CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Normalizasyon

Zaman Damgası (Timestamp) Standartları ile Siber Güvenliğinizi Güçlendirin

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Normalizasyon

Zaman damgaları, log analizinde kritik bir rol oynar. Bu yazıda, zaman damgası standartlarına ve siber güvenliğe etkilerine dair önemli bilgiler sunuyoruz.

Zaman Damgası (Timestamp) Standartları ile Siber Güvenliğinizi Güçlendirin

Siber güvenlikte zaman damgalarının önemi büyük. Bu yazımızda, ISO 8601 ve Unix Epoch gibi standartları öğrenerek log analizinizi geliştirmenin yollarını keşfedin.

Giriş ve Konumlandırma

Zaman damgaları, siber güvenlik alanında kritik bir rol oynamaktadır. Olayların kaydedilmesi, izlenmesi ve analiz edilmesi açısından doğru zaman damgasına sahip olmak, bir sistemin güvenliğini sağlamanın temel unsurlarındandır. Sistem yöneticileri ve siber güvenlik uzmanları için, zaman damgalarının sadece basit bir tarih ve saat göstergesi olmanın ötesinde, olayların ne zaman gerçekleştiğini anlamak için kritik öneme sahip olduğu anlaşılmalıdır.

Zaman Damgalarının Önemi

Dijital dünyada, pek çok işlem zaman damgalarıyla kaydedilir. Bu, her türlü olayın -başka bir deyişle saldırıların, oturum açma taleplerinin, veri transferlerinin- oluşturduğu bir zaman çizelgesine dair bilgi sağlar. Bu tür bir bilgi, siber güvenlik olaylarının analiz edilmesi ve olayların neden-sonuç ilişkisi ile değerlendirilmesinde temel bir faktördür. Yanlış bir zaman damgası, olayları birbirinden ayırmayı zorlaştırarak tehditlerin gözden kaçmasına neden olabilir. Siber güvenlik uzmanları, zaman damgalarının disiplini içinde yürütülen tehdit avı ve irtibat kurma (correlation) gibi etkinliklerin doğru bir şekilde koordine edilmesini sağlamak için standartlaştırılmış zaman damgalarına ihtiyaç duyar.

Zaman Damgaları ve Siber Güvenlik

Zaman damgaları, bir siber saldırının zamanlamasını anlamlandırmanıza yardımcı olurken, hem saldırıların hem de pertap sistemlerinin (incident response) analiz edilmesi için gerekli bağlamı sunar. Örneğin, log verilerinin ani bir tespite neden olması durumunda, zaman damgaları aracılığıyla bu olayların kronolojik sıralaması tespit edilerek ilgili ilişkiler belirlenebilir. Bu deşifreleme, özellikle saldırıların ardındaki kalıpları ve zamanlamaları değerlendirmek için kritiktir.

Gelişmiş siber saldırılara karşı koyabilmek için step çözümleme ve raportlama (forensics) işlemlerinin etkin bir şekilde yürütülmesi gerekmektedir. Örneğin, bir brute-force saldırısı sırasında, zaman damgaları kullanılarak aynı anda yapılan çok sayıda giriş denemesi kaydedilebilir. Aşağıda, bu tür bir örneğe dair basit bir zaman damgasının kaydedileceği yapı verilmiştir:

2023-10-25T12:00:00Z: Başarısız giriş denemesi | IP: 192.168.1.1
2023-10-25T12:00:01Z: Başarısız giriş denemesi | IP: 192.168.1.1

Bu örnek, zaman damgalarını kullanarak belirli bir IP adresine karşı yapılan giriş denemelerinin ne zaman gerçekleştiğini gösterir. Bu tür bir verinin analizi, anormal aktivitelerin tespit edilmesinde büyük katkı sağlar.

Zaman Damgalarını Standardize Etme

Siber güvenlik uzmanları, log verilerini doğru bir şekilde yorumlayabilmek için zaman damgalarını bir standarda göre normalize etmek zorundadır. ISO 8601 gibi standart biçimler, olay zamanlarını tanımlamak için evrensel bir referans sağlar. Bu tarz bir formatta loglama yapıldığında, farklı zaman dilimlerinin oluşturduğu karmaşa ortadan kaldırılır. Örneğin, UTC+3 (Türkiye) ile UTC+0 (Londra) zaman diliminde kaydedilmiş loglar, aynı olayın farklı saatlerde kaydedilmesine sebep olabilir. Bu tür zaman damgası farklılıkları, logların birleştirilmesi ve analizinde ciddi hatalara yol açabilir.

Sonuç

Zaman damgalarının güvenilir bir şekilde yönetimi, siber güvenlik stratejilerinde temel bir bileşeni temsil eder. Bir çok saldırı türü için zamanlama, saldırganların planlarını ve eylemlerini etkileyebilirken, analistlerin olayları doğru bir şekilde yeniden kurgulamaları için kritik öneme sahiptir. Bu sebeple, zaman damgalarının doğru bir şekilde standardize edilmesi ve analiz edilmesi, siber güvenliğinizi güçlendirmek için atacağınız önemli bir adımdır.

Gelecek bölümlerde, zaman damgalarının standartlarının derinliklerine inerek çeşitli formatları, karşılaşılabilecek hataları ve bunların önüne geçme yöntemlerini inceleyeceğiz. Bu bilgiler, hem sistem yöneticilerine hem de siber güvenlik uzmanlarına daha etkili bir güvenlik yönetimi sağlamak adına önemli bir temel oluşturacaktır.

Teknik Analiz ve Uygulama

Evrensel Format: ISO 8601

Zaman damgalarının doğru biçimde iletilmesi, siber güvenlik uygulamaları açısından hayati öneme sahiptir. Dünya genelinde en yaygın olarak kullanılan tarih ve saat formatı, ISO 8601'dir. Bu standart, tarih ve saat biçimlerini tek bir format altında toplar ve hem insan tarafından okunabilir hem de makineler için işlenebilir bir yapı sunar. ISO 8601 formatında bir tarih ve saat örneği, 2023-10-25T14:30:00Z şeklindedir. Burada 'T', tarih ile saat arasındaki ayırıcıyı, 'Z' ise Coordinated Universal Time (UTC) anlamına gelir. Bu, zaman damgasının herhangi bir zaman dilimine bağlı kalmadan evrensel olarak kullanılmasını sağlar.

ISO 8601 formatında zaman damgalarının sistematik bir şekilde işlenmesi, örneğin bir SIEM (Security Information and Event Management) sisteminde logların analiz edilmesi söz konusu olduğunda kritik önem taşımaktadır. SIEM sistemleri, genellikle logları bu formatta normalleştirerek incelemenin ve korrelasyon yapmanın kolaylaştırılmasını sağlar.

{
  "timestamp": "2023-10-25T14:30:00Z"
}

Zaman Dilimi Tuzağı

Bir olayın log kayıtları, zaman dilimi farklılıklarından dolayı hatalı yorumlanabilir. Örneğin, Türkiye saati ile UTC zamanı arasında 3 saat fark bulunmaktadır (UTC+3). Eğer bir log kaydı UTC+0 zaman diliminde, başka bir log kaydı ise UTC+3 zaman diliminde kaydedilmişse, bu iki logun oluş sırası yanlış bir şekilde analiz edilebilir. Bu nedenle, tüm logların ortak bir zaman dilimine normalize edilmesi şarttır.

Logların analiz edileceği sistem, mutlaka zaman dilimi farklarını göz önünde bulundurmalı ve tüm verileri belirli bir zaman diliminde sunmalıdır. Normalizasyon işlemleri, SIEM sistemlerinde genellikle otomatik yapılmaktadır.

import datetime
import pytz

# UTC zamanını al
utc_time = datetime.datetime.now(pytz.utc).isoformat()
print("UTC Zamanı:", utc_time)

# Türkiye zamanını al
tr_time = datetime.datetime.now(pytz.timezone('Europe/Istanbul')).isoformat()
print("Türkiye Zamanı:", tr_time)

Makinelerin Zamanı: Unix Epoch

Unix zaman damgası, 1 Ocak 1970 00:00:00 UTC'den itibaren geçen saniye sayısını ifade eder. Bu, makineler için okunması ve işlenmesi son derece kolay bir formattır. Örnek bir Unix zaman damgası 1698244200 şeklinde olabilir. İnsanlar için bu sayının anlamlandırılması gereklidir; bu nedenle çeşitli araçlar ve kütüphaneler mevcuttur.

Unix zaman damgasının avantajı, olaya dayalı loglama ve zaman analizlerini oldukça hızlandırmasıdır. Ancak, zaman damgasının doğrudan anlaşılabilmesi için doğru araçların kullanılması gerekir.

import time

# Mevcut Unix zaman damgasını al
current_timestamp = int(time.time())
print("Mevcut Unix Zaman Damgası:", current_timestamp)

Zaman Kavramı Eşleşmesi

Logların farklı formatlarda verilmesi, özellikle bir analistin olayları bir araya getirma (correlation) yeteneğini doğrudan etkiler. Zaman açısından tutarsızlıklar, olayların analiz edilmesi sırasında karmaşaya neden olabilir ve bu da güvenlik operasyonlarının etkinliğini azaltır. Dolayısıyla, zaman damgalarının standart bir forma dönüştürülmesi ve bu standartta tutarlı bir şekilde kullanılması hayati önem taşır.

Her zaman kullanılan farklı zaman formatlarının doğru biçimde eşleşmesi, analistin veri setleri arasında karşılaştırmalar yapmasını kolaylaştırır.

Saniyenin Ötesi: Hassasiyet

Siber güvenlik alanında olayların analizi sırasında zaman hassasiyeti kritik bir unsurdur. Özellikle brute force saldırıları gibi yüksek hızda gerçekleşen olaylarda, saniye bazında değil, milisaniye veya mikrosaniye düzeyinde zaman hassasiyeti gereklidir. Modern loglama sistemleri, bu tür korkutucu olayları doğru değerlendirebilmek için gerekli hassasiyeti sunmalıdır.

import datetime

# Milisaniye düzeyinde zaman damgası
timestamp_with_milliseconds = datetime.datetime.now().isoformat(timespec='milliseconds')
print("Milisaniye Hassasiyeti ile Zaman Damgası:", timestamp_with_milliseconds)

Zaman Ayrıştırma Hataları

Zaman damgalarının doğru bir şekilde ayrıştırılmaması, SIEM sistemlerinde önemli sorunlara neden olabilir. Örneğin, bir log kaydı yanlış bir biçimde yorumlandığında veya zaman dilimi hatası varsa, bu loglar alarmların yanlış tetiklenmesine yol açabilir. Böyle bir durum, 10 yıl öncesine ait logların güncel olaylar gibi değerlendirilmesine sebep olabilir ve sonuçları oldukça yanıltıcı hale getirebilir.

Logların zaman bilgisinin SIEM sistemine doğru bir şekilde iletilmesi önemli bir işlem olup, genellikle "parsing" olarak adlandırılır. Doğru parsing, güvenlik olaylarının doğru bir şekilde analiz edilmesine olanak tanır.

# Örnek log kaydının ayrıştırılması
log_entry = "2023-10-25T14:30:00Z - Olay Detayı"
parsed_time = log_entry.split(" - ")[0]  # Zaman damgasını ayır
print("Ayrıştırılmış Zaman Damgası:", parsed_time)

Yukarıda açıklanan metodolojilerin uygulanması, siber güvenlikte log analiz süreçlerinin verimini artıracak, zaman damgalarının yönetimini standartlaştıracak ve olası hata risklerini minimize edecektir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, log verilerinin doğru bir şekilde yorumlanması, olası tehditleri etkili bir biçimde tespit etmek ve yanıt vermek için kritik önem taşır. Zaman damgaları (timestamps), sistemlerin güvenlik durumunu değerlendirmek için en önemli unsurlardan biridir. Ancak, zaman damgasının doğru bir şekilde kullanılması, yanlış yorumlamalara yol açabilecek bazı riskleri de barındırır.

Zaman Damgasının Anlamı ve Önemi

Zaman damgalarının en yaygın formatı ISO 8601'dir. Örneğin, 2023-10-25T14:30:00Z formatı, hem tarih hem de saat bilgisini anlamlı bir şekilde sunar. Ancak, sistemlerin farklı zaman dilimlerinde çalışıyor olması, olayların sıralamasını etkileyebilir. Bu nedenle, SIEM (Güvenlik Olayı ve Yönetim) sistemleri, logları normalize ederek, ortak bir zaman dilimine (genellikle UTC) dönüştürmelidir.

Yanlış bir yapılandırma durumu, yanlış zaman dilimlerinin kullanılmasından kaynaklanıyorsa, bu durum olayların yanlış yorumlanmasına yol açar. Örneğin:

Log 1: 2023-10-25T12:00:00Z (UTC)
Log 2: 2023-10-25T14:00:00+02:00 (Türkiye)

Burada, Türkiye saati UTC'den 2 saat ileride olduğu için, bu iki logda yer alan olayların zamanlamaları arasındaki fark, olayların sıralama açısından yanlış anlaşılmasına neden olabilir.

Hassasiyetin Rolü

Log verilerinin doğru zamanlamasını sağlamak için hassasiyet de kritik bir rol oynamaktadır. Sıklıkla milisaniye veya mikrosaniye düzeyinde kayıt tutmak, özellikle 'Brute Force' gibi saldırılarda saldırı adımlarını daha iyi sıralamayı sağlar. Bir sistemin loglama düzeyinin yeterince ince olmaması, bazı olayların gözden kaçmasına veya yanlış sıralanmasına yol açabilir.

Aşağıdaki örnekte, zaman damgalarındaki milisaniye düzeyinin önemi gösterilmektedir:

Log 1: 2023-10-25T14:30:00.123Z
Log 2: 2023-10-25T14:30:00.456Z

Yukarıdaki logların detayında, olayların oldukça yakın zaman dilimlerinde gerçekleştiği görülecektir. Eğer sadece saniye düzeyinde kayıt tutuyorsak, bu iki olay arasında önemli bir bilgi kaybı yaşanacaktır.

Zaman Ayrıştırma Hataları

Logların içindeki zaman bilgisinin SIEM sistemleri tarafından yanlış anlaşılması, 'parsing' adı verilen bir süreçte gerçekleşir. Eğer bir log zaman damgasının formatı yanlışsa veya hata içeriyorsa, sistem bu logu geçersiz sayabilir. Örneğin, bir logun zaman damgası 10 yıl geri tarihli olarak kaydedilmişse, bu durum yanlış alarm veya durumsuz alarmlar oluşturabilir.

Herhangi bir güvenlik sisteminin işleyişi için kritik olan bu ayrıştırma aşamasındaki hatalar, bir eksiklik veya zafiyet olarak gözlemlenebilir ve acil müdahale gerektiren durumlar doğurabilir.

Profesyonel Önlemler ve Hardening Önerileri

  1. Zaman Senkronizasyonu: Tüm cihazların NTP (Network Time Protocol) kullanarak aynı zaman diliminde senkronize edilmesi sağlanmalıdır. Bu, zaman kayması sorununu (drift) minimize eder.

  2. Log Normalizasyonu: Logların SIEM sistemlerine gelmeden önce ortak bir zaman dilimine dönüştürülmesi gereklidir. Bu işlem, olayların doğru sıralamasını sağlar.

  3. Hassasiyet Ayarları: Loglama düzeyinin milisaniye veya mikrosaniye seviyesine ayarlanması, kritik olayların kaydedilmesi adına önemlidir.

  4. Eğitim: Personelin zaman damgaları ve log analizi konularında bilinçlendirilmesi, olay sıralamasının doğru yapılabilmesi için esastır.

Sonuç

Zaman damgaları, siber güvenlik olaylarının analizinde kritik bir rol oynar. Doğru yapılandırılmadıklarında ve yanlış yorumlandıklarında ciddi riskler oluşturabilirler. Bu nedenle, zaman damgalarının doğru formatta kaydedilmesi, zaman dilimlerinin doğru ayarlanması ve hassasiyetin artırılması gibi modern yöntemlerle güvenlik analizi süreçleri güçlendirilmelidir. Sonuç olarak, zamana dayalı risk yönetimi sistemlerin güvenlik performansını artırır.