En İyiye Umut, En Kötüye Hazırlık: Bulut Tabanlı DFIR için Nasıl Hazırlık Yapılır
Organizasyonunuzun bulut olay yanıt verimliliğini ve etkililiğini önemli ölçüde artırmak için atılabilecek özel adımları iyi anlamak gerekiyor.
Olay yanıtı doğası gereği reaktif olsa da, DFIR (Dijital Delil İnceleme ve Olay Yanıtı) ekiplerinin, en kötü durum gerçekleşirse nasıl tepki vereceklerini garanti altına almak için proaktif önlemler alabileceği bir gerçektir.
Bulut Loglarını Yapılandırma
Hesaplar ve Kaynaklar Oluşturma, Ortamı Anlama
Bu liste tamamen kapsamlı olmasa da, organizasyonların bulutta olayları nasıl ele alacaklarını temel bir rehber olarak hizmet eder. Bu hazırlıkların yanı sıra, tehditlere karşı koruyucu kontrollerin de uygulanması gerektiğini unutmamak önemlidir. Ancak, bu makalede odak noktamız, önleyici önlemlerin başarısız olduğu durumlar için gerekli hazırlıklardır.
- Bulut Loglarını Yapılandırma
Bulutta, delillerin en büyük kaynağı loglardır. Giriş logları, denetim logları, kaynak logları veya diğer kullanılabilir loglar olsun, bunlar ortam içindeki faaliyetlere dair önemli görünürlük sağlar. Uygun loglama olmadan, olayları incelemek son derece zorlaşır. Bu makalede her bir bulut hizmet sağlayıcısı (CSP) için belirli ayarlar ve yapılandırmalar hakkına girmeyeceğiz, ancak etkili bir şekilde bulut loglamayı uygulamanın önemini ve temel düşünceleri anlamanıza yardımcı olacak yüksek düzeyli rehberlik sunacağız. Özellikle, loglama ile ilgili şu iki kritik konuyu tartışacağız:
a. Varsayılan Olmayan Olayları Etkinleştirme
Çoğu bulut sağlayıcının varsayılan olarak etkinleştirilmiş belirli hizmetler için logları bulunurken, ek, genellikle değerli olan logları varsayılan olarak devre dışı bırakabilir. Hangi logların etkin ve devre dışı olduğunu anlamak kritiktir, çünkü devre dışı bırakılan loglar olay incelemeleri sırasında önemli görünürlük eksikliği yaratabilir. Örneğin, hassas verilerin AWS S3 depolama alanında bulunduğunu varsayalım ve ilgili S3 veri olayı veya sunucu erişim loglarını önceden etkinleştirmediyseniz (ki varsayılan olarak etkin değildir), potansiyel veri sızıntısını araştırırken önemli bir görünürlük eksikliğiyle karşı karşıya kalırsınız.
Organizasyonunuzun özel gereksinimlerine dayanarak hangi logların etkinleştirilmesi gerektiğini değerlendirmek önemlidir. Hassas veriler ve kaynaklar için ek loglamayı etkinleştirmeye odaklanmaya başlamak iyi bir başlangıçtır.
b. Logları Saklama ve Merkezileştirme
Logları uygun bir şekilde saklamak ve merkezileştirmek, etkili bir olay yanıtının anahtarıdır. İdeali, tüm veri kaynaklarından gelen loglar tek bir yerde merkezileştirilmelidir. Bu merkezi yaklaşım, ilgili olayların hızlı bir şekilde eşleştirilmesini ve tanımlanmasını sağlar, yanıt süresini azaltır ve olay incelemeleri sırasındaki genel görünürlüğü artırır.
Bulut hizmet sağlayıcıları, logları merkezileştirmek için in-cloud seçenekler sunar ve logları SIEM (Güvenlik Bilgi ve Olay Yönetimi) veya log birleştirme araçları gibi harici hizmetlere aktarmak için API’leri veya diğer bulut hizmetlerini kullanabilirsiniz. Ancak her iki yöntemin de ek maliyetlere yol açabileceğini unutmamak önemlidir, bu nedenle değerli logları tanımlama ve saklama politikalarını belirlemenin önemini vurgular.
Hizmet bazında log saklama sürelerini düşünmek kritiktir. Varsayılan loglar genellikle sınırlı bir saklama süresi ile gelir, bazen 30 gün gibi kısa bir süre. Birçok olay uzun süreli etkileşimleri içerir ve kısa bir saklama süresine sahip loglar, olayın tümünü görmek ve olayın köken nedenine ulaşmak için yetenekleri büyük ölçüde etkileyebilir. Bu nedenle, log saklama süresini başka bir hizmete veya saklama konumuna yönlendirerek uzatmak idealdir, ancak daha uzun saklama süresi, daha fazla veri üretme, iletim ve depolama anlamına gelir ve dolayısıyla daha fazla maliyet getirecektir.
- Yanıt Verenler İçin Hesaplar ve Kaynaklar Oluşturma
Bulutta bir olay meydana geldiğinde, yanıt verenlerin olayı araştırmak için çeşitli hizmetlere ve hizmet verilerine erişim ihtiyacı olacaktır. Bir olay sırasında yanıt verenlere gerekli kaynaklara erişim sağlama konusunda zaman kaybetmek istemezsiniz. Proaktif olarak yanıt özel hesapları oluşturmak, hesap izinlerini aşırı düzeyde tanımlamanın riskini azaltmanın yanı sıra en az ayrıcalığın ilkesine uygunluğunu da sağlar.
DFIR ekiplerinin ihtiyaç duyduğu izinler genellikle ağ yöneticilerinin ve genel yöneticilerin izinleri arasında bir yerde bulunacaktır. Hangi izinlere ihtiyaç duyulduğu, çeşitli senaryoları önceden tanımlamak ve gereken izinleri sağlamak için önemlidir, bu da masa üstü alıştırmalar yoluyla gerçekleştirilebilir.
Ayrıca, bulutta çalışanları ve yanıt verenleri donanımları ile sınırlamaktan ziyade bulutta forensik iş istasyonlarını çalıştırma yeteneğini kullanmak oldukça faydalı olabilir. Önceden yapılandırılmış bir forensik sanal makine görüntüsü oluşturmak ve bir DFIR laboratuvarı için gerekli tüm kaynakları (sanal makineler, ağ gereksinimleri, izinler vb.) dağıtmak, yanıt çabalarını basitleştirir ve hızlandırır.
- Ortamı Anlama
Etkili bir bulut DFIR için, bulutta olay yanıtının geleneksel yerel incelemelerden büyük ölçüde farklı olduğunu anlamak önemlidir. Yanıt verenlerin, bulut kavramlarını ve organizasyon özel ayrıntılarını anlamaları gerekir.
Bu bilgi eksikliğini gidermek için yanıt verenler, bulut forensiği ve olay yanıtıyla ilgili ücretsiz çevrimiçi kaynakları ve kaliteli ücretli eğitim fırsatlarını kullanabilirler. Bulutun genel kavramlarına ve kullandığınız CSP’ye özgü kavramlara hakim olmak önemlidir.
Ayrıca, yanıt verenlerin organizasyonun nasıl bulut kullandığını anlamaları gerekmektedir. Bu anlayış olmadan, log etkinliği yorumlamak ve riskleri değerlendirmek zorlaşır. Olaylar dışında, DFIR ekibi, organizasyonunun bulut ortamının nasıl yapılandırıldığını, izinlerin nasıl atanmış olduğunu, hangi politikaların var olduğunu ve nasıl uygulandığını, hangi bulut hizmetlerinin kullanıldığını ve olay yanıtı sırasında gerekecek diğer bilgileri anlama amacıyla bulut yöneticileri ile iletişim kurmalıdır. Bu bilgiler, olay sırasında yanıt verenlerin ve organizasyonun referansı için erişilebilir bir yerde belgelenmelidir.
Bu makalede, organizasyonların bulut olay yanıt yeteneklerini önemli ölçüde artırmak için atılabilecek özel adımları sağladık. Odak noktamız, bulut loglama yeteneklerini genişletmek, yanıt verenlere kaynak sağlamak ve bulut ortamını derinlemesine anlamak oldu. Bu öneriler tam kapsamlı olmasa da, bu öneriler, bulut DFIR yolculuğunuza başlangıç noktası olarak hizmet eder ve nihayetinde organizasyonunuzun genel güvenlik durusunu güçlendirir. Unutmayın, bulutta etkili bir olay yanıtı için hazırlık anahtardır.
Kaynak: sans.org