Güvenlik izleme ve olay yönetimi süreçlerinde Splunk, güçlü veri toplama ve analiz yetenekleriyle öne çıkan bir platformdur. Microsoft Sysmon ise sistemdeki detaylı olayları kaydederek derinlemesine gözlem imkânı sunar. Bu yazımda Splunk Enterprise kurulumundan başlayarak Dashboard incelemesine, Universal Forwarder yapılandırmasına ve Sysmon entegrasyonuna değineceğim.
SPLUNK
Splunk, büyük ölçekli veri analizi, log yönetimi ve güvenlik izleme gibi alanlarda kullanılan güçlü bir platformdur. Genel olarak iki ana sürümü bulunur: Splunk Enterprise ve Splunk Cloud.
Splunk Enterprise, organizasyonların kendi altyapılarında kurup yönettiği, esnek ve özelleştirilebilir bir çözümdür. Verileri yerel sunucularda veya özel veri merkezlerinde işleyerek analiz etmeye olanak tanır. Büyük ölçekli şirketler için uygun olan bu sürüm, sistem yönetimi ve bakım sorumluluğunu kullanıcıya bırakır.
Splunk Cloud ise tamamen Splunk tarafından yönetilen, bulut tabanlı bir hizmettir. Kurulum ve altyapı yönetimi gerektirmeden doğrudan kullanılabilir. AWS, GCP ve Azure gibi popüler bulut sağlayıcılarıyla entegre çalışarak verilerin merkezi bir noktada toplanmasını sağlar. Özellikle bakım yükünü azaltmak ve ölçeklenebilir bir yapı kullanmak isteyen kurumlar için tercih edilir.
Her iki sürüm de aynı veri analizi yeteneklerine sahip olsa da, Enterprise sürümü daha fazla özelleştirme ve yerel yönetim imkanı sunarken, Cloud sürümü kullanım kolaylığı ve hızlı ölçeklenebilirlik avantajlarıyla öne çıkar. Kullanıcıların ihtiyacına bağlı olarak, güvenlik gereksinimleri ve altyapı yönetimi göz önünde bulundurularak en uygun çözüm seçilebilir. Aralarındaki farklara da değindiğimize göre indirme işlemine başlayabiliriz.
Enterprise sürümünün indirme linki için tıklayabilirsiniz.
Bilgilerimizi girelim. (Kişisel mail adresini de kabul ediyor.)
Mail adresimizi doğrulayalım.
İşletim sistemine göre gerekli dosyayı indirelim.
Kurulum ekranındaki lisansı onaylayalım.
Kurmak istediğimiz dizini kontrol edelim.
Kullanıcı adı ve parola bilgisi girelim.
Finish dedikten sonra bizi otomatik olarak login ekranına yönlendirecektir. Belirlediğimiz kullanıcı adı ve parolayı girelim. Sonrasında Dashboard ekranı bizi karşılayacaktır.
Splunk Enterprise, veri görselleştirme ve analiz süreçlerini kolaylaştıran güçlü bir dashboard yapısına sahip. Dashboard, belirli log verilerini grafikler, tablolar, istatistikler ve özel panellerle görselleştirmek için kullanılıyor. Kullanıcılar, SPL (Search Processing Language) sorgularıyla veri çekerek özelleştirilmiş dashboard’lar da oluşturabilir.
Apps menüsü en sık kullanacağımız bölümdür. Detaylı inceleyelim.
Audit Trail Dashboard, Splunk Enterprise içinde kullanıcı aktivitelerini, sistem değişikliklerini ve güvenlik olaylarını izlemek için kullanılan bir dashboard türüdür. Audit loglarını analiz ederek, sistemde kimlerin hangi işlemleri gerçekleştirdiğini görselleştirmeye olanak tanır. Özellikle güvenlik ve uyumluluk gereksinimlerini karşılamak için kullanılır.
Apps sekmesi ise Splunk’un genişletilebilirliğini sağlayan bir bölüm. Burada, Splunk’un sunduğu veya üçüncü taraf geliştiriciler tarafından hazırlanan uygulamalar bulunur. Bu uygulamalar, belirli veri kaynakları için önceden hazırlanmış dashboard’lar, arayüz geliştirmeleri ve entegrasyon araçları içerebilir.
Find More Apps bölümü, Splunk’un yeteneklerini genişletmek için ek uygulamalar ve eklentiler bulabileceğimiz bir sekmedir. Birbiri ile entegre çalıştırmak istediğimiz uygulamaları görüntüleyebiliriz.
Splunk Search & Reporting, log verilerini analiz etmek için en güçlü araçlardan biri. Search sekmesinde, logların detaylarını inceleyebilir, tüm işlemleri ve zaman bilgilerini filtreleyebiliriz. Arama yapmak için SPL kullanarak veri sorguları oluşturabiliriz.
Mesela belirli bir zaman dilimindeki tüm giriş işlemlerini görmek için zaman filtresi ekleyebilir ve veriyi bu kritere göre daraltabiliriz. “All time” seçeneğine tıkladığımızda, zaman dilimi üzerinde daha detaylı filtreleme yapma imkanımız olur ve böylece belirli bir tarih aralığında veya saat diliminde gerçekleşen olayları analiz edebiliriz.
Splunk’ta arama seçenekleri yaparken kullanılan üç ana mod vardır: Fast Mode, Smart Mode ve Verbose Mode. Her bir mod, arama işlemi sırasında nasıl veri işleneceğini ve hangi düzeyde ayrıntıların gösterileceğini belirler.
Fast Mode, verileri hızlı bir şekilde sorgular ve genellikle daha düşük seviyede detay sağlar. Özellikle büyük veri kümeleriyle çalışırken daha hızlı sonuç almayı sağlar. Ancak, bazı ayrıntılar veya ekstra işlemler görmezden gelinir.
Smart Mode, Fast ve Verbose modlarının bir kombinasyonudur. Bu mod, genellikle arama sorgularını optimize eder ve performans ile detaylar arasında denge sağlar. Arama sonuçlarının hızlı bir şekilde elde edilmesi sağlanırken, kritik veriler hala sağlanır. Bu mod, çoğu durumda en ideal seçimdir çünkü hız ve doğruluk arasında iyi bir denge sunar.
Verbose Mode, en ayrıntılı arama modu. Arama sırasında daha fazla işlem ve analiz yapılır, bu da sonuçların daha fazla veri içerdiği anlamına gelir. Ancak, bu mod daha yavaş olabilir çünkü daha fazla ayrıntı hesaplanır ve gösterilir. Büyük veri setlerinde sorguların daha uzun sürmesine neden olabilir.
~ Çoğu durumda Smart Mode en ideal seçimdir çünkü hem performans hem de detaylar arasında iyi bir denge sağlar. Eğer hız çok önemliyse ve daha az detayla yetinilebiliyorsa Fast Mode kullanılabilir. Ancak, analiz yapılırken en yüksek doğruluk ve detay gerektiğinde Verbose Mode tercih edilebilir. ~
Ayrıca, * karakterini kullanarak tüm veriyi listeleyebilir ve arama sonuçlarına genel bir bakış elde edebiliriz.
Bir arama yaptığımızda kayıt etmemiz de mümkün.
Settings menüsü, Splunk uygulamamızın yapılandırmasını ve yönetimini sağlamak için kullanılan ana kontrol panelidir.
Knowledge sekmesinde veriye dayalı alanlar oluşturulabilir, olay türleri tanımlanabilir ve dış veri kaynaklarıyla entegrasyon sağlanabilir.
System sekmesi, Splunk’ın genel işleyişi üzerinde denetim sağlar. Burada, sunucu ayarları, sistem uyarıları, iş denetleyicisi bulunur. Sistem yöneticileri, Splunk sunucusunun performansını izlemek, hata tespit etmek ve gerekli yapılandırmaları yapmak için bu bölümü kullanır. Ayrıca, sistem sağlığı raporları ve arama görevlerinin zamanlamaları da burada yönetilebilir.
Data sekmesi, Splunk’a veri kaynaklarını entegre etmenin merkezi noktasıdır. Burada, farklı veri giriş kaynakları (log dosyaları, ağ trafiği, veritabanları, vb.) Splunk’a eklenebilir, veri indeksleri oluşturulabilir ve veri toplama yöntemleri yapılandırılabilir. Veri girişi, Splunk’ın doğru şekilde çalışabilmesi için çok önemli olduğundan, bu alan, veri akışlarının düzenli ve doğru bir şekilde yapılandırılmasına olanak tanır.
Distributed Environment (Dağıtık Ortam), birden fazla Splunk instance’ının koordineli bir şekilde çalışmasını sağlar. Bu bölümde, birden fazla Splunk sunucusu arasında veri paylaşımı ve yük dengelemesi yapılabilir. Büyük veri kümeleri ve yüksek hacimli verilerle çalışan kurumlar için kritik öneme sahiptir. Splunk Search Head, Indexer ve Forwarder gibi bileşenlerin yönetimi burada yapılabilir.
Users and Authentication sekmesi, Splunk sistemine kimlerin erişebileceğini ve hangi izinlere sahip olacaklarını yönetir. Buradan kullanıcı hesapları eklenebilir, mevcut kullanıcıların izinleri güncellenebilir ve kullanıcı rolleri atanabilir. Kimlik doğrulama yöntemleri de bu alanda yapılandırılabilir. LDAP, SSO gibi kimlik doğrulama protokollerini kullanarak daha güvenli bir erişim sağlanabilir.
Activity menüsündeki Jobs ve Triggered Alerts bölümleri, Splunk’ın işlem ve uyarı yönetimi konusunda önemli işlevler sunar.
Jobs bölümü, kullanıcıların gerçekleştirdiği arama işlemleri ve sorgularının yönetildiği alandır. Geçmişte çalıştırılmış arama görevlerini ve sorguları görüntüleyebilir, bunların durumunu kontrol edebilir ve gerektiğinde iptal edebiliriz.
Triggered Alerts (Tetiklenen Uyarılar) bölümü ise, Splunk üzerinde oluşturduğunuz uyarıları ve bildirimleri yönetmek için kullanılır. Bu bölümde, belirli kriterler doğrultusunda tetiklenen uyarıları görebilir, uyarıların hangi koşullarda devreye girdiğini ve hangi aksiyonların alındığını inceleyebiliriz. Ayrıca, tetiklenen uyarıları analiz ederek, sistemdeki anormal durumları veya potansiyel güvenlik tehditlerini daha hızlı tespit edebiliriz.
Help menüsü, Splunk kullanıcıları için önemli bir kaynaktır ve uygulamanın kullanımını kolaylaştıran çeşitli yardımcı araçlar sunar. Splunk ile ilgili sorunları çözmek, eğitimlere erişmek ve destek almak için kullanabileceğimiz seçenekler içerir.
Splunk Documentation sitesi, Splunk yazılımını kullananlar için kapsamlı bir kaynak sağlar. Bu site, Splunk’ın tüm özelliklerini anlamak, kurulum, yapılandırma, kullanım ve çözümleme işlemleri hakkında derinlemesine bilgi edinmek isteyenler için resmi dökümantasyon sunar. Siteye ulaşmak için tıklayabilirsiniz.
Universal Forwarder
Splunk Universal Forwarder, veri toplama ve iletme görevini üstlenen hafif bir ajan (agent) olarak çalışır. Temelde, uzak makinelerden ve cihazlardan veri alır ve bu verileri Splunk’ın merkezi indexer’larına gönderir. Sistem kaynaklarını minimum düzeyde kullanarak verileri toplar.
Windows Event Log’ları, Splunk Universal Forwarder aracılığıyla toplanabilir ve Splunk’a gönderilebilir. Event ID’ler hakkında bilgi almak için tıklayabilirsiniz.
Diğer kurulumumuza başlayalım.
Universal Forwarder indirme linki için tıklayabilirsiniz.
Sözleşmeyi kabul edelim ve indirelim.
SSL certificate kısmını boş bırakarak ilerleyebiliriz.
Local System en yüksek yerel erişime sahip ancak ağ erişimi sınırlıdır.
Domain Account daha geniş ağ erişimi sağlar ve domain içindeki tüm kaynaklara ulaşabilir.
Virtual Account ise daha güvenli ve daha az yönetim gerektiren bir seçenektir ancak bazı durumlarda sınırlı erişimle çalışabilir.
Çekmek istediğimiz logları seçelim.
Kullanıcı adı ve parola bilgimizi girelim.
Deployment Server özelliği daha büyük ve dağıtık Splunk ortamlarında faydalıdır, boş bırakarak ilerleyelim.
Splunk Dashboard’daki Settings > Forwarding and receiving sekmesine gelelim. Splunk Enterprise ve Universal Forwarder’ın verileri göndermesi veya alması için yapılandıracağız.
Add new seçeneğine tıklayalım.
Port 9997 genellikle verilerin Splunk Forwarder’lardan Splunk Indexer’lara iletilmesi için kullanılan default port. 9997 yazıp Save seçeneğine tıklayalım.
Ekleyeceğimiz makinede cmd’yi çalıştıralım ve IP adresimizi öğrenelim.
Kurulum ekranına geri dönelim. IP adresimiz ve belirlediğimiz port bilgisini girelim.
Ajan yüklediğimiz makineyi kontrol etmek için Splunk Dashboard> Search> Data Summary sekmesine gelerek eklenip eklenmediğini inceleyelim.
Ajan ekleme işlemimiz tamamlandı.
Count, veri akışındaki event’lerin sayısını belirtmektedir.
Anlamlandırılan logun tüm detaylarını görüntülemek için “>” işaretine tıklayabiliriz.
Field alarmları, belirli alanlarda (fields) meydana gelen değişiklikleri veya eşik değerlerini izlemek için kullanılıyor. Bu tür alarmlar, belirli bir koşul gerçekleştiğinde uyarı verir ve genellikle veri üzerinde daha derinlemesine analiz yapmamıza olanak tanır.
Host, eklediğimiz makineleri belirtmektedir.
Source, Event Viewer’daki loglarımızı belirtmektedir.
All field seçeneği ile başka fields ekleyebilmekteyiz.
Splunk’ta veriler Indexer’a gelir, burada index içinde saklanır ve işlenir. Indexer, verileri kategorize eder, sorgulama için optimize eder ve sonrasında kullanıcıların veri üzerinde hızlı ve verimli aramalar yapmalarını sağlar.
Splunk’ta search belirli fields’a göre yapılır. Field’lar, veriyi tanımlayan ve sınıflandıran bileşenlerdir. Eğer belirli bir host makine için logları görüntülemek istiyorsanız, host field’ını kullanarak arama yapabilirsiniz.
Mesela A makinesi için logları görüntülemek istiyorsak host=”A” yazmalıyız.
Splunk, verileri index’e yerleştirdiğinde, her bir event belirli field’larla ilişkilendirilir. Bu field’lar, verilerin türüne, kaynağına ve içeriğine göre otomatik olarak çıkartılır. Veriler üzerinde arama yaparken, bu fields’ı kullanarak veri kümesini daraltabilir ve daha anlamlı sonuçlar elde edebiliriz.
export seçeneğini kullanarak sonuçları csv formatında dışa aktarabiliriz.
SYSMON
Sysmon (System Monitor), Microsoft’un sunduğu bir open source güvenlik aracıdır ve Windows işletim sistemlerinde sistem düzeyindeki etkinlikleri izlemeye yönelik kullanılır. Sysmon, özellikle EDR (Endpoint Detection and Response) sistemlerinin bir parçası olarak kullanılabilir çünkü cihazdaki potansiyel güvenlik tehditlerini ve kötü niyetli etkinlikleri tespit etmeye yardımcı olur.
İndirme linki için tıklayabilirsiniz.
İndirdiğimiz dosyayı “Tümünü Ayıkla” seçeneği ile zipten çıkaralım.
Sysmon konfigürasyon dosyasının bulunduğu github linki için tıklayabilirsiniz.
Raw dosyasını indirelim.
Sysmon klasörüne taşıyalım.
Sysmon klasör yolunu kopyalayalım.
Dizine 1 kez tıklamamız yolu seçmemiz için yeterli.
cmd’yi yönetici olarak çalıştıralım.
Klasöre geçiş yapmak için cd komutunu ve klasör yolunu yazalım.
dir komutu ile klasör bilgilerini görüntüleyip kontrol edelim.
Sysmon indirme sitesinde yer alan komutu çalıştıralım.
sysmon -accepteula -i sysmonconfig-export.xmlSysmon aracını Windows işletim sistemine yüklemek ve yapılandırmak için kullanılan bir komut. Sysmon’un çalışmaya başlamadan önce kullanıcıya kabul etmesi gereken End User License Agreement (EULA) (Kullanıcı Lisans Sözleşmesi) işlemini otomatik olarak kabul eder ve Sysmon’u belirtilen yapılandırma dosyasıyla (sysmonconfig-export.xml) başlatır.
İndirme işlemini tamamladık.
Event Viewer penceresini açalım. Uygulama ve Hizmet Günlükleri> Microsoft> Windows> Sysmon bölümüne gelelim.
Sysmon logları, Windows sistemindeki güvenlik ve işlem etkinliklerini izlemek için kullanılır ve her bir olay, belirli bir Event ID ile tanımlanır. Bu ID’ler, olayın türüne göre farklılık gösterir ve güvenlik analizi yaparken hangi tür olayların önemli olduğunu anlamamızı sağlar.
Mesela Event ID 1 — Process Creation; bir işlem başlatıldığında kaydedilen loglardır ve işlem adı, komut satırı, parent process ID ve diğer bilgileri içerir.
Sysmon loglarının Splunk’a gönderilmesini sağlamak için gerekli ayarı yapalım.
Program files> SplunkUniversalForwarder> etc> apps> SplunkUniversalForwarder> local içerisinde bulunan inputs dosyasını not defteri ile açalım.
En alt satıra aşağıdaki metni yapıştırıp masaüstüne kaydedip çıkalım.
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = 0
index = mainBu metin Windows Event Log üzerinde Sysmon/Operational kanalında bulunan logları toplar ve bunları Splunk’a gönderir. Ayrıca, logların toplama işlemi etkin hale getirilmiştir (disabled = 0) ve loglar, main adında bir index’e kaydedilecektir.
Program files> SplunkUniversalForwarder> etc> apps> SplunkUniversalForwarder> local içerisinde bulunan inputs dosyasını silelim ve masaüstüne kaydettiğimiz inputs dosyasını taşıyalım.
Yeniden adlandır seçeneği ile .txt uzantısını silelim.
Hizmetler penceresini açalım.
Yapılan ayarların kaydedilmesi için SplunkdService ve SplunkForwarder hizmetlerini durdurup tekrardan başlatacağız.
Splunk Dashboard’a gelelim ve tekrar giriş yapalım.
Source kısmına Sysmon eklenmesi, Splunk’ın gelen logların Sysmon tarafından oluşturulduğunu anlamasına ve bu logları doğru şekilde işlemesine yardımcı olur.
İşlemi tamamladık. Sysmon entegrasyonunu başarılı bir şekilde Splunk dashboard’una ekleyerek, Windows sistemlerindeki güvenlik olaylarını izleme ve analiz etme sürecini daha verimli hale getirdik.
Artık, Sysmon loglarıyla güçlendirilmiş Splunk dashboard’u üzerinden güvenlik verilerini daha etkin bir şekilde yönetebilir ve olası tehditlere karşı hızlı bir şekilde aksiyon alabiliriz.
Okuduğunuz için teşekkürler..
https://www.siberguvenlik.web.tr/suricata/ Yayınlanan tüm yazılarım için => https://www.siberguvenlik.web.tr/author/mervecelikkol
