Splunk Fundamentals –1 Notları

 

Bu yazımda ücretsiz olarak almış olduğum Splunk Fundamentals –1 sertifikasında öğrendiklerimi yazdım. Bu yazı sayesinde bir SIEM ürünü olan Splunk’ın özelliklerinden, log, SIEM, SOAR kavramlarını kısaca açıkladım.

 

LOG:

Sistemimizde meydana gelen olayların hareketlerini kayıt altında tutuğu dosyalardır. log kaydı, tüm hareketlerin birer birer kayıt altına almış olduğundan dolayı avantajları bulunmaktadır bu dosyalarının avantajları, analiz yapılmasını sağlar, incelenerek sistemde meydana gelen sorunun neden kaynaklandığını öğrenebilir ve çözümler üretilebilir. Örnek vermek gerekirse; bir web sunucunun log tutması sayesinde, web sitesini ziyaret edenlerin nereden geldiği, hangi isteklerde bulunduğu gibi kayıtları tutabilmektedir.

Bir siber saldırının tespiti ve aydınlatılması için log kayıtları siber güvenlik uzmanları tarafından incelenerek ortaya çıkartılır. 5651sayılı kanun gereğince her kurum, bu erişim kayıtlarını tutmakla yükümlüdür. Aynı zamanda 2 yıl boyunca bu log kayıtlarını saklamakla yükümlüdür. Yasanın çıkarılmasındaki temel amaç; internet ortamında işlene belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

Bir kurum veya kuruluş internet ortamı sağlıyorsa, bir siber suç işlendiği takdirde log kaydı tutmayan bir işletme bu suçtan sorumludur. LOG kaydı tutuluyorsa internete kim, hangi saatte, hangi tarihte, hangi IP adresi ile bağlandığını ortaya çıkararak işletmenin sorumluluğunu ortadan kaldırır.

LOG toplamak, toplana logları analizlerini gerçekleştirmek doğru cihazdan doğru bir formatta log kaydı almak zor ve birbirine karıştırılması sebebi ile genel olarak da verimli çalışmamaktadır. Bu sebeple kurumlar iş süreçlerine merkezi log yönetim sistemleri ve SIEM ürünlerini entegre ederek, bu alanda özel çalışmalar yapmaktadır. LOG kayıtları alınırken yaşanılan en büyük zorluk gereksiz, fazla log alınmasıdır. Önemli olan fazla log toplamaktansa, olaylara göre belirlenerek çözüm için fayda sağlayacak logların toplanması gerekir. İşte burada log yönetimi bu işleri yapmamıza yardım edecek ve olaylar arasında log bağlantısı kurarak log analizini kolay yapabilir. Toplanan logların düzenlenmesi ve raporlanması oldukça zor bir iştir.

 

 

 

 

 

LOG yönetimi yazılımlarında bazı özellikleri olması gerekmektedir bunlar;

1-     Normalizasyon: Farklı türdeki olayların ortak bir isim altında çıkmasını, raporlanmasını ve tutulmasını sağlar.

2-     Sınıflandırma: Gelen logları belirli bir sınıflara ayırarak yetki derecesine göre log kayıtlarını inceleyecek kişi görüntüleyebilir.

3-     Korelasyon: Kurum SIEM ürünü kullanıyor olabilir loglar geliyor olabilir bu gelen loglar için korelasyon (kural) yazılması gerekiyor. örnek olarak kullanıcı 3 kere parolasını yanlış girdiği zaman derhal yetkili kişiye uyarı gitsin denilebilir.   loglara korelasyon yazılması gerekir böylece logların yönetimi ve logları anlamlı hale gelir.

 

 

LOG Türleri:

Transaction LOG (SQL Server): Temel olarak veri tabanındaki değişikliklerin kaydını tutar. Örneğin veri tabanına bir kullanıcı eklenir ya da silinirse transaction loga kaydedilir.

Event Log:Windows sistemlerde log kayıtlarının tutulduğu yerdir. Sistem üzerinde gerçekleştirilen işlemleri kayıt altında tutar. Yaşanan siber güvenlik olayında hangi kullanıcı ne zaman sisteme giriş yapmış ve kullanıcı bilgileri gibi bilgileri tutarak olayların aydınlatılmasını sağlar.

Syslog:Sistem günlüğü protokolü anlamına gelir. Routerlar, firewallar, yazıcılar gibi çeşitli cihazlar syslog standardını kullanır ve günlük logları toplam. Linux ve Unix tabanlı sistemlerde kullanılır. Syslog loglama standardı facility ve priority iki bölümden oluşur.
Facility, hangi tip logların tutulacağını belirtir. (Örneğin ftp, mail,user, daemon)
Priority, logların önem derecesini belirtir. (örneğin: emergency, alert, critical,error.)  

 

 

 

loglama:

Log izleme kritik cihazların ürettiği olay kayıtlarını belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının adli incelenmesine de yardımcı olarak saldırının hangi kanallarda ne zaman gerçekleştiği, hangi protokollerin kuşanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır.

Log yönetiminin daha verimli gerçekleştirilebilmesi için;

         Büyük hacimli log kayıtlarının hızlı arama ve erişim sağlanmalıdır.

         Olayların erken tespiti saldırının etkilerinin azaltılabilmesi için hızlı bir şekilde karşılık verilmesini ve aksiyon alınmasını sağlar.

         ihlalleri, sızmaları ve yetkilendirilmiş erişimleri tespit, analiz için veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi bir çok rutinin otomatize bir şekilde gerçekleştirebilmesi için uyarı ve istisna kurallarının belirlenmesi fayda sağlar.

 

 

 

 

SIEM (Security Information and Event Management)

SIEM ürünleri çevre birimlerden end pointlere kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM sistemleri log üreten değil, logları toplayan, anlamlandıran ve alarm üreten sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçirilmesine yardımcı olur. Güvenlik ekiplerinin riskleri en aza indirgemek ve sistemimizi korumakla birlikte tehdit yöntemini basitleştirmek için dahili ve harici saldırıları hızla algılar ve bunlara tepki vermesini sağlar.   

SIEM, güvenlik politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.    

 

SIEM’in çalışma mekanizması:

         Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak.

         Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak.

         Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak.

         Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunana izleme paneli sağlamak.

         SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek.

 

 

SOAR (Security Orchestration Automation and Responce):

SOAR farklı cihazlardan gönderilen log kayıtlarını toplayarak düzenlenmesini standardizasyonunu ve otomasyonunu sağlamak için ortaya konmuş sistemler bütünüdür. SIEM olayların analizini yapıp sonuçları söylerken SOAR olayları anlayıp karşı hamle yapmaktadır.  

 

 

Splunk

Splunk, sunucu, ağ cihazlardan log toplayabilen, topladığı logları indexleyen, daha önceden toplanmış loglar üzerinde arama, araştırma, analiz yapmayı sağlan Security Information an Event Management (SIEM) çözümüdür. Splunk, birçok farklı cihazdan gelen bilgileri gerçek zamanlı olarak analiz edip, indexleyen ve daha sonra içerisinde arama yapamaya, uyarılar ve raporlar oluşturmaya yarayan uygulamalardır. Belirli limitler arasında 60 günlük ücretsiz bir kullanımı vardır. İndirilip kurulması için https://www.splunk.com/en_us/download.html adresinden temin edilebilir. 

Splunk; güvenlik olayları işletim sistemleri ve uygulamaları da dahil olmak üzere çok çeşitli kaynaklardan log verilerini toplayabilir, güvenlik politikalarını ihlal eden, şüpheli olan etkinlikleri tanımlamak için veriler üzerinden analiz yapabilir. SIEM yazılımların ortak özelliği olan BT ortamındaki faaliyetlerin kaydını tutar ve kayıtları analiz etmeye yardımcı olur. Splunk güçlü indeksleme ve arama teknolojisine sahiptir ayrıca sürükle bırak ve SPL (Search Processing Language) ile en ileri analistler ve uzman olmayan kişiler de dahil olmak üzere analiz etme imkanı sunar. Splunk ile gerçek zamanlı olarak arama yapılabilir ve analiz edebiliriz. Splunk ile gerçek zamanlı birden fazla çizelgesini ve görünümünü birleştirip masaüstünüzden veya mobil cihazlardan erişebileceğiniz özel panolar oluşturabiliriz. Farklı kullanıcılar için gösterge panolarını kişiselleştirerek yöneticiler, iş ve güvenlik analistleri, denetçiler, geliştiriciler ve opreasyon ekiplerine özel ekranlar tanımlayabiliriz. Geliştiriciler ayrıca özel panolara, esnek arayüz bileşenlerine ve javascript ile python gibi ortak geliştirme dillerini kullanarak özel veri görselleştirmeleri içeren Splunk uygulamaları oluşturulabilir.

Splunk, güvenlik tehditleriyle ilgili tespit etme zamanı, içerme zamanı ve düzeltilmesi gereken zaman olarak 3 kritik metrik üzerinden çalışır. Güvenlik uyarı analizlerini merkezileştirir, ağlardan, uç noktalardan, bulut uygulamalarından ve diğer kaynaklardan ilgili varlık ve kimlik verilerini çeker ve bunları tek bir kontrol panelinde gösterir. Ek olarak analisti sağlayacak kişi tehdit noktalarını, güvenlik politikalarını ekleyebilir.   

Splunk Enterprise Security, sağladığı çözümler,

Gerçek zamanlı izleme: Kuruluşun güvelik durumunun net bir görsel resmini elde edin görüntüleri kolayca özelleştirin ve ham olaya kadar detaylandırır.

Ölçeklendirme ve anlaşma: Algılama yeteneklerini artırmak ve olay tepkisini optimize etmek için verilerinize güvenlikle ilgili bir görüntü kazandırır.

Hızlı soruşturma: Kötü amaçlı faaliyetleri belirlemek için statik, dinamik ve görsel korelasyonlar kullanılır.

Bir bulut hizmeti olarak, hibrid yazılımda bulut dağıtımında kullanılabilir.

Splunk Event Search;

Splunk search algoritması ile dinamik search parametreleri yazabilir ve bunları kaydederek operasyonel işlerimizi basite indirgeyebiliriz.

Splunk Dashbord:

Splunk Dashborad’lar oluşturularak gerçekleşen olayların görsellerini tek bir ekranda toplayabilir ve analiz edebiliriz.

Splunk Data İnputs:

Çok yöntemli data girişi sayesinde çok farklı log kaynaklarından log toplayabiliyoruz. VMI desteği sayesinde herhangi agent kullanmadan uzak sunuculardan logları toplayabilir korale edebiliyoruz.

Alerts:

Search ettiğimiz olayları kullanarak çok kolay bir şekilde alarmlar oluşturabiliriz ve bazı olaylar ile ilişkilendirebiliriz.

 

 

Splunk Arayüzü:

Splunk serach and report kısmına giriyoruz buradaki arayüzü inceleyecek olursak;

1menü bar; Arama bölümüne, Data kümelerine, raporlara, uyarılara ve dashbordalara ulaşmamızı sağlar.

2 Arama kutusu Splunk ın temelinde SPL(Search Processing Language) vardır. SPL, herhangi bir veriyi aramamıza, ilişkilendirmemize, analiz etmemize ve görselleştirmemize olanak sağlayana 140’ın üzerinde komut sunan öğrenmesi kolay ve yetenekli bir dildir. pipe ( | ) özelliği sayesinde sorgu sonuçlarını daraltarak iç içe sorgular yapabiliriz.

3 Bu kısımda ise daha önceden yapılan sorguları ve sorgulama tarihini görebiliriz “Add to search ” diyerek sorgularımızı tekrar kullanabiliriz.

4 splunk dokümantasyonuna ve eğitici dokümanlara ulaşabiliriz.

5  Tarihsel kısıtlamaları yapmanızı sağlar. Bu sayede sonuçları daraltmış olursunuz..

 

 

6 Aramanın döndürdüğü veri miktarını veya türünü kontrol ederek arama perfonrmansını optimize eden mod ayarlarını barındırır. Arama modunun 3 farklı aarı vardır.
            Fast Mode: varsayılan metadata alanları (timestamp, source, sourcetype, host) d     dışında alan keşfi yapılma bu sayede hızlı sonuç getirmektedir.
            Smart Mode: Varsayılan olarak kullanılır. Yapılan arama için en iyi sonuçları d      döndürür.
            Verbose Mode: Tüm metadata alanları keşfeder. Hangi alanları kullanacağından e  emin oladığımız zaman kullanırız.