Falanx

Elastic Search Kullanımı ve Örnekleri

·

,

Elasticsearch siber güvenlik alanında birçok farklı senaryo ve kullanım örneğinde yer alır, oldukça kullanışlı ve gün geçtikçe hızlı bir şekilde yaygınlaşan bir akıllı yazılım paketidir.

Bilişim dünyasında, log yönetimi, tehdit avcılığı, olay müdahelesi ve SIEM entegrasyonu sağlayarak güvenliği sağlar. Elastic Search kullanım alanlarına ve bazı örneklere kısaca yer vermek gerekirse;

Şüpheli IP İzleme

Tehdit istihbarat kaynaklarından alınan kötü niyetli IP listesiyle gelen loglar karşılaştırılır. Eşleşme durumunda uyarı üretilebilir.

SSH Brute Force Tespiti

  • Filebeat ile /var/log/auth.log dosyası izlenir.
  • Başarısız oturum açma girişimleri toplanır.
  • Elasticsearch’te sorgu:
{
  "query": {
    "match": {
      "message": "Failed password"
    }
  }
}

Kullanıcı Davranışı Analizi (User Behavior Analytics – UBA)

Anormal kullanıcı hareketlerini tespit etme amacı esastır.

Örnek olarak,

Normalde 9:00–18:00 arasında çalışan bir kullanıcının gece 03:00’te sisteme erişim denemesi,
Çok kısa sürede çok fazla dosya indirimi yapması gibi işlemler gösterilebilir.

Elastic Search ile kullanıcı davranış analizi nasıl yapılır?

  • Loglar Elasticsearch’e indekslenir.
  • Kullanıcıların zaman/mekan bazlı davranışları analiz edilir.
  • Machine learning eklentileriyle “baseline” dışı hareketler belirlenir.

DNS Trafik Analizi ve Komuta-Kontrol Tespiti (C2 Communication)

Malware bulaşmış sistemlerin komuta merkezleriyle haberleşmesini ortaya çıkarmak için etkilidir.

Sürekli rastgele alan adlarına yapılan DNS istekleri (DGA – Domain Generation Algorithm) ve aynı IP’ye kısa aralıklarla yapılan istekler tespit edilir.

  • Packetbeat ile DNS sorguları toplanır.
  • Elasticsearch üzerinde “entropi analizi” yapılır.
  • Şüpheli sorgular görselleştirilir ve alarmlar üretilir.

İç Tehditlerin İzlenmesi (Insider Threat Detection)

Kurum içinden gelen veri sızıntısı, kötü niyetli erişim gibi olayları tespit etmek için kullanılır.

Bir personelin kendi erişim yetkisi dışında veri sorgulaması yapması veya kurum dışına büyük boyutlu veri transferi buna örnek olarak verilebilir.

  • Proxy, veri tabanı ve DLP logları analiz edilir.
  • Şüpheli aktiviteler (yüksek trafik, çok sayıda erişim denemesi) görselleştirilir.

Ağ Haritalama ve Şüpheli Trafik Akışı Analizi

Ağa giren bir saldırganın lateral movement (yana yayılma) hareketlerini takip etmek için kullanılır.

İçerideki bir makinadan birden fazla iç IP’ye port taraması yapılması, SMB, RDP veya WinRM bağlantılarının aniden artması gözlemlenir.

  • Packetbeat ile port kullanımı ve servis erişimleri izlenir.
  • Logstash ile veri filtrelenip Elasticsearch’e gönderilir.
  • Kibana ile bir saldırganın ağ üzerindeki hareketleri izlenebilir.

Veri Sızıntısı (Data Exfiltration) Tespiti

Kurum dışına veri aktarımını fark etmek için kullanılır.

Örnek:

  • FTP, HTTP POST gibi yöntemlerle dış sunuculara veri çıkışı.
  • USB kullanımı, e-posta ekleri ile büyük dosya gönderimi.

Nasıl?

  • Ağ trafiği ve uç nokta logları toplanır.
  • Normal dışı boyut veya hedef IP analizi yapılır.
  • Veri çıkışı eşik değeri aşıyorsa uyarı tetiklenir.

Zafiyet Tespiti ve Açıklıkların İzlenmesi

Sistemdeki zafiyetlerin belirlenmesi ve loglar üzerinden takip edilmesi sağlanır.

Bilinen zafiyetlere (örneğin CVE-2021-44228 – Log4Shell) karşı tarama veya exploit denemeleri yapılır.

  • IDS/IPS sistemlerinin logları Elasticsearch’e aktarılır.
  • Log’lar içinde CVE ID’leri aranabilir.
  • Güvenlik tarama araçlarıyla (Nessus, OpenVAS vb.) çıkan açıklar merkezi olarak indekslenir.

Olay Korelasyonu

Farklı kaynaklardan gelen olayları birleştirip büyük resmi görmek üzere korelasyon sağlar.

Örnek olarak, aynı kullanıcı hem e-posta sistemine, hem VPN’e, hem de veritabanına kısa sürede erişmesi,
aynı IP üzerinden birden fazla saldırı denemesi gelmesi gibi korelasyonlar hazırlanabilir.

  • Kullanıcı, IP, zaman bilgisi gibi ortak alanlar üzerinden korelasyon kurulur.
  • Kurallar tanımlanarak zincirleme olaylar tespit edilir.

Tehdit İstihbaratı Entegrasyonu

Dış kaynaklı tehdit verilerini sisteme entegre ederek karşılaştırma yapmak için kullanılır.

AbuseIPDB, AlienVault OTX gibi kaynaklardan gelen IP’lerle karşılaştırma yapar.
Loglar içinde bu tehdit unsurlarının geçip geçmediğinin kontrolü sağlanır.

  • Threat intelligence verileri günlük olarak çekilir.
  • Elasticsearch’te loglar bu veri setiyle eşleştirilir.
  • Eşleşen kayıtlar için alarm üretilir.

Elastic Search desteği almak için bizimle Whatsapp ve Session üzerinden iletişim sağlayabilirsiniz.

Keep In Touch

Contact us to take precautions and produce solutions against all threats targeting people and systems.

Subscribe