Uç Nokta Tehdit Algılama ve Yanıt (EDR - Endpoint Detection and Response) : Modern Siber Güvenliğin Gözü ve Kulağı

-

Geleneksel güvenlik duvarları ve antivirüs yazılımlarının yetersiz kaldığı günümüz siber tehdit manzarasında, EDR (Endpoint Detection and Response) sistemleri modern ağ savunmasının belkemiğini oluşturur. Özellikle bir Güvenlik Operasyon Merkezi (SOC) mimarisinde ağa bağlı bilgisayarların, sunucuların, akıllı tahtaların ve diğer uç noktaların derinlemesine izlenmesi, tehditlerin anında tespit edilip engellenmesi için kritik bir gereksinimdir.

Bu makale, EDR mimarisinin nasıl çalıştığını, geleneksel yöntemlerden nasıl ayrıştığını ve güvenlik operasyonlarında nasıl konumlandırıldığını incelemektedir.

1. EDR Nedir ve Geleneksel Antivirüslerden Farkı Nerededir?

EDR, ağdaki uç noktaları sürekli olarak izleyen, siber tehditleri tespit etmek için toplanan verileri analiz eden ve kural ihlallerine veya zararlı aktivitelere otomatik yanıt veren entegre bir güvenlik çözümüdür.

En temel fark, yaklaşım biçimidir:

  • Geleneksel Antivirüs (AV): İmza tabanlıdır (Signature-based). Sadece önceden bilinen ve veritabanında kaydı olan zararlı yazılımları (malware) tanır. Bilinmeyen bir "Sıfır Gün" (Zero-Day) zafiyeti veya "Dosyasız" (Fileless) bir saldırı karşısında tamamen kördür.

  • EDR: Davranış tabanlıdır (Behavioral Analysis). Bir dosyanın imzasından ziyade, sistemde ne yapmaya çalıştığına bakar. Örneğin; yasal bir sistem aracı olan PowerShell'in aniden internetten bilinmeyen bir komut dosyası indirmesi ve yetki yükseltmeye çalışması EDR için anında bir kırmızı bayraktır.

2. EDR'ın Çalışma Mekanizması ve Temel Bileşenleri

Bir EDR sisteminin yaşam döngüsü genellikle dört aşamadan oluşur:

  1. Sürekli Veri Toplama (Telemetry): Uç noktalara kurulan hafif ajanlar (agent) aracılığıyla işletim sistemi çekirdek seviyesinde izlenir. Çalışan süreçler (processes), kayıt defteri değişiklikleri, ağ bağlantıları ve dosya erişimleri saniye saniye kaydedilir.

  2. Analiz ve Tehdit İstihbaratı: Toplanan devasa veri, genellikle merkezi bir sunucuda (veya bulutta) makine öğrenimi ve tehdit istihbarat beslemeleri (Threat Intelligence) ile analiz edilir.

  3. Tehdit Avcılığı (Threat Hunting): Güvenlik analistlerinin (Mavi Takım) anormallikleri proaktif olarak aramasını sağlayan arama ve filtreleme araçları sunar.

  4. Olay Yanıtı (Incident Response): Bir tehdit doğrulandığında sistem otomatik veya manuel olarak müdahale eder. Şüpheli süreci sonlandırmak, dosyayı karantinaya almak veya enfekte olmuş makineyi anında ağdan izole etmek en yaygın yanıtlardır.

3. Mavi Takım (Blue Team) Operasyonları ve Açık Kaynak Çözümler

Mesleki ve teknik eğitim ortamlarında veya siber güvenlik laboratuvarlarında defansif yetenekleri geliştirmek için EDR sistemlerinin pratik kullanımı büyük önem taşır. Bu noktada ticari ürünlerin yanı sıra Wazuh gibi güçlü açık kaynaklı platformlar öne çıkar.

  • MITRE ATT&CK Entegrasyonu: Etkili bir EDR yapılandırması, uyarıları MITRE ATT&CK çerçevesindeki taktik ve tekniklerle eşleştirir. Bir saldırganın sisteme sızma (Initial Access) veya kalıcılık sağlama (Persistence) çabası, doğrudan bu matris üzerindeki bir teknikle ilişkilendirilerek SOC ekranına yansıtılır.

  • Geniş Platform Desteği: Yönetilen altyapıların heterojen olması (Windows istemciler, Pardus/Linux sunucular ve macOS cihazların bir arada bulunması) EDR ajanlarının her platformda sorunsuz ve düşük kaynak tüketimiyle çalışmasını zorunlu kılar.

  • Korelasyon: EDR ajanlarından gelen veriler, ağ tabanlı tespit sistemlerinden (örneğin Suricata) gelen verilerle birleştirildiğinde, saldırının tam anatomisi ortaya çıkar.

4. Siber Güvenlik Laboratuvarlarında Kırmızı vs. Mavi Takım Senaryoları

Siber güvenlik eğitimlerinde teorinin pratiğe dönüşmesi için EDR sistemleri mükemmel bir test alanıdır. Öğrenciler için planlanan kapsamlı bir Kırmızı vs. Mavi Takım simülasyonunda EDR'ın rolü şudur:

  • Kırmızı Takım (Saldırganlar): Güvenlik duvarlarını aşarak içeri girmeye, EDR ajanlarını atlatmaya (Evasion) veya zararlı payload'larını gizlemeye çalışır.

  • Mavi Takım (Savunmacılar): EDR panelleri üzerinden yetkisiz SSH erişim denemelerini, ters bağlantı (Reverse Shell) açma girişimlerini veya ağ içi yanal hareketleri (Lateral Movement) tespit eder ve alarm üretir.

Bu dinamik yapı, sistem yöneticilerinin ve geleceğin siber güvenlik uzmanlarının sadece saldırı yapmayı değil, aynı zamanda kompleks ağları nasıl savunacaklarını anlamalarını sağlar.

Wazuh Üzerinde MITRE ATT&CK Uyumlu Özel Kural Yazma 

Büyük Final simülasyonunda Kırmızı Takım'ın sızma girişimlerini anında yakalamak ve Mavi Takım'ın SOC (Security Operations Center) ekranlarına anlamlı alarmlar düşürmek için Wazuh üzerinde özel kurallar (custom rules) yazmak kritik bir adımdır. Doğru yapılandırılmış kurallar, sadece "bir şeyler ters gidiyor" demek yerine, "Saldırgan şu anda T1110 numaralı MITRE tekniği ile Brute Force denemesi yapıyor" diyerek savunmacılara net bir vizyon sunar.

Aşağıda, laboratuvar ortamınızdaki sunuculardan uç noktalara kadar farklı senaryoları kapsayan, MITRE ATT&CK çerçevesiyle tam uyumlu özel kural yazma adımları bulunmaktadır.

1. Wazuh Kural Mimarisi ve Dosya Konumu

Wazuh'ta varsayılan kurallar güncellemelerle değişebileceğinden, kendi yazacağınız özel kuralları her zaman local_rules.xml dosyasına eklemeniz gerekir.

  • Dosya Yolu: /var/ossec/etc/rules/local_rules.xml

  • Kural Kimlikleri (Rule ID): Çakışmaları önlemek için özel kurallara her zaman 100000 ile 120000 arasında bir ID (kural numarası) verilmelidir.

  • Seviyeler (Level): 0 ile 15 arasında değişir. 10 ve üzeri seviyeler genellikle yüksek öncelikli tehditleri (Aktif Yanıt / Active Response tetikleyecek durumları) temsil eder.

2. Uygulamalı Kırmızı/Mavi Takım Senaryoları

Senaryo 1: Kritik Sunucularda Kimlik Bilgisi Avı (Credential Access)

Proxmox üzerinde sanallaştırılmış olan ve laboratuvarın merkezini oluşturan Pardus 25 Bilge sunucularında, Kırmızı Takım'ın ilk hedefi genellikle SSH üzerinden sisteme sızmaktır. Arka arkaya gelen başarısız giriş denemelerini yakalayarak bunu MITRE T1110 (Brute Force) ile eşleştirelim.

Aşağıdaki kuralı local_rules.xml dosyasına ekleyebilirsiniz:

XML
<group name="linux, sshd, red_team_sim,">
  <!-- Mevcut SSH hata kuralını (5716) temel alarak 1 dakika içinde 5 hata olursa tetiklenir -->
  <rule id="100001" level="12" frequency="5" timeframe="60">
    <if_matched_sid>5716</if_matched_sid>
    <same_source_ip />
    <description>MAVİ TAKIM ALARMI: Aynı IP adresinden ardışık SSH Brute Force saldırısı tespit edildi!</description>
    <mitre>
      <id>T1110</id>
    </mitre>
    <group>authentication_failures, pci_dss_10.2.4,</group>
  </rule>
</group>

Senaryo 2: Uç Noktalarda Yanal Hareket ve Yetki Yükseltme (Lateral Movement & Privilege Escalation)

Öğrenci ağındaki cihazlarda veya standartları korumak adına 9-a isimlendirme formatıyla ağa dahil edilen akıllı tahtalarda (ETAP sistemleri), yetkisiz bir kullanıcının sudo yetkisiyle ters bağlantı (reverse shell) açmaya veya kritik sistem dosyalarına müdahale etmeye çalışması yüksek riskli bir durumdur.

Aşağıdaki kural, sistemde izinsiz yetki yükseltme komutlarının çalıştırılmasını (MITRE T1068 - Exploitation for Privilege Escalation) yakalar:

XML
<group name="linux, sudo, execution,">
  <rule id="100002" level="10">
    <if_sid>5402</if_sid> <!-- Başarılı sudo çalıştırma kuralı -->
    <match>nmap|nc|netcat|bash -i|python -c</match>
    <description>MAVİ TAKIM ALARMI: Şüpheli süreç! Sudo yetkisiyle ağ tarama veya ters bağlantı (Reverse Shell) aracı çalıştırıldı.</description>
    <mitre>
      <id>T1068</id>
      <id>T1059.004</id> <!-- Unix Shell -->
    </mitre>
    <group>privilege_escalation, suspicious_command,</group>
  </rule>
</group>

Senaryo 3: Dosya Sistemi Bütünlüğünün Bozulması (Defense Evasion)

Kırmızı Takım, izini kaybettirmek için veya arka kapı (backdoor) yerleştirmek için /etc/shadow veya /etc/passwd gibi kritik dosyaları değiştirmeyi deneyebilir. Wazuh'un FIM (File Integrity Monitoring - Dosya Bütünlük İzleme) modülü ile entegre bir kural:

XML
<group name="ossec, syscheck,">
  <rule id="100003" level="14">
    <if_sid>550</if_sid> <!-- FIM dosya değişikliği kuralı -->
    <match>/etc/shadow|/etc/passwd</match>
    <description>KRİTİK İHLAL: Kırmızı Takım kimlik bilgisi dosyalarını (/etc/shadow veya /etc/passwd) değiştirdi!</description>
    <mitre>
      <id>T1562.001</id> <!-- Disable or Modify Tools -->
      <id>T1003.008</id> <!-- /etc/passwd and /etc/shadow -->
    </mitre>
    <group>defense_evasion, credential_access,</group>
  </rule>
</group>

3. Kuralları Devreye Alma ve Test Etme

Kuralları local_rules.xml dosyasına ekleyip kaydettikten sonra, sistemin bu kuralları okuyabilmesi için Wazuh yöneticisinin yeniden başlatılması gerekir:

Bash
systemctl restart wazuh-manager

Mavi Takım Testi: Kuralların çalışıp çalışmadığını simülasyondan önce doğrulamak için wazuh-logtest aracını kullanabilirsiniz. Bu araç, canlı bir alarm üretmeden logların hangi kurala takılacağını gösterir:

Bash
/var/ossec/bin/wazuh-logtest

Araç açıldığında, sisteme sahte bir syslog veya sudo log metni yapıştırarak yazdığınız 100002 veya 100001 numaralı MITRE etiketli özel kurallarınızın başarıyla tetiklenip tetiklenmediğini görebilirsiniz.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı