Log Yönetiminde Ajanlı/Ajansız Çözümler

Yayınlayan
Editör
Yayınlanma tarihi
25-02-2022
Okuma süresi
10 DK

Log Yönetiminde Ajanlı/Ajansız Çözümler

 

“Log Management (Log Yönetimi)” Nedir?

Log Management” ürünlerinin iki temel işlevi yerine getirmesi gerekir; “Log Toplama” ve “Log Yönetimi”. Bu işlevleri sırasıyla inceleyelim.

Log Toplama

Log toplama değişik sistemlerde bulunan değişik formatlardaki olay kayıtlarının çeşitli yöntemlerle toplanması olarak tanımlanabilir.

Log toplama sırasında aranması gereken en önemli özellik, ilgili logların güvenilir bir şekilde toplanması ve bu işlem sırasında herhangi bir şekilde değiştirilmemesidir. Örneğin Windows olay kayıtlarını Event Log (Olay Günlüğü) olarak bilinen bir yöntemle saklar. Linux, Unix ve network cihazları olay kayıtlarını syslog protokolü ile gönderir. Güvenlik duvarları Loglarını syslog, OPSEC LEA, W3C ve benzeri yöntemlerle kayıt altına alabilir. Bu yöntemlerin bazıları güvenilir değildir, örneğin syslog protokolü UDP ile haberleştiği için gönderilen kayıtlar hedefe hiçbir zaman ulaşmayabilir. Log toplama ürününün bu tür konuları nasıl adreslediğini bilmeniz gerekir.

Ajanlı / Ajansız Log Toplama

Her iki yöntemin birbirine avantajı ve dezavantajı göz önünde bulundurulmalıdır. Aşağıdaki bölümde her iki yöntemin özellikleri incelenmiştir.

Ajanlı Log Toplama

“Ajan” kelimesi birçok kişiyi rahatsız ettiği için öncelikle bu konuyu açıklığa kavuşturalım. Ajan, olayın gerçekleştiği yerde çalışan bir uygulamadır. Örneğin bilgisayarınızda bulunan anti virüs uygulaması, Windows’un bir çok servisi aslında aynı kategoride uygulamalardır. Log toplama ajanı sistem güvenilirliğini ve performansını etkilemediği sürece en güvenilir, ölçeklenebilir ve etkili yöntemdir.

Ajansız Log Toplama

Uzak sisteme bir ajan kuramıyorsanız (örneğin ağ cihazları) geriye kalan yöntem ajansız Log toplama yöntemidir. Log toplama sisteminin bir parçası ilgili bilgisayar veya cihazlara bağlanarak olay kayıtlarını toplar. Ajansız Log toplama yönteminin en büyük avantajı çabuk uygulamaya geçilebilmesidir. Ancak, ağda yaratacağı trafik miktarı, Log toplama periyodları arasında yaşanabilecek kayıplar, dizüstü bilgisayarlar gibi bazen network bağlantısı kesilebilecek bilgisayarlardan Log toplanamaması, özellikle Windows bilgisayarlarında açılması gereken portlar ve servislerin yaratacağı güvenlik problemleri yüzünden ajansız Log toplama yöntemi gerekmediği sürece uzak durulması gereken bir yöntemdir.

log yönetimi

Normalizasyon

Toplanan Logların aranması ve raporlanması sırasında yaşanan en büyük sıkıntı hangi kriterle arama veya raporlama yapılacağının net olmamasıdır. Örneğin, Windows XP sistemler oturum açma olayını “Source=Security EventID=528” ile kayıt altına alır. Ancak Windows Vista ve üstü aynı olay için “Source=Microsoft-Windows-Security-Auditing EventID=4624” kullanır. Unix/Linux, güvenlik duvarları, RADIUS, vb. bu işlemi yine farklı şekillerde kayıt altına alır. Peki, oturum açma olaylarını raporlamak istediğinizde hangisini kullanacaksınız?

Bu noktada normalizasyon diye bilinen özellik sizi kurtarır. Normalizasyon farklı olayların tek bir isim altında saklanmasını, aranmasını ve raporlanmasını sağlar ve aranması gereken özelliklerden biridir.

Etiketleme/Sınıflandırma

Rol tabanlı erişim tüm güvenlik ürünlerinde aranan özelliklerden birisidir. Ancak bazen ekrandaki bir butona kimin tıklayabileceği değil, toplanan kayıtları içeriğe göre sınıflandırmak ve bu sınıflandırmaya göre yetki ataması yapmak isteyebilirsiniz. Bu özellik sayesinde bir operatörün sadece ağ cihazlarından gelen kayıtları görebilmesini ancak genel müdür veya insan kaynakları ile ilgili kayıtları görmesini engelleyebilirsiniz.

Bu noktada etiketleme/sınıflandırma olarak adlandırılan özellik devreye girer. Oluşan olaylara “takılacak” etiketler sayesinde “gizli”, “çok gizli”, “insan kaynakları”, vs. şekilde sınıflandırma yapılabilir ve operatörler sadece kendi yetkileri çerçevesinde erişebildikleri kayıtlara bakabilirler.

Korelasyon

Korelasyon birbirinden farklı olayları ilişkilendirip, olaylara farklı bir açıdan bakabilmenizi sağlayan bir özelliktir.

Örnek: Bir makinada dakikada 10,000 yanlış şifre giriliyor. Bu olay için şöyle bir uyarı verilebilir: “HR01 bilgisayarına 10.2.3.4 IP adresinden şifre saldırısı yapılıyor”. Normal şartlarda uyarı gerektirmeyen bir olay düşünelim: Bir kullanıcı Kullanıcı makinasına giriş yaptı. Bu olay için uyarı yapmamız gerekirse; “HR01 bilgisayarına User01 10.2.3.4 IP adresinden oturum açtı”. Peki, bu iki olay bir biri ardına oluşursa ne anlama gelir? “Saldırı başarıya ulaştı!”.

Korelasyon özelliği ile bu iki farklı olayı tek bir olay olarak değerlendirmeniz ve uygun uyarıyı ilgili kişilere gönderebilirsiniz.

Log Depolama

“Loglar toplandıktan sonra nasıl depolanıyor?” Bu, en kritik konulardan biridir. Bazı Log toplama ürünleri Logları kendine has bir şekilde saklayabilir, bazıları endüstri standardında bir veri tabanı kullanabilir. İlgili kayıtlara farklı şekillerde erişmek istemeniz durumunda (kurum içi uygulamalar, CRM, Helpdesk, vs.) veri tabanı yöntemini kullanan çözümler daha avantajlı olacaktır.

Log Uyarı Yöntemleri

Modern Log toplama çözümlerinin hemen hepsi artık e-posta, uygulama çalıştırma, sms atma veya görsel uyarı yöntemlerini desteklemektedir – ancak yine de emin olmanızda fayda var.

Önemli olan konu ise, uyarı içeriğinin ne kadar özelleştirilebildiği ve dinamik verilerin kullanılıp kullanılamadığıdır. Örnek verelim hemen… Kullanıcı adlarının TC Kimlik No olduğunu varsayalım ve aşağıdaki gibi bir uyarı e-posta ile size iletildi:

“KURUM11153150001 kullanıcısı KURUM12345678901 kullanıcısını Domain Admin grubuna ekledi”

Sizce ne kadar açıklayıcı? Yukarıdaki e-postanın şu şekilde gelmesini istemez miydiniz?

“KURUM11153150001 (John Brown) kullanıcısı KURUM12345678901 (Richard Black) kullanıcısını Domain Admin grubuna ekledi”

Yukarıdaki bilgi zaten kullanmakta olduğunuz Active Directory veya başka bir LDAP sunucudan elde edilebilecek bilgiler. Bu tür özelliklerin Log toplama çözümü tarafından desteklendiğinden emin olmanızı öneririz.

Log Retension

Log toplama çözümünde aranması gereken özelliklerden biri eski olay kayıtlarının Log toplama sistemi dışında saklanmasıdır. Bu özellik “Log Retension” olarak bilinir.

Örneğin 5651 sayılı kanun ve yönetmelikleri 6 ay ile 1 yıl arasında kayıtların saklanmasını istemektedir ancak bundan eski kayıtlar ne olacak? Veri tabanında bu bilgilerin saklanması maliyet olarak daha fazla yük getireceği için ilgili kayıtların başka bir ortamda saklanması ihtiyacı ortaya çıkmaktadır. Log retension sayesinde ilgili kayıtlar daha ucuz bir ortamda saklanabilir ve gerektiğinde tekrar sisteme yüklenebilir.

Tabi burada sormanız gereken sorular, “İlgili kayıtlar nasıl saklanıyor?”, “Zaman içinde Log kayıt yapısı değişirse ne olacak?”, “Üretici artık destek vermiyorsa veya pazardan çekildiyse ne olacak?”

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Siber İstihbarat ve Siber Tehdit İstihbaratı
Siber İstihbarat ve Siber Tehdit İstihbaratı
JWT Saldırıları
JWT Saldırıları
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages