Günümüzün dijital dünyasında, güvenliğin ve performansın en üst düzeyde tutulması için ağ ve endpoint izleme hayati bir rol oynamaktadır. Şirketler ve bireyler, sistemlerinin sağlığını, performansını ve güvenliğini sürekli olarak izlemek zorundadır. İşte bu sürecin nasıl yönetileceğine dair bilgiler.
1-Endpoint İzleme
bir ağın uç noktalarında bulunan cihazların izlenmesi ve yönetilmesini kapsar. Bu cihazlar genellikle bilgisayarlar, sunucular, mobil cihazlar ve IoT (Nesnelerin İnterneti) cihazlarıdır. Endpoint izleme, şu unsurları içerir:
a. Güvenlik Yazılımları ve Güncellemeleri: Cihazların güncel güvenlik yazılımları ve yamalarla donatılması, bilinen güvenlik açıklarının kapatılmasını sağlar. Bu, antivirüs yazılımları, anti-malware programları ve güvenlik duvarları gibi araçları içerir.
b. Aktivite İzleme: Kullanıcı faaliyetlerinin izlenmesi, şüpheli veya anormal davranışların tespit edilmesine yardımcı olur. Bu, yetkisiz erişim denemeleri veya alışılmadık veri transferleri gibi olayları içerebilir.
c. Varlık Yönetimi: Ağa bağlı tüm cihazların envanterinin çıkarılması ve yönetilmesi, hangi cihazların nerede olduğunu ve nasıl kullanıldığını bilmenizi sağlar.
Ayrıca Uç Noktaların İzlenmesi ile birlikte cevaplanması gereken bazı sorular ortaya koymalıyız.
Bu sorular şunlardır:
- Herhangi biri yetkisiz program yükledi mi?
- Hangi Portlar dinleniyor ve neden?
- Hangi açıklara karşı savunmasızsınız?
- Herhangi bir sistem dosyası değiştirildi mi?
- Herhangi bir kötü niyetli komut dosyası çalıştırıldı mı?
- Bilgisayarlar, Bulutlar, Sunucular hakkında konuştuğumuzu fark etmelisiniz
Peki cevabı nasıl alacağız?
CSM’nin rolü burada ortaya çıkıyor ve Sürekli Güvenlik İzleme anlamına geliyor.
Sürekli Güvenlik İzleme Nedir?
Sürekli Güvenlik İzleme (CSM), operasyonel güvenliğinizi sürekli olarak kontrol etme ve değerlendirme sürecini otomatikleştiren bir stratejidir. Bu yaklaşımın arkasındaki fikir, siber suçlular bunları istismar etmeden önce güvenlik açıklarını belirlemenizi ve bunları düzeltmenizi sağlamaktır.
CSM’nin faydaları nelerdir?
- uç nokta verilerine – “duran verilere” veya uç noktada üretilen verilere bakar
- Uygulamalarınız ve altyapınız için gerçek zamanlı görünürlük sağlar
- Güvenlik açığı taraması
- Dosya / Kayıt Defteri bütünlüğü izleme
- Otomatik Çalıştırmalar
- Hizmetler
- Çalışan süreç
- Cihazları sınıflandırır: önleyici tedbirler uygulamanıza olanak sağlamak için
CSM Etkinlik Koleksiyonu
İşte CSM Olay Toplama Kaynakları:
- İşletim Sistemi/Uygulama kimlik doğrulama günlükleri
- Sysmon
- Antivirüs
- EDR
- Beyaz Liste
- HIDS/HIPS
- Güvenlik Açığı Tarayıcısı
CSM’ye neden ihtiyacımız var?
Soruşturmalar ağ ve son kullanıcı verilerini gerektirecektir
Örnek için: Kötü Amaçlı Yazılım Enfeksiyonu oluşur
- Trafik 443 numaralı bağlantı noktasındaki bir IP’ye oluşturulur
- Ağ verileriyle araştırma yaparken, örneğin kötü IP veya kötü alan adını görebilirsiniz…?
ama ya bu süreçlerin bunu oluşturduğunu biliyorsanız
şimdi calc.exe | PID: 2092 işlem ağacını görüyorsunuz ve bu calc.exe cmd.exe’yi başlatıyor tabii ki bu iyi görünmüyor mu?
şimdi bunun bir kalıcılık tekniği olduğunu tespit ettik ve şimdi dosyanın sürücüde nerede olduğunu biliyoruz.
Son olarak, olayları aramak ve uyarmak için tek bir yer vardır, o da SIEM’inizdir
Veriler SIEM’e Nasıl Ulaşır?
Bu küçük fotoğraf (NSM) VE (CSM)’nin SIEM ile nasıl çalıştığını göstermektedir
Siem Hakkında Detaylı bilgi için altdaki konuyu inceleyebilirsiniz
https://eyupturan.com/siem-nedir-siemin-faydalari-nelerdir/
2 – Ağ İzleme
Ağ izleme, bir ağın performansını, kullanılabilirliğini ve güvenliğini sürekli olarak değerlendirmeyi amaçlar. Aşağıdaki bileşenler, etkili bir ağ izleme stratejisinin temel taşlarıdır:
a. Trafik Analizi: Ağ trafiğinin sürekli izlenmesi, veri paketlerinin incelenmesi ve analiz edilmesi yoluyla ağ performansının değerlendirilmesini sağlar. Bu, bant genişliği kullanımı, veri akışları ve potansiyel darboğazların tespit edilmesini içerir.
b. Olay Yönetimi: Ağda meydana gelen olayların kaydedilmesi ve yönetilmesi, sorunların hızlı bir şekilde tespit edilmesini ve çözülmesini sağlar. Bu, hata günlükleri, uyarılar ve bildirimler aracılığıyla gerçekleştirilir.
c. Güvenlik İzleme: Ağ güvenliğinin sağlanması, potansiyel tehditlerin ve saldırıların tespit edilmesi ve önlenmesi için kritik öneme sahiptir. Bu, IDS/IPS (İzinsiz Giriş Tespit ve Önleme Sistemleri) ve güvenlik bilgi ve olay yönetimi (SIEM) sistemleri kullanılarak yapılır.
Öncelikle bazı soruları yanıtlamamız gerekiyor.
- Hangi portların gerçekten kullanımda olduğunu biliyor musunuz?
- Bu portlarda gerçekte hangi hizmetler kullanılıyor?
- Hangi alan adlarının kimler tarafından ziyaret edildiğini biliyor musunuz?
- Kötü niyetli şifrelenmiş trafiği tespit edebiliyor musunuz?
- Üst düzey bant genişliğini ve trafik akışını görebiliyor musunuz?
Peki cevabı nasıl alacağız?
İşte Ağ Güvenliği İzleme’nin rolü burada ortaya çıkıyor.
Ağ Güvenliği İzleme Nedir?
güvenlik açıkları, tehditler ve şüpheli faaliyetler için ağ cihazlarını ve trafiğini izleyen otomatik bir süreçtir, ayrıca verilerin toplanmasını ve analiz edilmesini içerir, bu da şirketlere ağlarındaki davetsiz misafirleri tespit etme ve bunlara yanıt verme fırsatı verir.
Ağ Güvenliği İzleme ile temel olarak şunları bilebileceğimizi söyleyebiliriz
- Kim kiminle konuşuyor, ne söylüyorlar ve aslında ne tür bir hizmet kullanıyorlar.
3. Araçlar ve Teknolojiler
Endpoint ve ağ izleme için kullanılan çeşitli araçlar ve teknolojiler mevcuttur. Bunlar arasında:
a. SolarWinds: Ağ performansı ve güvenlik izleme için yaygın olarak kullanılan bir araçtır.
b. Nagios: Ağ ve sistem izleme için açık kaynaklı bir çözümdür.
c. Splunk: Güvenlik bilgileri ve olay yönetimi için güçlü bir platformdur.
d. Wireshark: Ağ protokol analizörü olarak bilinir ve derinlemesine trafik analizi yapar.
4. En İyi Uygulamalar
Etkin bir izleme stratejisi oluşturmak için şu en iyi uygulamaları dikkate almalısınız:
a. Proaktif Olun: Olası sorunları ortaya çıkmadan önce tespit edin ve önleyin. Bu, sürekli izleme ve düzenli güncellemeler ile sağlanabilir.
b. Otomasyon: İzleme süreçlerini otomatikleştirin. Bu, hata tespitini hızlandırır ve manuel müdahale gereksinimini azaltır.
c. Eğitim ve Farkındalık: Kullanıcıları güvenlik tehditleri konusunda bilinçlendirin ve düzenli eğitimler sağlayın. İnsan hatası, genellikle güvenlik ihlallerinin ana nedenidir.
d. Yedekleme ve Kurtarma Planları: Veri kaybı durumlarına karşı düzenli yedeklemeler yapın ve etkili bir kurtarma planı oluşturun.
Sonuç
Endpoint ve ağ izleme, dijital dünyada güvenlik ve performansın sağlanması için kritik öneme sahiptir. Doğru araçlar ve stratejilerle, ağınızın ve cihazlarınızın güvenliğini ve verimliliğini artırabilirsiniz. Sürekli izleme, proaktif önlemler ve eğitim, bu sürecin temel taşlarıdır. Unutmayın, güvenlik bir ürün değil, bir süreçtir ve sürekli çaba gerektirir.