CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Uç Nokta Görünürlüğü: Antivirüs ve EDR Loglarının Önemi

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Uç noktaların güvenliği kritik öneme sahiptir. Antivirüs ve EDR logları, siber saldırıları tespit etmek için temel araçlardır.

Uç Nokta Görünürlüğü: Antivirüs ve EDR Loglarının Önemi

Siber güvenlikte uç noktaların korunması büyük önem taşır. Antivirüs ve EDR loglarının nasıl kullanıldığını, farklarını ve etkilerini keşfedin. Bu yazıda uç nokta güvenliğinin temellerini öğrenin.

Giriş ve Konumlandırma

Siber güvenlik alanında "uç nokta" kavramı, genellikle bir organizasyonun ağındaki son kullanıcı cihazları, sunucular ve diğer sistemler için kullanılmaktadır. Bu cihazlar, siber saldırıların en fazla hedef aldığı noktalar olabilir. Geleneksel ağ güvenlik önlemleri, çoğunlukla ağ trafiğini izleyerek tehditleri tespit etmeye çalışırken, gerçek tehditler çoğunlukla uç noktalarda gizlenmiş durumdadır. Dolayısıyla, uç noktalarda gerçekleşen etkinliklerin izlenmesi, siber güvenlik stratejilerinin ve savunmalarının merkezinde yer almaktadır.

Uç Nokta Görünürlüğünün Önemi

Uç nokta görünürlüğü, kullanıcı sistemleri üzerinde gerçekleştirilen tüm işlemlerin kaydedilmesi ve analiz edilmesi anlamına gelir. Bu, siber saldırıların nasıl başladığını, nasıl yayıldığını ve sonunda nasıl durdurulduğunu anlamak için kritik öneme sahiptir. Örneğin, bir saldırgan bir kullanıcı bilgisayarında bir zararlı yazılım yerleştirip, daha sonra ağa yayılmaya çalışırsa, bu tür hareketleri tespit etmek için uç nokta loglarının analizi gereklidir.

Antivirüs (AV) çözümleri, genellikle bilinen zararlı yazılım imzaları ile dosyaları karşılaştırarak çalışır. Ancak bu tür sistemlerin logları çoğunlukla anlık olaylara odaklandığı için, bu loglar saldırının başlangıcına dair sınırlı veya geçiştirilmiş bilgiler sunar. Dolayısıyla, AV loglarının yalnızca belirli bir noktadaki etkinliğe odaklandığı göz önüne alındığında, saldırının daha derin analizini gerçekleştirmek için yetersiz kalabilir.

Aksine, Endpoint Detection and Response (EDR) sistemleri, bir cihazda yaşanan hemen hemen her işlemi kaydetme yeteneğine sahiptir. Dosya oluşturma, kayıt defteri değişiklikleri, ağ bağlantıları gibi aktivitelerin sürekli kaydedilmesi, analistlerin daha fazla bağlam ve bilgiye ulaşmasını sağlar. Böylece, bir EDR logunu inceleyen bir analist, örneğin, bir Excel dosyasının arka planda bir PowerShell süreci başlatması gibi potansiyel bir saldırı vektörünü hızlı bir şekilde tespit edebilir. Bu tür veriler, saldırganların kullanabileceği yaşam döngüsü boyunca gelişimini anlamak açısından oldukça önemlidir.

EDR ve Antivirüsü Tamamlayan Yaklaşımlar

EDR sistemleri sadece gözlem yapmaz; aynı zamanda müdahale yetenekleri de sunar. Örneğin, EDR kullanılarak tespit edilen bir tehdit durumunda, cihazın ağ bağlantısını kesmek bu tür bir saldırının yayılmasını önleyebilir. Bu tür bir izolasyon, bir saldırıya karşı savunmada kritik bir mekanizmadır ve analistlerin güvenlik olaylarına daha etkili bir şekilde müdahale etmesine olanak tanır.

Uç nokta görünürlüğünün siber güvenlik, penetrasyon testleri ve genel savunma stratejileri üzerindeki etkisi açıktır. Diğer güvenlik önlemleri ile beraber EDR ve AV sistemlerinin kullanılması, bir organizasyonun güvenlik duruşunu deneyimsel ve tehdit önleyici hale getirir. Burada, EDR ve AV sistemleri birbirini tamamlayıcı rol oynar; AV sistemleri bilinen tehditleri otomatik olarak ortadan kaldırırken, EDR karmaşık ve bilinmeyen tehditlerin analiz edilmesine olanak tanır.

Sonuç olarak, uç nokta görünürlüğü, günümüz siber saldırılarına karşı koymak ve etkili bir savunma geliştirmek için vazgeçilmez bir bileşendir. EDR ve AV logları arasındaki dengeyi anlamak, siber güvenlik uzmanlarının tehditleri daha iyi anlayabilmesi ve yanıt verebilmesi için elzemdir. Bu yazının ilerleyen bölümlerinde, uç nokta loglarının analizi ve müdahale yöntemleri üzerine daha derinlemesine bir inceleme gerçekleştireceğiz.

Teknik Analiz ve Uygulama

Görünürlüğün Son Durağı: Uç Noktalar

Siber güvenlik alanında uç noktalar, bilgisayarlar, dizüstü bilgisayarlar ve sunucular gibi ağın son halkalarını oluşturan cihazlardır. Genellikle siber saldırılar bu cihazları hedef alır; bu nedenle bu uç noktaların gözlemlenmesi kritik önem taşır. Uç noktalar üzerindeki aktivitelerin izlenmesi, saldırganların potansiyel giriş noktalarını tespit etmek için gereklidir.

Antivirüs (AV) Loglarını Okumak

Geleneksel antivirüs sistemleri, sistem üzerindeki dosyaları bilinen zararlı yazılım imzalarıyla karşılaştırmak suretiyle çalışır. Ancak bir antivirüs logu, saldırının hangi aşamada gerçekleştiği hakkında genellikle çok fazla bilgi vermez. Örneğin, bir antivirüs logunun temel alanları aşağıdaki gibi olabilir:

- Dosya Yolu: C:\Users\Kullanıcı\Downloads\zararli.exe
- Zararlı Hash Bilgisi: a1b2c3d4e5f6g7h8
- Durum: Tespit Edildi, Silindi

Bu şemada yalnızca spesifik dosya ve onun durumu yer almakta olup, saldırının nasıl başladığı veya ilerlediğine dair derin bilgi sağlamamaktadır.

Dosyadan Davranışa: EDR Kavramı

EDR (Endpoint Detection and Response) sistemleri ise uç noktada olan her aktiviteyi detaylıca kaydeder. EDR sistemlerinin sunduğu zengin veri akışına 'telemetri' denir ve bu veriler sistemdeki tüm süreçleri, dosya açma ve kayıt defteri değişikliklerini içerir. Analistler için bu veriler, saldırganın nasıl hareket ettiğini anlamanın en verimli yolunu sunar.

Örneğin, aşağıdaki şekilde bir EDR logu örneği göz önüne alındığında:

{
  "event_type": "Process Creation",
  "parent_process": "excel.exe",
  "child_process": "powershell.exe",
  "timestamp": "2023-10-01T12:00:00Z"
}

Bu kayıt, sıradan bir Excel dosyasının, sıklıkla kötü niyetli faaliyetlerde kullanılan PowerShell sürecini başlattığını gösterir. Bu tür durumlar, bir analistin acil müdahale için harekete geçmesine neden olabilir.

EDR'ın Görünürlük Alanları

EDR sistemleri, süreç hiyerarşisini ve ilişkilerini görmek için sunduğu yapı ile güvenlik analistlerine çeşitli avantajlar tanır. Bir saldırgan genellikle sistemin mevcut araçlarını (LOLBins) kullanırken, bu hiyerarşiyi takip etmek önemli bir yetenek sağlar.

Süreç ağaçları (process trees) analizi, analistin hangi süreçlerin hangi süreçlerle bağlantılı olduğunu izleyebilmesine olanak tanır. Örneğin:

excel.exe
   └── powershell.exe
        └── zararlı_skripti.ps1

Bu örnek, Excel uygulamasının bir PowerShell sürecini başlatarak zararlı bir skriptin çalıştırıldığını ortaya koyar.

EDR Müdahale Kapasitesi: İzolasyon

EDR, sadece veri toplamakla kalmaz, aynı zamanda gerçek zamanlı müdahale imkanı da sunar. Ciddi bir tehdit durumunda, bir analist, etkilenen cihazın ağ bağlantısını keserek (izolasyon) zararlının yayılmasını önleyebilir. Bu işlem için genellikle kullanılan bir komut şu şekilde olabilir:

Invoke-Isolate-Endpoint -ComputerName "CihazAdı"

Bu tür bir komut, cihazın tüm dış bağlantılarını kopararak hızlı bir izolasyon sağlar. EDR sistemlerinin bu tür yetenekleri, saldırıya karşı müdahaleyi etkinleştirir.

Özet: AV vs EDR Karşılaştırması

Sonuç olarak, antivirüs sistemleri bilinen tehditleri otomatik olarak temizlerken, EDR sistemleri bilinmeyen ve karmaşık saldırıların analizine olanak tanır. SOC operasyonlarında hem EDR hem de antivirüs sistemleri, birbirini tamamlayıcı şekilde çalışır; böylece ağın ve uç noktaların güvenliğinin sağlanmasında bütüncül bir yaklaşım sunar.

Bu bağlamda, uç nokta görünürlüğü ve verilerin etkin analiz edilmesi siber güvenliğin kritik bir bileşeni olarak öne çıkmaktadır. EDR sistemleri, hem devasa veri akışını sunarak analiz süreçlerini kolaylaştırmakta hem de anında müdahale seçenekleri sunarak tehditlere karşı koyma yeteneğini artırmaktadır. Analistlerin bu veri setlerini nasıl kullanacakları konusundaki bilgi birikimleri, siber güvenlik stratejilerinin etkinliği açısından hayati önem taşır.

Risk, Yorumlama ve Savunma

Siber güvenlikte risk analizi süreci, özellikle uç nokta görünürlüğü açısından kritik bir öneme sahiptir. Uç noktalar, siber saldırıların çoğu zaman hedefi konumundadır. Doğru bir risk analizinin yapılabilmesi için elde edilen log verilerinin iyi bir şekilde yorumlanması gerekir. Burada antivirüs (AV) ve EDR (Endpoint Detection and Response) loglarının içindeki verilerin anlamı büyük önem taşımaktadır.

Antivirüs ve EDR Loglarının Anlamı

Geleneksel antivirüs sistemleri, bilinen zararlı yazılımın imzalarını tanıyacak şekilde programlanmışlardır ve genellikle sınırlı bilgi sunarlar. Örneğin, bir antivirüs logu belirli bir dosyanın zararlı olduğunu tespit ederse, bu saldırının nasıl gerçekleştiği veya sonrası hakkında fazla bilgi vermez. Aşağıda tipik bir antivirüs loguna örnek verilmiştir:

Dosya: malware.exe
Konum: C:\Kullanıcılar\Kullanıcı adı\Belgeler\
Durum: Zararlı Algılandı

Bu kayıt, sadece tespit edilen zararlı dosyanın bilgisini verirken, hangi süreçlerin çalıştığı veya ne tür müdahalelerin yapıldığı hakkında bilgi sağlamaz. Ancak EDR sistemleri, uç noktadaki her hareketi kaydetme kapasitesine sahiptir. Örneğin, EDR logları sayesinde bir dosyanın açılması, ağ bağlantısı kurulması veya kayıt defterinde değişiklik yapılması gibi bilgiler elde edilebilir. Bu, saldırganların işlem adımlarını anlamak için kritik öneme sahiptir.

Yanlış Yapılandırmalar ve Zafiyetler

Uç noktalarda yapılan yanlış yapılandırmalar ya da sistem zafiyetleri, siber tehditlere kapı açabilir. Örneğin, bir sistemde yönetici haklarına sahip bir kullanıcı hesabının zayıf bir şifreye sahip olması durumu ciddi bir risk teşkil eder. Saldırganlar bu zafiyeti kullanarak sisteme giriş yapabilir. EDR logları, bu tür durumları tespit etmede etkili bir araçtır. Loglardan elde edilen bilgiler sayesinde analistler, sistem içinde şüpheli davranışların kaydedilip kaydedilmediğini anlamak için süreç ağaçlarını analiz edebilir.

Process Creation Log:
Başlatılan Süreç: powershell.exe
Üst Süreç: excel.exe
Veri: Şüpheli davranış (Excel üzerinden PowerShell başlatılması)

Bu örnekte, Excel uygulamasının PowerShell sürecini başlatması, sistem üzerinde potansiyel bir saldırı belirtisi olabilir.

Veri Sızıntısı, Topoloji ve Hizmet Tespiti

Uç nokta logları, sadece zararlı yazılımlar için değil, aynı zamanda veri sızıntılarının tespiti, ağ topolojisinin analizi ve hizmetlerin tespit edilmesi açısından da kritik bir rol oynar. EDR sistemleri, cihazdaki tüm hareketleri kaydederek zengin veri akışları sunar. Bu sayede analistler, hangi kullanıcıların ne tür verilere eriştiğini ve bu verilerin dışarıya sızıp sızmadığını takip edebilirler. Örneğin, bir EDR logu aşağıdaki gibi olabilir:

Network Connection Log:
Kaynak: zararlı.exe
Hedef IP: 192.168.1.100
Durum: Bağlantı kurulamıyor - Erişim engellendi

Bu kayıtlar sayesinde, ağa sızma girişimlerinin tespiti ve önlenmesi sağlanabilir.

Profesyonel Önlemler ve Hardening Önerileri

Uç nokta güvenliğini artırmak için çeşitli profesyonel önlemler almak mümkündür:

  1. Güçlü Şifreler: Tüm kullanıcı hesapları için güçlü ve karmaşık şifreler kullanılmalıdır.
  2. Yazılım Güncellemeleri: Tüm sistem ve uygulamalar düzenli olarak güncellenmeli, bilinen zafiyetler giderilmelidir.
  3. İzleme ve Tehdit Tespiti: EDR ve AV logları sürekli olarak izlenmeli ve anormallikler tespit edilmelidir.
  4. Erişim Kontrolü: Kullanıcıların sadece ihtiyaç duydukları verilere erişim sağlaması için rol tabanlı erişim kontrolü uygulanmalıdır.
  5. Eğitim ve Farkındalık: Çalışanlar, siber güvenlik tehditleri hakkında eğitilmeli ve bu konularda sürekli olarak bilgilendirilmelidir.

Sonuç

Uç nokta görünürlüğü, siber güvenlik stratejilerinin vazgeçilmez bir parçasıdır. Antivirüs ve EDR logları, analiz ve yorumlama açısından oldukça kritik bilgiler sunar. Risklerin değerlendirilmesi, yanlış yapılandırmalara karşı önlemler alınması ve etkin bir güvenlik hardening pratiği, kurumların siber tehditlerle başa çıkabilme yeteneğini artırır. Sonuç olarak, uç noktaların güvenliğini sağlamak için sürekli farkındalık ve proaktif yöntemler gerekmektedir.