Splunk, işletmelerin dijital ortamlarından elde edilen büyük hacimli veri akışlarını toplama, indeksleme, analiz etme ve görselleştirme amacıyla kullanılan bir veri platformudur. Splunk, sistem performansını izleme, güvenlik ihlallerini tespit etme, sorunları giderme ve iş süreçlerini optimize etme gibi kritik işlevlerde kullanılır.
(Splunk Arayüz)
Splunk, log toplama ve analiz süreçlerini kolaylaştırmak için App ve Add-on bileşenlerini kullanır. Add-on, veriyi toplar, dönüştürür, anlamlandırır ve Splunk’a uygun hale getirir. App ise, toplanan veriler için rapor, dashboard ve analiz araçları sunar.
Binalyze, 2018 yılında kurulan ve DFIR (Digital Forensics and Incident Response) odaklı bir platformdur. Dijital adli tıp ve olay müdahale süreçlerini hızlandırmak ve kolaylaştırmak için tasarlanmış yenilikçi bir siber güvenlik çözümüdür. Şirketlerin ve güvenlik ekiplerinin siber olaylara daha hızlı ve etkili bir şekilde yanıt vermelerini sağlamak amacıyla geliştirilen Binalyze, olay müdahale sürecindeki manuel adımları otomatikleştirerek güvenlik operasyonlarını optimize eder.
(Binalyze Arayüz)
Dakikalar içinde canlı bir sistemden kritik verileri toplamayı otomatikleştiren Binalyze, bu verilerin analizini kolaylaştırır. Delilleri toplar, inceler ve analiz eder; bu analizler sonucunda bir rapor oluşturur. Elde edilen bu rapor, adli tıp açısından kritik verilerin toparlanmasını sağlar. Ayrıca, yeni başlayan potansiyel bir saldırı için yapılması gereken işlemler Binalyze üzerinde otomatik bir şekilde gerçekleştirilir.
(Binalyze Investigation Hub)
Binalyze, birçok farklı ürün için webhook entegrasyonuna imkan tanımaktadır. Splunk-Binalyze entegrasyonu sayesinde, Splunk üzerinde bir alarm tetiklendiğinde ve alarmın tetiklendiği sunucuda Binalyze ajanı çalışıyorsa, Binalyze otomatik olarak bir Acquisition başlatır ve ilgili sunucuda kanıt toplama işlemini gerçekleştirir.
Örnek bir senaryo oluşturmak gerekirse:
(Binalyze Webhook Konfigürasyonu)
Yukarıdaki ekran görüntüsünde de görüldüğü gibi öncelikle Binalyze üzerinde Splunk için webhook tanımlaması yapılması gerekir. Integrations → Webhooks sekmesinden Add New seçilerek konfigürasyon ekranına gidilir. Sırasıyla yapılması gereken işlemler şunlardır:
Bu işlemler tamamlandıktan sonra, webhook üzerinde oluşan URL kopyalanır ve bundan sonra Splunk üzerinde yapılması gereken işlemlere geçilir.
(Splunk Search ve Alert Tanımlanması)
Splunk üzerinde basit bir alarm tanımlamak gerekirse, örneğin bir fail login alarmı oluşturulup bu alarm üzerinde webhook action tanımlanabilir. Bunun için:
Arama sonuçlarına göre Save As → Alert seçilerek alarm tanımlaması yapılır.
(Splunk Alert Konfigürasyonu ve Webhook Action Tanımı)
Splunk üzerinde çalıştırılan fail login sorgusu bir alarm olarak kaydedilir ve Webhook Action kısmına, Binalyze’dan alınan URL tanımlanarak alarm kaydı tamamlanır.
(Splunk Alert)
Yukarıdaki ekran görüntüsünde de görüldüğü gibi, ilgili alarm tetiklendiğinde entegrasyon sonucunda Binalyze üzerinde otomatik olarak bir Acquisition başlatılması beklenir.
(Binalyze Webhook Acquisiton Task)
Son olarak, Splunk üzerinde tanımlanan alarm tetiklendiğinde, Binalyze üzerinde webhook ile çalışan Acquisition’ın otomatik olarak devreye girdiği gözlemlenir. Bu Acquisition görevi sonucunda, Splunk üzerinde risk teşkil eden bir alarm tetiklendiğinde, Binalyze üzerinde tanımlanan kanıt türlerine göre deliller toplanır ve raporlanır.
Bu entegrasyonun amacı, analiz sürecinde saldırıları tespit etmek, mevcut bir saldırı varsa saldırının başlangıcından itibaren kanıtları toplamak, incelemek ve gerekli aksiyonları hızla alabilmektir. Özellikle, gece saatlerinde kritik bir alarmın tetiklendiğini düşünürsek, Binalyze bu entegrasyon sayesinde saldırı tespiti yapılmadan önce arka planda otomatik olarak kanıtları toplar ve tüm detaylarıyla bir rapor hazırlar. Bu süreç, zaman yönetimi açısından büyük bir avantaj sağlar.
-