Blog » Teknoloji » Sigma ile Tehdit Avcılığı, SIEM Ürünlerinde Tehdit Avı

Sigma ile Tehdit Avcılığı, SIEM Ürünlerinde Tehdit Avı

Hosting Fiyatları

Sigma, SIEM’ler (Security Information and Event Management) dahil olmak üzere birden çok platformda güvenlik kuralları yazmak ve yönetmek için kullanılan açık kaynaklı bir araçtır. Algılama mantığını ifade etmek için esnek ve genişletilebilir bir biçim sağlayarak, güvenlik analistlerinin birden çok güvenlik sisteminde güvenlik kurallarını kolayca yazmasına, paylaşmasına ve uygulamasına olanak tanır.

Sigma, SIEM sistemlerinde kullanılabilen güvenlik kurallarının yanı sıra izinsiz giriş tespit sistemleri (IDS), uç nokta tespit ve yanıt (EDR) araçları ve güvenlik analitiği platformları gibi diğer güvenlik araçlarının yazılması ve yönetilmesi için de bir yol sunar. Sigma kuralları, kötü amaçlı yazılım bulaşmaları, şüpheli ağ etkinliği, kaba kuvvet saldırıları ve diğer kötü niyetli davranışlar dahil olmak üzere çok çeşitli güvenlik tehditlerini algılamak için kullanılabilir.

SIEM Nedir?

SIEM, bir işletmenin ağındaki birden çok kaynaktan gelen güvenlik olayı verilerini toplayan ve analiz eden bir yazılım çözümüdür. Ağ cihazları, sunucular, uygulamalar ve diğer güvenlik araçları dahil olmak üzere çeşitli kaynaklardan gelen verileri ilişkilendirip analiz ederek güvenlik ekiplerinin güvenlik tehditlerini gerçek zamanlı olarak belirlemesine ve bunlara yanıt vermesine yardımcı olur. SIEM, güvenlik olaylarını izlemek ve yönetmek için merkezi bir platform sağlayarak kuruluşların güvenlik olaylarını daha hızlı ve etkili bir şekilde tespit etmesine ve bunlara yanıt vermesine olanak tanır.

Güvenlik ekipleri, bir SIEM sistemi içinde Sigma kurallarını kullanarak güvenlik tehditlerini gerçek zamanlı olarak tespit etme ve bunlara yanıt verme becerilerini geliştirerek daha proaktif ve etkili bir güvenlik duruşu sağlayabilir. Sigma ayrıca, güvenlik ekiplerinin kuralları daha verimli ve etkili bir şekilde oluşturmasına ve sürdürmesine izin vererek güvenlik kuralı oluşturma ve yönetme sürecini kolaylaştırmaya yardımcı olur.

Sigma Kuralları

Sigma Kuralları
Kaynak: researchgate

SIGMA kuralları, kullanılan SIEM veya sistemden bağımsız olarak algılama kurallarını standartlaştıran ortak bir tehdit algılama dilidir. 

Diğer şeylerin yanı sıra, SIGMA kuralları aşağıdakileri sağlar:

  • Herkes tarafından kullanılabilecek standart tespit kurallarının oluşturulması ve paylaşılması
  • Başka bir SIEM’e (Güvenlik Bilgi Yönetim Sistemi) geçerken kuralların kolayca taşınması
  • MSSP’ler gibi çeşitli sistemleri (SIEM, EDR, XDR…) kullanan oyuncular için günlük analizinin birleştirilmesi
  • Emeklerini pazarlanabilir SIGMA kurallarına dönüştürebilen güvenlik araştırmacıları tarafından tespit içeriğinin paraya çevrilmesi.

Sigma Kuralı Nasıl Yazılır?

Sigma kuralı yazmak, kullandığınız belirli SIEM platformu ve izlemekte olduğunuz veri kaynakları türleri hakkında bilgi gerektirir. İzlenecek bazı genel adımlar aşağıdakileri içerir:

1. Kullanım durumunuzu tanımlayın

Sigma kuralınızı yazmaya başlamadan önce kullanım durumunuzu tanımlayın. Ne tür bir tehdit tespit etmeye çalışıyorsunuz? Hangi veri kaynaklarını izleyeceksiniz? Bir uyarıyı tetikleme kriterleri nelerdir?

2. Günlük kaynağını tanımlayın

İzlemeniz gereken verileri içeren günlük kaynağını belirleyin. Bu bir güvenlik duvarı, IDS/IPS veya başka bir güvenlik cihazı olabilir.

3. İlgili alanları tanımlayın

İzlemeniz gereken verileri içeren günlük kaynağındaki alanları tanımlayın. Örneğin, güvenlik duvarı günlüklerini izliyorsanız, belirli IP adreslerini, bağlantı noktalarını veya protokolleri aramanız gerekebilir.

4. Kural koşullarını tanımlayın

Kuralın bir uyarı tetiklemesi için karşılanması gereken koşulları tanımlayın. Örneğin, kaba kuvvet saldırılarını izliyorsanız, belirli bir süre içinde belirli sayıdan daha fazla başarısız oturum açma girişimi varsa bir uyarı tetiklemek isteyebilirsiniz.

5. Sigma kuralını yazın

Kuralınızı yazmak için Sigma sözdizimini kullanın. Sigma sözdizimi, farklı SIEM platformlarında kullanılabilen algılama kurallarını yazmak için standartlaştırılmış bir biçimdir. Normal ifadelere benzer ve günlük verileri içindeki kalıpları tanımlamanıza olanak tanır.

6. Kuralı test edin

Beklendiği gibi çalıştığından emin olmak için kuralı test edin. Bunu, kuralın bir uyarı tetikleyip tetiklemediğini görmek için test verileri oluşturarak veya gerçek dünya verilerini kullanarak yapabilirsiniz.

7. Kuralı iyileştirin

Test ve izlemeden elde edilen geri bildirimlere göre kuralı iyileştirin. Yanlış pozitifleri azaltmak veya algılama oranını artırmak için kural koşullarını veya kriterleri gerektiği gibi ayarlayın.

8. Kuralı uygulayın

Çalışan bir Sigma kuralınız olduğunda, potansiyel tehditleri izlemeye başlamak için SIEM sisteminizde uygulayın.

Sigma Kurallarını Test Etme

Sigma kurallarının test edilmesi, doğru çalıştıklarından ve potansiyel güvenlik tehditlerini doğru bir şekilde tespit ettiklerinden emin olmak için önemli bir adımdır. Bu noktada Sigma kurallarını test etmek isterseniz, aşağıdaki adımları kullanabilirsiniz:

1. Test verilerini toplama

İzlemekte olduğunuz veri kaynaklarından günlük verilerini içeren test verilerini toplayın. Kurallarınızı test etmek için test sistemlerinden oluşturulan verileri veya sentetik verileri kullanın.

2. Kuralları test edin

İzlemekte olduğunuz güvenlik tehditlerini doğru bir şekilde tespit ettiklerinden emin olmak için test verilerini kullanarak Sigma kurallarını test edin. Uyarıyı simüle etmek ve kuralın tetiklendiğinden emin olmak için SIEM platformunun kural testi veya simülasyon özelliğini kullanın.

3. Sonuçları analiz edin

Kuralların güvenlik tehditlerini doğru bir şekilde tespit ettiğinden ve yanlış pozitifler üretmediğinden emin olmak için kural testinin sonuçlarını analiz edin. Uyarının doğruluğunu ve gerçek pozitif mi yoksa yanlış pozitif mi olduğunu belirlemek için uyarıyı ve ilişkili verileri inceleyin.

4. Kuralları hassaslaştırın

Kural testi ve analizinin sonuçlarına göre doğruluklarını artırmak ve yanlış pozitifleri azaltmak için kuralları gerektiği gibi iyileştirin. Tespit oranlarını iyileştirmek ve yanlış pozitifleri azaltmak için kural koşullarını veya kriterleri gerektiği gibi ayarlayın.

5. Kuralları uygulayın

Sigma kurallarını test edip iyileştirdikten sonra potansiyel güvenlik tehditlerini izlemeye başlamak için bunları SIEM platformunuzda uygulayın. Kurallar tarafından oluşturulan uyarıları izleyin ve potansiyel tehditleri doğru bir şekilde tespit ettiklerinden emin olmak için gerektiği şekilde ayarlayın.

Sigma Kurallarını Destekleyen Platformlar

Sigma sözdizimi, platformdan bağımsız olacak şekilde tasarlanmıştır ve kural tabanlı algılamayı destekleyen çeşitli güvenlik bilgileri ve olay yönetimi (SIEM) platformlarıyla birlikte kullanılabilir. Sigma kurallarını destekleyen bazı platformlar aşağıdakileri içerir:

1. Elastic Security (eski adıyla Elastic SIEM)

Elastic Security, Sigma kurallarını yerel olarak destekler, Sigma kurallarını içe aktarabilir ve Elastic SIEM kurallarına dönüştürebilir.

2. QRadar

IBM QRadar, QRadar Community Edition adlı bir üçüncü kişi uygulaması aracılığıyla Sigma kurallarını destekler.

3. Splunk

Splunk, Sigma kurallarını Splunk’ın arama diline çevirebilen Sigma Converter adlı üçüncü taraf bir uygulama aracılığıyla Sigma kurallarını destekler.

4. LogRhythm

LogRhythm, Sigma kurallarını yerel olarak destekler, Sigma kurallarını içe aktarabilir ve LogRhythm kurallarına dönüştürebilir.

5. Graylog

Graylog, Sigma Rules Converter adlı üçüncü taraf bir uygulama aracılığıyla Sigma kurallarını destekler.

6. ArcSight

ArcSight, Sigma2Arcsight adlı üçüncü taraf bir uygulama aracılığıyla Sigma kurallarını destekler.

Bunlar, Sigma kurallarını destekleyen SIEM platformlarından sadece birkaçına örnektir. Sigma açık bir standart olduğundan, gelecekte daha fazla platform Sigma kuralları için destek ekleyebilir.

Sigmac İle Kuralı Dönüştürme

Sigmac, güvenlik kurallarını bir biçimden diğerine dönüştürmek için kullanılabilen bir araçtır. Sigmac kullanarak bir kuralı dönüştürmek için aşağıdaki adımları izlemeniz gerekir:

  • Sigmac’ı sisteminize kurun.
  • Dönüştürmek istediğiniz kuralı ve onu dönüştürmek istediğiniz hedef biçimi belirleyin. Sigmac, Snort, Yara, Suricata ve diğerleri dahil olmak üzere birçok formatı destekler.
  • Dönüştürmek istediğiniz kuralı içeren bir dosya oluşturun. Dosya sadece kuralı içermeli ve başka metin içermemelidir.
  • Sigmac’ı çalıştırın ve kuralı içeren dosyanın yolunu, kaynak formatın adını ve hedef formatın adını sağlayın. Örneğin, bir Snort kuralını Yara kuralına dönüştürmek isterseniz, çalıştırmanız gereken: sigmac -r /path/to/rule/file/snort_rule.txt -t yara
  • Sigmac, dönüştürülen kuralın çıktısını konsola verecektir. Dönüştürülen kuralı bir dosyaya kaydetmek istiyorsanız, çıktıyı bir dosyaya yönlendirebilirsiniz. Örneğin: sigmac -r /path/to/rule/file/snort_rule.txt -t yara > yara_rule.txt.
  • Dönüştürülen kuralın doğru olduğunu ve hedef sisteminizde beklendiği gibi çalıştığını doğrulayın.

Tehdit Avcılığı Türleri

Tehdit Avcılığı Türleri

Tehdit avı; güvenlik duvarları, saldırı tespit sistemleri veya antivirüs yazılımı gibi geleneksel güvenlik önlemlerinden kaçmış olabilecek güvenlik tehditlerini proaktif olarak arama sürecidir. İşletmelerin kullanabileceği çeşitli tehdit avlama teknikleri vardır. Bunlar aşağıdaki şekildedir:

1. İmza tabanlı tespit

İmza tabanlı tespit, IP adresleri, alan adları, dosya sağlamaları veya önceki saldırılarla ilişkilendirilmiş diğer özellikler gibi bilinen risk göstergelerinin (IOC’ler) aranmasını içerir. Bu genellikle bilinen saldırılara karşı ilk savunma hattıdır.

2. Davranışa dayalı tespit

Davranışa dayalı tespit, bir güvenlik tehdidinin göstergesi olabilecek olağandışı veya anormal davranışların izlenmesini içerir. Bu, ağ trafiği modellerini, kullanıcı etkinliğini veya normal parametrelerin dışındaki sistem olaylarını içerebilir.

3. İstihbarata dayalı avlanma

İstihbarata dayalı tespit, bilinen tehdit aktörleri veya kampanyalarla ilişkilendirilmiş belirli uzlaşma göstergelerini veya davranış kalıplarını aramak için tehdit istihbaratı beslemelerinin kullanılmasını içerir.

4. Tehdit simülasyonu

Tehdit simülasyonu, bir kuruluşun savunmasındaki boşlukları veya saldırıya karşı savunmasız olabilecekleri alanları belirlemek için bilinen bilgisayar korsanlarının taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) simüle etmeyi içerir.

5. Hibrit tespit

Hibrit tespit, güvenlik tehditlerini belirlemek ve bunlara yanıt vermek için bir dizi teknik ve araç kullanarak yukarıdaki tüm yöntemlerin unsurlarını birleştirir.

Bu yaklaşımların her birinin kendi güçlü ve zayıf yönleri vardır ve kuruluşlar, kendi özel güvenlik ihtiyaçlarına ve risk profillerine bağlı olarak bu tekniklerden bir veya daha fazlasını kullanabilir.


İlgili İçerikler:

SOC Nedir? Kurulumu, Çalışma Yapısı ve Veri Güvenliğine Faydaları

Token Nedir? Tokenizasyon Nasıl Yapılır?

DevOps Nedir, Ne İşe Yarar? Yeni Başlayanlar İçin DevOps

Firewall Nedir?

Elasticsearch (Esnek Arama) Nedir? Ne İşe Yarar

Siber Güvenlik Nedir? İnternet Ortamında Veri Güvenliğini Nasıl Sağlarız?

Ransomware Nedir? Ransomware Saldırısından Nasıl Korunursunuz?

Exploit Nedir? Ne Amaçla Kullanılır? Exploit Saldırıları ve En Etkili Korunma Yöntemi

Domain Sorgulama
guest

0 Yorum
Inline Feedbacks
View all comments