CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Uç Nokta Görünürlüğü ve Telemetri Verisinin Önemi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Uç nokta güvenliğinde veri görünürlüğünün önemi ve telemetri verisinin nasıl kullanılacağı hakkında bilgi edinin.

Uç Nokta Görünürlüğü ve Telemetri Verisinin Önemi

Uç nokta güvenliği, etkili telemetri verisi toplama ile başlar. Saldırganların tespit edilmesi için görünürlük sağlamak kritik öneme sahiptir.

Giriş ve Konumlandırma

Uç Nokta Görünürlüğü ve Telemetri Verisinin Önemi

Siber güvenlik alanındaki en kritik unsurlardan biri, uç noktaların (endpoints) sürekli olarak izlenmesidir. Uç noktalar, bir organizasyonun bilgi teknolojileri altyapısının en savunmasız parçalarıdır ve bu nedenle saldırganlar için hedef haline gelirler. Bu bağlamda, uç nokta görünürlüğü ve telemetri verisi, sistemlerin güvenliğini sağlamak için hayati bir rol oynamaktadır. Bu yazıda, bu kavramların ne anlama geldiğini, neden bu kadar önemli olduklarını ve siber güvenlik, pentest ve savunma stratejileri açısından ne tür faydalar sağladıklarını ele alacağız.

Verinin Gücü

Uç nokta görünürlüğü, temel olarak bir ağdaki tüm cihazların durumunu, aktivitelerini ve içindeki yazılımları gözlemleme yeteneğidir. EDR (Endpoint Detection and Response) ajanları, uç noktalardan sürekli olarak telemetri verisi toplayarak bu görünürlüğü sağlar. Bu veriler, bir sistemde gerçekleşen her bir olayın kaydını tutar; i̇şletilen programlardan açılan dosyalara ve kurulan bağlantılara kadar geniş bir yelpazeyi kapsar. 

Uç noktalarda çalışan EDR ajanları, sistemin can damarı niteliğinde olan veriyi toplar.

Bu durum, bir saldırgan sisteme sızdığında ne yaptığını anlamak için son derece önemlidir. Sadece saldırganın adımlarını takip etmekle kalmaz, aynı zamanda sistemin ne gibi değişikliklere uğradığını, hangi kaynakların kullanıldığını ve potansiyel tehlikeleri belirleyebilmemizi sağlar.

Karanlıkta Savaşılmaz

Görünürlük olmadan, bir sistemde ilerleyen bir saldırganın adımlarını takip etmek imkansız hale gelir. Bilgi güvenliği profesyonellerinin bu durumu yönetebilmesi için gereken öncelikli adım, uç noktalardaki aktiviteleri anlık olarak izlemektir. Eğer bir uç noktada EDR ajanı yoksa veya bu ajan log kaydı göndermeyi durdurmuşsa, bu kaynak artık "kör nokta" (blind spot) haline gelir. Saldırganlar, çoğu zaman bu kör noktaları kullanarak sistemlere gizlice sızar.

Saldırganların ilk gizlenme noktaları kör noktalardır.

Kör noktalar, analiz sürecini zorlaştırırken, güvenlik ekipleri için de büyük bir risk yaratmaktadır. Bu nedenle, bütün uç noktaların sürekli gözlemlenmesi ve kaydın tutulması, siber güvenlikte vazgeçilmez bir strateji haline gelmiştir.

Veri Türleri

EDR sistemleri, topladığı verileri çeşitli kategorilere ayırarak analiz eder. Bu veriler genellikle üç ana başlık altında toplanır:

  • Process (Süreç) Telemetrisi: Çalışan her bir program ve bu programların hangi komut satırı argümanlarıyla işlediğini gösterir.
  • Network (Ağ) Telemetrisi: Uç noktanın hangi dış IP adresleriyle ve hangi portlardan iletişim kurduğu bilgilerini kaydeder.
  • File (Dosya) Telemetrisi: Sistemde yeni oluşturulan, değiştirilen veya silinen dosyaların takibi için kullanılır.
Telemetri, uç noktadan sürekli olarak akan ham durum ve olay verisi olarak tanımlanabilir.

Bu veri türleri, güvenlik analistlerinin potansiyel saldırıları belirlemesine ve önlemesine yardımcı olur. Tehditler genellikle belirli bir davranış kalıbına sahip olduğundan, bu verilerin analizi, anomali tespiti için kritik öneme sahiptir.

Gözlemci Yazılım

Uç nokta görünürlüğünü sağlamak için kullanılan gözlemci yazılımı, kritik bir bileşen olarak öne çıkar. Bu yazılım, bilgisayardaki olayları dinleyerek anlık verileri toplar ve merkezi sunucuya gönderir. EDR sistemleri, bu işlevi yerine getirecek şekilde tasarlanmış hafif ve sürekli çalışan arka planda işleyen ajandır. 

EDR ajanları, her türlü olayı kaydetmek için tasarlanmıştır.

Bu sistemlerin etkinliği, yalnızca verilerin toplanmasıyla sınırlı değildir. Toplanan verilerin analiz edilmesi, anlamlı hale getirilmesi ve bunlardan alarmların çıkarılması süreci de çok önemlidir. EDR'nin beyni, bu verileri birleştirerek şüpheli davranış kalıplarını ortaya çıkarır ve böylece olası bir saldırı öncesinde veya sırasında uyarılar başlayabilir.

Sonuç

Sonuç olarak, uç nokta görünürlüğü ve telemetri verisi, siber güvenliğin temel taşlarından birini oluşturur. Güvenlik profesyonelleri, gerçek zamanlı izleme ve analiz yapabilmek için bu verilerin önemini anladıklarında, sistemlerini daha güçlü bir şekilde koruma altına alabilirler. Burada elde edilen bilgiler, saldırılara karşı süratli bir savunma sağlamakla kalmaz, aynı zamanda potansiyel zayıf noktaların tespit edilmesine de olanak tanır.

Teknik Analiz ve Uygulama

Verinin Gücü

Siber güvenlik ortamında, verinin değeri tartışılmaz. Uç noktalardaki her etkinlik, bilgisayarın veya cihazın işletim sistemi üzerindeki her değişiklik, açılan her dosya ve kurulan her bağlantı, EDR (Endpoint Detection and Response) ajanları tarafından toplanmaktadır. Bu veri, siber güvenlik uzmanlarına tehditleri hızlı bir şekilde tanımlamak ve yanıt vermek için gerekli bilgilere ulaşma imkanı sağlar. Sistemlerdeki her bir hareket, veri analizi aracılığıyla bir tehdit olup olmadığını anlamaya yardımcı olur.

Telemetri, uç noktalardan sürekli olarak akan bu ham durum ve olay verisidir ve analistlere aşağıdaki gibi önemli bilgiler sunar:

  • Olay kayıtları
  • Uygulama ve hizmet başlatmaları
  • Ağa bağlantılar

Bu verilerin toplanması, sadece verilerin varlığıyla değil, aynı zamanda bu verilere erişim yoluyla sağlanır. Herhangi bir siber tehditin tespit edilmesi ve araştırılması için veri görünürlüğü kritik bir öneme sahiptir. Verinin gücü, görünürlüğün sağlanması ile doğru orantılıdır; görünür olmayan bir sistemde, tehditlerin izini sürmek imkansız hale gelir.

Karanlıkta Savaşılmaz

Uç noktaların görünürlüğü olmadan, sistem içerisinde ilerleyen bir saldırganın adımlarını takip etmek ve saldırının boyutunu anlamak mümkün değildir. Saldırganlar, genellikle "kör noktalar" olarak adlandırılan alanlarda gizlenirler. EDR ajanı yüklenmeyen cihazlar veya log göndermeyi durdurmuş noktalar, analistler için anlam verilemez alanlardır ve bu tür “kör noktalar,” saldırganlar için ideal kaçış alanları oluşturur.

Görünürlük sağlamak, her bir uç noktanın kontrol edilebilirliğini artırmak anlamına gelir. Dolayısıyla, EDR çözümleri ile birlikte tüm ağın ve cihazların aktif takibinin yapılması gerekmektedir.

Veri Türleri

EDR sistemleri, üç temel kategoride telemetri verisi toplayabilir: process (süreç) telemetrisi, network (ağ) telemetrisi ve file (dosya) telemetrisi. Bu veri türleri, tehditlerin tespit edilmesine ve sistemin durumu hakkında net bilgiler elde edilmesine yardımcı olur.

  • Process Telemetrisi: Hangi işlemlerin (executable) hangi komut satırları (CMD/PowerShell) ile başlatıldığını gösterir.
  • Network Telemetrisi: Uç noktanın hangi dış IP adresleriyle, hangi portlardan iletişim kurduğunu kaydeder.
  • File Telemetrisi: Sistemde yeni oluşturulan, değiştirilen veya silinen dosyaların takibini sağlar.

Bu veri türlerini kullanarak, SOC (Security Operations Center) analistleri, şüpheli aktiviteleri tespit edebilir ve hızla müdahale edebilir.

Örnek Komut Kullanımı

Bir EDR çözümünde, belirli bir uygulama üzerinden process telemetrisini incelemek için şu tür bir komut kullanılabilir:

Get-Process -Name "example.exe"

Bu komut, belirtilen işlemin hangi parametrelerle çalıştırıldığını, işlem kimliğini ve daha fazlasını gösterir.

Gözlemci Yazılım

Uç noktalardan veri toplamak için kullanılan EDR yazılımı, sistem üzerinde sürekli olarak çalışan bir ajandır. Bu ajan, sistemdeki tüm aktiviteleri gözlemleyerek verileri merkezi bir sunucuya iletir. Ajanın etkili çalışabilmesi için, sistem üzerinde arka planda çalışması ve kullanıcı etkileşimine ihtiyaç duymadan veri iletebilmesi gerekmektedir.

EDR ajanları, yalnızca verileri toplamakla kalmaz, aynı zamanda topladıkları bu verileri gerçek zamanlı olarak analiz ederek şüpheli davranışları da tanımlar.

Veriden Alarm Çıkarmak

Uç noktadan gelen milyonlarca satır veri, tek başına anlam ifade etmez. Bu verilerin birleştirilmesi ve analiz edilmesi, şüpheli davranış kalıplarını ortaya çıkarır. EDR sistemleri, anormallikleri tespit ettiklerinde, bu durumlar için alarmlar oluşturur.

Örneğin, bir kullanıcı belirli bir saatte hiç alışılmadık bir dosya açmaya çalışırsa, bu tür bir davranış EDR sistemi tarafından şüpheli olarak değerlendirilebilir ve bir alarm oluşturulabilir. Bu alarmlar, tehditlerin hızlıca ele alınabilmesi için kritik öneme sahiptir.

Örnek Alarm Görselleştirmesi

Bir EDR sistemi, belirli bir süre içinde çok sayıda başarısız girişim tespit ettiğinde, bu durumu şu şekilde raporlayabilir:

Alarm: Başarısız Girişim
Zaman: 2023-10-10 14:00
Açıklama: Kullanıcı "user123", 5 kez hatalı şifre girişi gerçekleştirdi.

Bu tür raporlamalar, SOC analistlerine daha etkin bir müdahale süreci sunmaktadır.

Tehlikeli Alanlar

Sonuç olarak, verinin analizi sadece veri toplamakla sınırlı değildir; aynı zamanda bu veriyi anlamlandırmak ve tehlikeli alanları tespit edebilmek için de gereklidir. Uç noktalardan doğru şekilde toplanan telemetri verileri, analistlere tehditlerin tanımlanmasında ve engellenmesinde büyük avantaj sağlar. Telemetri verisinin gücü, görünürlüğün artırılması ile daha da anlam kazanır ve anlaşılır hale gelir. Bu noktada, her sistem yöneticisinde bu telkinin yerleşmesi kritik öneme sahiptir.

Sonuç olarak, uç nokta görünürlüğü ve telemetri verisi, siber güvenliğin en temel yapı taşlarını oluşturmaktadır. Veriyi yönetmek ve anlamak, güvenlik olaylarına hızlı ve etkin yanıt verilmesini sağlamaktadır.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

Siber güvenlikte, risk analizi süreci, bir organizasyonun siber tehditlere karşı ne kadar savunmasız olduğunu ve bu tehditlerin potansiyel etkilerini belirleme amacı taşır. Uç nokta görünürlüğü ve toplanan telemetri verisi, bu analizin temel taşlarıdır. EDR (Endpoint Detection and Response) sistemleri, bu verileri toplayarak analiz eder ve sonuçları yorumlayarak organizasyona yön verir.

Veri Yorumlamanın Önemi

EDR sistemleri, uç noktalardan gelen milyonlarca ham veri parçasını merkezi bir sunucuda toplar ve bu verileri anlamlı hale getirir. Eğer sisteminizde herhangi bir güvenlik açığı veya yanlış yapılandırma varsa, bu durum saldırganların sisteminize sızmasını kolaylaştırabilir. Örneğin, eksik veya yanlış yapılandırılmış bir EDR ajanı, veri toplama kapasitesinin azalmasına ve dolayısıyla siber tehditlere karşı görünürlüğün kaybolmasına yol açar.

Yanlış konfigürasyon: EDR ajanı kapalı veya yanlış yapılandırılmış
Sonuç: Saldırganlar bu alanları istismar edebilir

Görünürlük Kaybı ve Riskler

Görünürlük kaybı, saldırganların sistem üzerindeki etkinliklerini gizleme şansını artırır. Ajanın yüklü olmadığı veya kayıt gönderimini durdurmuş bir cihaz, tamamen "kör nokta" haline gelir. Bu tür alanlar, kötü niyetli kullanıcılar için ideal saklanma alanlarıdır. Önemli olan, saldırganların hangi yolları kullandığını, hangi sistemlere eriştiklerini ortaya çıkarmaktır.

Telemetri Verilerinin Rolü

EDR sistemleri aracılığıyla toplanan telemetri verileri, genellikle üç büyük kategoride sınıflandırılır:

  1. Process (Süreç) Telemetrisi: İşlemlerin ne zaman ve hangi argümanlarla çalıştırıldığını gösterir. Örneğin, şüpheli bir işlem tespit edildiğinde, bu işlemin kim tarafından ve hangi parametrelerle başlatıldığına dair bilgiler elde edilir.

    Örnek:
- İşlem: svchost.exe
- Parametre: -k LocalService

  2. Network (Ağ) Telemetrisi: Uç noktanın dış IP adresleriyle hangi portlardan iletişim kurduğunu izler. Bu bilgiler, bir saldırının kaynağını belirlemekte kritik bir rol oynar.

    Örnek:
- IP: 192.168.1.10
- Port: 80

  3. File (Dosya) Telemetrisi: Sistemde yeni dosyalar oluşturulduğunda veya mevcut dosyalar değiştirildiğinde kaydedilen verilerdir. Dosya değişiklikleri, genellikle zararlı yazılımların kurulumunu işaret eder.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik açıklarını en aza indirmek ve korunma sağlamak için aşağıdaki önlemler önerilir:

  1. EDR Ajanının Sürekli Güncellenmesi: EDR yazılımı ve ajanın güncel kalması, yenilikleri ve düzeltmeleri almasını sağlar. Bu, bilinen zafiyetlerin giderilmesi açısından kritik öneme sahiptir.

  2. Ağ Segmentasyonu: Ağ üzerinde segmentasyon uygulamak, saldırganların bir noktadan diğerine geçişini zorlaştırır. Böylece, bir saldırının başarı oranı düşürülür.

  3. Sıkı Günlükleri İzleme: Tüm telemetri verileri düzenli olarak izlenmelidir. Şüpheli aktiviteler gösterebilecek anomali tespit sistemleri kurarak, hızlı bir müdahale planı oluşturulabilir.

  4. Olay Müdahale Planlarının Hazırlanması: Olası siber saldırılar için önceden belirlenmiş müdahale planları, daha hızlı ve etkili yanıt vermek için önemlidir.

Sonuç

Siber güvenlikte, uç nokta görünürlüğü ve telemetri verisi, riskleri anlamak ve saldırılara karşı etkili savunmalar oluşturmak için gereklidir. Yanlış yapılandırmalar veya eksik görünürlük, potansiyel riskleri artırırken, doğru yorumlama, proaktif müdahale ve koruma stratejilerinin geliştirilmesine yardımcı olur. Bunu sağlamak için sürekli izleme ve güncellemeler, tüm siber güvenlik çabalarının temelinde yer almalıdır. Her şeyin başı bu verilerin doğru ve etkin bir şekilde kullanılmasıdır.