Ağ & NetworkOrta

Microsoft Sentinel ile Özel Grafik Modelleme: Güvenlik Verilerini İlişki Odaklı Analiz Etme

Microsoft Sentinel'de kullanıma sunulan özel grafik yetenekleriyle güvenlik verilerini ilişki odaklı analiz edin. Geleneksel log tablolarının karmaşık join'lerine gerek kalmadan çok katmanlı bağlantılar oluşturun ve saldırıların yayılma alanını görsel olarak tespit edin.

4
4sysops
0 görüntülenme
Microsoft Sentinel ile Özel Grafik Modelleme: Güvenlik Verilerini İlişki Odaklı Analiz Etme

Giriş

Microsoft Sentinel, güvenlik operasyonları (SecOps) ekipleri için bulut tabanlı bir SIEM (Security Information and Event Management) çözümüdür. Geleneksel log tabanlı analiz yöntemleri, güvenlik olaylarını ayrı ayrı incelemeye zorlarken, karmaşık saldırıların tespitini zorlaştırmaktadır. Bu sorunu çözmek için Microsoft, özel grafik modelleme adı verilen yeni bir yetenek sunmaktadır. Bu özellik, güvenlik verilerini ilişki odaklı olarak organize ederek, çok katmanlı bağlantıları görselleştirmeyi sağlar.

Sorun: Geleneksel Log Analizinin Sınırlamaları

1. Veri Parçalanmışlığı ve Karmaşık Join'ler

Geleneksel SIEM sistemlerinde güvenlik verileri genellikle ayrı log tablolarında saklanır. Örneğin, kullanıcı kimlik doğrulama olayları, cihaz bağlantıları ve IP adresi etkinlikleri farklı tablolarda yer alır. Bu durumda, bir saldırganın hareketlerini izlemek için aşağıdaki gibi karmaşık SQL sorguları yazmak gerekir:

SELECT u.user_id, d.device_name, i.ip_address, l.event_time
FROM UserAuthEvents u
JOIN DeviceConnections d ON u.user_id = d.user_id
JOIN IPActivity i ON d.ip_address = i.ip_address
WHERE u.event_type = 'failed_login'
  AND i.risk_score > 70
ORDER BY l.event_time DESC;

Bu sorgular hem zaman alıcıdır hem de hata yapma olasılığı yüksektir. Ayrıca, çok sayıda join işlemi performans sorunlarına yol açabilir.

2. Saldırıların Yayılma Alanının Görüntülenememesi

Geleneksel yöntemlerle, bir saldırganın bir sistemden diğerine nasıl yayıldığını görmek oldukça zordur. Örneğin, bir kullanıcının hesabının ele geçirildiğini ve ardından aynı ağdaki diğer cihazlara nasıl saldırıldığını izlemek için manuel olarak logları incelemek gerekir. Bu süreç hem yavaştır hem de önemli saldırı paternlerini kaçırabilir.

3. Davranışsal Pivotların Tespit Edilememesi

Gelişmiş saldırılar genellikle bir dizi küçük, normal görünümlü olaydan oluşur. Bu olaylar arasında bağlantılar kurmak ve saldırının genel resmini görmek, geleneksel log analiziyle neredeyse imkansızdır. Örneğin, bir kullanıcının olağandışı saatlerde veri indirmesi ve ardından aynı IP adresinden başka bir cihaza bağlanması gibi paternler, manuel incelemeyle kolayca gözden kaçabilir.

Çözüm: Özel Grafik Modelleme ile İlişki Odaklı Analiz

1. Grafik Veritabanı Mimarisi

Microsoft Sentinel'in özel grafik yetenekleri, verileri düğüm (node) ve kenar (edge) olarak modeller. Düğümler, kullanıcılar, cihazlar, IP adresleri ve diğer varlıkları temsil ederken, kenarlar bu varlıklar arasındaki ilişkileri gösterir. Bu yapı, verileri doğal bir şekilde organize eder ve ilişkileri görselleştirmeyi kolaylaştırır.

2. Çok Katmanlı Bağlantıların Görselleştirilmesi

Özel grafikler sayesinde, bir varlıktan diğerine çok sayıda bağlantıyı tek bir görüntüde izleyebilirsiniz. Örneğin, bir kullanıcının hesabından başlayarak, hangi cihazlara bağlandığını, hangi IP adreslerinden erişim sağladığını ve hangi diğer kullanıcılarla etkileşimde bulunduğunu görsel olarak inceleyebilirsiniz. Bu, saldırıların yayılma alanını hızlıca tespit etmenizi sağlar.

3. Saldırı Paternlerinin Otomatik Olarak Tanımlanması

Microsoft Sentinel, grafik yapısını kullanarak saldırı paternlerini otomatik olarak tanımlayabilir. Örneğin, bir kullanıcının hesabının ele geçirildiğini ve ardından aynı ağdaki diğer cihazlara saldırı başlattığını tespit edebilir. Bu paternler, güvenlik ekiplerine anında uyarı gönderilmesini sağlar.

Adım Adım Uygulama Rehberi

1. Özel Grafik Oluşturma

  1. Microsoft Sentinel portalına gidin ve Analytics bölümüne tıklayın.

  2. Hunting sekmesine geçin ve Graph seçeneğini seçin.

  3. New Graph butonuna tıklayarak yeni bir grafik oluşturun.

  4. Arama çubuğuna bir varlık adı girerek (örneğin, bir kullanıcı adı veya IP adresi) düğümleri ekleyin.

  5. Düğümler arasındaki ilişkileri görmek için kenarları inceleyin. İlişkileri filtrelemek için Filters panelini kullanın.

2. Grafik Üzerinde Sorgulama Yapma

Özel grafikler üzerinde sorgulama yapmak için Kusto Query Language (KQL) kullanabilirsiniz. Aşağıdaki örnekte, bir kullanıcıdan başlayan ve diğer cihazlara yayılan bağlantılar sorgulanmaktadır:

// Kullanıcıdan başlayan ve diğer cihazlara yayılan bağlantıları bul
let startUser = "john.doe@example.com";
SecurityGraph
| where NodeType == "User" and NodeName == startUser
| extend ConnectedDevices = graph_expand("connectedTo", "Device")
| project ConnectedDevices, EventTime = Timestamp

3. Saldırıların Yayılma Alanını Görselleştirme

Grafik üzerinde saldırıların yayılma alanını görselleştirmek için aşağıdaki adımları izleyin:

  1. Grafikte bir düğüm seçin (örneğin, şüpheli bir kullanıcı hesabı).

  2. Expand butonuna tıklayarak düğümün bağlantılı olduğu diğer düğümleri görüntüleyin.

  3. Bağlantıları renklendirmek için Color by seçeneğini kullanın. Örneğin, yüksek riskli bağlantılar kırmızı, düşük riskli bağlantılar yeşil olarak görüntülenebilir.

  4. Grafik üzerinde gezinmek için fareyi kullanarak düğümleri hareket ettirin veya yakınlaştırın.

4. Otomatik Uyarılar Oluşturma

Microsoft Sentinel'in grafik yeteneklerini kullanarak otomatik uyarılar oluşturabilirsiniz. Aşağıdaki KQL sorgusu, bir kullanıcının hesabından başlayan ve diğer cihazlara yayılan anormal bağlantılar tespit edildiğinde uyarı gönderir:

// Anormal bağlantıları tespit et ve uyarı gönder
let suspiciousUser = "john.doe@example.com";
let timeRange = 1h;
SecurityGraph
| where NodeType == "User" and NodeName == suspiciousUser
| extend ConnectedDevices = graph_expand("connectedTo", "Device")
| where ConnectedDevices.EventType == "unusual_connection"
| summarize count() by ConnectedDevices.DeviceName, bin(Timestamp, timeRange)
| where count_ > 3 // 3'ten fazla anormal bağlantı varsa uyarı gönder
| extend AlertTitle = strcat("Anormal bağlantı tespit edildi: ", suspiciousUser)
| project Timestamp, AlertTitle, DeviceName = ConnectedDevices.DeviceName

İpuçları ve Uyarılar

İpucu 1: Grafik üzerinde çalışırken, sadece ilgili düğümleri ve kenarları göstermek için filtreleri kullanın. Bu, grafik performansını artırır ve odaklanmanızı sağlar.

Uyarı 1: Grafik yeteneklerini kullanırken, veri gizliliği ve uygunluk kurallarına dikkat edin. Özellikle hassas verileri içeren düğümleri ve kenarları paylaşırken dikkatli olun.

İpucu 2: Grafik üzerinde çalışırken, zaman aralıklarını daraltın. Bu, grafikte gereksiz düğümleri ve kenarları filtreleyerek performansı artırır.

Sonuç

Microsoft Sentinel'in özel grafik yetenekleri, güvenlik operasyonları ekiplerine verileri ilişki odaklı olarak analiz etme imkanı sunar. Geleneksel log tabanlı analiz yöntemlerinin sınırlamalarını aşarak, saldırıların yayılma alanını hızlıca tespit etmenizi ve gelişmiş saldırı paternlerini tanımlamanızı sağlar. Bu özellik, özellikle karmaşık ve çok katmanlı saldırılarla mücadele eden ekipler için oldukça değerlidir. Özel grafik modellemeyi kullanarak, güvenlik olaylarını daha hızlı ve daha doğru bir şekilde analiz edebilir, saldırıların yayılmasını önleyebilirsiniz.

Kaynaklar

Kaynak

4sysops
İlgili Makaleler