CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Sorgu

Veriyi Anlamlı İstatistiklere Dönüştürme: `summarize` ve `count` Kullanımı

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Sorgu

Bu blog yazısında `summarize` ve `count` operatörlerinin siber güvenlikte nasıl etkili bir şekilde kullanılabileceğini keşfedin.

Veriyi Anlamlı İstatistiklere Dönüştürme: summarize ve count Kullanımı

summarize ve count operatörleri, siber güvenlik analistlerine veriyi anlamlı istatistiklere dönüştürme konusunda büyük kolaylık sağlar. Bu yazıda temel kavramları inceleyeceğiz.

Giriş ve Konumlandırma

Siber güvenlik, gün geçtikçe artan tehditler ile karşı karşıya kalmaktadır. Bu nedenle, güvenlik uzmanları, saldırıları önceden tespit etmek ve etkin bir şekilde yanıt vermek için etkili veri analiz yöntemlerini kullanmak durumundadır. Bu bağlamda, verilerin anlamlı istatistiklere dönüştürülmesi büyük önem taşımaktadır. Özellikle, KQL (Kusto Query Language) kullanılarak veri özetleme ve istatistik çıkarma işlemleri, güvenlik analistlerinin rolünü daha da kritik hale getirmektedir.

Veriler, siber güvenlik alanında anlık olayların ve saldırıların kaynağını anlamak için hayatidir. Ancak, tonlarca verinin işlenmesi ve analiz edilmesi, manuel olarak oldukça zaman alıcıdır. İşte bu noktada summarize ve count gibi KQL fonksiyonları devreye girmektedir. Bu operatörler sayesinde, belirli bir kritere göre veriler gruplandırılabilir ve bu gruplar üzerinde sayma, toplama, ortalama alma gibi hesaplamalar yapılabilir.

Verinin Özeti

Veri özetleme, büyük veri yığınları üzerinde anlamlı analizler yapabilmek için gereklidir. Siber güvenlik bağlamında, analistlerin güvenlik olaylarını tespit edebilmesi için verileri hızlı bir şekilde anlamlandırması elzemdir. Örneğin, bir sistemdeki başarısız girişimlerin sayısını hızlı bir şekilde görmek, olası bir saldırıyı saniyeler içinde teşhis etmeye yardımcı olabilir. 

summarize count() by User

Yukarıdaki gibi bir KQL sorgusu, her bir kullanıcı için toplam başarısız girişim sayılarını gruplandırarak gözlemlenebilir. Sonuçlar ile ilgili istatistikler, analistlerin daha derinlemesine incelemeler yapabilmesine olanak tanır.

Sayılarla Tehdit Tespiti

Kullanıcıların sistem üzerinde gerçekleştirdiği eylemler, potansiyel tehditleri ortaya koyabilir. Örneğin, belirli bir kullanıcıdan gelen çok sayıda başarısız oturum açma denemesi, olası bir Brute Force saldırısının belirtisi olabilir. Böylece, count() fonksiyonu ile kolayca veri toplayarak bu durumu tespit edebiliriz. Diğer yandan, tekil sayım yapmak için dcount() fonksiyonu kullanılabilir. Benzersiz IP adreslerinin sayısını bulmak, örneğin bir botnet aktivitesini hızlı bir şekilde ortaya çıkarabilir. 

summarize dcount(IP) by TimeGenerated

Bu sorgu, belirli bir zaman diliminde farklı IP adreslerinden gelen bağlantıların sayısını gösterir. Eğer aynı IP adresinden 1000 bağlantı geliyor ise, bu durum anormal kabul edilebilirken, 1000 farklı benzersiz IP adresi, potansiyel bir botnet saldırısı işareti olabilir.

Hesaplama Motorları

Verilerin gruplandırılması ve analiz edilmesi için kullanılan hesaplama motorları, siber güvenlik önlemlerinin geliştirilmesinde oldukça etkilidir. KQL summarize operatörü sayesinde farklı istatistiklerin çeşitli biçimlerde hesaplanması mümkündür. Kullanıcılar, verileri analiz ederken hangi alanlar üzerinden gruplama yapılacağına karar vermekte özgürdürler.

summarize count() by User, SourceIP

Yukarıdaki örnek, her bir kullanıcı ve kaynak IP adresi için toplam oturum açma denemelerini hesaplar. Bu tür veriler, analistlerin hangi kullanıcıların hangi kaynaklardan giriş yapmaya çalıştığını görsel olarak anlamalarını sağlar.

Kriter Belirleme

Siber güvenlik tehditlerini belirlemek için belirli kriterlerin tanımlanması önemlidir. Örneğin, 100'den fazla başarısız oturum açma denemesi, potansiyel bir tehdidin işareti olarak tespit edilebilir. Bu gibi durumları filtrelemek için where ifadesi kullanılabilir.

| summarize count() by User 
| where count_ > 100

Bu sorgu, yalnızca 100'den fazla oturum açma denemesi gerçekleştiren kullanıcıları getirecektir. Böylece analist, daha fazla detay almak istediğinde odaklanması gereken alanı daraltmış olur.

Sonuç

Verileri anlamlı istatistiklere dönüştürmek, siber güvenlik alanında kritik bir beceridir. summarize ve count gibi fonksiyonların etkin kullanımı, analistlerin güvenlik tehditlerini hızlı bir şekilde tespit etmelerine ve bu tehditlere yanıt vermelerine olanak tanır. Bu yazının devamında, bu operatörlerin daha detaylı kullanım örnekleri ve istatistikleri keşfedeceğiz. Verinin özetlenmesi ve analiz edilmesi konusunda sağlam bir temel oluşturarak, siber güvenlikte daha etkili bir strateji geliştirmek için hazır olmalıyız.

Teknik Analiz ve Uygulama

Verinin Özeti

Siber güvenlik alanında veri analizi, güvenlik açıklarının tespit edilmesi ve saldırıların önlenmesi açısından kritik bir öneme sahiptir. Bu süreçte kullanılan temel komutlardan biri KQL'de yer alan summarize operatörüdür. summarize, satır bazında verileri belirli bir kritere göre gruplandırıp, bu gruplar üzerinde sayma, toplama ve hesaplama gibi işlemler yapmamıza olanak tanır. Örneğin, summarize count() komutu kullanılabilir, bu sayede belirli bir kullanıcı tarafından gerçekleştirilen giriş denemeleri gibi verilere odaklanmak mümkün hale gelir.

Sayılarla Tehdit Tespiti

Siber güvenlik analistleri, verileri sayılarla temsil etmek üzere belirli istatistiksel yöntemler kullanarak, anormal davranışları hızlıca tespit edebilirler. Bir kullanıcı için yapılan giriş denemelerini saymak, özellikle bir Brute Force saldırısını tespit etme konusunda oldukça faydalıdır. Kullanıcının karşısında görülen bir "500" sayısı, saldırıyı belirlemek için oldukça değerlidir. Bunun uygulanışı aşağıdaki şekilde olabilir:

YourLogs
| summarize count() by User

Bu sorgu, her bir kullanıcının giriş denemelerini saymak için summarize operatörünü kullanır. Çıkan sonuç, kullanıcı adı bazında giriş denemelerini gösterir.

Hesaplama Motorları

count() fonksiyonu, gruptaki toplam satır sayısını hesaplamak için kullanılan en temel sayma fonksiyonudur. Bu sayede belirli gruplar içinde ne kadar veri bulunduğu hakkında hızlı bir fikir edinilir. Örneğin:

YourLogs
| summarize count() by User
| where count_ > 100

Bu komut, yalnızca 100'den fazla giriş denemesi olan kullanıcıları getirecektir. Böylece gerçek saldırganları hızlıca filtreleyebilirsiniz.

Kriter Belirleme

Siber güvenlikte istatistiklerin uygulanabilirliği, onları nasıl gruplayacağımıza ve hangi kriterleri belirlediğimize bağlıdır. Gruplandırmanın nasıl yapılacağını belirlemek için by anahtar kelimesi kullanılır. Örneğin, aşağıdaki sorguda, belirli bir alana göre gruplandırma yapılmaktadır:

YourLogs
| summarize count() by User

Bu durumda, sayım işlemi kullanıcılar bazında yapılmaktadır.

Limitleri Belirlemek

Bir tehdidi tespit etmek için belirli bir eşik değerinin (threshold) altında veya üstünde olması gerekir. Örneğin, aynı IP'den 1000 bağlantı gelmesi bekleniyorsa, 1000 farklı benzersiz IP'den bağlantı gelmesi bir "Botnet" belirtisi olabilir. Bu durumu saymak için dcount() fonksiyonunu kullanabiliriz:

YourLogs
| summarize dcount(IP) by User
| where dcount_IP > 1000

Burada dcount() fonksiyonu, kullanıcı bazında benzersiz IP adreslerinin sayısını sağlamaktadır.

Tekil Sayım

Tekil sayım, verinin çeşitliliğini anlamak için kritik bir metottur. dcount() fonksiyonu, bir alandaki benzersiz değerlerin sayısını hesaplar; örneğin, kaç farklı IP adresinin bağlandığını gösterir. Kümeleme yaparak, bu bilgiyi kullanıcılar açısından değerlendiririz.

YourLogs
| summarize dcount(IP) by User

Bu çözüm, belirli kullanıcıların bağlantı noktalarını inceleyerek, şüpheli aktiviteleri tespit etme imkanı sunar.

Sonuç

summary ve count operatörleri, veri özetleme ve istatistik çıkarma işlemlerinin temel bileşenleridir. Siber güvenlikte etkin veri analizi, bu komutların doğru bir şekilde uygulanmasına dayanır. Üzerinde çalışıldığında, bu araçlar, hem güvenlik analistlerinin işini kolaylaştırmakta hem de tehdit tespitinde büyük katkı sağlamaktadır. Uygulamada her türlü veri yığınını, istatistiksel çıkarımlarla daha anlamlı hale getirmek, analistlerin hızlı ve etkili karar almalarına yardımcı olur.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında, veri analizi ve yorumlama kritik öneme sahiptir. Özellikle olay gözlemi ve tehdit tespiti aşamasında, toplanan verilerin anlamlı istatistiklere dönüştürülmesi, güvenlik açığını belirlemek ve savunma stratejileri oluşturmak için hayati bir rol oynar. summarize ve count yöntemleri, bu sürecin temel taşlarını oluşturarak, güvenlik analistlerinin daha etkili ve verimli bir şekilde kararlar almasına olanak tanır.

Elde Edilen Bulguların Güvenlik Anlamı

Toplanan veri, yalnızca sayısal bir yük olmaktan öte, belli başlı sonuçları anlamak için kullanılan bir araçtır. Örneğin, summarize count() by User ifadesi ile kullanıcı bazında yapılan giriş denemeleri özetlenebilir. Bu tür bir sorgulama, hangi kullanıcıların olağan dışı giriş denemeleri yaptığını hızla teşhis etmemizi sağlarken, aynı zamanda olası bir Brute Force saldırısını da ortaya çıkarabilir.

| summarize count() by User

Yukarıdaki sorgu sonucunda, her bir kullanıcının kaç kez giriş denemesinde bulunduğu sayılır. Eğer belirli bir kullanıcı için bu sayı 100'ün üzerindeyse, bu kullanıcı hakkında derinlemesine bir inceleme yapılması gerektiği sonucuna ulaşabiliriz. Suyun derinliğini anladığımızda, güvenliğimiz için tehdit olabilecek unsurları da belirlemek kolaylaşır.

Yanlış Yapılandırma veya Zafiyet Etkileri

Sızan bir veri veya yanlış yapılandırma sonucunda karşılaşabileceğimiz zararı belirlemek de oldukça önemli. Örneğin, 1000 farklı benzersiz IP adresinden gelen bağlantılar, bir Botnet saldırısına dair ciddi bir belirti olabilir. Bu durumu tespit edebilmek için dcount() fonksiyonu kullanılabilir. 

| summarize dcount(IpAddress) by User

Bu sorgu, her bir kullanıcı için bağlantı yapan farklı IP adreslerini hesaplayarak, anormal davranışları ortaya çıkarmak için kritik bir istatistik sunar. Eğer bir kullanıcı çok sayıda benzersiz IP’den bağlanıyorsa, bu durum kullanıcı hesabının tehdit altında olabileceğini veya bir saldırı girişiminin var olduğu anlamına gelebilir.

Sızan Veri ve Servis Tespiti

Kullanıcı ve IP bazındaki istatistikleri inceledikten sonra servis tespitine geçmek gerekir. Servis tespiti, hangi uygulamaların ya da protokollerin potansiyel tehdit oluşturduğunu saptamak için gerçekleştirilir. Örneğin, belirli hizmetlerin istemsiz şekilde açık kalması, izinsiz erişimleri kolaylaştıracaktır.

Veri sızıntılarını belirlemek adına, sistemdeki belirli logları tarayabilir ve örneğin belirli bir servisten gelen başarısız giriş denemelerini analiz edebiliriz:

| where Action == "Failed" 
| summarize count() by Service

Bu sorgu, hangi servislerin en çok başarısız giriş denemelerine maruz kaldığını ortaya koyarak, güvenlik açığı riski taşıyan sistem bileşenlerini belirlememize yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Bu tür verileri analiz ederek elde edilen bulgulara dayalı olarak alınabilecek bazı önlemler şunlardır:

  1. Güçlü Parola Politikaları: Kullanıcıların parolalarının karmaşık ve uzun olmasını sağlamak, Brute Force saldırılarına karşı bir önlem olabilir.

  2. İki Aşamalı Kimlik Doğrulama: Kullanıcıların giriş sürecine ek bir doğrulama katmanı eklemek, yetkisiz erişimlerin önüne geçebilir.

  3. Ağ Segmentasyonu: Farklı hizmetlerin ve uygulamaların birbirinden izole edilmesi sağlayarak, potansiyel bir saldırının etkisini azaltacaktır.

  4. Log Yönetimi ve İzleme: Logların düzenli olarak izlenmesi ve analiz edilmesi, anormal faaliyetleri erken tespit etmek için kritik öneme sahiptir.

Sonuç Özeti

Veri analizi, siber güvenliğin önemli bir kısmını oluşturur. summarize ve count gibi fonksiyonlar, verinin anlamlı istatistiklere dönüştürülmesini sağlayarak, risk değerlendirmesi ve etkili savunma stratejileri oluşturulmasında yardımcı olur. Elde edilen bulguların doğru yorumlanması, yanlış yapılandırmalar veya güvenlik açıklarının belirlenmesi için temel bir süreçtir. Ayrıca, profesyonel önlemlerle güvenlik seviyesinin artırılması da olası tehditlere karşı koruma sağlar.