Günlük kaydı nedir?

Günlük kaydı, bir cihazda veya uygulamada gerçekleşen olay ve etkinlikleri kaydetme sürecidir. Kullanıcı oturum açma işlemleri, sistem hataları, uygulama kilitlenmeleri, izin değişiklikleri ve daha fazlasını içeren her türlü olay, bir sisteme veya uygulamaya günlük biçiminde kaydedilir. Günlük kaydı, bu günlükleri sistematik bir biçimde kaydederek yönetir ve bunların sorun giderme, operasyon ve güvenlik amaçları kapsamında kullanılabilmesini sağlar.

Siber saldırıların erken aşamalarında, saldırganlar genellikle ağda sağlam bir pozisyon elde etmeye odaklanır. Bu başlangıç aşaması, çoğu zaman güvenlik açıklarının kötüye kullanılması ve yetkisiz erişim elde etmek üzere saldırı vektörlerinden faydalanılmasını içerir. Saldırganlar erişim sağladıktan sonra yanal olarak hareket etme, ayrıcalıkları artırma veya kalıcılık sağlamaya yönelik girişimlerde bulunabilir.

Peki güvenlik yöneticileri ağda şüpheli bir durum olup olmadığını nereden bilecek? Cevap: günlükler. Güvenlik yöneticileri, ağdaki günlük kaynaklarından tamamından ya da bazılarından gelen günlükleri izler. Günlük verilerinin toplandığı ve analiz edildiği kritik kaynaklardan bazılarını aşağıda bulabilirsiniz:

Güvenlik Duvarları

Güvenlik duvarı günlükleri, bir ağın güvenliğini sağlama konusunda önemli bir rol oynayan kritik bilgiler içerir. Güvenlik duvarı günlükleri, ağ trafiği ile ilgili reddedilen bağlantılar, izin verilen bağlantılar, yapılandırma değişiklikleri ve yapılandırma hataları gibi içgörülerin yanı sıra kullanıcıların eklenmesi, silinmesi ve ayrıcalık düzeyi değişiklikleri ile alakalı ayrıntı bilgi verir.

Yöneticiler, güvenlik duvarı günlüklerini analiz ederek ağdaki kötü amaçlı etkinlikleri bulabilir, güvenlik duvarı kurallarını optimize edebilir ve ağlarının güvenlik sınırlarını güçlendirebilir.

Proxy'ler ve diğer web filtreleri

Proxy'ler ve diğer web filtrelerinden gelen günlükler, ağınızı kullanan kullanıcılar ve uygulamalardan elde edilen günlük verilerinden oluşur. Bu günlükler, kullanıcılardan gelen web sitesi isteklerinin yanı sıra uygulama ve hizmet isteklerini de kaydeder. Proxy günlüklerinden hedef IP, hedef bağlantı noktası, kullanıcı aracısı, cihaz eylemi ve daha fazlasını içeren bilgiler elde edilebilir. Bu bilgilerin kaydedilmesi, ağda olup bitenler hakkında içgörü edinilmesini sağlar.

Kuruluşlar, çeşitli kullanıcı aracısı dizelerini izleyerek ve anormallikleri titizlikle inceleyerek ağlarındaki önemli sorunları tespit edebilir.

Windows olayları

Windows olay günlükleri, bir Windows sisteminde gerçekleştirilen her şeyin eksiksiz kaydını tutar. Toplanan günlük bilgileri arasında Windows uygulama günlükleri, güvenlik ve sistem günlükleri, DNS sunucusu günlükleri, Dizin Sunucusu günlükleri ve Dosya Çoğaltma Hizmeti günlükleri yer alır.

Windows olay günlüklerinin toplanması, her türlü anormallik veya alışılmışın dışındaki davranışın anında işaretlenerek dikkate sunulmasını sağlar. Sunucu güvenliği ile iş istasyonu güvenliğini iyileştirir ve arızalı donanım bileşenleriyle ilgili sorunlar için tanılama yapılabilmesini sağlar.

Örneğin, hesaplara parola olmadan erişilmek için kullanılan pass-the-hash, saldırganların sıklıkla başvurduğu bir saldırı türüdür. Bu saldırı için NTLM Oturum Açma türü 3 olan olay kimliklerini (başka deyişle, 4624 (başarılı) ve 4625 (başarısız)) aramanız gerekir.

Saldırganların ortak özelliklerinden biri de varlıklarını gizlemeye çalışmalarıdır. 104 (olay günlüğü temizlendi) ve 1102 (denetim günlüğü temizlendi) olay kimliklerine bakılması, ağınızda saldırgan bulunduğunu tespit etmenize yardımcı olabilir.

Uygulamalar

Bir uygulama günlüğü, bir uygulama içinde gerçekleşen tüm olaylara dair bilgileri içeren bir dosyadır. Uygulama günlüklerinde ortak olarak yer alan bileşenler arasında bağlam bilgileri, zaman damgaları ve günlük düzeyleri bulunur.

IIS ve Apache, MS SQL ve Oracle gibi veritabanlarını içeren web sunucusu uygulamalarından, DHCP tabanlı uygulamalardan ve başka kaynaklardan günlükleri toplayabilirsiniz.

Uygulama günlükleri, uygulamaların performansı ve güvenliğiyle alakalı sorunların tanımlanması ve düzeltilmesine yardımcı olur. Aynı zamanda, dosyalara yetkisiz erişimlerin veya kullanıcılar tarafından gerçekleştirilen veri işleme girişimlerinin tespit edilmesinde de kullanışlıdır.

Bir günlük toplama aracı, birden fazla kaynaktan farklı türde günlükleri kolaylıkla toplayarak bir araya getirmenize yardımcı olabilir. ManageEngine'in sunduğu EventLog Analyzer gibi kapsamlı bir günlük toplama aracının kullanılması, günlüklerinizi kuruluşunuzun güvenlik duruşu ile ilgili değerli içgörüler elde etmek üzere düzenleyerek sıralamanıza da yardımcı olabilir. Buradan çözümün günlük toplama özelliklerini inceleyebilirsiniz.

Günlük toplama yöntemleri

Günlüklerin toplanabileceği farklı kaynaklardan bahsettiğimize göre, günlüklerin farklı yöntemler kullanılarak da toplanabileceğini belirtmemiz gerekir. Günlük verilerini toplamak için en yaygın olarak kullanılan mekanizmalardan ikisi aracısız ve aracı tabanlı günlük toplamadır. Diğer yaygın günlük toplama teknikleri arasında API tabanlı günlük toplama, WMI tabanlı günlük toplama ve SNMP yakalamaları yer alır.

Aracısız günlük toplama

Aracısız günlük toplamada, her cihazın oluşturduğu günlükler bir aracı olmadan toplanır. Günlüğün oluşturulduğu cihaz veya uygulama günlük verilerini doğrudan merkezi bir sunucuya gönderir. İletim, TCP ve HTTPS gibi protokoller kullanılarak güvenli hale getirilir.

API tabanlı günlük toplama

Bu yöntemde, günlük verilerinin sorgulanarak güvenli bir sunucuya aktarılması için bir API kullanılır. API'leri günlükleri toplayarak analiz etmek üzere üçüncü taraf bir günlük analiz aracına göndermek için de kullanabilirsiniz.

SNMP yakalamaları

SNMP yakalama birimleri, aracı olan SNMP etkin bir cihaz tarafından hazırlanır ve bir toplayıcıya gönderilir. Toplayıcı, birincil olarak yönetim ve izleme amaçları kapsamında olayları toplar ve önemli bir olay gerçekleştiğinde SNMP yakalaması tarafından gerçek zamanlı olarak bilgilendirilir.

Aracı tabanlı günlük toplama

Bu günlük toplama mekanizmasında, cihazda bulunan bir aracı kullanılır. Aracı, günlük verilerini toplar ve güvenli bir biçimde merkezi bir sunucuya gönderir. Aracı tabanlı günlük toplamanın avantajı, işlemin kullandığı bant genişliğinin sınırlandırılmasını sağlamak üzere aracıların kullanımı yoluyla günlük toplama filtrelerinin uygulanabilmesidir. Aracı tabanlı günlük toplama genellikle güvenli bir bölgede bulunan ve iletişimin kısıtlandırılmış olduğu ağlarda kullanılır.

WMI olay günlük kaydı

Windows Yönetim Araçları (WMI) olay günlüğü, Windows ortamından günlük toplamak için kullanılan bir yöntemdir. Windows için Olay İzleme (ETW) süreci, WMI olay günlüğü tarafından gerçekleştirilir. Bunlar ağınızdaki olaylar, tanılama verileri, hatalar ve başka etkinlikler ile ilgili bilgileri toplar.

Günlük kaydı neden önemlidir?

Referansları belirleme

Kuruluşlar, günlükleri sürekli olarak analiz ederek normal sistem davranışlarına dair bir referans belirleyebilir. Bu belirlenmiş normal davranıştan her türlü sapma, güvenlik ile ilgili bir anormalliğe işaret edebilir.

Olay izleme

Kuruluşların ağlarında olan bitene dair genel resmi görmelerine ve operasyonel verimliliklerini artırmalarına yardımcı olur.

Hızlı olay yanıtı

Günlük kaydı olası bir güvenlik ihlaline işaret edebilecek olay düzenlerinin belirlenmesinde faydalıdır. Bunların algılanması üzerine, anında harekete geçilmesini sağlamak üzere uyarılar oluşturulabilir.

Uyumluluğu sağlama

PCI DSS, HIPAA, GDPR gibi uyumluluk talimatları, standartlar ile uyumluluğu sağladıklarını gösterebilmeleri için kuruluşların tüm ağ günlüklerinin bir kaydını tutmasını gerektirir.

Kullanıcı etkinliğini izleme

Günlükler, kullanıcı etkinliklerinin izlenmesinde temel bir rol üstlenir. Günlük verileri, kullanıcı davranışlarını izlemek ve içeriden gelen tehditleri proaktif bir biçimde tespit etmek amacıyla kullanılabilir.

Ayrıntılı neden analizi

Günlükler, bir güvenlik ihlali durumunda ayrıntılı neden incelemesi için kaynak olarak işlev görür. Bunlar, güvenlik ekiplerinin geriye dönük izleme ile ihlalin temel nedenini tespit etmelerini ve gerekli tüm kanıtları toplamalarını mümkün kılar.

EventLog Analyzer nasıl yardımcı olabilir?

EventLog Analyzer, ManageEngine tarafından kuruluşların çeşitli kaynaklardan alınan günlük verilerini verimli bir şekilde toplamalarına, analiz etmelerine ve yönetmelerine yardımcı olmak amacıyla geliştirilmiş kapsamlı günlük yönetim çözümüdür. Noktaları birleştirerek ağınız, sunucularınız ve uygulamalarınızın oluşturduğu kapsamlı ve çeşitli günlük verilerinden bir anlam çıkarılabilmesini sağlar.

Bu gerçek zamanlı günlük korelasyonu yalnızca olayları algılamakla kalmaz. Kritik olaylar konusunda sizi bilgilendirmek üzere uyarıları anında tetikler. Bu uyarılar, güvenlik ihlallerine veya operasyonel sorunlara hızlı bir biçimde yanıt verilmesini sağlayan proaktif bir kalkan olarak işlev görür.

Tüm bunlara ek olarak, EventLog Analyzer günlük yönetiminden çok daha fazlasını yapar. EventLog Analyzer, ağınızın güvenlik duruşuna dair kapsamlı bir genel bakış sağlayabilen tam donanımlı bir SIEM çözümü oluşturacak biçimde yükseltilebilir.

Sırada ne var?