Endpoint ve Ağları Nasıl İzleyebiliriz?

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Öncelikle İzleme'nin 2 ana türü vardır:

Endpointler

Network


peki aralarındaki fark nedir ve onlardan hangi verileri görebilirim.

Ağ İzleme ile başlayalım:

Network

Öncelikle bazı soruları yanıtlamamız gerekiyor.

  • Hangi portların gerçekten kullanımda olduğunu biliyor musunuz?
  • Bu portlarda gerçekte hangi hizmetler kullanılıyor?
  • Hangi alan adlarının kimler tarafından ziyaret edildiğini biliyor musunuz?
  • Kötü niyetli şifrelenmiş trafiği tespit edebiliyor musunuz?
  • Üst düzey bant genişliğini ve trafik akışını görebiliyor musunuz?

Ağ analizi hakkında konuştuğumuzu fark etmiş olmalısınız.

Peki cevabı nasıl alacağız?

İşte NSM'nin rolü burada ortaya çıkıyor ve açılımı Ağ Güvenliği İzleme

Ağ Güvenliği İzleme Nedir?

Ağ güvenliği izleme, güvenlik açıkları, tehditler ve şüpheli faaliyetler için ağ cihazlarını ve trafiğini izleyen otomatik bir süreçtir, ayrıca verilerin toplanmasını ve analiz edilmesini içerir, bu da şirketlere ağlarındaki davetsiz misafirleri tespit etme ve bunlara yanıt verme fırsatı verir.

Ağ Güvenliği İzleme ile temel olarak şunları bilebileceğimizi söyleyebiliriz

  • Kim kiminle konuşuyor, ne söylüyorlar ve aslında ne tür bir hizmet kullanıyorlar.
(NSM)'nin faydaları nelerdir?

Ağ trafiğini analiz etme.

Hizmetler: DNS, HTTP(S), SMB, RDP, FTP, SSH, vb.

Riskli / tehlikeye benzer davranışları belirleme

  • Exploit Gönderimi
  • Dahili yeniden yapılandırma ve döndürme
  • Komuta & Kontrol (C2) Trafiği
  • Veri Sızıntısı
  • Çalıştırılabilir içerik aktarımı

Katmana Göre NSM

Katman 3 ve 4

  • NetFlow, Güvenlik Duvarı Günlükleri, İstatistiksel Veriler

Katman 7
  • Servis Günlükleri
  • Paket Yakalama, IDS uyarıları

NSM Etkinlik Toplama Noktaları ve Biçimleri

nsm.png



NSM'ye neden ihtiyacımız var?


Bu makaleyi okuyabilirsiniz https://pchtechnologies.com/why-do-i-need-network-security-monitoring-for-my-network/

Endpointler

Ayrıca Uç Noktaların İzlenmesi ile birlikte cevaplanması gereken bazı sorular ortaya koymalıyız.

Bu sorular şunlardır:

  • Herhangi biri yetkisiz program yükledi mi?
  • Hangi Portlar dinleniyor ve neden?
  • Hangi açıklara karşı savunmasızsınız?
  • Herhangi bir sistem dosyası değiştirildi mi?
  • Herhangi bir kötü niyetli komut dosyası çalıştırıldı mı?
  • Bilgisayarlar, Bulutlar, Sunucular hakkında konuştuğumuzu fark etmelisiniz

Peki cevabı nasıl alacağız?

CSM'nin rolü burada ortaya çıkıyor ve Sürekli Güvenlik İzleme anlamına geliyor ya da NIST'in tanımladığı gibi ISCM diyebilirsiniz, peki nedir?

Sürekli Güvenlik İzleme Nedir?

Sürekli Güvenlik İzleme (CSM), operasyonel güvenliğinizi sürekli olarak kontrol etme ve değerlendirme sürecini otomatikleştiren bir stratejidir. Bu yaklaşımın arkasındaki fikir, siber suçlular bunları istismar etmeden önce güvenlik açıklarını belirlemenizi ve bunları düzeltmenizi sağlamaktır.

Ayrıca NIST'in tanımını da okuyabilirsiniz https://csrc.nist.gov/glossary/term/information_security_continuous_monitoring

CSM'nin faydaları nelerdir?
  • uç nokta verilerine - "duran verilere" veya uç noktada üretilen verilere bakar
  • Uygulamalarınız ve altyapınız için gerçek zamanlı görünürlük sağlar
  • Güvenlik açığı taraması
  • Dosya / Kayıt Defteri bütünlüğü izleme
  • Otomatik Çalıştırmalar
  • Hizmetler
  • Çalışan süreç
  • Cihazları sınıflandırır: önleyici tedbirler uygulamanıza olanak sağlamak için

CSM Etkinlik Koleksiyonu

İşte CSM Olay Toplama Kaynakları:
  • İşletim Sistemi/Uygulama kimlik doğrulama günlükleri
  • Sysmon
  • Antivirüs
  • EDR
  • Beyaz Liste
  • HIDS/HIPS
  • Güvenlik Açığı Tarayıcısı
logssiem.png


CSM Nasıl Çalışır?

Sürekli izleme çözümleri, bir kuruluşun güvenlik duruşu hakkında gerçek zamanlı bilgi sağlayarak çalışır. Ulusal Standartlar ve Teknoloji Enstitüsü'nün teknik incelemesi NIST SP 800-137'ye göre, bilgi güvenliği sürekli izleme (ISCM) şu şekilde çalışır

  • Kurum ve tedarikçi ekosistemindeki tüm sistemlere ilişkin durumsal farkındalığın sürdürülmesi
  • Tehditleri ve tehdit faaliyetlerini anlamayı sürdürmek
  • Tüm güvenlik kontrollerinin değerlendirilmesi
  • Güvenlikle ilgili bilgilerin toplanması, ilişkilendirilmesi ve analiz edilmesi
  • Kuruluşun tüm kademelerinde güvenlik durumunun eyleme geçirilebilir iletişiminin sağlanması; ve
  • Kurum yetkilileri tarafından riskin aktif yönetimi.
  • Bilgi güvenliği ve risk yönetimi çerçevelerinin entegrasyonu.

NIST Siber Güvenlik Çerçevesi tüm süreci aşağıdaki temel bileşenlere ayırır:

  • Tanımlama
  • Koruma
  • Algılama
  • Yanıt
  • Kurtarma
CSM'ye neden ihtiyacımız var?

Soruşturmalar ağ ve son kullanıcı verilerini gerektirecektir

Örnek için: Kötü Amaçlı Yazılım Enfeksiyonu oluşur

  • Trafik 443 numaralı bağlantı noktasındaki bir IP'ye oluşturulur
  • Ağ verileriyle araştırma yaparken, örneğin kötü IP veya kötü alan adını görebilirsiniz...?

ama ya bu süreçlerin bunu oluşturduğunu biliyorsanız

csm.png


  • şimdi calc.exe | PID: 2092 işlem ağacını görüyorsunuz ve bu calc.exe cmd.exe'yi başlatıyor tabii ki bu iyi görünmüyor mu?
  • şimdi bunun bir kalıcılık tekniği olduğunu tespit ettik ve şimdi dosyanın sürücüde nerede olduğunu biliyoruz.
İzleme Veri Kaynakları Tablosu

1710785667964.png



Son olarak, olayları aramak ve uyarmak için tek bir yer vardır, o da SIEM'inizdir


SıEM.png


BONUS

Veriler SIEM'e Nasıl Ulaşır?

Bu küçük fotoğraf (NSM) VE (CSM)'nin SIEM ile nasıl çalıştığını göstermektedir

NSMANDCSM.png
 
Geri
Üst