CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Normalizasyon

Veri Tiplerinin Belirlenmesi: String, Integer, IP ve Boolean ile Siber Güvenlikte Etkili Filtreleme

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Normalizasyon

Veri tiplerinin doğru belirlenmesi, siber güvenlikte etkili filtreleme ve analiz için kritik öneme sahiptir. Detayları öğrenin.

Veri Tiplerinin Belirlenmesi: String, Integer, IP ve Boolean ile Siber Güvenlikte Etkili Filtreleme

Siber güvenlikte veri tiplerinin doğru olarak belirlenmesi, etkin filtreleme ve analiz için hayati öneme sahiptir. Bu blog yazısında String, Integer, IP ve Boolean veri tiplerini inceleyerek filtreleme yöntemlerini keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, verilerin doğru biçimde işlenmesi, analizi ve filtrelenmesi kritik bir öneme sahiptir. Verinin türünü (data type) belirlemek, bu süreçlerin gerek verimliliği, gerekse güvenliği açısından belirleyici bir rol oynamaktadır. Bu bağlamda, string, integer, IP adresi ve boolean gibi temel veri tiplerinin doğru şekilde tanımlanması ve kullanılması, siber güvenlik uygulamalarında etkin yöntemlerin geliştirilmesini sağlar.

Veri Tiplerinin Önemi

Günümüzde pek çok informasiye dayalı sistem, verileri log dosyaları aracılığıyla kaydeder. Bu loglar, olası bir güvenlik ihlali sırasında kritik analiz araçları olarak işlev görür. Ancak, SIEM (Security Information and Event Management) sistemleri, logların içindeki her veriyi varsayılan olarak düz metin (string) olarak kabul etmektedir. Bu durum, doğru veri işlemenin önünü kapatabilir. Örneğin, bir port numarasını ifade eden verinin düz metin olarak kabul edilmesi, matematiksel işlemler uygulamak istediğinizde sorun yaratacaktır. Nitelikli ve gerçek zamanlı analiz için sayıların integer (tam sayı) formatında tanımlanması önemlidir. Bu, özellikle büyüklük filtreleri gibi matematiksel işlemler gerçekleştirilirken hayati bir gerekliliktir.

Filtreleme ve Performans

Veri tiplerinin doğru ayarlanması, filteleme işlemlerini büyük ölçüde kolaylaştırır. Örneğin, 50 Megabaytlık bir veri transferini bulmak istediğimizde, SIEM arama çubuğunda şu filtre kullanılabilir:

bytes_out ... 50000000

Burada, bytes_out değerinin tam sayı olarak tanımlanması, belirli bir eşikteki (threshold) verileri düzgün bir şekilde filtrelememize olanak tanır. Eğer bytes_out string olarak tanımlanmışsa, bu tür bir filtreleme çalışmayacaktır. Dolayısıyla, verinin niteliğini anlayarak uygun veri tipini seçmek, analizin doğruluğu için kritik bir unsurdur.

IP Adresinin Rolü

Siber güvenlikte ağ analizi yaparken, IP adreslerinin doğru biçimde işlenmesi büyük önem taşır. Loglardaki IP adresleri sıradan metin olarak değerlendirilmemelidir. SIEM'e IP adreslerinin bir 'IP Address' tipi olduğunu belirtirsek, arama çubuğunda alt ağları ifade eden bir formatla sorgular yapabiliriz:

src_ip=192.168.1.0/24

Bu sayede büyük bir alt ağdaki tüm verileri tek bir notasyon ile aratabilmek mümkündür, bu da siber güvenlikte olayları hızlı bir şekilde tespit etme imkanı sağlar.

Tip Dönüştürme

Bazı durumlarda, sistemin sunduğu verinin formatı üzerinde değişiklik yapma olanağı olmayabilir. Bu tür durumlar için tip dönüştürme (type casting) komutları devreye girer. Örneğin, bir değerin string olarak geldiği durumlarda, Splunk gibi analiz araçlarında şu komut kullanılabilir:

| eval port = tonumber(dest_port)

Bu komut, metin halindeki bir değeri sayıya dönüştürerek, matematiksel işlemlerin yapılmasına olanak tanır. Tip dönüştürme işlemleri, analistlerin sistem içerisinde geçerli ve anlamlı sorgular yapabilmesine imkan sağlar.

Boolean Filtreleri

Güvenlik analizlerinde önemli bir yer tutan bir diğer veri tipi ise boolean'dır. Bu tür filtreler, yalnızca 'doğru' ya da 'yanlış' değerleri taşıdığı için, özellikle güvenlik olaylarının analizi sırasında hayati bilgiler sunabilir. Örneğin:

  • is_admin = true: Yetkili hesapların gerçekleştirdiği işlemleri listeler.
  • action_blocked = false: Güvenlik duvarının engellemediği trafiği bulur.

Sonuç olarak, siber güvenlikte veri tiplerinin doğru bir şekilde belirlenmesi, analiz ve filtreleme tekniklerinin etkinliği için kritik bir süreçtir. String, integer, IP ve boolean gibi veri türlerinin farkında olmak, güvenlik analistlerine daha doğru, hızlı ve etkili kararlar almaları için gerekli araçları sağlar. Kullanıcılar bu temel bilgi ile donanarak, siber güvenlik stratejilerinde daha sağlam bir zemine sahip olacaklardır.

Teknik Analiz ve Uygulama

Varsayılan Tip: String

Siber güvenlikte veri analizi sırasında, logların çoğu düz metin biçiminde yani String olarak karşımıza çıkar. Özellikle kullanıcı adları, dosya yolları veya tanımlayıcılar gibi bilgiler, bu veri tipinin iyi örneklerini oluşturur. Ancak, her veri parçasının doğru filtreleme için uygun bir türde doğru şekilde işlenmesi gerekmektedir.

Neden Integer?

Sayısal verilerin doğru bir şekilde işlenmesi ve raporlanması için, bu verilerin Integer (tam sayı) olarak tanımlanması zorunludur. Örneğin, bir port numarasını veya veri boyutunu metin (String) olarak sakladığınızda, matematiksel filtrelerin çalışmadığını göreceksiniz. Örneğin, bytes_out ... 50000000 gibi bir filtrelemeyi, eğer veriniz string olarak tanımlanmışsa uygulayamazsınız.

bytes_out > 50000000

Burada önemli olan, verilerin doğru türde tanımlanmasıdır. Aksi hâlde, verilerin analizi önemli ölçüde zorlaşır.

Arama Filtresi: Büyüktür

Veri filtrelemesi yaparken, verinin neye işaret ettiğini bilmek ve uygun veri tipini seçmek büyük önem taşır. Doğru ayarlanan veri tipleri ile filtreleme işlemleri kolaylaşır. Örneğin, aşağıda gösterilen sorgu ile 50 MB'tan büyük veri transferlerini tespit edebilirsiniz:

index=logs bytes_out > 50000000

Bu tür filtrelemeler, log analizi yaparken kritik rol oynar.

Veri Tipi Senaryoları

Loglarda karşılaşılan birçok senaryo için veri tipinin önemi büyüktür:

  • Kullanıcı TC Kimlik Numarası: Matematiksel bir büyüklük ifade etmediği için String olarak tutulmalıdır.
  • İndirilen Dosya Boyutu: Eşik değeri alarmları yazılabilmesi için Integer formatında tanımlanmalıdır.
  • İşlem Süresi: Performans analizlerinizde ortalama hesaplamalar yaparken Float veya Integer veri türleri kullanmalısınız.

Bu tür tanımlamalar, doğru veriye ulaşmanızı sağlar.

Ağın Dili: IP Type ve Arama

Ağ loglarındaki IP adresleri, sıradan metinlerden farklıdır. Eğer bir IP adresini SIEM sisteminize IP Address tipinde tanımlarsanız, bu IP adreslerinin aramalarını da daha anlamlı bir şekilde yapabilirsiniz. Örneğin, belirli bir subnet araması gerçekleştirmek için aşağıdaki komutu kullanabilirsiniz:

src_ip=192.168.1.0/24

Bu yapı sayesinde, tüm alt ağı tek bir notasyonda tarayarak, spesifik güvenlik analizleri gerçekleştirebilirsiniz.

Arama Komutları: Type Casting

Bazen sistemde veri tipleri Strings olarak gelir ve bu durumda sayıları Integer olarak kullanmanız mümkün olmayabilir. Bu gibi durumlarda, 'Type Casting' yani tip dönüştürme işlemleri devreye girer. Aşağıda, Splunk üzerinde metin halinde gelen bir değeri tam sayıya dönüştüren bir örnek verilmiştir:

| eval port = tonumber(dest_port)

Bu komut sayesinde, 'dest_port' alandaki metin değeri sayıya dönüştürülür ve bu da arama filtrelemenizi kolaylaştırır.

Modül Finali: Boolean Filtreleri

Siber güvenlik raporlarında Boolean veri türleri genellikle "doğru" veya "yanlış" olarak işaretlenerek kullanılır. Örneğin, veritabanında sadece yetkili kullanıcıların yaptığı işlemleri bulmak için is_admin = true filtresi kullanılabilir. Benzer şekilde, güvenlik duvarının engellemediği trafiği tespit etmek için action_blocked = false kullanabilirsiniz.

is_admin = true

Bu tür Boolean filtreleri, güvenlik analizlerinin etkinliğini artırmaktadır. Ayrıca, ağda şifresiz iletilen tehlikeli verileri yakalamak için is_encrypted = false gibi filtrelemeler de sıklıkla kullanılır.

Sonuç olarak, veri tiplerinin doğru belirlenmesi ve uygulanması, siber güvenlikteki filtreleme ve analiz süreçlerinde kritik bir rol oynamaktadır. Her bir veri türü, arama ve analiz süreçlerinizi optimize ederek daha etkili sonuçlar elde etmenize yardımcı olur.

Risk, Yorumlama ve Savunma

Siber güvenlikte veri tiplerinin doğru bir biçimde belirlenmesi, risklerin yönetilmesi ve savunma mekanizmalarının etkin bir şekilde uygulanması açısından kritik bir öneme sahiptir. Log verilerini analiz ederken, elde edilen bulguların güvenlik anlamını yorumlamak için verinin yapısını ve içeriğini doğru bir biçimde tanımlamak gereklidir. Bu bağlamda, string, integer, IP ve boolean gibi veri tipleri siber güvenlikte filtreleme ve analiz süreçlerini doğrudan etkilemektedir.

Yanlış Yapılandırma ve Zafiyetler

Veri tiplerinin yanlış yapılandırılması, bir dizi güvenlik riski doğurabilir. Örneğin, bir port numarasının string olarak kabul edildiği durumlarda, matematiksel filtreler çalışmaz ve bu durum güvenlik analizlerinde ciddi hatalara yol açabilir. Aşağıda bir örnek verilmiştir:

bytes_out > 50000000

Eğer bytes_out alanı string olarak tanımlanmışsa, yukarıdaki filtre doğru sonuç veremeyecektir. Bu nedenle, bu tür alanların tam sayı (integer) olarak tanımlanması gerekmektedir. Buna bağlı olarak, potansiyel bir veri sızıntısı veya aşırı veri transferi tespit edilemeyebilir.

Bir diğer örnek ise kullanıcı hesapları üzerinden gelen loglarda ki TC kimlik numarasıdır. Ancak bu bilgi, matematiksel bir büyüklük ifade etmediği için string olarak kalmalıdır. Yanlış bir yapılandırma durumunda, bu tür verilerin analiz edilmesi ve güvenlik açıklarının tespit edilmesi zorlaşır. Kullanıcı hesaplarının yönetildiği ortamlarda, doğru yazımın sağlanması, kullanıcıların yetki düzeylerinin belirlenmesi için şarttır.

Sızan Veri, Topoloji ve Servis Tespiti

Ağ loglarındaki IP adresleri de önemli bir veri türüdür. Eğer bu alanlar düzgün bir şekilde IP türü olarak tanımlanmazsa, ağa yapılan saldırılar ve potansiyel sızıntıların tespiti son derece güçleşir. IP adreslerinin doğru bir biçimde filtrelenmesi, belirli bir alt ağda (subnet) gerçekleşen trafik analizlerini kolaylaştırır. Örneğin, aşağıdaki sorgu ile belirli bir IP alt ağındaki trafiği inceleyebiliriz:

src_ip=192.168.1.0/24

Bu tür sorgular, sızan verilerin ve ağ topologisinin analizinde kritik bir rol oynamaktadır. Yapılandırmalar, güvenlik açıklarının tespitini kolaylaştırırken, aynı zamanda ağın genel güvenlik durumunu da iyileştirir.

Profesyonel Önlemler ve Hardening Önerileri

Veri türleri ile ilgili yanlış yapılandırmaların önüne geçilmesi ve sistemlerin güvenli bir şekilde çalışabilmesi için çeşitli profesyonel önlemler alınmalıdır. Bunlar arasında:

  1. Veri Tiplerini Doğru Tanımlama: Logların içindeki her verinin uygun türde tanımlandığından emin olunmalıdır. Özellikle port numaraları ve boyut gibi verilerin tam sayı olarak tanımlanması hayati önem taşır.

  2. Filtreleme ve Analiz Araçlarının Kullanımı: SIEM gibi sistemlerde doğru filtreleme komutlarını kullanmak, potansiyel saldırıları ve anormallikleri erken aşamada tespit edebilmek için kritik bir adımdır. Örneğin, belirli şifreleme durumlarının kontrol edilmesi için boolean tipindeki verileri analiz etmek etkilidir.

  3. Güvenlik Duvarı ve İzleme: Ağda yalnızca şifresiz veri iletilen durumları izlemek, kötü niyetli girişimleri belirlemek için önemlidir. Örneğin, is_encrypted = false kontrolü ile şifrelenmemiş kritik verilerin tespiti sağlanabilir.

Sonuç Özeti

Veri tiplerinin doğru bir biçimde belirlenmesi, siber güvenlikte risklerin yönetiminde ve güvenlik savunma mekanizmalarının etkinliğinde temel bir rol oynamaktadır. Yanlış yapılandırmalar, sistemlerin güvenliğini tehdit ederken, iyi bir yapılandırma ile sızan veriler, ağ topolojisi ve servis tespitleri güvenli bir şekilde analiz edilebilir. Siber güvenlik profesyonellerinin, bu tür detaylara dikkat etmeleri, etkili bir güvenlik stratejisi geliştirmeleri açısından oldukça önemlidir. Tüm bu süreçler, siber güvenlik savunmalarının güçlenmesine katkı sağlayacaktır.