Erişim Log Kayıtları ve Analizi

Erişim Log Kayıtlarının Analizinde Dikkat Edilmesi Gerekenler

  • Loglar dosyaları sistemler üzerinde farklı şekillerde tutulabilir. Log dosyasının yanlış veya eksik tutulması, sonrasında birçok probleme yol açabilir. Bu nedenle log dosyalarının eksiksiz ve düzenli bir şekilde tutulması gerekmektedir. 
  • Log dosyalarında encode edilmiş karakterler ile karşılaşılabilir. Bu tarz durumlarda sağlıklı tespit yapılabilmesi için bu tarz satırların normale çevrilmesi gerekmektedir.(base64,hex,url,html vb.)
  • Log dosyalarında inceleme işlemleri gerçekleştirirken çeşitli program ve uygulamalardan yararlanabilirsiniz. Fakat en sağlıklısı kesinlikle bir linux dağıtımında komutlardan faydalanarak manuel kendi inceleme işleminizi yapmanızdır.
  • İnceleme esnasında gereksiz satırları dosyadan temizleyerek işleminizi kolaylaştırabilirsiniz. Örnek: gif, jpg, png vb. gibi.
  • 404 satırları bazı sistem yöneticileri tarafından gereksiz olarak görülmektedir. Ama unutmayınız ki bazı 404 satırları sizlere çok önemli bilgiler verebilir.
  • Erişim log kayıtlarında POST isteklerinden gelen veri (payload) kısmı tutulmamaktadır. Bu yüzden web sunucu log dosyalarında POST isteklerine bakarak saldırı tespit etmeniz mümkün değildir. POST ile gönderilen veriler üzerinde herhangi bir saldırı tespiti yapabilmek için WAF, Load Balancer ve IPS/IDS sistemleri tarafından tutulan log kayıtlarının incelenmesi gerekmektedir. Network üzerinden POST isteğinin detayları incelenerek saldırı izleri tespit edilebilir.
    • WAF (Web Application Firewall): Bu sistemler sayesinde internet trafiğinde analizler yapılır herhangi bir farklılık tespit edildiğinde engelleme işlemi gerçekleştirilmektedir.
    • Load Balancer: Adından da anlaşılacağı üzere network üzerindeki trafiği dengeleme işlemidir. İstemciden hedef web sunucusuna yapılan isteklerin/bağlantıların bant genişliği vb. kriterlere göre dağıtılarak yollanılmasına Load Balancing denmektedir.
    • IDS (Intrusion Detection Systems): Saldırı tespit sistemi olan IDS sistemleri sayesinde ağda kötü niyetli bağlantılar tespit edilir ve log kayıtları tutulur.
    • IPS (Intrusion Prevention Systems): Saldırı önleme sistemi olan IPS İle ağdaki kötü niyetli bağlantılar tespit edilir ve doğrudan engellenir.
  • GET istekleri URL adres satırında yer aldığı için web sunucu loglarında oldukça önemlidir. Siteniz URL adreslerine yapılan istekleri detaylı bir şekilde web sunucu log dosyalarında görebilirsiniz.Örneğin; GET istekleri üzerinden basit sql, xss saldırı ataklarına ait izler tespit edilebilir.
  • Log dosyaları incelenirken yönetimsel vb. kritik dizinlere erişim sağlayan IP adreslerinin tespit edilmesi oldukça önemlidir. Bu gibi durumlarda hazır sistemler kullanıldığı takdirde yönetimsel dizinlerinin bilinmesi oldukça fayda sağlayacaktır. Saldırıya maruz kalan site kendine özgü bir script kullanıyor ya da yönetimsel dizini değiştirdiyse mutlaka incelemeye başlamadan önce öğrenilmesi fayda sağlayacaktır.
  • IP adresleri tespit edilirken mutlaka tarih, saat, dakika ve saniye bilgisi daha da önemlisi zaman dilimi mutlaka belirtilmelidir. Sunucu saatinin doğru olup olmadığının sistem yöneticisi ile görüşülerek netleştirilmesi faydalı olacaktır.
      • Kayıtlarda port bilgisi var mı?
  • Bir log dosyasının sağlıklı bir şekilde analiz edilebilmesi için inceleyen kişinin deneyimli ve web zafiyetleri/saldırıları hakkında bilgi sahibi olması gerekmektedir.
  • Proxy/çeşitli VPN uygulamalarının kullanımı ya da doğrudan sunucuya gerçekleştirilen yetkisiz erişim vb. yöntemlerin kullanılması sonucu saldırgan şahsın tespiti erişim log kayıtlarının incelenmesi ile mümkün olmayabilir.
  • Sistem yöneticisi ile görüşülerek saldırının hangi tarihte ya da hangi tarihler arasında gerçekleştirilmiş olabileceği netleştirilmelidir. Fakat gelen bilgiye bağlı kalmadan log kayıtlarında saldırı tarihinden 1 ay öncesi ve 10 gün sonrasına kadar sürecin incelenmesi faydalı olacaktır.
  • Örnek: Kamu internet sitesinin Cuma günü hacklenmesi bilgi işlemcinin saldırıyı Pazartesi günü siteyi açıp fark etmesi ve saldırı tarihinin Pazartesi olarak beyan etmesi.
    • Zone-h
    • Açık Kaynak
    • Log Kayıtları

Faydalanılan Kaynaklar :

  • https://www.slideshare.net/bgasecurity/log-yonetimi-ve-analizi-1

Site Footer