Corelight Nedir?
29.06.2021Atakan Öztuna
Corelight network güvenliği izleme konusunda kurumların siber güvenlik ekiplerine ağ tabanlı zengin ve kapsamlı log’lar sağlayarak araştırma, threat hunting ve incident response yapmalarına olanak sağlar
Kurumlar, sahip oldukları IT altyapısını her geçen gün daha sofistike ve kararlı olan siber saldırılara karşı korumak zorundalar. Bunu sağlayabilmek için IT altyapılarının farklı katmanları için birçok farklı metodu ve ürünü bir arada uyumlu bir şekilde kullanırlar. Bu katmanlar arasında en önemlilerinden bir tanesi de “Network” katmanıdır. Network üzerinde yüzde yüz görünürlük sağlamak kurumlara gelecekte karşılaşabilecekleri siber saldırılara daha hazırlıklı olma ve saldırı esnasında anında müdahale etme fırsatı verir.
Network bağlamında, kurumların en çok tercih ettiği çözümlerden bir tanesi “Network Detection and Response”. Kurumlar bu çözümü, kötü amaçlı network etkinliklerini tespit etmek ve önlemek, temel nedenlerini belirlemek için forensic araştırmaları yapmak ve ardından hızlı bir şekilde farklı tipteki siber saldırılara cevap vermek için kullanırlar. Ayrıca, kurumlar network altyapısında gerçekte ne olduğu ve gerçekleşen tüm aktiviteler hakkında daha fazla görünürlük elde ederler. Böylece siber güvenlik ekiplerinin, gerçekleşen ve gelecekte gerçekleşme potansiyeli olan saldırılar karşısında daha hazırlıklı olmasını sağlar.
Bu noktada Corelight network güvenliği izleme konusunda kurumların siber güvenlik ekiplerine ağ tabanlı zengin ve kapsamlı log’lar sağlayarak araştırma, threat hunting ve incident response yapmalarına olanak sağlar.
Corelight yazılımsal olarak açık kaynaklı kodlu bir network izleme ve analiz aracı olan Zeek ile yine açık kaynak kodlu bir saldırı tespit ve saldırı önleme aracı olan Suricata teknolojilerini kullanır. Corelight’ın temelini oluşturan bu iki teknolojiyi biraz daha derinlemesine incelemekte fayda olduğunu düşünüyorum.
Öncelikle Zeek platformundan bahsetmek gerekirse, Zeek daha önceki adıyla “Bro” gerçek zamanlı network trafiğini alıp kapsamlı içeriğe sahip veri akışına dönüştürür. Bu veri akışı içerisinde 35’den fazla protokolde 400’den fazla veri alanı çıkartır. Aynı zamanda yalnızca network üzerinde gerçekleşen olaylar değil OSI modelinin 3-7 katmanları arasında çalışır ve HTTP, DNS, SSL ve daha birçok protokol üzerinde yüksek görünürlük sağlar.
Neden Zeek ?
Güvenlik ekipleri, sistem üzerindeki şüpheli ve zararlı aktiviteleri tespit edebilmek adına dört farklı network veri tipine ihtiyaç duyar; Tam içerik, işlem verileri (transaction logs), çıkarılan içerikler (extracted content), alarm verileri. Zeek, belirtilen bu veri tiplerinden işlem verileri, ayıklanmış içerikleri ve uyarı verileri olmak üzere en az ikisinin ve bazı durumlarda üçünün toplanması sağlar. Zeek özellikle işlem verilerini başarılı bir şekilde analiz etmesiyle bilinir. Tüm network üzerinde gerçekleşen aktiviteleri ve işlemleri farklı katmanlardan 35’den fazla protokol çatısı altında kompakt, yüksek kaliteli, zengin içerikli veri yapılarına dönüştürür. Zeek bunu yaparken, en çok bilinen network veri tipi olan Netflow’a kıyasla daha fazla içerik sunar. Buna ek olarak, depolama alanı anlamında ise PCAP dosyalarına göre daha az yer kaplar. Ortalama bir Zeek log dosyası boyutu toplam bant genişliğinin yaklaşık 0,5%-1,5% i kadardır.
|
NETWORK DATA SOURCE |
CONTEXT |
PIVOT FIELDS |
SEARCH |
ACQUISITION |
RETENTION |
FINAL GRADE |
|
Netflow |
D |
D |
A+ |
A |
A+ |
A- |
|
Zeek logs |
A |
A |
A |
C* |
A |
A |
|
Packet capture (PCAP) |
A+ |
A+ |
C |
D |
D |
B- |
Zeek, dosya çıkarma yeteneği sayesinde (file extraction), güvenlik analistlerine detaylı inceleme ve araştırma için dosyaları üçüncü parti sandbox’lara ve dosya inceleme motorlarına gönderebilme imkânı sunar.
Suricata platformundan bahsetmek gerekirse, Suricata ücretsiz ve açık kaynak kodlu bir network tehdit tespit motorudur. Suricata plaftormu bünyesinde IDS, IPS ve ağ güvenliği izleme modülleri barındırır. Suricata özellikle tehdit ve saldırı tespiti için son derece büyük öneme sahip detaylı paket analizi ve kalıp eşleştirme (pattern matching) konularında oldukça başarılıdır. Bunu gerçekleştirirken kapsamlı bir kural seti ve imza dili tabanlı yazılım kullanarak ağ trafiğini izler.
Neden Suricata ?
Suricata çok parçacıklıdır, başka bir deyişle aynı anda birde fazla çekirdek kullanabilme özelliğine sahiptir. Böylelikle, Suricata yeni gelen istekleri askıya almak zorunda kalmadan aynı anda birden fazla olayı işleyebilir. Bununla beraber, bu özellike Suricata’nın CPU’lar arasında yük dengelemesine ve ağ trafiği analizinde genel performansı iyileştirmesine olanak sağlar
Corelight Mimarisi
Corelight platformu mimari olarak, güvenlik kullanım alanlarına ilişkin network metadata’sı çıkarabilmek için tüm network trafiğinin geçtiği nokta ile veri analitiği ürünleri arasında yer alır. Genellikle kurumlarda konumlandırılan packet broker ürünlerinden gelen network verisi ile beslenen Corelight farklı ortamlarda kurabilen sensörler aracılığıyla veriyi işlemenize olanak sağlar. Sanal, bulut, konteyner ve donanımsal olarak kurulumu gerçekleştirilen Corelight 100 Gbps’e kadar trafiği izleyebilir.
Corelight başta Splunk olmak üzere birçok farklı veri analitiği veya SIEM benzeri ürünler ile kolaylıkla entegre olabilmektedir. Özellikle, Netflow verisi gibi threat hunting faaliyetlerinde içerik bakımında yetersiz network verilerinin aksine, zeek logları ile beslenen SIEM ürünleri çok daha verimli çalışırken, aynı zamanda da daha az false positive alarmı analistlerin karşısına çıkarmayı amaçlıyor. Buna ek olarak, Corelight sensörleri, isteğe bağlı olarak ayıklanan dosyaları Virustotal, Lastline gibi kötü amaçlı yazılım analiz çözümlerine aktarabilir.