Splunk Fundamentals –1 Notları
Bu yazımda ücretsiz
olarak almış olduğum Splunk Fundamentals
–1 sertifikasında öğrendiklerimi yazdım. Bu yazı sayesinde bir SIEM ürünü
olan Splunk’ın özelliklerinden, log, SIEM, SOAR kavramlarını kısaca açıkladım.
LOG:
Sistemimizde meydana
gelen olayların hareketlerini kayıt altında tutuğu dosyalardır. log kaydı, tüm
hareketlerin birer birer kayıt altına almış olduğundan dolayı avantajları
bulunmaktadır bu dosyalarının avantajları, analiz yapılmasını sağlar,
incelenerek sistemde meydana gelen sorunun neden kaynaklandığını öğrenebilir ve
çözümler üretilebilir. Örnek vermek gerekirse; bir web sunucunun log tutması
sayesinde, web sitesini ziyaret edenlerin nereden geldiği, hangi isteklerde
bulunduğu gibi kayıtları tutabilmektedir.
Bir siber saldırının
tespiti ve aydınlatılması için log kayıtları siber güvenlik uzmanları
tarafından incelenerek ortaya çıkartılır. 5651
sayılı kanun gereğince her kurum, bu erişim kayıtlarını tutmakla yükümlüdür.
Aynı zamanda 2 yıl boyunca bu log kayıtlarını saklamakla yükümlüdür. Yasanın
çıkarılmasındaki temel amaç; internet ortamında işlene belirli suçlarla içerik,
yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri
düzenlemektir.
Bir kurum veya
kuruluş internet ortamı sağlıyorsa, bir siber suç işlendiği takdirde log kaydı
tutmayan bir işletme bu suçtan sorumludur. LOG kaydı tutuluyorsa internete kim,
hangi saatte, hangi tarihte, hangi IP adresi ile bağlandığını ortaya çıkararak
işletmenin sorumluluğunu ortadan kaldırır.
LOG toplamak, toplana
logları analizlerini gerçekleştirmek doğru cihazdan doğru bir formatta log
kaydı almak zor ve birbirine karıştırılması sebebi ile genel olarak da verimli
çalışmamaktadır. Bu sebeple kurumlar iş süreçlerine merkezi log yönetim
sistemleri ve SIEM ürünlerini entegre ederek, bu alanda özel çalışmalar
yapmaktadır. LOG kayıtları alınırken yaşanılan en büyük zorluk gereksiz, fazla
log alınmasıdır. Önemli olan fazla log toplamaktansa, olaylara göre
belirlenerek çözüm için fayda sağlayacak logların toplanması gerekir. İşte
burada log yönetimi bu işleri
yapmamıza yardım edecek ve olaylar arasında log bağlantısı kurarak log analizini
kolay yapabilir. Toplanan logların düzenlenmesi ve raporlanması oldukça zor bir
iştir.
LOG yönetimi
yazılımlarında bazı özellikleri olması gerekmektedir bunlar;
1-
Normalizasyon: Farklı türdeki
olayların ortak bir isim altında çıkmasını, raporlanmasını ve tutulmasını
sağlar.
2-
Sınıflandırma: Gelen logları
belirli bir sınıflara ayırarak yetki derecesine göre log kayıtlarını
inceleyecek kişi görüntüleyebilir.
3-
Korelasyon: Kurum SIEM ürünü kullanıyor olabilir loglar geliyor olabilir bu gelen
loglar için korelasyon (kural) yazılması gerekiyor. örnek olarak kullanıcı 3
kere parolasını yanlış girdiği zaman derhal yetkili kişiye uyarı gitsin
denilebilir. loglara korelasyon
yazılması gerekir böylece logların yönetimi ve logları anlamlı hale gelir.
LOG Türleri:
Transaction LOG (SQL Server): Temel olarak veri tabanındaki değişikliklerin kaydını
tutar. Örneğin veri tabanına bir kullanıcı eklenir ya da silinirse transaction
loga kaydedilir.
Event Log:
Windows sistemlerde log kayıtlarının tutulduğu yerdir. Sistem üzerinde
gerçekleştirilen işlemleri kayıt altında tutar. Yaşanan siber güvenlik olayında
hangi kullanıcı ne zaman sisteme giriş yapmış ve kullanıcı bilgileri gibi
bilgileri tutarak olayların aydınlatılmasını sağlar.
Syslog:
Sistem günlüğü protokolü anlamına gelir. Routerlar, firewallar, yazıcılar gibi
çeşitli cihazlar syslog standardını kullanır ve günlük logları toplam. Linux ve
Unix tabanlı sistemlerde kullanılır. Syslog loglama standardı facility ve
priority iki bölümden oluşur.
Facility, hangi tip logların tutulacağını
belirtir. (Örneğin ftp, mail,user, daemon)
Priority, logların önem derecesini belirtir.
(örneğin: emergency, alert, critical,error.)
loglama:
Log izleme kritik
cihazların ürettiği olay kayıtlarını belirlenen kurallara göre analiz edilmesi
olarak tanımlanmaktadır. logların kapsamlı bir şekilde toplanması,
birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu
gibi adımlardan oluşan log yönetimi ise saldırının adli incelenmesine de
yardımcı olarak saldırının hangi kanallarda ne zaman gerçekleştiği, hangi
protokollerin kuşanıldığı ve atağın nereden start aldığı gibi önemli bilgileri
elde etmeye yardımcı olmaktadır.
Log yönetiminin daha
verimli gerçekleştirilebilmesi için;
-
Büyük
hacimli log kayıtlarının hızlı arama ve erişim sağlanmalıdır.
-
Olayların
erken tespiti saldırının etkilerinin azaltılabilmesi için hızlı bir şekilde
karşılık verilmesini ve aksiyon alınmasını sağlar.
-
ihlalleri,
sızmaları ve yetkilendirilmiş erişimleri tespit, analiz için veri akışı
sağlamak, denetim izlerini ve takibini sağlamak gibi bir çok rutinin otomatize
bir şekilde gerçekleştirebilmesi için uyarı ve istisna kurallarının
belirlenmesi fayda sağlar.
SIEM (Security Information and
Event Management)
SIEM ürünleri çevre
birimlerden end pointlere kadar sistemlerin ürettiği logları merkezi olarak
toplayan, saklayan ve analiz eden sistemlerdir. SIEM sistemleri log üreten
değil, logları toplayan, anlamlandıran ve alarm üreten sistemlerdir. SIEM’in
çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir
veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması
önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya
uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin
tespitine ve harekete geçirilmesine yardımcı olur. Güvenlik ekiplerinin
riskleri en aza indirgemek ve sistemimizi korumakla birlikte tehdit yöntemini
basitleştirmek için dahili ve harici saldırıları hızla algılar ve bunlara tepki
vermesini sağlar.
SIEM, güvenlik
politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında
anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan
korelasyon tekniğidir.
SIEM’in çalışma
mekanizması:
-
Toplanan
logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre
sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme
adımlarını uygulamak.
-
Bağımsız
gibi görünen olayları birbiriyle bağlantılandırmak.
-
Yöneticilere
mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak.
-
Toplanan
veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik
uzmanlarına sunana izleme paneli sağlamak.
-
SIEM
ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek.
SOAR (Security Orchestration
Automation and Responce):
SOAR farklı
cihazlardan gönderilen log kayıtlarını toplayarak düzenlenmesini
standardizasyonunu ve otomasyonunu sağlamak için ortaya konmuş sistemler
bütünüdür. SIEM olayların analizini yapıp sonuçları söylerken SOAR olayları
anlayıp karşı hamle yapmaktadır.
Splunk
Splunk, sunucu, ağ
cihazlardan log toplayabilen, topladığı logları indexleyen, daha önceden
toplanmış loglar üzerinde arama, araştırma, analiz yapmayı sağlan Security
Information an Event Management (SIEM) çözümüdür. Splunk, birçok farklı
cihazdan gelen bilgileri gerçek zamanlı olarak analiz edip, indexleyen ve daha
sonra içerisinde arama yapamaya, uyarılar ve raporlar oluşturmaya yarayan
uygulamalardır. Belirli limitler arasında 60 günlük ücretsiz bir kullanımı
vardır. İndirilip kurulması için https://www.splunk.com/en_us/download.html
adresinden temin edilebilir.
Splunk; güvenlik
olayları işletim sistemleri ve uygulamaları da dahil olmak üzere çok çeşitli
kaynaklardan log verilerini toplayabilir, güvenlik politikalarını ihlal eden,
şüpheli olan etkinlikleri tanımlamak için veriler üzerinden analiz yapabilir.
SIEM yazılımların ortak özelliği olan BT ortamındaki faaliyetlerin kaydını
tutar ve kayıtları analiz etmeye yardımcı olur. Splunk güçlü indeksleme ve
arama teknolojisine sahiptir ayrıca sürükle bırak ve SPL (Search Processing
Language) ile en ileri analistler ve uzman olmayan kişiler de dahil olmak üzere
analiz etme imkanı sunar. Splunk ile gerçek zamanlı olarak arama yapılabilir ve
analiz edebiliriz. Splunk ile gerçek zamanlı birden fazla çizelgesini ve
görünümünü birleştirip masaüstünüzden veya mobil cihazlardan erişebileceğiniz
özel panolar oluşturabiliriz. Farklı kullanıcılar için gösterge panolarını
kişiselleştirerek yöneticiler, iş ve güvenlik analistleri, denetçiler, geliştiriciler
ve opreasyon ekiplerine özel ekranlar tanımlayabiliriz. Geliştiriciler ayrıca
özel panolara, esnek arayüz bileşenlerine ve javascript ile python gibi ortak
geliştirme dillerini kullanarak özel veri görselleştirmeleri içeren Splunk
uygulamaları oluşturulabilir.
Splunk, güvenlik
tehditleriyle ilgili tespit etme zamanı, içerme zamanı ve düzeltilmesi gereken
zaman olarak 3 kritik metrik üzerinden çalışır. Güvenlik uyarı analizlerini
merkezileştirir, ağlardan, uç noktalardan, bulut uygulamalarından ve diğer
kaynaklardan ilgili varlık ve kimlik verilerini çeker ve bunları tek bir
kontrol panelinde gösterir. Ek olarak analisti sağlayacak kişi tehdit
noktalarını, güvenlik politikalarını ekleyebilir.
Splunk Enterprise
Security, sağladığı çözümler,
Gerçek zamanlı
izleme: Kuruluşun güvelik durumunun net bir görsel resmini elde edin
görüntüleri kolayca özelleştirin ve ham olaya kadar detaylandırır.
Ölçeklendirme ve
anlaşma: Algılama yeteneklerini artırmak ve olay tepkisini optimize etmek için
verilerinize güvenlikle ilgili bir görüntü kazandırır.
Hızlı soruşturma:
Kötü amaçlı faaliyetleri belirlemek için statik, dinamik ve görsel
korelasyonlar kullanılır.
Bir bulut hizmeti
olarak, hibrid yazılımda bulut dağıtımında kullanılabilir.
Splunk Event Search;
Splunk search
algoritması ile dinamik search parametreleri yazabilir ve bunları kaydederek
operasyonel işlerimizi basite indirgeyebiliriz.
Splunk Dashbord:
Splunk Dashborad’lar
oluşturularak gerçekleşen olayların görsellerini tek bir ekranda toplayabilir
ve analiz edebiliriz.
Splunk Data İnputs:
Çok yöntemli data
girişi sayesinde çok farklı log kaynaklarından log toplayabiliyoruz. VMI
desteği sayesinde herhangi agent kullanmadan uzak sunuculardan logları
toplayabilir korale edebiliyoruz.
Alerts:
Search ettiğimiz
olayları kullanarak çok kolay bir şekilde alarmlar oluşturabiliriz ve bazı
olaylar ile ilişkilendirebiliriz.
Splunk Arayüzü:
Splunk serach and
report kısmına giriyoruz buradaki arayüzü inceleyecek olursak;
1
menü bar; Arama bölümüne,
Data kümelerine, raporlara, uyarılara ve dashbordalara ulaşmamızı sağlar.
2 Arama kutusu Splunk ın temelinde SPL(Search Processing Language)
vardır. SPL, herhangi bir veriyi aramamıza, ilişkilendirmemize, analiz etmemize
ve görselleştirmemize olanak sağlayana 140’ın üzerinde komut sunan öğrenmesi
kolay ve yetenekli bir dildir. pipe ( | ) özelliği sayesinde sorgu sonuçlarını
daraltarak iç içe sorgular yapabiliriz.
3 Bu kısımda ise daha önceden yapılan sorguları ve
sorgulama tarihini görebiliriz “Add to search ” diyerek sorgularımızı tekrar
kullanabiliriz.
4 splunk dokümantasyonuna ve eğitici dokümanlara
ulaşabiliriz.
5 Tarihsel
kısıtlamaları yapmanızı sağlar. Bu sayede sonuçları daraltmış olursunuz..
6 Aramanın döndürdüğü veri miktarını veya türünü kontrol
ederek arama perfonrmansını optimize eden mod ayarlarını barındırır. Arama
modunun 3 farklı aarı vardır.
Fast Mode: varsayılan metadata
alanları (timestamp, source, sourcetype, host) d dışında alan keşfi yapılma bu sayede hızlı sonuç getirmektedir.
Smart Mode: Varsayılan olarak
kullanılır. Yapılan arama için en iyi sonuçları d döndürür.
Verbose Mode: Tüm metadata
alanları keşfeder. Hangi alanları kullanacağından e emin oladığımız zaman kullanırız.
