CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Uç Nokta Verilerinde Davranışsal Özellik Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Bu makalede, uç nokta verilerinden davranışsal özellik çıkarımının temellerini ve uygulamalarını keşfedeceksiniz.

Uç Nokta Verilerinde Davranışsal Özellik Analizi

Siber güvenlikte uç nokta verilerinin analizi büyük önem taşıyor. Bu blog yazısında, EDR ve Sysmon kullanarak davranışsal özelliklerin nasıl çıkarılacağını öğreneceksiniz.

Giriş ve Konumlandırma

Uç nokta verilerindeki davranışsal özellik analizi, siber güvenlik dünyasında giderek daha fazla önem kazanan bir konudur. Uç nokta tehdit algılama ve yanıt (EDR) sistemlerinin sağladığı veriler, her şeyden önce sistemlerin derinlemesine görünürlüğünü sağlar ve bu da potansiyel tehditlerin daha hızlı ve etkili bir şekilde tespit edilmesi anlamına gelir. EDR sistemleri, bir ağ üzerindeki bilgisayarlarda, sunucularda ve diğer cihazlarda gerçekleşen süreçlerin ve olayların kaydedilmesini ve analiz edilmesini sağlayarak, saldırganların davranışlarını anlamamıza yardımcı olur.

Uç Nokta Tehdit Algılama ve Önemi

Gelişen teknolojilerle birlikte, siber tehditler de daha karmaşık hale gelmiştir. Geleneksel güvenlik çözümleri her ne kadar önemli olsa da, saldırganların tespit edilmeden ağa sızmalarını önlemekte çoğu zaman yetersiz kalır. Bu bağlamda, uç nokta verileri, bir etkinin veya davranışın arka planını anlamak için kritik bir geçiş noktasıdır. EDR sistemleri, çalışan süreçlerin (process) ve ağ bağlantılarının (network connections) izlenmesi yoluyla, zararlı aktiviteleri daha gerçekçi bir bağlamda değerlendirme imkânı sunar.

Davranışsal Analiz ve Taktikler

Uç nokta verilerinin analizi, siber saldırıların nasıl yapıldığını anlamak için kritik öneme sahiptir. Özellikle pentest süreçlerinde, saldırganların kullandığı taktikler (TTP - Tactics, Techniques, and Procedures) derinlemesine incelenmektedir. Örneğin, saldırganların hedef aldığı sistemlerde ebeveyn-çocuk süreç ilişkilerini incelemek, çok önemlidir. Bir ebeveyn sürecin (örneğin, winword.exe) arka planda bir komut istemi (cmd.exe) veya PowerShell'i çağırması, yüksek risk taşıyan bir davranış olarak değerlendirilebilir. Bu tür anomalilerin tespiti, sistem yöneticilerine saldırganların izlerini takip etme veya potansiyel bir saldırıyı önceden önleme fırsatı sunar.

Ayrıca, memnuniyetle karşılanan bir diğer konu da, dosyasız (fileless) tehditlerin giderilmesidir. Bu tür saldırılar, sistemin belleğinde gizli bir şekilde çalışarak, geleneksel güvenlik cihazlarından kaçmayı başarır. Bu noktada, makine öğrenmesi (ML) ve istatistiksel analizler, geçmişte kaydedilen davranışları modelleyerek, nadir bir olayın otomatik olarak anomali olarak sınıflandırılmasına olanak tanır.

EDR Verisi ile Özellik Üretimi

EDR verileriyle davranışsal özelliklerin üretilmesi, güvenlik araştırmacıları ve analistleri için yeni bir olanak sunar. Olay kimlikleri (Event IDs) gibi sistem raporlarından elde edilen veriler, makine öğrenmesi algoritmaları aracılığıyla analiz edilir. Örnek vermek gerekirse, Event ID 1 (Process Creation) ve Event ID 3 (Network Connection) gibi olay kimlikleri, sistemde yeni bir sürecin başlatılıp başlatılmadığını ve dış ağla kurulan bağlantıları kaydetmektedir.

Bu tür analizler sayesinde, aşağıdaki gibi temel özellikler çıkarılabilir:

- Süreç Yolu (Process Path): Çalıştırılan dosyanın geldiği dizin
- Komut Uzunluğu (Command Length): Çalıştırılan komutun karakter sayısı
- İmza Durumu (Signature Status): Uygulamanın dijital imzalı olup olmadığı
- Gizlenme (Masquerading): Zararlı dosyanın meşru bir dosya ismiyle değiştirilmesi

Bu bilgiler, bir tehdit incident'ının tam olarak nasıl ve nereden kaynaklandığı hakkında değerli bilgiler sunar ve güvenlik ekiplerinin olaylara daha etkin bir şekilde müdahale etmelerini sağlar.

Sonuç

Uç nokta verilerinde davranışsal özellik analizi, siber güvenlik dünyasında kritik bir bileşen olarak öne çıkmaktadır. Bu analizler, hem savunma önlemleri almak hem de siber tehditleri daha etkili bir şekilde teşhis etmek için vazgeçilmez olacaktır. EDR sistemleri ve davranışsal analiz teknikleri, güvenlik uzmanlarına tehdit avlamada güçlü bir araç seti sunmakta ve saldırıların önceden tahmin edilmesine olanak tanımaktadır. Bu bağlamda, okuyucuların dikkatli bir şekilde incelenmesi gereken konular arasında yer alıyor ve teknik anlamda daha derin bir bilgiye ulaşmak için anında hazırlanmaları gerekmektedir.

Teknik Analiz ve Uygulama

Uç Nokta Görünürlüğü

Uç nokta güvenliği, siber tehditlerin tespitinde kritik bir bileşendir. Bu bağlamda, uç noktalardaki etkinliklerin detaylı bir şekilde izlenmesi, şüpheli davranışların tanımlanması için önemli bir adım teşkil eder. Uç nokta tehdit algılama sistemleri (EDR), işletim sistemi seviyesindeki her türlü hareketi kaydetme yeteneğine sahiptir. Bu sistemler, Sysmon gibi araçları kullanarak uç nokta verilerinin toplanmasına olanak tanır ve bu veriler üzerinden davranışsal analiz gerçekleştirilir.

Sysmon Olay Kimlikleri (Event IDs)

Sysmon, kullanıcı süreçlerinin izlenmesi ve kaydedilmesi için kullanılan bir sistemdir. Öne çıkan bazı olay kimlikleri şunlardır:

  • Event ID 1 (Process Creation): Yeni bir sürecin başlatıldığını ve o sürecin komut satırı detaylarını gösterir.
  • Event ID 3 (Network Connection): Bir sürecin dış ağla kurduğu TCP/UDP bağlantılarını loglar.
  • Event ID 13 (Registry Event): İşletim sistemi kayıt defterinde yapılan değişiklikleri kaydeder ve çoğu zaman kalıcılık amacı taşır.

Bu olaylar, sistemdeki şüpheli hareketlerin tespitine yardımcı olur. Örneğin, bir Word belgesinin arka planda cmd.exe veya PowerShell'i çağırması yüksek riskli bir ebeveyn-çocuk süreç ilişkisi olarak değerlendirilebilir.

Ebeveyn-Çocuk Süreç İlişkisi

Ebeveyn-çocuk süreç ilişkisi, bir sürecin başka bir süreci başlatması ile ilgilidir. Şüpheli süreç hiyerarşileri, kötü amaçlı yazılımlar tarafından sıklıkla kullanılmaktadır. Zararlı yazılımlar genellikle işletim sisteminde anormal ebeveyn ve çocuk süreç ilişkileri kurarak tespit edilmeden hareket eder. Aşağıdaki komut örneği bu ilişkileri analiz etmek için kullanılabilir:

Get-WinEvent -LogName Microsoft-Windows-Sysmon/Operational | 
Where-Object { $_.Id -eq 1 } | 
Select-Object TimeCreated, Id, Message

Bu örnekte, Sysmon'dan alınan olaylar filtrelenerek ebeveyn süreçlerle ilişkili bilgilerin görüntülenmesi sağlanır.

Süreç Anomalisi

Süreç anomalileri, sistemde alışılmadık süreç davranışlarının tespit edilmesine yönelik bir tekniktir. Makine öğrenmesi algoritmaları, uç noktalardaki anormal süreçleri ayırt ederek bu süreçleri riskli sınıfına ayırabilir. Böylece müdahale edilmesi gereken süreçlerin önceden belirlenmesi mümkün hale gelir. Örneğin; işlem uzunluğu ve süreç yolu gibi değişkenler analiz edilerek süreçlerin normalden sapma durumları tespit edilebilir:

import pandas as pd

# Örnek veri çerçevesi
data = {
    'Process': ['cmd.exe', 'powershell.exe', 'malicious.exe'],
    'Command_Length': [20, 45, 300],  # Komut uzunluğu
}

df = pd.DataFrame(data)

# Anormal komut uzunluğunu belirle
anomalous_commands = df[df['Command_Length'] > 100]
print(anomalous_commands)

Yukarıda, belirli bir komut uzunluğunun üzerindeki süreçlerin tespitini gösteren basit bir Python kodu bulunmaktadır.

EDR Verisinden Özellik Üretimi

EDR loglarından çıkarılan matematiksel özellikler, makine öğrenmesi modellerinin performansını artırmak için kritik öneme sahiptir. Özellikle, komut satırı parametreleri ve süreç yolları gibi özelliklerin doğru bir biçimde gözlemlenmesi, tehdit avlarında başarılı sonuçlar elde edilmesine olanak tanır. Örneğin, maskelenmiş bir dosya (masquerading) kullanılarak, zararlı yazılımın meşru bir süreç gibi görünmesi sağlanabilir. İşte bu tür senaryoların belirlenmesi için sürekli bir analiz gereklidir.

Ayrıca, davranışsal taktiklerin analizi, saldırıları önceden tahmin etmek ve önlemek için kritik bir rol oynar. Saldırganların kullandığı davranışları ve teknikleri (ATT&CK çerçevesi) belirlemek, oluşabilecek tehditleri minimize eder.

Dosyasız (Fileless) Tehditler

Dosyasız siber tehditler, diske yazılmadan doğrudan sistem belleği üzerinde çalışan zararlılardır. Bu tehditlerin tespiti genellikle zorlayıcıdır, çünkü sistemde herhangi bir kalıntı bırakmazlar. Bu bağlamda, inbound ve outbound ağ trafiği üzerinde detaylı bir analiz yaparak, şüpheli ağ bağlantılarını tespit etmek önemlidir. Aşağıdaki PowerShell komutu, ağ bağlantılarını incelemek için kullanılabilir:

Get-NetTCPConnection | Where-Object { $_.State -eq 'Established' }

Bu komut, sistemde yapılan ağ bağlantılarını inceleyerek, meşru olmayan bağlantıları tespit etmeye yardımcı olur.

Sonuç

Uç nokta verileri üzerinden yapılan davranışsal analizler, siber güvenlik alanında kritik bir öneme sahiptir. EDR sistemlerinin sağladığı görünürlük ve Sysmon'un sunduğu olay kimlikleri, şüpheli davranışların tespitinde önemli bir temel oluşturur. Ebeveyn-çocuk süreç ilişkisi, süreç anomalileri ve makine öğrenmesi alanındaki gelişmeler, tehdit avı faaliyetlerinin etkinliğini artırmakta önemli bir rol oynamaktadır. Doğru analiz ve izleme stratejileriyle, uç noktalar üzerindeki tehditler daha hızlı bir şekilde tanımlanabilir ve önlenebilir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Uç nokta (endpoint) güvenliğinde elde edilen verilerin analizi, siber güvenlik uzmanlarının tehditleri tespit etmesine ve değerlendirmesine olanak tanır. Ağdaki uç noktaların davranışlarını izleyerek, güçlü ve zayıf yanlar belirlenebilir. Veri güvenliği açısından en kritik unsurlardan biri ise belirli olayların (event) sürekliliği ve geçerliliğidir. Örneğin, Sysmon gibi araçlar aracılığıyla ele geçirilen olay kayıtları, potansiyel risk unsurlarını belirlemek için kullanılabilir.

Örnek Olay Kimlikleri (Event IDs)

Bir oturumda hangi olayların tespit edildiği, hangi kaynakların etkilendiği, hangi dosyaların değiştirildiği gibi bilgileri sağlar. Aşağıda sıkça karşılaşılan Sysmon olay kimlikleri ve ne ifade ettikleri verilmiştir:

Event ID 1: Process Creation
Event ID 3: Network Connection
Event ID 13: Registry Event

Bu olayların günlüklerde yer alması, sistemin güvenliğini çiğneyen bir durumun olup olmadığını anlamada yardımcıdır. Örneğin, Event ID 1, yeni bir sürecin başlatıldığını gösterir ve bu süreçleri incelemek, potansiyel zararlı yazılımların veya proseslerin izini sürmek için gereklidir.

Yorumlama

Risklerin yorumlanması, yalnızca verilerin toplanması ile kalmayıp, bu verilerin analizi üzerine de derin bilgi edinmeyi gerektirir. Ebeveyn-çocuk süreç ilişkileri, zararlı yazılımların karakteristik belirtileridir. Örneğin, bir zararlı yazılımın, "cmd.exe" veya "PowerShell" gibi meşru süreçlerin altında çalışması yüksek risk taşıyan durumlar arasında yer alır. 

Zararlı yazılımlar genellikle işletim sisteminde anormal ebeveyn ve çocuk süreç ilişkileri kurar.

Bu tür bir davranış, sistem üzerinde potansiyel bir risk oluşturur. Makine öğrenmesi algoritmaları kullanarak, belirli süreçlerin nadir görünümleri tespit edilerek bunlar riskli sınıflar içine alınabilir. Örneğin, olağan akıştan saptıkları görülerek, tehlikeli aktivitelerin yer aldığı süreçlerin bilgisini alabiliriz.

Savunma Stratejileri

Veri güvenliğini sağlamak için profesyonel önlemler alınmalı ve uç nokta donanımı sürekli güvenlik sertifikaları ile güncellenmelidir. Bunun yanı sıra, yazılımların güncel versiyonlarının kullanılması ve basit yapılandırma hatalarının giderilmesi büyük önem taşır. Aşağıdaki öneriler, sistemlerinizi koruma altına almak için dikkate alınmalıdır:

  1. Güçlü Erişim Kontrolleri:

    • Kullanıcıların sistemlere erişimi, rol tabanlı yetkilendirme ile yönlendirilmelidir.

  2. Düzenli Güncellemeler:

    • İşletim sistemleri, uygulamalar ve güvenlik araçları güncel tutulmalıdır.

  3. Eğitim ve Bilinçlendirme:

    • Çalışanların, sosyal mühendislik gibi saldırılara karşı bilinçlendirilmesi gerekir.

  4. Olay Kayıtları ve İzleme:

    • Tüm olay kayıtlarının düzenli olarak gözden geçirilmesi, potansiyel tehditlerin zamanında tespit edilmesine yardımcı olur.

Özellikle, dosyasız saldırılar (fileless attacks) gittikçe yaygınlaşmakta ve geleneksel güvenlik çözümleri bu tür tehditlere karşı etkisiz kalmaktadır. 

Dosyasız zararlı yazılımlar diske yazılmadan doğrudan sistem belleği üzerinde çalışarak gizlenir.

Bu tür tehditlere karşı en etkili yöntemlerden biri, sistemdeki hareketleri sürekli izleyen EDR (Uç Nokta Tehdit Algılama ve Yanıt) sistemleridir.

Sonuç

Uç nokta verilerinde davranışsal analiz, siber güvenlik alanında kritik bir yere sahiptir. Olayların, süreçlerin ve ağ iletişimlerinin sürekli izlenmesi, risk değerlendirmesi için hayati önem taşır. Uygun yapılandırmalar yapılmadığında veya zafiyetler göz ardı edildiğinde, sistemlerin güvenliği büyük tehlike altına girebilir. Profesyonel önlemlerin alınması, bu tür riskleri en aza indirmeye yardımcı olur ve güvenli bir siber ortam oluşturur.