CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Veri Görselleştirme İçin `stats` ve `chart` Komutları

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

`stats` ve `chart` komutlarıyla veriyi etkili bir şekilde görselleştirmeyi öğrenin. Bu blogda grafiklerin nasıl hazırlandığını keşfedin.

Veri Görselleştirme İçin stats ve chart Komutları

Siber güvenlik ve veri analizi alanında önemli iki komut olan stats ve chart, Splunk üzerinde veriyi görselleştirmenizi kolaylaştırır. Bu yazıda, her iki komutun kullanımı hakkında bilgi edineceksiniz.

Giriş ve Konumlandırma

Veri Görselleştirme İçin stats ve chart Komutları

Siber güvenlik alanında veri analizi, olayların iç yüzünü anlamak ve bu veriler üzerinden yönlendirmeler yapmak için oldukça kritiktir. Bu noktada, veri görselleştirme yöntemleri, elde edilen büyük miktardaki verinin daha anlaşılır hale gelmesine yardımcı olur. Splunk gibi güçlü analitik platformları, bu süreçte önemli araçlar sunar. Özellikle stats ve chart komutları, veri üzerinde yapılan istatistiksel işlemleri ve bana göre görselleştirmeleri kolaylaştırarak analistlere büyük avantajlar sağlar.

Veri Analizinin Temel Bileşenleri

Veri analizi, yalnızca verileri toplamakla sınırlı olmayıp, bu verilerin doğru bir biçimde gruplanması, özetlenmesi ve analiz edilmesiyle de ilgilidir. Örneğin, bir güvenlik analisti, milyonlarca log kaydı arasında kaybolabilir. Ancak stats komutunu kullanarak belirli alanlar üzerinde gruplandırmalar yapabilir ve belirli olayların sayısal özetini hızla elde edebilir. Bu tür istatistiksel analizler, potansiyel güvenlik tehditlerinin tespit edilmesine olanak sağlar.

Aşağıdaki şekilde stats komutu ile belirli bir alanda veri özetleme örneği görülebilir:

index=siber_guvenlik_logs
| stats count by kullanici

Bu örnekte, kullanici alanındaki giriş yapmış kullanıcıların kaç kez sisteme giriş yaptığını saymakta ve herhangi bir anormal durumun tespitini kolaylaştırmaktadır.

chart ile Veriyi Görselleştirmek

Verilerin analizi kadar, bu analizlerin görselleştirilmesi de önem taşır. chart komutu, elde edilen istatistiksel sonuçları grafiğe dönüştürerek, verinin daha anlaşılır bir formatta sunulmasını sağlar. Öncelikle, grafiklerin oluşturulabilmesi için verinin iki veya daha fazla boyutta gruplanması gereklidir. Örneğin, belirli bir zaman dilimindeki olayların grafiği, olayların zaman içindeki dağılımını anlamaya yardımcı olur.

index=siber_guvenlik_logs
| chart count over zaman by aksiyon

Yukarıdaki kod parçası, belirli bir zaman dilimindeki farklı aksiyon türlerinin sıklığını grafik üzerinde gösterir. Bu tür görselleştirmeler, analistlerin eğilimleri hızlı bir şekilde belirlemesine ve gerekli aksiyonları almasına yardımcı olur.

Önemli Nedenler

Siber güvenlikte, zamanında alınan önlemler, potansiyel tehditleri etkili bir şekilde önlemek açısından hayati öneme sahiptir. stats ve chart komutları sayesinde güvenlik analistleri, log verilerini daha etkin bir şekilde gözlemleyebilir ve sonuçları görselleştirerek daha hızlı karar verme süreçleri ortaya koyabilir. Bahsedilen komutlar, yalnızca siber güvenlikte değil, aynı zamanda genel veri analizi alanında da oldukça yaygın bir kullanıma sahiptir.

Tüm bu süreçlerin veri görselleştirmeyi içermesi, daha derinlemesine analiz yapabilmeyi ve karar verme aşamasında büyük kolaylık sağlar. Özellikle, karmaşık veri setleri altında yatan kalıpları anlamak için kullanılan stats ve chart komutları, siber güvenlikteki tehditleri tanımada ve yanıt verme mekanizmalarını geliştirmede oldukça etkili bir yöntem olarak öne çıkmaktadır.

Bu yazının devamında, bu komutların nasıl daha verimli kullanılabileceği üzerinde durulacak ve gerçek yaşam senaryolarında uygulama örnekleri sunulacaktır. Analistler için veri görselleştirme yöntemleri üzerine öğrenecek çok şey var ve bu süreçte doğru araçlarla çalışma, güvenlik önlemlerinin etkinliğini artırmak için kritik öneme sahip.

Teknik Analiz ve Uygulama

Veri Görselleştirme İçin stats ve chart Komutları

Siber güvenlik ve veri analitiği alanında, verinin organize edilmesi ve anlamlandırılması kritik önem taşır. Özellikle büyük veri setleri ile çalışıldığında, doğru araçların ve tekniklerin kullanılması, verinin analizini ve sunumunu kolaylaştırır. Splunk gibi araçlar, istatistiksel işlemleri gerçekleştirmeye ve bu veriyi görselleştirmeye yardımcı olan komutlar sunar. Bu bölümde, stats ve chart komutlarının nasıl kullanılacağını detaylandıracağız.

Verinin Özeti

Verilerin istatistiksel olarak özetlenmesi, analistler için veri içindeki önemli noktaları hızlıca görme fırsatı sunar. Splunk'ta stats komutu, ham logları belirli alanlara göre gruplandırmak ve temel istatistiksel işlemler yapmak için kullanılır.

Bir örnek üzerinden açıklayalım. Varsayalım ki, kullanıcıların giriş denemeleri üzerine bir verimiz var. Aşağıdaki komut ile en çok başarısız giriş yapan kullanıcıları ve sayılarını elde edebiliriz:

index=my_index sourcetype=my_sourcetype | stats count by username

Bu komut, my_index indeksinde yer alan my_sourcetype kaynak tipiyle ilişkili logları alır ve her username için toplam giriş denemesi sayısını gösterir.

Analitik Bakış

stats komutunda kullanabileceğimiz bazı temel fonksiyonlar arasında şunlar yer almaktadır:

  • count: Seçilen gruptaki toplam olay (satır) sayısını hesaplar.
  • dc (distinct_count): Benzersiz değerlerin sayısını bulur, örneğin, kaç farklı IP bağlandığını görebiliriz.
  • avg: Sayısal bir alanın aritmetik ortalamasını hesaplar.

Aşağıdaki örnekle, bir kaynak IP adresinin ortalama giriş süresini hesaplayabiliriz:

index=my_index sourcetype=my_sourcetype | stats avg(response_time) by src_ip

Bu komut, her bir src_ip için ortalama response_time değerini hesaplayacaktır.

Hesaplama Motorları

Splunk'ta stats komutunun ardındaki mantık, veriyi özetleme ve analitik hale getirmektir. by anahtar kelimesi, istatistiklerin hangi alana göre gruplanacağını belirler. Örneğin, birden fazla veri satırını tek bir sayısal sonuca indirgeme işlemi olan toplama işlemini gerçekleştirirken:

index=my_index sourcetype=my_sourcetype | stats sum(bytes) as total_bytes by src_ip

Bu komut, her src_ip için gönderilen toplam byte miktarını hesaplar ve total_bytes adında yeni bir alan oluşturur.

Grafik Hazırlığı

Veri analizinin bir diğer önemli aşaması, elde edilen istatistiklerin görselleştirilmesidir. Bunun için chart komutu devreye girer. chart, veriyi iki farklı boyutta gruplayarak, dashboard üzerinde anlaşılır grafikler oluşturulmasını sağlar. Örneğin, zaman bazlı bir grafik oluşturmak için:

index=my_index sourcetype=my_sourcetype | timechart count by action

Bu komut, zaman içerisinde action alanlarının dağılımını gösteren bir grafik oluşturur.

Veriyi Görselleştirmek

Grafik oluşturmanın yanı sıra, sparkline fonksiyonu ile tablo içi grafikler de oluşturulabilir. Bu, verilerinizi tablo içinde mini grafik olarak gösterir ve veri setinizin zaman içindeki değişimini gözler önüne serer. Aşağıdaki örnekte, her bir username için mini bir zaman grafiği eklenmektedir:

index=my_index sourcetype=my_sourcetype | stats sparkline(count) as login_trends by username

Bu komut, her kullanıcının zaman içindeki giriş sayılarını mini bir grafikle yan yana gösterir.

Tablo İçi Trend

Son olarak, Splunk üzerinde görselleştirmeleri ve tablo içi trendleri gözlemlemek için Visualization Tab kullanılır. Bu sekme, sorgu sonuçlarının grafiksel olarak görüntülenmesini sağlar ve analistlerin verileri daha etkili bir şekilde sunmalarına yardımcı olur. Bu noktada kullanıcılar, verileri daha iyi anlamak ve analiz etmek adına farklı grafik türlerini deneyebilirler.

Veri görselleştirme, verinin daha anlaşılır ve erişilebilir hale gelmesine katkıda bulunur. stats ve chart komutlarının doğru bir şekilde kullanılması, analistlerin daha hızlı ve etkili sonuçlar almalarına yardımcı olur.

Risk, Yorumlama ve Savunma

Veri analizi ve güvenliği alanında, elde edilen bulguların güvenlik anlamını yorumlamak oldukça kritik bir süreçtir. Bu süreç, potansiyel zafiyetleri, yanlış yapılandırmaları ve çeşitli riskleri belirlemeyi amaçlar. Özellikle stats ve chart komutlarının kullanımıyla elde edilen verilerin detaylı analizi, karar verme süreçlerini etkileyen önemli bilgiler sağlar.

Verinin Özeti

Splunk üzerinde stats komutu, log verileri üzerinde istatistiksel işlemler yaparak sonuçları daha anlaşılır hale getirir. Örneğin, bir kullanıcının kaç kez başarısız giriş yaptığını belirlemek için şu komutu kullanabiliriz:

index=logs sourcetype=access_logs | stats count as "Başarısız Giriş Sayısı" by user

Yukarıdaki komut, kullanıcının erişim logları üzerinden gerçekleştirilen başarısız giriş denemelerini sayar. Eğer belirli bir kullanıcı yüksek sayıdaysa, bu durum o kullanıcıya yönelik bir saldırı olduğuna dair bir risk işareti anlamına gelebilir.

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmalar sistemin güvenliğini ciddi anlamda tehlikeye atar. Örneğin, bir ağ cihazının güvenlik duvarı kuralları gerekli şekilde ayarlanmamışsa, dış tehditler için açık kapı bırakılmış olur. Bunun yanında, chart komutuyla oluşturulmuş bir grafik, belirli bir zaman dilimi içerisinde hizmetlerin ve ağ trafiğinin nasıl dağıldığını görsel olarak sunar. Aşağıdaki komut, trafiğin zamana göre dağılımını göstermektedir:

index=traffic_data | timechart count as "Ağ Trafiği"

Bu tür bir analiz, ağda ani bir trafik artışı gözlemlendiğinde potansiyel bir DDoS saldırısını işaret edebilir.

Veri Sızma ve Topoloji Tespiti

Veri sızıntıları, kurumsal bilgilerin dışarı sızmasıyla sonuçlanan olaylardır. dc (distinct_count) fonksiyonu kullanılarak, hangi benzersiz kullanıcıların veritabanına erişim sağladığı belirlenebilir. Örneğin:

index=logs sourcetype=user_logs | stats dc(user) as "Benzersiz Kullanıcı Sayısı"

Bu komut ile, belirli bir zaman diliminde kaç farklı kullanıcının sisteme eriştiği saptanabilir. Eğer hesaplanan bu sayı, olağanın çok üstündeyse, bu durum sistemde bir güvenlik açığı ya da veri sızıntısının varlığına işaret edebilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik zafiyetlerinin önlenmesi için birkaç temel adım atılmalıdır. Öncelikle, ağ ve sistem yapılandırmalarını düzenli aralıklarla kontrol etmek ve güncel tutmak hayati öneme sahiptir. Kullanıcılara yalnızca ihtiyaç duydukları erişim haklarının verildiğinden emin olunmalıdır. Ayrıca, olay günlüklerinin izlenmesi ve analiz edilmesi, olası saldırıları önlemek için bir adım öne geçilmesini sağlar.

Ayrıca, ağ trafiği ve sistem logları üzerinden sürekli izleme yapmak için stats ve chart komutlarının etkin bir şekilde kullanılması önerilmektedir. Örneğin, sistemi zorlaştıracak bir tehdit modelini anlamak için şu tür komutlar kullanılabilir:

index=logs sourcetype=access_logs | stats count by status_code

Bu komut, yanıt kodlarına göre sunucuya yapılan isteklerin sayısını gösterir. Yanlış yapılandırmaların veya kötü niyetli isteklerin etkisini değerlendirmede bu bilgiler kritik öneme sahiptir.

Sonuç Özeti

Veri görselleştirme teknikleri, siber güvenlik analizlerinin etkinliğini artırmak için gerekli araçları sunar. stats ve chart komutları, güvenlik analistlerinin farklı boyutlardaki verilerin istatistiksel özetlerini almasına ve sonuçları grafiksel olarak sunmasına yardımcı olur. Yanlış yapılandırmalar ve potansiyel zafiyetler için bu tür görseller, tehlike ve riskleri daha hızlı bir şekilde tespit etmek için kritik bir rol oynar. Güvenliğin sağlanması amacıyla atılan adımların yanı sıra, bu tür görselleştirmelerin düzenli kullanımı, sızıntıların önlenmesi ve sistemlerin güvenliği konusunda önemli bir katkı sağlayacaktır.