Günlük ve NetFlow toplama ve işleme

Ağdaki her cihaz ve uygulamanın oluşturduğu günlük verileri, ağ trafiğini izleyen NetFlow verileriyle birlikte kullanıldığında, ağdaki etkinlikleri hakkında içgörüler sağlayarak bunları güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerinin ana girdi kaynakları haline getirir.

Bir SIEM çözümü, ağ davranışları ile ilgili ayrıntılı içgörülerin elde edilmesi, tehditlerin tespit edilmesi ve saldırıların proaktif bir biçimde hafifletilmesi amacıyla bu bilgileri toplar, depolar ve analiz eder. Bu makalede, bu bilgileri toplamak ve işlemek için kullanılan tekniklerden bazıları ele alınacaktır.

Günlükler nasıl toplanır?

Günlükler; veritabanları, yönlendiriciler, güvenlik duvarları, sunucular, IDS/IPS cihazları, etki alanı denetleyicileri, iş istasyonları ve uygulamalar gibi tüm cihazlardan toplanır.

Günlük toplama iki şekilde yapılabilir:

• Aracısız günlük toplama

  SIEM çözümlerinin günlük toplama konusunda yaygın olarak kullandığı yöntem aracısız günlük toplamadır. Bu yöntemde, cihazlar tarafından oluşturulan günlük verileri güvenli ve otomatik bir şekilde bir SIEM sunucusuna aktarılır. Günlükleri toplamak için ek bir aracıya gerek duyulmadığından cihazlar üzerindeki yük azaltılmış olur.

• Aracı tabanlı günlük toplama

  Aracı tabanlı günlük toplamada, günlük üretebilen her cihaza bir aracının dağıtılması gerekir. Bu yöntem, günlükler toplanırken tanımlanmış parametrelere dayalı olarak filtreleme yapılmasına yardımcı olabilir. Aracılar ayrıca daha az bant genişliği ve kaynak kullanır ve filtrelenmiş ve yapılandırılmış günlük verilerinin sağlanmasına yardımcı olurlar. Bu yöntem, cihazlar iletişimin kısıtlı ve günlükleri bir SIEM sunucusuna göndermenin zor olduğu güvenli bir bölgedeyken kullanılır.

NetFlow verileri nasıl toplanır?

NetFlow toplama, IP trafiği hakkındaki bilgilere karşılık gelir ve bunlar temel olarak aşağıdakileri içerir:

• Kaynak IP adresi
• Hedef IP adresi
• Erişim sağlanan bağlantı noktaları
• Gerçekleştirilen hizmetler
  Ve daha fazlası.

NetFlow verilerinin toplanması, zaman damgalarını, istenen paketleri, IP trafiğinin giriş ve çıkış arayüzlerini ve daha fazlasını kaydeden bir NetFlow toplama aracı ile gerçekleştirilir. NetFlow toplama süreci, NetFlow verilerinin NetFlow toplama araçları tarafından toplanmasını ve verilerin bir ağda bant genişliği hızı, kaynak kullanımı, iletim ve alım açısından analiz edilmesini içerir. NetFlow toplama araçlarının temel işlevleri arasında, NetFlow özellikli cihazlardan Kullanıcı Datagram Protokolü (UDP) ile iletilen akış verilerinin toplanması ve toplanan verilerin hacmini azaltmak üzere filtreleme yapılması yer alır. Basit Ağ Yönetimi Protokolü (SNMP), bir ağda yer alan her gözlem noktasındaki trafik hakkında bilgi toplar. Bu veri toplama yöntemi, Ethernet portu olan tüm cihazlarda etkindir ve veriler anormallikleri tespit etmek ve tehditleri önlemek üzere izlenerek analiz edilir.

Günlük işleme

Günlük işleme için kullanılan farklı teknikler aşağıda listelenmiştir.

Günlük ayrıştırma

Bir ayrıştırıcı, yapılandırılmamış ham günlük verilerini alarak benzer verileri ilgili öznitelikler altında gruplandırma yoluyla biçimlendirebilir. Ayrıştırma, günlüklerin alınması ve aranmasını kolaylaştırır. Her SIEM çözümü, toplanan günlük verilerinin işlenmesi için birden fazla ayrıştırıcı içerir.

Günlük normalleştirme

Normalleştirme, BT güvenlik yöneticisi tarafından yapılandırılabilecek ilgili öznitelikler bağlamında yalnızca gerekli olan günlük verilerinin eşlenmesi sürecidir. Bir ağdaki önemli etkinliklerin izlenmesi için günlükler normalleştirilmelidir. Günlük normalleştirme, bir ağdaki düzenli ve düzensiz etkinlikler arasında ayrım yapılmasına yardımcı olabilir.

Günlük dizinleme

Normalleştirilmiş günlük verileri ayrılır ve dizinlenmiş günlük bilgilerini barındıran dosyalarda saklanır; yöneticiler, arama sürecini hızlandırmak üzere dizinlenmiş veriler için sorgular uygulayabilir. SIEM çözümleri, ağ yöneticisi tarafından alınmaları ve yorumlanmalarını kolaylaştırmak üzere verileri belirli bir dizin altında kaydedilecek biçimde yapılandırılabilir.

Günlük çözümlemesi

Günlük verilerinin korelasyonunun belirlenmesi, farklı günlük kaynaklarının ağ güvenliğini tehdit eden belirli bir olaya karşılık gelip gelmediğinin anlaşılmasına yardımcı olur. Ayrıntılı inceleme raporları, ağın neresinde güvenlik ihlali yaşandığını ve saldırının gerçekleştirme şeklini doğrulamaya yardımcı olur. Günlük analizi, kullanıcı davranışlarının anlaşılması ve tehditlerin tespit edilmesinde kritik bir rol oynamanın yanı sıra, saldırıların gerçekleşmeden önce önlenmesine yardımcı olur.