EDR/XDR ile SOCRadar ve SOCPrime Sigma
Günümüzün karmaşık ve sürekli tehditlerle dolu siber güvenlik ortamında, organizasyonlar, kötü niyetli faaliyetleri tespit etmek ve önlemek için gelişmiş araçlar ve zekice oluşturulmuş kavramlar ararlar. Bu bağlamda, SentinelOne EDR/XDR, SOCRadar ve SOCPrime Sigma, siber güvenlik operasyonlarını geliştirmek ve hızlandırmak için güçlü bir üçlü oluşturur. Bu makalede, SentinelOne üzerinde özelleştirilmiş kurallar oluşturmak için SOCRadar’da bulunan Sigma kurallarını kullanmanın nasıl yapıldığını ele alacağız. Bu entegrasyon, güvenlik analistlerine tehditleri daha hızlı tanımlama ve yanıtlama yeteneği sunar, böylece kuruluşlar daha güvende olur ve daha hızlı yanıt verirler. Şimdi, SentinelOne, SOCRadar ve SOCPrime Sigma’nın birleşiminde güçlü bir özelleştirme sürecine dalmaya hazır olun.
Öncelikle SOCRadar üzerinde olan Sigma ve Yara terimlerinden bahsedelim.
Sigma ve YARA: Siber Tehditleri İzlemenin Güçlü Araçları
Siber güvenlik, gün geçtikçe daha karmaşık ve sofistike hale geliyor ve bu tehditlerle başa çıkmak için yeni ve etkili araçlara olan ihtiyaç da artıyor. İşte bu ihtiyacı karşılamak için kullanılan iki önemli araç: Sigma ve YARA.
Sigma Kuralları: Siber Tehditleri İzlemek İçin YAML İmzaları
Sigma kuralları, günlük olayları izleyerek şüpheli etkinlikleri ve potansiyel siber tehditleri tespit etmemizi sağlayan güçlü araçlardır. Bu kurallar, YAML formatında yazılan metin imzalarıdır ve siber güvenlik alanında geniş bir kullanım alanına sahiptirler.
Sigma, tehdit istihbaratı analistleri olan Florian Roth ve Thomas Patzke tarafından geliştirilen bir imza formatıdır ve özellikle Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemlerinde kullanım için tasarlanmıştır. Sigma kuralları, güvenlik olaylarını ve anormallikleri izlemek için kullanılırken, bu standart formatın en büyük avantajı, platformlar arası uyumluluğudur. Yani, Sigma kuralları farklı güvenlik bilgisi ve olay yönetimi ürünlerinde sorunsuzca çalışabilir ve güvenlik uzmanlarının “ortak bir dil” kullanarak tespit kurallarını paylaşmasını sağlar.
Sigma kuralları, SIEM sistemlerinin anlayabileceği ve işleyebileceği bir formatta oluşturulurlar. Bu nedenle, güvenlik ekipleri Sigma kurallarını kullanarak güvenlik olaylarını izlemeye ve tespit etmeye başlayabilirler.
YARA: Kötü Amaçlı Yazılımları Tanımlamak İçin Güçlü Bir Araç
Siber tehditlerin ve kötü amaçlı yazılımların analizi ve tanımlanması, siber güvenlik uzmanlarının öncelikli görevlerinden biridir. İşte bu noktada YARA devreye girer. YARA, zararlı yazılımları ve tehditleri tanımlamak ve sınıflandırmak için kullanılan açık kaynaklı bir tehdit avcısıdır.
YARA, özellikle zararlı yazılım örneklerini (dosyaları) ve tehlike göstergelerini (IOC’ler) tanımlamak için kullanılır. Güvenlik uzmanları ve analistler, YARA kuralları oluşturarak belirli dosyaların içeriğini veya davranışını inceleyebilirler. Bu kurallar, belirli özelliklere sahip dosyaları ve tehditleri tanımlamak için kullanılır.
Sigma ve YARA: Güvenlik İncelemelerinde Kullanımı
Sigma ve YARA, güvenlik uzmanları ve analistleri tarafından siber tehditleri izlemek, tespit etmek ve analiz etmek için kullanılır. Ancak her iki araç da farklı yöntemlerle çalışır ve farklı amaçlara hizmet eder.
Sigma kuralları, günlük olayları izlemek ve şüpheli etkinlikleri tespit etmek için kullanılır. Özellikle SIEM sistemleri ile entegre edilebilir ve bu kurallar, güvenlik olaylarını tanımlayan sorguları içeren YAML formatında kurallardan oluşur.
YARA ise özellikle kötü amaçlı yazılım analizi ve tehdit avcılığı için kullanılır. Güvenlik uzmanları, belirli özelliklere sahip dosyaları veya davranışları tanımlamak için YARA kuralları oluşturur.
Sonuç olarak, hem Sigma hem de YARA güvenlik alanında güçlü araçlardır ve siber tehditlere karşı savunma sağlarlar. Sigma günlük olayları izlerken, YARA kötü amaçlı yazılımları tanımlar ve sınıflandırır. Her iki aracı doğru şekilde kullanmak, güvenlik ekibinin tehditlere karşı daha hazırlıklı olmasına yardımcı olur.
SOCRADAR Platformu
SOCRADAR, bir organizasyonun siber güvenlik olaylarını izlemek, tespit etmek ve yanıtlamak için kullanılan kapsamlı bir platformdur. SOC ekiplerine, güvenlik olayları ve anormallikleri tespit etmeleri ve bu tehditlere karşı hızlı bir şekilde harekete geçmeleri için gerekli olan araçları ve zekayı sunar. SOC ekipleri, SOC Radar’ı kullanarak aşağıdaki gibi önemli görevleri gerçekleştirebilirler:
Olay İzleme ve Analiz: SOC ekipleri, platform aracılığıyla organizasyonlarının ağlarını ve sistemlerini sürekli olarak izlerler. Bu, potansiyel tehditleri ve güvenlik olaylarını hızlı bir şekilde tespit etmelerine yardımcı olur.
Tehdit Avcılığı: SOC Radar, siber tehditleri proaktif olarak araştırmak ve tespit etmek için tehdit avcılığı kuralları kullanır. Bu, organizasyonların bilinmeyen veya gelişen tehditlere karşı daha hazır olmalarını sağlar.
Yanıt ve Müdahale: SOC ekipleri, tehditleri tespit ettiklerinde hızlı bir yanıt verme yeteneğine sahiptirler. SOC Radar, yanıtları otomatikleştirmek ve hızlandırmak için entegre araçlar sunar.
Zekâ ve Veri Analitiği: SOC Radar, büyük veri analitiği ve tehdit istihbaratı entegrasyonu ile siber tehditleri daha iyi anlamak için verileri derinlemesine analiz eder.
Raporlama ve İzleme: Güvenlik olaylarını ve etkinliklerini izlemek ve organizasyonlara düzenli raporlar sunmak için SOC Radar kullanılır.
Threat Hunting Rules (Tehdit Avcılığı Kuralları) ile Neler Yapılabilir?
Tehdit avcılığı, siber tehditleri tespit etmek ve etkisiz hale getirmek için proaktif bir yaklaşımı temsil eder. SOC ekipleri, organizasyonlarının güvenliğini artırmak için tehdit avcılığı kuralları oluşturur ve kullanır. SOC Radar gibi platformlar, bu kuralları uygulayarak aşağıdaki önemli görevleri gerçekleştirebilir:
Bilinmeyen Tehditleri Tanımlama: Tehdit avcılığı kuralları, bilinmeyen veya gelişen tehditleri tanımlamak için kullanılır. Bu, organizasyonların geleneksel güvenlik önlemleri ile tespit edemeyeceği tehditlere karşı daha hazır olmalarını sağlar.
Zararlı Faaliyetleri İzleme: Kurallar, organizasyonların ağ trafiğini ve sistemlerini zararlı faaliyetler açısından izlemelerine yardımcı olur. Bu, saldırıların erken aşamalarında tespit edilmesini sağlar.
IOC (Indicators of Compromise) İzleme: Tehdit avcılığı kuralları, IOC’leri izlemek ve tehlike göstergelerini tanımlamak için kullanılır. Bu, organizasyonların potansiyel tehditlere karşı daha hassas hale gelmelerini sağlar.
Otomatik Yanıt: Tehdit avcılığı kuralları, tehditler tespit edildiğinde otomatik yanıtların tetiklenmesine yardımcı olabilir. Bu, hızlı bir tepki sağlar ve manuel müdahaleyi azaltır.
Zekâ Entegrasyonu: Tehdit avcılığı kuralları, tehdit istihbaratı verileri ile entegre edilebilir ve siber tehditleri daha iyi anlamak için kullanılabilir.
Sigma Kuralları: Siber Güvenliğin Temel Taşı
Siber güvenlik, günümüzün dijital dünyasında büyük bir öneme sahiptir ve organizasyonlar için vazgeçilmez bir gerekliliktir. Siber tehditlere karşı etkili bir savunma sağlamak, organizasyonların verilerini ve sistemlerini korumak için elzemdir. Sigma kuralları, bu savunma stratejilerinin temel taşlarından biridir. Bu makalede, Sigma kurallarının temel başlıklarını ve bu başlıkların neyi ifade ettiğini inceleyeceğiz.
Kural Başlığı (Title)
Sigma kurallarının başlığı, kuralların adını ve açıklamasını içerir. Bu başlık, kuralların anlaşılmasını ve tanımlanmasını kolaylaştırır. Örneğin, bir kural başlığı şöyle olabilir: “Potansiyel Ransomware İndirme Girişimi.”
Kural Açıklaması (Description)
Kuralın açıklaması, kuralın ne işe yaradığına dair ayrıntılı bilgi sunar. Bu bölüm, kuralın amacını ve neden önemli olduğunu açıklar. Örneğin, bir açıklama şu şekilde olabilir: “Bu kural, bilinmeyen kaynaklardan gelen dosya indirmelerini tespit etmeye yöneliktir.”
Yazar (Author)
Kuralı yazan kişinin adı veya kimliği bu başlık altında belirtilir. Bu, kuralın sorumluluğunu ve kaynağını netleştirir. Özellikle büyük organizasyonlarda birden fazla güvenlik analisti veya yazılım geliştirici tarafından oluşturulan kuralların yönetimini kolaylaştırır.
Log Kaynağı (Logsource)
Bu başlık, kuralın aldığı logların kaynağını tanımlar. Log kaynağı, hangi platformdan, uygulamadan veya üründen verilerin alındığını belirtir. Ayrıca algılama için gereken türü de içerebilir. Örneğin, log kaynağı şöyle tanımlanabilir: “Windows Güvenlik Logları – Event ID 4624.”
Kategori (Category) ve Ürün (Product)
Kuralın hangi kategoriye ait olduğu ve hangi üründen alındığı bu başlıklar altında belirtilir. Kategori, kuralın genel sınıflandırmasını ifade eder (örneğin, “Web Güvenliği” veya “APT Algılama”). Ürün ise, logların geldiği belirli bir ürünü tanımlar (örneğin, “Microsoft Windows Server 2019”).
Tarih (Date)
Kuralın oluşturulduğu veya güncellendiği tarih bu başlık altında belirtilir. Bu, kuralların güncelliğini ve geçerliliğini korumak için önemlidir.
Kritiklik Derecesi (Level)
Kuralın kritiklik derecesi, tehdidin ciddiyetini ve önemini belirtir. Genellikle “Düşük (Low),” “Orta (Medium),” “Yüksek (High),” ve “Kritik (Critical)” gibi değerler alır.
Durum (Status)
Kuralın durumu, üç farklı değer alabilir: “Kararlı (Stable),” “Test (Test),” ve “Deneysel (Experimental).” Kararlı kurallar platformlarda güvenle kullanılabilirken, test kuralları üzerinde çalışılmış ancak son testleri geçmemiş kuralları tanımlar. Deneysel kurallar ise henüz hazırlık aşamasında olan ve kullanılması önerilmeyen kurallardır.
Referanslar (References)
Bu başlık, kural içinde kullanılan indikatörlerin ve anahtar kelimelerin referanslarını içerir. Bu referanslar, kuralın temelini oluşturan bilgilere ve kaynaklara işaret eder.
Tespit (Detection)
Kuralımızdaki indikatörlerin tespiti ve logların üretimi için gereken alanları içerir. Bu bölüm, anahtar kelimeleri veya karakteristik özellikleri içerebilir.
Anahtar Kelimeler (Keywords)
Alert üretilecek indikatörler yani kuralın yazılma amacı olan durumun belirleyici, karakteristik özellikleri olan anahtar kelimelerdir. Bu kelimeler, kuralların çalışma mantığını belirler.
Mantıksal Yapı (Selection)
Bu bölüm, mantıksal AND ifadesini kullanarak kuralların yapılandırıldığı yerdir. Burada, anahtar kelimelerin yanı sıra hangi ürünlerin ve sürümlerinin kapsandığı gibi detaylar eklenir.
Şart (Condition)
Kuralın platformlar üzerinde nasıl işleneceği ile ilgilenen kısımdır. Bu bölüm, indikatörlerin nasıl tanımlanacağını ve nasıl işleneceğini ayrıntılı bir şekilde belirtir.
Windows işletim sistemi, birçok otomasyon ve planlama görevlerini düzenlemek ve programlamak için kullanılan Görev Zamanlayıcısı (Task Scheduler) adlı güçlü bir araç sunar. Ancak, bu araç kötü amaçlı yazılım geliştiricileri ve siber saldırganlar için de bir hedef olabilir. Çünkü bu araç, belirli görevlerin otomatik olarak çalıştırılmasını ve belirli işlemlerin yapılmasını sağlar.
Bu nedenle, bilgisayar ağı üzerindeki potansiyel kötü amaçlı etkinlikleri izlemek ve tespit etmek önemlidir. Bu amaçla kullanılan güçlü bir güvenlik sorgusu, Windows Görev Zamanlayıcısı’nda yapılan değişiklikleri izlemek ve şüpheli aktiviteleri tespit etmek için kullanılabilir.
(RegistryKeyPath ContainsCIS anycase “..\\Microsoft..\\Windows NT..\\CurrentVersion..\\Schedule..\\TaskCache..\\Tasks..\\” OR RegistryKeyPath ContainsCIS anycase “..\\Microsoft..\\Windows NT..\\CurrentVersion..\\Schedule..\\TaskCache..\\Tree..\\“)
Bu sorgu, bilgisayar ağı üzerindeki Windows işletim sistemi üzerindeki Görev Zamanlayıcısı (Task Scheduler) yapılandırmalarını izlemek için kullanılır. Sorgu, iki ana bölümden oluşur ve belirli olayları izlemek için kullanılır.
Sorgu İnceleme Birinci Bölüm
RegistryKeyPath ContainsCIS anycase “..\\Microsoft..\\Windows NT..\\CurrentVersion..\\Schedule..\\TaskCache..\\Tasks..\\
Bu bölümde, kayıt defteri yolu (Registry Key Path) incelenir. Bu yolda, Windows NT işletim sisteminin güncel sürümü altındaki Görev Zamanlayıcısı’nın görev önbelleği (TaskCache) altındaki görevler (Tasks) hedeflenir. Bu, Görev Zamanlayıcısı’nda belirli görevlerin veya planlamaların değiştirilip değiştirilmediğini izlemek için kullanılır.
Sorgu İnceleme İkinci Bölüm
OR RegistryKeyPath ContainsCIS anycase “..\\Microsoft..\\Windows NT..\\CurrentVersion..\\Schedule..\\TaskCache..\\Tree..\\“
Bu bölümde ise yine kayıt defteri yolu incelenir. Ancak bu sefer, Görev Zamanlayıcısı’nın ağaç (Tree) yapısı altındaki görevler hedeflenir. Bu, Görev Zamanlayıcısı ağacındaki değişiklikleri izlemek için kullanılır.
Sorgu Nasıl Çalışır?
Bu sorgu, Windows işletim sistemindeki Görev Zamanlayıcısı yapılandırmalarını izler. Özellikle, “Tasks” ve “Tree” altındaki değişiklikleri yakalamak için kullanılır. Eğer bu kayıt defteri yollarındaki değişiklikler algılanırsa, sistem yöneticilerine veya güvenlik uzmanlarına bir uyarı gönderilebilir. Bu sayede, potansiyel olarak zararlı bir etkinlik tespit edilip önlem alınabilir.
Özellikle siber saldırganlar, Görev Zamanlayıcısı üzerinden kötü amaçlı yazılım veya zararlı işlemler başlatmaya çalışabilirler. Bu nedenle bu tür aktiviteleri izlemek ve tespit etmek, bilgisayar ağının güvenliğini artırmak için önemlidir.
Sonuç olarak, bu güvenlik sorgusu, Windows işletim sistemi üzerindeki Görev Zamanlayıcısı yapılandırmalarındaki değişiklikleri izlemek ve şüpheli aktiviteleri tespit etmek için güçlü bir araçtır. Bilgisayar ağınızın güvenliğini artırmak ve potansiyel tehditlere karşı daha hazırlıklı olmak için bu tür sorguları kullanmak önemlidir.
SocPrime Uncoder, SOC (Security Operations Center – Güvenlik Operasyon Merkezi) analistleri ve siber güvenlik profesyonelleri için özel olarak tasarlanmış bir platformdur. Bu platform, güvenlik olayları ve tehdit verilerini çözümlemek ve analiz etmek için kullanılır. Uncoder, kullanıcılara siber tehditleri daha hızlı ve etkili bir şekilde tespit etmelerine ve bu tehditlere yanıt vermelerine yardımcı olur.
Elde edilen verileri temel alarak, SentinelOne EDR/XDR platformunda özelleştirilmiş bir kural oluşturmak için ilk adım, kuralın adını, açıklamasını ve güvenlik politikasına göre belirlenen seviyesini belirlemektir. Bu, güvenlik analistlerinin tehditleri etkili bir şekilde tespit etmelerine, yanıtlamalarına ve izlemelerine yardımcı olan önemli bir süreçtir.
SOCPrime tarafından sağlanan sorguyu kullanarak SentinelOne EDR/XDR platformunda bir özelleştirilmiş kural oluştururken, önce bu sorgunun doğruluğunu sağlamayı unutmuyoruz. Bu adım, oluşturduğumuz kuralın güvenilirliğini ve etkinliğini artırmak için kritik bir öneme sahiptir.
Tanımlanan sorgunun özel bir kurala hit edip etmediğini kontrol etmek, entegrasyon sürecinde kritik bir adımdır. Eğer sorgu güncel loglarla eşleşiyorsa, bu noktada kontrol mekanizmamız devreye girer ve hit eden kuralı tanır. Daha sonra, bu özel kuralı çıkartarak ve gerektiğinde özelleştirerek güvenlik politikalarımıza daha iyi uyacak şekilde özelleştirilmiş bir kural oluşturabiliriz. Bu yaklaşım, SentinelOne EDR/XDR platformunu daha etkili ve özelleştirilmiş bir şekilde kullanmamıza olanak tanır.
Eğer tanımlanan sorgu, herhangi bir özel kurala veya güncel loglara hit etmiyorsa, bu durumda kuralımızı etkinleştirmek için ilerlemeye karar verebiliriz. Bu, SentinelOne EDR/XDR platformunda özelleştirilmiş kural oluşturmanın önemli bir adımıdır ve tehditleri daha etkili bir şekilde tespit etmek ve müdahale etmek için güçlü bir araçtır.
Tanımlanan kuralın tetiklenmesi durumunda nasıl bir aksiyon alınması gerektiğini belirlerken, genellikle ilk aşamada bir alarm yapılandırılabilir. Ancak, oluşan alarm sonrasında, eğer false positive (yanlış pozitif) bir uyarı oluşuyorsa, kuralın revize edilmesi gerekebilir. Bu, SentinelOne EDR/XDR platformunda oluşturulan özel kuralların sürekli olarak iyileştirilmesine ve optimize edilmesine olanak tanır. Daha sonra, tehditlerin daha kesin bir şekilde tespit edilmesini sağlamak için kural Threat (tehdit) olarak yapılandırılabilir.
Kuralın son hali kontrol edildikten sonra, geliştirilen özel kuralların güvenlik politikalarına uygun olduğundan emin olmak için dikkatli bir denetim yapılmalıdır. Bu denetim, SentinelOne EDR/XDR platformunda özelleştirilmiş kuralın güvenilir ve etkili bir şekilde çalışmasını sağlar. Örnek olması açısından, aşağıda farklı bir Sigma yapılandırması paylaşılmıştır. Bu yapılandırma, özelleştirilmiş kuralın nasıl şekillendirilebileceği konusunda fikir verir ve güncel tehditlere karşı daha hassas bir tespit sağlar.
About the Author
