SIEM'deki farklı günlük türleri ve günlük biçimleri

Bu sayfada

  • Günlük verisi türleri
  • Farklı günlük biçimleri
  • Ortak Olay Biçimi

Bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümü, ağdan gelen farklı türden verilerin izlenmesi yoluyla bir kuruluşun sağlıklı bir güvenlik duruşuna sahip olmasını sağlar. Günlük verileri, cihazda ve ağ genelindeki uygulamalarda gerçekleştirilen her bir etkinliği kaydeder. SIEM çözümleri bir ağın güvenlik duruşunu değerlendirmek üzere farklı türden günlük verilerini toplayarak analiz etmelidir.

Bu makalede, ağ güvenliğini sağlamak için bir SIEM çözümünü kullanarak toplamanız ve analiz etmeniz gereken farklı günlük veri türleri ayrıntılı olarak açıklanmaktadır.

Günlük verisi türleri

SIEM çözümleri altı farklı türde günlüğü izler:

1. Çevre cihaz günlükleri

Çevre cihazlar, ağa giden ve ağdan gelen trafiği izleyerek düzenler. Çevre cihazlara güvenlik duvarları, sanal özel ağlar (VPN'ler), saldırı tespit sistemleri (IDS'ler) ve saldırı önleme sistemleri (IPS'ler) örnek olarak gösterilebilir. Bu cihazlar bol miktarda veri içeren günlükler oluşturur ve çevre cihaz günlükleri, ağda gerçekleşen güvenlik olaylarını anlama konusunda büyük önem taşır. Syslog biçimindeki günlük verileri, BT yöneticilerinin güvenlik denetimleri gerçekleştirmesine, işletim ile ilgili sorunları gidermesine ve kurumsal ağdan geçen ve kurumsal ağdan kaynaklanan trafiği daha iyi anlamasına yardımcı olur.

Bir çevre cihazın günlük verileri neden izlenmelidir?

  • Ağınıza gelen kötü amaçlı trafiği tespit etmek için: Bu günlükler, anormal trafik davranışlarını izlemenize yardımcı olacak biçimde gelen trafik, kullanıcıların ziyaret ettiği web sitelerinin IP adresleri ve başarısız oturum açma girişimleri hakkında ayrıntılı bilgi verir.
  • Hatalı güvenlik yapılandırmalarını tespit etmek için: Hatalı güvenlik yapılandırmaları, güvenlik duvarı ihlallerinin en önemli nedenidir. Güvenlik duvarı yapılandırmalarında sadece birkaç değişiklik yapılması dahi kötü amaçlı ağ trafiğine kapı açabilir. Güvenlik duvarı günlüklerinin izlenmesi, güvenlik yapılandırmasında yetkisiz olarak gerçekleştirilen değişiklikleri tespit etmenize yardımcı olur.
  • Saldırıları algılamak için: Güvenlik duvarı günlüklerinin analiz edilmesi, ağ etkinliğindeki düzenleri tespit etmenize yardımcı olur. Örneğin, sunucunun kısa bir süre içinde istemciyi bir sunucuya bağlamak üzere fazla sayıda SYN paketi alması, bir dağıtılmış hizmet reddi (DDoS) saldırısı gerçekleştirildiğine işaret ediyor olabilir.

Tipik bir çevre cihazın (güvenlik duvarı) günlük verilerinin incelenmesi

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

Yukarıdaki günlük girişi, olayın zaman damgasıyla birlikte eylemi belirtir. Bu örnekte, güvenlik duvarının trafiğe izin verdiği gün ve saati belirtir. Aynı zamanda, kullanılan protokol, kaynak ve hedefin IP adresleri ile birlikte bağlantı noktası numaraları ile ilgili bilgiler içerir. Bu tür günlük verilerinden kullanmadığınız bağlantı noktalarına bağlanma girişimlerini tespit edebilirsiniz ve bu da trafiğin kötü amaçlı olduğunu gösterir.

2. Windows olay günlükleri

Windows olay günlükleri, bir Windows sisteminde gerçekleştirilen her şeyin kaydını tutar. Bu günlük verileri daha detaylı olarak aşağıdaki biçimde sınıflandırılır:

  • Windows uygulama günlükleri: Bunlar, Windows işletim sistemindeki uygulamaların kaydettiği olaylardır. Örneğin, uygulamayı kapanmaya zorlayan bir hata, bu uygulama günlüğüne kaydedilir.
  • Güvenlik günlükleri: Bunlar, sistemin güvenliğini etkileyebilecek olaylardır. Başarısız oturum açma girişimlerini ve dosya silme örneklerini içerir.
  • Sistem günlükleri: İşletim sistemi tarafından günlük kaydı yapılan olayları içerir. Günlükler, işlemlerin ve sürücülerin başarıyla yüklenip yüklenmediğini gösterir.
  • Dizin hizmeti günlükleri: Active Directory (AD) hizmeti tarafından günlüğe kaydedilen olayları içerir. Kimlik doğrulama ve ayrıcalıkların değiştirilmesi gibi AD işlemlerini kaydeder. Bu günlükler, yalnızca etki alanı denetleyicileri için kullanılabilir.
  • DNS sunucusu günlükleri: Bunlar, istemci IP adresleri, sorgulama yapılan etki alanı ve istenen kayıt gibi bilgileri içeren etki alanı adı sistemi (DNS) sunucularından gelen günlüklerdir. Bu, yalnızca DNS sunucuları için kullanılabilir.
  • Dosya çoğaltma hizmeti günlükleri: Etki alanı denetleyicisi çoğaltma olaylarını barındırır. Bu, yalnızca etki alanı denetleyicileri için kullanılabilir.

Windows olay günlüklerinin neden izlenmesi gerekir?

  • Sunucu güvenliğini sağlamak için: Dosya sunucuları ve AD etki alanı denetleyicileri gibi en kritik sunucular Windows platformunda çalıştırılır. Kritik kaynaklarınızda olan biteni anlamak için bu günlük verilerini izlemeniz önemlidir.
  • Windows iş istasyonu güvenliği: Olay günlükleri, bir iş istasyonunun işleyişi ile ilgili değerli içgörüler sağlar. Bir cihazdan oluşturulan Windows olay günlüklerinin izlenmesiyle, kullanıcı etkinliklerinin anormal davranışlar açısından takip edilmesi ve saldırıların erken aşamalarda tespit edilmesi mümkün olabilir. Bir saldırı durumunda, günlükler, kullanıcının etkinliklerinin ayrıntılı inceleme amaçları kapsamında yeniden yapılandırılmasına yardımcı olabilir.
  • Donanım bileşenlerini izlemek için: Windows olay günlüklerinin analiz edilmesi, bir iş istasyonunun arızalı donanım bileşenlerindeki sorunların arızanın nedeni belirtilerek tanılanmasına yardımcı olur.

Tipik bir Windows olay günlüğünün ayrıntılı olarak incelenmesi

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows her olayı önem derecesine göre Uyarı, Bilgi, Kritik ve Hata olarak sınıflandırır. Bu durumda güvenlik düzeyi Uyarı olarak belirlenir. Yukarıdaki günlük girişi, kullanıcıların kablosuz yerel alan ağına (WLAN) dinamik olarak bağlanmasını sağlayan bir bağlantı yönetimi yardımcı programı olan WLAN AutoConfig hizmetinden alınmıştır. Bir sonraki bölüm, olayın gerçekleştiği tarihi ve saati belirtir. Günlük, WLAN AutoConfig'in sınırlı ağ bağlantısı özelliklerini algıladığını ve otomatik kurtarma yapmayı denediğini belirtmektedir. Bir SIEM çözümü, bu günlüğü kullanarak ağ bağlantı sorununu çözmek amacıyla bu günlükte belirtilen zaman damgasındaki başka cihazlarda benzer günlükleri kontrol edebilir.

3. Uç nokta günlükleri

Uç noktalar, ağ üzerinden bağlanan ve sunucular arasında başka cihazlarla iletişim kuran cihazlardır. Örnekler arasında masaüstü bilgisayarlar, dizüstü bilgisayarlar, akıllı telefonlar ve yazıcılar gösterilebilir. Kuruluşların uzaktan çalışma uygulamalarını her geçen gün daha fazla benimsediği günümüzde, uç noktalar, ağda kötü niyetli kişiler tarafından kötüye kullanılabilecek giriş noktaları oluşturur.

Uç nokta günlüklerinin neden izlenmesi gerekir?

  • Çıkarılabilir disk sürücülerindeki etkinlikleri izlemek için: Çıkarılabilir disk sürücüleri, kötü amaçlı yazılımların yüklenmesi ve verilerin sızdırılmasına yönelik girişimlerine karşı çoğunlukla savunmasızdır. Uç nokta günlüklerinin izlenmesi yoluyla, bu tür girişimler tespit edilebilir.
  • Kullanıcı etkinliğini izlemek için: Kullanıcıların, kuruluşlarının iş istasyonlarında yazılımları yükleme ve kullanım ile ilgili dahili ve harici düzenleyici ilkelerine uymaları gerekir. Uç nokta günlükleri, bu ilkelerin izlenmesi ve ihlaller yaşandığında bildirim verilmesi amacıyla kullanılabilir.

Tipik bir uç nokta günlüğünün ayrıntılı olarak incelenmesi

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Yukarıdaki günlükte, Terminal Hizmetleri Kolay Yazdırma sürücüsünde bir hata oluştuğu belirtilmektedir. Bu, hata kaynağı ve Olay Kimliği (1111) ile gösterilir. Bir kullanıcının bir dosyayı yazdırırken sorunlarla karşılaşması durumunda, sorunun kesin nedeninin anlaşılması ve çözülmesi için günlükler kontrol edilebilir.

4. Uygulama günlükleri

İşletmeler, belirli işlevleri yerine getirmek üzere veritabanları, web sunucusu uygulamaları ve başka şirket içi uygulamalar gibi çeşitli uygulamalar kullanır. Bu uygulamalar genellikle işletmenin etkili işleyişi açısından büyük önem taşır. Bu uygulamaların tamamı, uygulamalarda olup bitenlere dair içgörüler sunan günlük verileri oluşturur.

Uygulama günlüklerinin neden izlenmesi gerekir?

  • Sorunları gidermek için: Bu günlükler, uygulamaların performansı ve güvenliğiyle ilgili sorunların tanımlanması ve düzeltilmesine yardımcı olur.
  • Etkinlikleri izlemek için: Bir veritabanından oluşturulan günlükler, kullanıcılardan gelen istekleri ve sorguları gösterir. Bu, dosyalara yetkisiz erişimi veya kullanıcılar tarafından gerçekleştirilen veri işleme girişimlerini tespit etmek amacıyla kullanılabilir. Günlükler, aynı zamanda, veritabanındaki sorunları giderme konusunda da kullanışlıdır.

Tipik bir uygulama günlüğünün ayrıntılı olarak incelenmesi

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Yukarıdaki günlük girişi bir Oracle veritabanı sisteminden alınmıştır. Günlük, bir ana bilgisayardan gerçekleştirilen bir bağlantı girişimi içindir. Günlükte, isteğin veritabanı sunucusu tarafından alındığı zaman ve tarihe atıfta bulunur. Buna ek olarak isteğin kaynağı olan kullanıcı ile ana bilgisayar, IP adresi ve bağlantı noktası numarası da belirtilir.

5. Proxy günlükleri

Proxy sunucuları, gizliliği sağlayarak, erişimi düzenleyerek ve bant genişliği tasarrufu sağlayarak bir kuruluşun ağında önemli bir rol oynar. Tüm web istekleri ve yanıtları proxy sunucusundan geçer, dolayısıyla proxy günlükleri kullanım istatistikleri ve uç nokta kullanıcılarının tarama davranışları ile ilgili değerli bilgileri açığa çıkarabilir.

Proxy günlüklerinin neden izlenmesi gerekir?

  • Kullanıcı davranışlarında bir referans belirlemek üzere: Toplanan proxy günlüklerinden kullanıcıların tarama etkinliklerinin analiz edilmesi, davranışlar için bir referans belirlenmesine yardımcı olabilir. Referansa göre herhangi bir sapma, bir veri ihlalini açığa çıkarabilir ve daha fazla inceleme yapılmasının gerekli olduğunu gösterebilir.
  • Paketlerin uzunluğunu izlemek için: Proxy günlükleri, proxy sunucusu üzerinden değiştirilen paketlerin uzunluğunun izlenmesine yardımcı olabilir. Örneğin, bir kullanıcının belirli bir zaman aralığında aynı uzunlukta paketleri arka arkaya göndermesi veya alması bir yazılım güncellemesinin yapıldığını gösteriyor olabilir ya da kontrol sunucularıyla sinyal alışverişinde bulunan kötü amaçlı yazılımları açığa çıkarabilir.

Tipik bir proxy günlüğünün ayrıntılı olarak incelenmesi

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

Yukarıdaki günlük, Kullanıcı-001'in günlükte belirtilen tarih ve saatte Wikipedia.com'dan bir dizi sayfa istediğini göstermektedir. Günlüklerdeki istekler, URL'ler ve zaman damgalarının analiz edilmesi, düzenlerin tespit edilmesine yardımcı olarak bir olay durumunda kanıtların kurtarılabilmesini sağlar.

6. IoT günlükleri

Nesnelerin İnterneti (IoT), internetteki diğer cihazlarla veri alışverişinde bulunan fiziksel cihazların oluşturduğu bir ağı ifade eder. Bu cihazlar, verilerin toplanması, işlenmesi ve iletilmesini mümkün kılmak üzere sensörler, işlemciler ve yazılımlarla donatılmıştır. Uç noktalara benzer şekilde IoT sistemini oluşturan cihazlar da günlükler oluşturur. IoT cihazlarından gelen günlük verileri, mikrodenetleyiciler gibi donanım bileşenlerinin işleyişi, cihazın bellenimi için güncelleme gereklilikleri ve cihaza giren ve çıkan veri akışı ile ilgili bilgiler verir. IoT sistemlerinden gelen verilerin kaydedilmesinin önemli bir parçasını günlük verilerinin depolandığı konum oluşturur. Bu cihazlar günlükleri depolamak için yeterli belleğe sahip değildir. Dolayısıyla günlüklerin, uzun süreli olarak depolanabilecekleri merkezi bir günlük yönetim çözümüne iletilmesi gerekir. Bunun ardından, SIEM çözümü, hataları gidermek ve güvenlik tehditlerini tespit etmek için günlükleri analiz eder.

Çoğunlukla, yukarıdaki kaynakların tamamından gelen günlükler, ağınızın güvenliğine dair bir genel bakış sunmak üzere verilerin korelasyonunun belirlenerek analiz edildiği merkezi günlük kaydı çözümüne iletilir. Günlükler CSV, JSON, Anahtar Değer Çifti ve Ortak Olay Biçimi gibi farklı biçimlerde depolanır ve iletilir.

Farklı günlük biçimleri

CSV

CSV, değerleri virgülle ayrılmış halde depolayan bir dosya biçimidir. Bu, CSV dosyalarının kullanılan yazılımdan bağımsız olarak bir depolama veritabanına kolayca aktarılmasını sağlayan düz metin dosya biçimidir. CSV dosyaları hiyerarşik veya nesne yönelimli bir nitelikte olmadığından, başka dosya türlerine dönüştürülmeleri daha kolaydır.

JSON

JavaScript Nesne Gösterimi (JSON), verileri depolamak için kullanılan metin tabanlı bir biçimdir. Bu biçim, saklanan günlüklerin analiz etmeyi kolaylaştırır ve yapılandırılmış niteliktedir. Aynı zamanda belirli alanlar için sorgulama yapılması da mümkündür. Bu ek özellikler sayesinde JSON günlük yönetimi için oldukça güvenilir bir biçimdir.

Anahtar Değer Çifti

Anahtar-değer çifti iki öğeden oluşur: bir anahtar ve bu anahtar ile eşlenen bir değer. Anahtar sabittir ve değer farklı girişler arasında değişiklik gösterir. Biçimlendirme, benzer veri kümelerinin ortak bir anahtar altında gruplandırılmasını içerir. Belirli bir anahtar için sorgunun çalıştırılmasıyla ilgili anahtar altındaki tüm veriler ayıklanabilir.

Ortak Olay Biçimi

Genelde CEF olarak anılan Ortak Olay Biçimi, farklı cihazlardan ve uygulamalardan gelen günlük verilerinin toplanması ve depolanmasını kolaylaştırarak birlikte çalışabilirliği destekleyen bir günlük yönetim biçimidir. Syslog mesaj biçimini kullanır. En yaygın kullanılan günlük kaydı biçimi olarak farklı sağlayıcılar ve yazılım platformları tarafından desteklenir ve günlük verilerini bir CEF başlığı ve anahtar-değer çiftleri halinde barındıran bir CEF uzantısından oluşur.

Farklı günlük verisi türleri ve biçimleri bu şekildedir. Bu günlüklerin bir ağdaki tüm farklı kaynaklardan manuel olarak toplanması ve bunlar arasındaki korelasyonun belirlenmesi sıkıcı bir iş olabilir ve oldukça zaman alır. Bir SIEM çözümü bu konuda size yardımcı olabilir. Bir SIEM çözümü, farklı kaynaklardan toplanan günlükleri analiz eder, günlük verilerinin korelasyonunu belirler ve kuruluşların siber saldırıları tespit ederek kurtarma işlemlerini gerçekleştirmesine yardımcı olacak içgörüler sağlar.

Peki sırada ne var?

Çözüm sayfaları

Günlük ve veri yönetimi Tehdit avcılığı Tehdit bilgilendirmesi Tehdit algılaması

30 günlük ücretsiz deneme sürümü ile ManageEngine SIEM'i deneyin

Şimdi keşfet