SIEM korelasyon kurallarının gelişimi

Düzenli olarak yeni SIEM kuralları oluşturuyoruz, ancak bunun ardında daha temel bir süreç yatıyor: Korelasyon kurallarının kendisinin gelişimi.

Kaspersky SIEM'in Gelişim Süreci

Basitçe söylemek gerekirse, bir SIEM sisteminin klasik mantığı şu şekilde işler: A olayı meydana gelir ve ardından B olayı gerçekleşirse, bu bir saldırı belirtisi olabilir ve bir bilgi güvenliği uzmanına haber verilmelidir. Ancak günümüz koşullarında, bu basit senaryo giderek daha fazla başarısız olmaktadır. Kısa bir süre önce, uzmanlarımız çok ses getiren bir olayı inceledi: Saldırganlar, popüler Notepad++ yazılımının güncelleme altyapısını ele geçirdi ve güncelleme mekanizması aracılığıyla kötü amaçlı yazılım yaydı. Bu tür durumlara karşı özel olarak tasarlanmış kuralları önceden hazırlamak kesinlikle imkansızdır.

Saldırılar giderek daha sofistike hale geldi: Saldırganlar yasal araçlar kullanıyor, kurumsal sınırların dışındaki yazılımları ele geçirerek tedarik zinciri üzerinden saldırı düzenliyor, senaryolarını zaman içinde uzatıyor ve eylemlerini normal faaliyetlermiş gibi gösteriyor. Başka bir deyişle, altyapıya “izinsiz girmiyorlar”; çoğu zaman, oturum açıyor ve yasal yazılımları kullanıyorlar. Sonuç olarak, geçmişteki klasik sabit kurallar ya devreye girmiyor ya da çok fazla yanlış uyarı üretiyor. İşte bu durum, daha esnek korelasyon senaryolarına doğru bir geçişi tetikledi.

Dinamik olarak güncellenen SIEM içeriği

Günümüzde korelasyon içeriği, sabit bir kurallar dizisi değil, bir süreçtir; sürekli gelişmekte ve güncel tehditlere uyum sağlamaktadır. Sadece 2025’te, Kaspersky SIEM sistemimizin farklı sürümleri ve dilleri için 55 kural paketi güncellemesi yayınladık. Sadece bir yıl içinde, 10 yeni kural paketi ekledik; ayrıca 250 algılama kuralı ve mevcut içeriğe sayısız iyileştirme yaptık. Bu yıl, şimdiden 43 yeni kural ekledik ve 63 kuralı daha güncelledik. Toplamda bu, MITRE ATT&CK çerçevesinin önemli bir bölümünü kapsayan 850’den fazla kural anlamına geliyor.

Kaspersky SIEM kuralları, gerçek hayattaki güncel saldırıları analiz eden uzmanlarımızın bulgularına dayanılarak yazılır: Bu kuralları oluştururken öncelikle Managed Detection and Response (MDR) hizmetimizden ve tehdit araştırmalarımızdan elde ettiğimiz bulgulardan yararlanırız. Sonuç olarak, kurallarımız; keşif faaliyetlerinden ayrıcalık yükseltmeye kadar, saldırganlar tarafından kullanılan en yeni yöntemleri içeren senaryoları kapsamaktadır. Örneğin, ToolShell gibi yeni saldırı tekniklerinin kullanıldığını tespit ediyoruz.

Planlı güncellemelerin yanı sıra, ekip düzenli olarak “acil durum içeriği” olarak adlandırılan, yeni ve beklenmedik saldırı tekniklerine hızlı bir şekilde müdahale etmek için tasarlanmış kural setleri yayınlamaktadır. Örneğin Şubat ayında, Fortinet ürünlerinde SSO mekanizması yoluyla kimlik doğrulama atlatılmasına yönelik tespit kuralları yayınlandı: Saldırganlar, kimlik bilgileri olmadan sistemlere erişim sağlamak için özel olarak hazırlanmış SAML talepleri kullandılar.

Olaylardan saldırı zincirlerine

Ayrıca, modern SIEM kuralları artık tek tek olayları değil, eylem dizilerini tanımlamaktadır. Senaryolar; ilk erişimden, ayrıcalık yükseltmeye ve kalıcılığa kadar bir saldırının aşamaları etrafında şekillenir. Kaspersky SIEM’in etkinliği, Kaspersky EDR ile entegrasyon ve Active Directory için özel kural setleri sayesinde artırılmıştır; bu kural setleri, çeşitli aşamalarda düzinelerce saldırı tespit senaryosunu hayata geçirir. Bu yaklaşım, sadece tek tek sinyalleri değil, bütün resmi görmemizi sağlar.

Entegrasyon ve kurum içi şeffaflık

Bir SIEM sisteminin etkinliğini artırmanın bir başka yolu da veri kaynaklarını genişletmektir. Klasik bir SIEM; günlüklerden uç noktalardan ve iç sistemlerden gelen telemetri verilerine kadar altyapının farklı kademelerinden gelen olayları toplar. Bunun yanı sıra, SIEM sistemimiz diğer çözümlerimiz (Kaspersky Security Center, Kaspersky Security for Mail Groups, Kaspersky Anti Targeted Attack platformu) için özel kural setleri içerir. Bu kural setleri; yönetici eylemlerinin, kimlik doğrulamanın ve hizmet durumunun izlenmesini sağlar. Sonuç olarak, sistem sadece saldırıları tespit etmekle kalmayıp, aynı zamanda iç faaliyetleri izlemek için de bir araç haline gelir.

Genel olarak, SIEM artık sadece bir dizi kuraldan ibaret değil, sürekli güncellenen bir tespit sistemine dönüşmüş durumdadır. Etkinliği, tespitlerin sayısına değil, bunların alaka düzeyine, tutarlılığına ve saldırganların gerçek eylemlerini ne kadar doğru bir şekilde yansıttığına göre belirlenir. Kaspersky Unified Monitoring and Analysis Platform (SIEM) ile ilgili en son gelişmeleri resmi ürün sayfamızdan takip edebilirsiniz.

İpuçları

Her iki paroladan biri (neredeyse) bir dakikadan kısa sürede kırıldı

İki yıl önce ilk kez gerçekleştirdiğimiz, karanlık ağda sızdırılan gerçek hayattaki parolaların kırılabilirliğine ilişkin çalışmamızı yeniden ele aldık. Sonuçlar düşündürücü: Parolaların neredeyse yarısı bir dakikadan kısa sürede kırılabilirken, beş paroladan üçü bir saatten az sürede kırılıyor. Güvenli olmayan parolalardan nasıl kurtulabiliriz?

  • Diğer tüm ülkeler için