarının önceliklendirilmesi, siber güvenlikte kritik öneme sahiptir. Doğru kaynaklarla en yüksek güvenliği sağlamak mümkündür.

Siber Güvenlikte Tehdit Avcılığı İçin Log Kaynaklarının Önceliklendirilmesi

Siber güvenlik alanında tehdit avcılığı için log kaynaklarının önceliklendirilmesi büyük önem taşır. EDR ve Sysmon gibi kaynakların verimliliğini artırarak güvenliği sağlamanın yollarını keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında tehdit avcılığı, günümüzün karmaşık dijital ortamlarında artan tehditlerle mücadelede kritik bir rol oynamaktadır. Siber saldırganların kullanabileceği çok çeşitli yöntemler ve zafiyetler bulunması, güvenlik uzmanlarının sistemleri korumakta daha proaktif olmalarını zorunlu kılmaktadır. Bu noktada, log kaynaklarının önceliklendirilmesi, tehdit avcılığı sürecinin temel taşlarından birini oluşturmaktadır.

Stratejik Bakış: Neden Önceliklendirme?

Log kayıtları, siber güvenlik uzmanlarının saldırganların sistemdeki hareketlerini takip etmesine ve analiz etmesine olanak tanır. Ancak birçok organizasyonun karşılaştığı en büyük sorunlardan biri, sınırlı kaynaklarla en yüksek güvenliği sağlamak amacıyla hangi verilerin toplanması gerektiğini belirlemektir. Önceliklendirme, bu sorunun yanıtını bulmaya yardımcı olur; böylece tehdit avcıları, analitik süreçlerini en yoğun tehlikelerin göz önünde bulundurulmasıyla yönlendirebilir.

Bir SOC analisti, tehdit avcılık faaliyetlerinde, saldırganların en çok kullandığı yolları (attack vectors) bilerek log toplama stratejisini oluşturmalıdır. Yanlış ya da gereksiz log verilerinin toplanması, hem kaynak israfına hem de kritik tehditlerin gözden kaçmasına neden olabilir. Dolayısıyla, doğru log kaynaklarının seçimi, organizasyonların siber güvenlik savunmasını güçlendirecektir.

Altın Kaynaklar: EDR ve Sysmon

Tehdit avcılığında, Uç Nokta (Endpoint) verileri en değerli kaynaklardır. EDR (Endpoint Detection and Response) ve Sysmon gibi araçlar, dosya değişiklikleri, süreç yaratma ve kayıt defteri hareketleri gibi kritik bilgileri sağlamaktadır. Bu bilgiler, saldırganların sistemdeki neredeyse tüm ayak izlerini ortaya çıkartır ve analistlerin saldırganların faaliyetlerini geç müdahale yapmadan tespit etmesine olanak tanır.

# Örnek EDR Log Girişi
{
  "eventType": "ProcessCreation",
  "timestamp": "2023-09-01T12:00:00Z",
  "processId": 1234,
  "processName": "cmd.exe",
  "user": "user1",
  "parentProcessId": 5678,
  "parentProcessName": "explorer.exe"
}

Yukarıdaki log örneği, bir sistemde beklenmedik bir komut satırı işlemi oluşturulduğunu göstermektedir. Bu tür verilerin analizi, potansiyel bir tehditin ilk sinyallerini yakalamak adına önem taşımaktadır.

Kaynak ve Tehdit Eşleşmesi

Log kaynakları, yakalayabildikleri saldırı aşamalarına göre sınıflandırıldığında, analistler savunma hattındaki boşlukları daha iyi belirleyebilirler. Örneğin, bir organizasyon, sadece belirli log kaynaklarını izlemeye karar verdiğinde, bazı kritik saldırı aşamalarını gözden kaçırabilir. Bu nedenle, farklı log kaynaklarının hangi saldırı aşamalarını tespit edebileceği konusunda bir haritalandırma yapmak, kritik öneme sahiptir.

MITRE ATT&CK matrisi de bu bağlamda kullanılabilecek oldukça değerli bir kaynaktır. Bu matriste, çeşitli log kaynaklarının hangi saldırı tekniklerini tespit edebileceği detaylandırılmıştır. Analistler, önceliklendirme yaparken bu matristeki 'Data Sources' bölümünü referans almalı ve böylece hangi log kaynaklarının daha kritik olduğunu belirleyebilmelidir.

Verimlilik: Değer vs Gürültü

Bir log kaynağının ne ölçüde değerli olduğu, sağladığı bilgilere ve ne kadar veri ürettiğine bağlıdır. İdeal bir log kaynağı, az miktarda veri üreten (düşük EPS - Events Per Second) ama aynı zamanda kritik bilgiler sunan kaynaktır. Örneğin, 'Domain Admin' grubuna bir kullanıcı eklenmesi, çok nadir gerçekleşen ama güvenlik açısından son derece kritik bir olaydır. Aksine, 'Firewall Deny' logları genellikle çok fazla yer kaplar, ancak çoğu zaman gereksiz gürültü olarak değerlendirilir.

Anlamlandırma: Context (Bağlam)

Sadece log toplamak, tehdit avcılığı için yeterli değildir; bu logların zenginleştirilmesi (enrichment) de gereklidir. Analistler, loglarına 'Varlık Değeri' (Asset Value) veya 'Kullanıcı Rolü' gibi önemli bağlam bilgileri eklediklerinde, kritik sunuculara yönelik saldırıları daha hızlı ve etkili bir şekilde önceliklendirebilirler. Bu bağlamda log verilerinin anlamlandırılması, tehdit avcılığının başarıya ulaşmasını sağlayacak önemli bir adımdır.

Modül Finali: Büyük Resim

Sonuç olarak, doğru log, doğru zamanda ve doğru analizle hayat kurtarır. Bu bölümde, log kaynaklarının önceliklendirilmesinin neden bu denli önemli olduğunu, hangi araçların ve yöntemlerin kullanılabileceğini ele aldık. Tehdit avcılığında etkili bir strateji oluşturmak için bu kavramları ezberlemekten ziyade, somut bir anlayış geliştirmek ve bu verileri anlamlandırmak üzerine odaklanmak gereklidir. Siber güvenlik alanında atılan her adım, organizasyonların bu karmaşık ve sürekli değişen tehdit ortamında daha güvenli bir duruş sergilemesini sağlamaktadır.

Teknik Analiz ve Uygulama

Stratejik Bakış: Neden Önceliklendirme?

Siber güvenlikte tehdit avcılığı, sürekli olarak değişen saldırı vektörlerine karşı koyabilmek için en kritik unsurlardan biridir. Ancak sınırlı kaynaklara sahip bir güvenlik operasyon merkezinin (SOC) tüm logları toplaması ve analiz etmesi her zaman mümkün olmayabilir. Bu nedenle, log kaynaklarının önceliklendirilmesi, hangi verilerin en kritik riskleri tespit edebileceğini belirlemek için şarttır. Önceliklendirme süreci, saldırganların en sık kullandığı yolları (attack vectors) bilerek log toplama stratejisini bunun üzerine inşa etmeyi içerir.

Log kaynaklarının etkin bir şekilde yönetilmesi, veri güvenliğinin sağlanmasında stratejik bir avantaj oluşturur. İyi bir önceliklendirme stratejisi, yalnızca tehdit avcılığının etkinliğini artırmakla kalmaz, aynı zamanda işletmenin güvenlik bütçesini de daha etkin kullanmasını sağlar.

Altın Kaynaklar: EDR ve Sysmon

Tehdit avcılığında "Uç Nokta" (Endpoint) verileri, en değerli bilgileri sağlayan kaynaklar arasında öne çıkar. Endpoint Detection and Response (EDR) ve Sysmon gibi araçlar, sistem üzerindeki dosya değişiklikleri, süreç yaratımı ve kayıt defteri hareketleri gibi önemli aktiviteleri kaydetme yeteneğine sahiptir. Bu log kaynakları, bir saldırganın sistemdeki pek çok ayak izini ortaya çıkarma potansiyeline sahiptir.

Örnek bir Sysmon yapılandırması şu şekilde olabilir:

<Sysmon schemaversion="4.30">
  <EventFiltering>
    <ProcessCreate
      <CommandLine condition="contains">powershell</CommandLine>
    </ProcessCreate>
  </EventFiltering>
</Sysmon>

Bu yapılandırma, PowerShell komutlarıyla ilgili süreç oluşturma aktivitelerini özellikle izlemek için kullanılır.

Kaynak ve Tehdit Eşleşmesi

Log kaynakları, yakalayabildikleri saldırı aşamalarına göre sınıflandırılmalıdır. Bu sayede, bir analist savunma hattındaki boşlukları hızlı bir şekilde tespit edip kapatma fırsatı bulabilir. Örneğin, Active Directory logları, yetki yükseltme (privilege escalation) ve yatay hareket (lateral movement) izlerini tespit etmek için kritik öneme sahiptir.

Bazı yaygın log kaynakları ve bunların temsil ettikleri tehditler aşağıdaki gibidir:

  • Proxy / DNS Logları: Komuta Kontrol (C2) iletişimi ve zararlı sitelere erişim aşamalarını yakalar.
  • NetFlow / DLP: Veri sızdırma (exfiltration) ve anormal trafik hacmi hareketlerini izler.

Bu eşleşmeler, saldırı zamanlamalarını ve saldırganın hareketlerini anlamada büyük bir rol oynar.

Küresel Standart: MITRE ATT&CK

Dünya genelinde kabul gören MITRE ATT&CK matrisi, hangi log kaynağının hangi saldırı tekniğini tespit edebileceğini gösterir. Önceliklendirme yaparken, bu matristeki "Data Sources" (Veri Kaynakları) bölümü özellikle referans alınmalıdır. MITRE ATT&CK, aynı zamanda siber saldırı tekniklerini ve veri kaynaklarını haritalama işlevi görerek, analistlerin hangi logları toplamaları gerektiğini belirlemelerine yardımcı olur.

Örneğin, aşağıda MITRE'dan alıntı yapılan basit bir eşleştirme verilmektedir:

Tehdit Tekniği Log Kaynağı
Yetki Yükseltme Active Directory Logları
Erişim Kontrolü Firewall Logları
Veri Sızdırma NetFlow Logları

Bu eşleştirmeler, tehdit avcılarının hangi logların daha önce toplanması gerektiğine dair karar vermelerine olanak tanır.

Verimlilik: Değer vs Gürültü

İdeal log kaynakları, az miktarda veri üreten (düşük EPS) ama kritik bilgiler sunan kaynaklardır. Örneğin, "Domain Admin" grubuna ekleme yapılması çok nadir bir durumdur ama bu bilgiyi gösteren bir log, kritik öneme sahiptir. Buna karşın "Firewall Deny" logları, genellikle büyük bir veri hacmi oluşturur ancak değerli bilgiler sunma konusunda yetersizdir. Bu nedenle, log kaynakları arasında bir değer-gürültü analizi yapılmalı ve kararlar buna göre verilmelidir.

Anlamlandırma: Context (Bağlam)

Sadece log toplamak yeterli değildir; logların zenginleştirilmesi (enrichment) gereklidir. Tehdit avcılığında loga "Varlık Değeri" (Asset Value) veya "Kullanıcı Rolü" gibi bilgiler eklemek, analistin kritik sunuculara yapılan saldırıları önceliklendirmesine yardımcı olur. Bağlam ekleme işlemi, verileri daha anlamlı hale getirerek analistin logları daha etkin bir biçimde yorumlamasını sağlar.

Özetle, doğru log, doğru zamanda ve doğru analizle hayat kurtarır. Bu bağlamda, log kaynaklarının önceliklendirilmesi, siber güvenlik stratejilerinin en temel taşlarından biridir.

Risk, Yorumlama ve Savunma

Siber güvenlikte risk yönetimi, kurumların saldırılara karşı savunmaları için kritik öneme sahiptir. Log kaynaklarının önceliklendirilmesi, bu kapsamda önemli bir strateji oluşturmaktadır. Log verilerinin doğru bir şekilde yorumlanması, potansiyel saldırılara karşı nasıl savunma yapılması gerektiğini belirler. Doğru verilerle yapılan analizler, yanlış yapılandırmalar ve sistem zafiyetleri gibi durumları tespit etme yeteneğini artırır.

Elde Edilen Bulguların Güvenlik Anlamının Yorumlanması

Bir kurumun siber güvenliği, elde edilen log verilerinin analizine dayanır. Bu loglar, bir sistemde gözlemlenen tüm etkinlikleri kayıt altına alır. Örneğin, bir Active Directory kaydının detayları, yetki yükseltme girişimlerini veya yatay hareketleri (lateral movement) tespit etmek için kullanılabilir:

EventID: 4672
Description: Special privileges assigned to new logon

Bu kayıt, bir kullanıcının daha yüksek yetkilere atanması durumunda meydana gelen bir olayı yansıtır. Böyle bir durum, sızma girişimini anlayabilme açısından kritik öneme sahiptir ve analistlerin bu tür olayları tespit edebilmesi için önerilen log kaynakları arasında yer alır.

Yanlış Yapılandırma veya Zafiyetlerin Etkileri

Yanlış yapılandırmalar, bir saldırganın bir sistemde hareket etmesine olanak tanıyan en yaygın zayıflıklardandır. Örneğin, bir firewall'un yanlış yapılandırılması, yetkisiz erişime yol açarak iç ağın ihlali riskini artırır. Bu tür zafiyetler genellikle aşırı güvenlik yapılandırmaları veya yetersiz loglama ile ilişkilidir. Örneğin, gereksiz yere açılmış portlar veya güncel olmayan yazılımlar, saldırılara karşı bir kapı aralayabilir.

Bu nedenle, log analizleri, güvenlik açığı değerlendirmeleri ile birleştiğinde, sistemin güvenliğini sağlamak için daha bütünsel bir yaklaşım sunar. Logların izlenmesi, yalnızca mevcut tehditleri tespit etmekle kalmaz, aynı zamanda geçmişe yönelik ihlalleri analiz etmede de yardımcı olur.

Sızan Veri ve Topoloji

Bir diğer önemli risk, sızan verilerin izlenmesidir. Verinin sızdığı noktalar, bir saldırının hangi aşamalarda yapıldığını anlamak için kritik bilgileri içerir. NetFlow veya DLP logları, veri sızdırma ve anormal trafik hareketlerini tespit etme konusunda etkili birer araçtır:

Source IP: 192.168.1.10
Destination IP: 203.0.113.5
Bytes Sent: 1048576
Protocol: HTTPS

Yukarıdaki örnek, belirli bir kaynaktan belirli bir hedefe büyük miktarda verinin iletildiğini gösterir. Bu tür bir iletişim, dikkat edilmesi gereken bir olağandışı durumdur. Birçok saldırı senaryosu, veri sızdırma aşamasında bu tür hareketlere dayanır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliği sağlamanın en etkili yollarından biri, proaktif önlemler almaktır. Önerilen birkaç strateji şunlardır:

  1. Loglamanın Güçlendirilmesi: Tüm kritik sistemlerden log toplamak için uygun yapılandırmalar yapılmalıdır. EDR ve Sysmon gibi log kaynakları, saldırganların izlerini tespit etme konusunda büyük avantajlar sunar.

  2. Çok Faktörlü Kimlik Doğrulama (MFA): Özellikle, yönetim düzeyindeki kullanıcılar için çok faktörlü kimlik doğrulama kullanılması, yetkisiz erişimin önüne geçer.

  3. Düzenli Güncellemeler: Sistem ve uygulama güncellemeleri, bilinen güvenlik açıklarına karşı savunma sağlar.

  4. Ağ Segmentasyonu: Ağın bölümlere ayrılması, bir sistemin ihlal edilmesi durumunda diğer bölümlerin etkilenmesini önler.

  5. Olay Yönetimi Planları: Olayların hızlı bir şekilde tespit edilip yanıt verilebilmesi için olay yönetimi planları oluşturulmalıdır.

Kısaca Sonuç Özeti

Log kaynaklarının önceliklendirilmesi ve bu logların yorumlanması, siber güvenliğin etkin bir şekilde yönetilmesi için vazgeçilmez bir süreçtir. Doğru loglama ve analiz, saldırılara karşı daha hızlı ve etkili çözümler geliştirilmesine olanak tanır. Yanlış yapılandırmalar ve zafiyetler, sistemin güvenliğini hızla tehdit edebilirken, proaktif önlemler alınması durumunda bu tehditlerin etkisi minimize edilebilir. Unutulmamalıdır ki, siber güvenlikte başarı, sürekli izleme ve aktif savunma ile mümkündür.