Olay Kaydı ve Tehdit Algılama için En İyi Uygulamalar


Olay Kaydı ve Tehdit Algılama için En İyi Uygulamalar

Ulusal Güvenlik Ajansı (NSA), En İyi Uygulamaları yayınladı Olay Kaydı ve Tehdit Algılama hayati sistemlerin sürekli olarak sunulmasını sağlamak için bulut hizmetleri, kurumsal ağlar, mobil cihazlar ve operasyonel teknoloji (OT) ağları genelinde.

Bu Siber Güvenlik Bilgi Formu (CSI), Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD ACSC) de dahil olmak üzere uluslararası ortak yazarların işbirliğiyle yayınlanmıştır.

DÖRT

Bu rehberin amacı, işletmelerdeki BT ve siber çalışanların, LOTL (live off-the-land) tekniklerini kullanan tehdit aktörlerine karşı savunma yaparken destek sağlamaktır.

Ayrıca kaynak kısıtlamalarını da göz önünde bulundurarak, mevcut siber tehdit ortamında bir organizasyonun dayanıklılığını artırmaya yönelik öneriler sunmaktadır.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial

Olay Günlüğü Tutma ve Tehdit Algılama için Dört En İyi Uygulama

Verimli bir olay günlüğü sistemi, temel yazılım yapılandırmalarındaki değişiklikler gibi siber güvenlik olaylarını tanıyabilmeli, bu olaylar gerçekleştiğinde uyarılar sağlayabilmeli, hesap uyumluluğunu izleyebilmeli ve günlüklerin ve günlük platformlarının performanslı ve kullanılabilir olmasını garanti edebilmelidir.

Günlük kaydı için en iyi uygulamaları takip ederken aşağıdaki dört faktörü göz önünde bulundurun:

  • İşletme tarafından onaylanan olay günlüğü politikası
  • Merkezi olay günlüğü erişimi ve korelasyonu
  • Güvenli depolama ve olay günlüğü bütünlüğü
  • İlgili tehditlere yönelik tespit stratejisi

Kurumsal Günlük Kaydı Politikası: Siber Güvenlik İçin Stratejik Bir Adım

Kuruluş tarafından onaylanmış bir günlük kaydı politikasının oluşturulması ve yürütülmesi, bir kuruluşun sistemlerindeki sahtekarlık faaliyetlerini belirleme yeteneğini artırır ve tüm ortamların aynı günlük kaydı tekniğini kullanmasını sağlar.

Kayıt tutma politikası, kuruluş ile hizmet sağlayıcıları arasındaki paylaşılan görevleri dikkate almalıdır.

Ayrıca politikada hangi olayların kaydedileceği, olay kayıtlarının nasıl izleneceği, ne kadar süreyle saklanacağı ve hangi kayıtların tutulması gerektiğinin ne zaman yeniden değerlendirileceği belirtilmelidir.

Kötü niyetli davranışları tespit etmek ve bir kuruluşun ortamlarında tutarlılığı sağlamak için kurumsal onaylı bir günlük kaydı politikası geliştirmek ve uygulamak çok önemlidir. Etkili bir günlük kaydı politikasının temel bileşenleri şunlardır:

  1. Olay Günlüğü Kalitesi: İyi biçimlendirilmiş günlükler yerine yüksek kaliteli siber güvenlik olaylarını yakalamaya odaklanın. Yüksek kaliteli günlükler, ağ savunucularının olayları doğru bir şekilde tanımlamasına ve bunlara yanıt vermesine yardımcı olur.
  2. Ayrıntılı Yakalanan Olay Günlükleri: Günlükler, zaman damgaları, olay türleri, cihaz tanımlayıcıları, IP adresleri, kullanıcı kimlikleri ve yürütülen komutlar gibi temel ayrıntıları içermelidir. Bu bilgiler, etkili tehdit algılama ve olay yanıtlama için hayati önem taşır.
  3. Operasyonel Teknoloji (OT) Hususları:OT ortamları için cihazların sınırlı günlük kaydı yeteneklerini göz önünde bulundurun ve cihazları aşırı yüklemeden günlükleri tamamlamak için sensörleri veya bant dışı iletişimleri kullanın.
  4. İçerik ve Zaman Damgası Tutarlılığı: Günlük korelasyonunu ve analizini iyileştirmek için tüm sistemlerde yapılandırılmış günlük biçimleri (JSON gibi) ve tutarlı zaman damgaları (tercihen ISO 8601 biçimlendirmeli UTC) kullanın.
  5. Olay Günlüğü Saklama: Bazı tehditlerin tespit edilmesinden önce aylarca kalabileceğini göz önünde bulundurarak, günlüklerin olay incelemelerini destekleyecek kadar uzun süre saklandığından emin olun. Saklama süreleri düzenleyici gerekliliklerle ve kuruluşun risk değerlendirmesiyle uyumlu olmalıdır.

Bu uygulamalar, bir kuruluşun siber güvenlik olaylarını etkili bir şekilde tespit etme, araştırma ve bunlara yanıt verme yeteneğini artırır.

Merkezi Olay Günlüğü Erişimi ve İlişkilendirme

Merkezi günlük toplama ve ilişkilendirme, mobil bilgi işlem cihazlarını kullanan kurumsal ağlar, OT, bulut bilişim ve kurumsal mobilite için öncelikli günlük kaynakları listeleri sağlar.

Önceliklendirme süreci, bir saldırganın kayıtlı varlığı hedefleme olasılığını ve varlığın tehlikeye atılmasının olası sonuçlarını değerlendirmeyi içerir.

NSA, kuruluşlara günlük toplamayı etkinleştirmek için güvenli veri gölleri gibi merkezi olay günlüğü tesisleri kurmalarını tavsiye etti.

Etkili bir kurumsal günlük kaydı politikası uygulamak için:

  1. Sorumlulukları Tanımlayın: Kuruluş ve servis sağlayıcılar arasındaki günlük kaydı rollerini netleştirin.
  2. Günlükleri Öncelik Sırasına Göre Sırala: Kurumsal, OT, bulut ve mobil ortamlarda kritik sistemlere, ağ cihazlarına ve yüksek riskli alanlara odaklanın.
  3. Günlük Kalitesini Sağlayın: Zaman damgaları, IP adresleri ve kullanıcı kimlikleri gibi önemli ayrıntıları yakalayın. JSON gibi tutarlı formatlar kullanın.
  4. Merkezi İzleme: Verileri merkezi olarak toplayın ve verileri ‘sıcak’ (hızlı erişim) ve ‘soğuk’ (uzun süreli depolama) olarak kategorilere ayırın.
  5. Saklama ve Depolama: Risk ve uyumluluk ihtiyaçlarına göre saklama süreleri belirleyin. Veri kaybını önlemek için yeterli depolama alanı sağlayın.
  6. Zaman Damgası Senkronizasyonu: Tüm sistemlerde tutarlı, güvenilir bir zaman kaynağı kullanın (tercihen UTC).
  7. OT Hususları: Alternatif günlükleme yöntemleriyle OT cihazı sınırlamalarını hesaba katın.
  8. Düzenli İnceleme: Kayıtların alakalılığını periyodik olarak yeniden değerlendirin ve gerektiği şekilde politikayı güncelleyin.

Bu yaklaşım tehdit tespitini, olay müdahalesini ve uyumluluğu güçlendirir.

Buradan seçilen işlenmiş günlükler, güvenlik bilgisi ve olay yönetimi (SIEM) çözümleri ve genişletilmiş algılama ve yanıt (XDR) çözümleri gibi analitik araçlara iletilmelidir.

Güvenli Depolama ve Olay Günlüğü Bütünlüğü

  1. Merkezi Günlük Kaydı: Günlükleri toplamak için güvenli bir veri gölü uygulayın ve sınırlı yerel depolama nedeniyle oluşan kaybı önleyin. Analiz için önemli günlükleri SIEM/XDR’ye iletin.
  2. Güvenli Taşıma ve Depolama: Günlükleri aktarım sırasında ve beklemedeyken korumak için TLS 1.3 ve şifreleme yöntemlerini kullanın. Hassas günlüklere erişimi kısıtlayın.
  3. Yetkisiz Erişim Önleme: Günlükleri kötü niyetli kişiler tarafından değiştirilmeye/silinmeye karşı koruyun. Yalnızca yetkili personel erişime sahip olmalı ve denetim günlükleri bulunmalıdır.
  4. SIEM’i güçlendir: SIEM’i genel BT ortamlarından ayırın, önemli olanlara öncelik vermek için günlükleri filtreleyin ve maliyetleri en aza indirin.
  5. Temel ve Tehdit Algılama: Normal davranıştan sapmaları tespit etmek, olası siber güvenlik olaylarını veya vakalarını göstermek için merkezi günlükleri kullanın.
  6. Zamanında Günlük Toplama: Güvenlik olaylarının erken tespitini sağlamak için hızlı kayıt toplanmasını sağlayın.

İlgili Tehditler İçin Algılama Stratejisi

Living Off the Land (LOTL) tekniklerini tespit etmek için, kuruluşlar kullanıcı ve varlık davranış analitiği (UEBA) uygulamalı ve olay günlüklerini normal aktivitenin belirlenmiş temel çizgileriyle karşılaştırarak anormallikleri belirlemek için SIEM sistemlerinden yararlanmalıdır. Temel öneriler ve stratejiler şunları içerir:

  1. Davranışsal Analitik: UEBA’yı, normal işlemlerle uyumlu LOTL tekniklerini belirlemek için önemli olan ağlarda, cihazlarda veya hesaplarda olağandışı davranışları otomatik olarak algılamak için kullanın.
  2. Vaka Çalışması – Volt Typhoon: Bu grup, sistemlere sızmak ve sistemler içinde yatay olarak hareket etmek için PowerShell betikleri, Windows Yönetim Araçları Konsolu (WMIC) ve diğer yerel araçlar gibi LOTL tekniklerini kullandı ve bu da geleneksel tespiti zorlaştırdı.
  3. Anormal Davranış Göstergeleri:
  • Alışılmadık oturum açma zamanları veya konumları.
  • Hesabın normalde kullanmadığı hizmetlere erişim.
  • Yüksek hacimli erişim girişimleri veya veri indirmeleri.
  • Yaygın olmayan veya şüpheli işlem ve yolların kullanımı.
  • Devre dışı bırakılan hesapların yeniden etkinleştirilmesi gibi beklenmeyen hesap etkinliği.
  • Cihazlar arası yeni bağlantılar gibi ağ anormallikleri.
  1. Gelişmiş Algılama: Uç nokta algılama ve yanıt (EDR) çözümlerini uygulayın, ayrıntılı günlük kaydı tutun (işlem oluşturma ve komut satırı denetimi dahil) ve meşru ikili kullanım için temel değerleri belirleyin.
  2. Proaktif Tehdit Avı: Potansiyel LOTL aktivitelerini belirlemek ve araştırmak için düzenli olarak tehdit avları gerçekleştirin ve gelişen tehdit ortamına göre tespit kurallarını iyileştirin.

Bu stratejiler, bir ağ içindeki meşru araçlara ve faaliyetlere dayanmaları nedeniyle zorlu olan LOTL tekniklerinin tespit edilmesine ve azaltılmasına yardımcı olur.

(Kuruluşların, günümüz siber tehdit ortamında yaygınlaşan karadan geçinme tekniklerine karşı dayanıklılıklarını güçlendirmeleri gerekiyor)PDF’yi indir) Dave Luber, NSA Siber Güvenlik Direktörü.

“Etkili bir olay günlüğü çözümünün uygulanması ve sürdürülmesi, ağ görünürlüğünü ve daha hızlı olay yanıtını sağlayarak sistemlerin güvenliğini ve dayanıklılığını artırır.”

Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download



Source link