SIEM (Security Information and Event Management) - Güvenlik Bilgi ve Olay Yönetimi

-

Günümüz siber güvenlik operasyonlarında, ağ üzerindeki her cihaz, sunucu ve uygulama saniyede binlerce log (kayıt) üretir. Bu devasa veri yığını içinde gerçek bir saldırıyı tespit etmek, samanlıkta iğne aramaya benzer. İşte bu noktada SIEM (Security Information and Event Management) devreye girer. SIEM, bir Güvenlik Operasyon Merkezi'nin (SOC) kalbidir ve ağdaki tüm anormallikleri anlamlı, eyleme geçirilebilir uyarılara dönüştürür.

Bu makale, SIEM'in temel çalışma prensiplerini, mimarisini ve gerçek dünya senaryolarındaki kullanımını detaylandırmaktadır.

1. SIEM Nedir ve Neden Gereklidir?

SIEM, temelde iki farklı kavramın birleşimidir:

  • SIM (Security Information Management): Verilerin toplanması, normalleştirilmesi ve uzun süreli depolanması.

  • SEM (Security Event Management): Olayların gerçek zamanlı olarak izlenmesi, korelasyonu ve uyarı üretilmesi.

SIEM sistemleri, ağdaki görünürlüğü (visibility) maksimuma çıkarır. Bir sistem yöneticisi veya Blue Team analisti, her sunucunun loglarına tek tek bakmak yerine, tüm ağın güvenlik durumunu tek bir merkezi ekrandan izleyebilir.

2. SIEM'in Temel Bileşenleri ve İşleyişi

Bir SIEM mimarisi dört ana aşamadan oluşur:

A. Veri Toplama (Log Ingestion)

Ağdaki tüm uç noktalardan (endpointler, güvenlik duvarları, yönlendiriciler, veritabanları) loglar toplanır.

  • Örnek Kaynaklar: İşletim sistemleri (Pardus, Windows, macOS), ağ tabanlı saldırı tespit sistemleri (Suricata, Snort) veya güvenlik duvarları.

B. Ayrıştırma ve Normalleştirme (Parsing & Normalization)

Farklı sistemler farklı formatlarda log üretir. Bir Linux sunucusu Syslog kullanırken, bir Windows makinesi Event Viewer formatında log gönderir. SIEM, bu farklı dilleri tek bir standart formata çevirir (Örn: Zaman damgası, Kaynak IP, Hedef IP, Olay Tipi).

C. Korelasyon (Correlation)

SIEM'in asıl "zekasını" gösterdiği yer burasıdır. Tek başına anlamsız olan veya düşük riskli görünen olaylar birleştirilerek anlamlı bir saldırı örüntüsü çıkarılır.

  • Korelasyon kuralları genellikle MITRE ATT&CK çerçevesindeki taktik ve tekniklerle eşleştirilerek yazılır. Böylece saldırganın hangi aşamada (Örn: T1110 Brute Force veya T1059 Command and Scripting Interpreter) olduğu netleşir.

D. Uyarı ve Müdahale (Alerting & Incident Response)

Belirlenen kurallar ihlal edildiğinde sistem bir alarm (alert) üretir. SOC analistleri bu alarmları inceler, olayın yanlış pozitif (false positive) olup olmadığını değerlendirir ve gerekirse müdahale sürecini (incident response) başlatır.

3. Örnek Bir Senaryo: Red Team vs. Blue Team

SIEM'in değerini anlamak için pratik bir laboratuvar senaryosunu ele alalım. Açık kaynaklı bir SIEM çözümü olan Wazuh ve ağ izleme aracı olan Suricata'nın entegre çalıştığı bir yapı düşünelim:

  1. Saldırı Girişimi (Red Team): Bir saldırgan, ağdaki bir sunucuya dışarıdan SSH üzerinden kaba kuvvet (brute-force) saldırısı başlatır.

  2. Ağ Katmanında Tespit: Suricata, ağ trafiğindeki anormal paket yoğunluğunu ve tekrarlayan bağlantı isteklerini tespit ederek SIEM'e "Olası SSH Kaba Kuvvet Saldırısı" logunu gönderir.

  3. Uç Noktada Tespit: Sunucu üzerindeki Wazuh ajanı, işletim sistemi loglarından /var/log/auth.log dosyasını okur ve "Ardışık 5 Başarısız Parola Denemesi" olayını SIEM'e iletir.

  4. Korelasyon: SIEM motoru saniyeler içinde şu kuralı işletir: "Eğer aynı Kaynak IP'den hem Suricata'dan ağ anormalliği uyarısı hem de işletim sisteminden başarısız giriş denemesi gelirse, bunu Yüksek Kritiklik (High Severity) seviyesinde bir uyarı olarak SOC ekranına yansıt."

  5. Müdahale (Blue Team): Uyarıyı gören savunma ekibi, tek bir tıkla saldırganın IP adresini engeller veya ilgili sunucuyu ağdan izole eder.

4. Eğitim Ortamlarında SIEM'in Yeri

Siber güvenlik eğitimlerinde salt teorik bilginin ötesine geçmek için öğrencilerin logları okumayı, filtrelemeyi ve kendi korelasyon kurallarını yazmayı deneyimlemesi kritik bir aşamadır. Proxmox gibi sanallaştırma platformları üzerinde kurulan izole laboratuvarlarda, saldırı simülasyonları gerçekleştirilirken bu trafiğin bir SIEM paneline nasıl düştüğünü görmek, olay müdahale reflekslerini doğrudan geliştirir.

 Öğrencilerin hem saldırı vektörlerini hem de savunma mekanizmalarını uygulamalı olarak görebilmesi, özellikle dönem sonundaki "Büyük Final" tarzı kapsamlı etkinlikler için mükemmel bir deneyim sunar.

Proxmox altyapınız üzerinde çalıştırabileceğiniz, hedef sistem olarak bir Pardus makinesini konumlandıracağımız kapsamlı bir laboratuvar senaryosuna ve Wazuh üzerinde özel kural (custom rule) yazma adımlarına geçelim.

🎯 Senaryo: Hedefli SSH Kaba Kuvvet Saldırısı ve Otomatik Engelleme

Bu laboratuvar çalışmasında, Kırmızı Takım (Red Team) hedef Pardus sunucusuna agresif bir SSH parola saldırısı düzenleyecek; Mavi Takım (Blue Team) ise bu saldırıyı Wazuh üzerinde yazacağı özel bir korelasyon kuralı ile tespit edip, Active Response (Aktif Müdahale) modülü ile saldırganı otomatik olarak ağdan izole edecektir.

Laboratuvar Topolojisi

  • Saldırgan (Kırmızı Takım): Kali Linux (192.168.1.50)

  • SIEM Sunucusu (Mavi Takım Merkezi): Wazuh Manager (192.168.1.100)

  • Hedef Uç Nokta (Kurban): Pardus 25 Bilge / ETAP 23 (192.168.1.200) - Üzerinde Wazuh Agent kurulu.

🔴 Aşama 1: Kırmızı Takım - Saldırının Başlatılması

Kırmızı Takım, hedef Pardus sunucusunun SSH servisine popüler sızma testi aracı hydra kullanarak saldırır.

Kali Linux Üzerinde Çalıştırılacak Komut:

Bash
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.200 -t 4

Bu komut, hedef sistemdeki 'root' kullanıcısı için rockyou.txt sözlüğündeki parolaları aynı anda 4 thread (iş parçacığı) ile dener.

🔵 Aşama 2: Mavi Takım - Varsayılan Logların İncelenmesi

Pardus makinesindeki Wazuh Agent, işletim sisteminin /var/log/auth.log dosyasındaki başarısız giriş denemelerini okur ve Wazuh Manager'a gönderir.

Wazuh, varsayılan olarak başarısız SSH girişlerini Rule 5716 (SSHD authentication failed) ile yakalar ve genellikle Düşük/Orta (Level 5) kritiklik seviyesinde işaretler. Ancak bizim amacımız, saniyeler içinde yüzlerce deneme yapan bu spesifik saldırıyı Yüksek Kritiklik (Level 12) olarak yakalamak.

🛠️ Aşama 3: Wazuh Üzerinde Özel Korelasyon Kuralı Yazmak

Wazuh'ta kurallar /var/ossec/etc/rules/local_rules.xml dosyası içinde tanımlanır. Mavi Takım olarak, standart kuralı ezecek (override) kendi mantığımızı yazacağız.

Wazuh Manager sunucusuna terminalden bağlanıp ilgili dosyayı düzenliyoruz:

Bash
nano /var/ossec/etc/rules/local_rules.xml

Dosyanın içerisine şu özel kural bloğunu ekliyoruz:

XML
<group name="syslog,sshd,">
  <rule id="100050" level="12" frequency="8" timeframe="60">
    <if_matched_sid>5716</if_matched_sid>
    <same_source_ip />
    <description>Kritik: Yüksek Frekanslı SSH Kaba Kuvvet Saldırısı Tespit Edildi! Kaynak IP: $(srcip)</description>
    <mitre>
      <id>T1110.001</id>
    </mitre>
    <group>authentication_failures,pci_dss_11.4,</group>
  </rule>
</group>

Kuralın Anatomisi (Öğrencilere Açıklanacak Kısım):

  • rule id="100050": Özel kurallar 100000'den başlar.

  • level="12": Olayın ciddiyet seviyesi (0-15 arası). 12 oldukça kritiktir ve alarm ürettirir.

  • frequency="8" timeframe="60": SIEM'in zekası buradadır. "60 saniye içinde 8 defa gerçekleşirse" tetiklenmesini söyler.

  • if_matched_sid>5716: Hangi temel olayı takip edeceği (Varsayılan SSH başarısız giriş kuralı).

  • same_source_ip: Bu 8 denemenin aynı IP adresinden gelmesi şartını koşar. (Farklı öğrencilerin yanlış şifre girmesiyle karışmaması için).

  • mitre id="T1110.001": Olayı MITRE ATT&CK çerçevesindeki Brute Force: Password Guessing tekniği ile eşleştirir.

Kural eklendikten sonra Wazuh Manager yeniden başlatılır:

Bash
systemctl restart wazuh-manager

🛡️ Aşama 4: Aktif Müdahale (Active Response) Kurulumu

Sadece tespit etmek yetmez, saldırganı anında durdurmalıyız. Wazuh, kural tetiklendiğinde ajana bir komut göndererek hedefin güvenlik duvarında (iptables vb.) IP'yi bloklayabilir.

Wazuh Manager üzerindeki /var/ossec/etc/ossec.conf dosyasına şu Active Response bloğunu ekliyoruz:

XML
<ossec_config>
  <command>
    <name>firewall-drop</name>
    <executable>firewall-drop</executable>
    <timeout_allowed>yes</timeout_allowed>
  </command>
  <active-response>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_id>100050</rules_id>
    <timeout>600</timeout> </active-response>
</ossec_config>

Manager tekrar yeniden başlatılır.

🏆 Sonuç ve Analiz

  1. Kırmızı Takım Hydra komutunu tekrar çalıştırır.

  2. İlk 8 hatalı denemede Pardus makinesi logları Wazuh'a iletir.

    1. denemede yazdığımız 100050 numaralı özel kural tetiklenir.

  4. Wazuh Manager, Pardus'taki ajana firewall-drop emrini gönderir.

  5. Kırmızı Takım'ın terminalinde aniden Connection refused veya Timeout hataları başlar.

  6. Mavi Takım, SIEM paneline düştüğünde MITRE T1110 etiketiyle birlikte kendi yazdığı açıklamayı ("Kritik: Yüksek Frekanslı SSH Kaba Kuvvet Saldırısı...") ve saldırganın IP'sini engellendiğini gururla izler.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı