Ana Sayfa Çözümler Neden Netsmart? Kariyer Keşif İletişim

Netsmart Bilişim Sistemleri A.Ş.

Esentepe Mh. Ecza Sk. No: 6 K: 1, 34394,
Şişli-İstanbul, Türkiye

+90212-274-31-61

info@netsmart.com.tr

Analiz

Splunk-Binalyze Webhook Entegrasyonu

Splunk-Binalyze Webhook entegrasyonundan bahsetmeden önce, kısaca entegrasyon gerçekleştirilecek iki üründen söz etmek gerekirse..

Splunk’ın Tanımı ve Tanıtımı

Splunk, işletmelerin dijital ortamlarından elde edilen büyük hacimli veri akışlarını toplama, indeksleme, analiz etme ve görselleştirme amacıyla kullanılan bir veri platformudur. Splunk, sistem performansını izleme, güvenlik ihlallerini tespit etme, sorunları giderme ve iş süreçlerini optimize etme gibi kritik işlevlerde kullanılır.

(Splunk Arayüz)

Splunk, log toplama ve analiz süreçlerini kolaylaştırmak için App ve Add-on bileşenlerini kullanır. Add-on, veriyi toplar, dönüştürür, anlamlandırır ve Splunk’a uygun hale getirir. App ise, toplanan veriler için rapor, dashboard ve analiz araçları sunar.

Binalyze’ın Tanımı ve Tanıtımı

Binalyze, 2018 yılında kurulan ve DFIR (Digital Forensics and Incident Response) odaklı bir platformdur. Dijital adli tıp ve olay müdahale süreçlerini hızlandırmak ve kolaylaştırmak için tasarlanmış yenilikçi bir siber güvenlik çözümüdür. Şirketlerin ve güvenlik ekiplerinin siber olaylara daha hızlı ve etkili bir şekilde yanıt vermelerini sağlamak amacıyla geliştirilen Binalyze, olay müdahale sürecindeki manuel adımları otomatikleştirerek güvenlik operasyonlarını optimize eder.

(Binalyze Arayüz)

Dakikalar içinde canlı bir sistemden kritik verileri toplamayı otomatikleştiren Binalyze, bu verilerin analizini kolaylaştırır. Delilleri toplar, inceler ve analiz eder; bu analizler sonucunda bir rapor oluşturur. Elde edilen bu rapor, adli tıp açısından kritik verilerin toparlanmasını sağlar. Ayrıca, yeni başlayan potansiyel bir saldırı için yapılması gereken işlemler Binalyze üzerinde otomatik bir şekilde gerçekleştirilir.

(Binalyze Investigation Hub)

Webhook Entegrasyonu

Binalyze, birçok farklı ürün için webhook entegrasyonuna imkan tanımaktadır. Splunk-Binalyze entegrasyonu sayesinde, Splunk üzerinde bir alarm tetiklendiğinde ve alarmın tetiklendiği sunucuda Binalyze ajanı çalışıyorsa, Binalyze otomatik olarak bir Acquisition başlatır ve ilgili sunucuda kanıt toplama işlemini gerçekleştirir.

Örnek bir senaryo oluşturmak gerekirse:

(Binalyze Webhook Konfigürasyonu)

Yukarıdaki ekran görüntüsünde de görüldüğü gibi öncelikle Binalyze üzerinde Splunk için webhook tanımlaması yapılması gerekir. IntegrationsWebhooks sekmesinden Add New seçilerek konfigürasyon ekranına gidilir. Sırasıyla yapılması gereken işlemler şunlardır:

  1. Tanımlanacak webhook’a bir isim verilir.
  2. Parser bölümünde, hangi ürünle entegrasyon yapılacaksa o ürüne uygun parser seçilmelidir.
  3. Acquisition Profile kısmında, Binalyze’ın quick, full veya browsing history gibi hazır tarama profilleri bulunmaktadır. Buradan ihtiyaca uygun bir profil seçilebilir veya manuel olarak özel bir acquisition profile tanımlanabilir.
  4. Ignore kısmında, örneğin Splunk üzerinde bir alarm tetiklendiğinde ve acquisition başladığında, 1 saat sonrasında aynı alarm tekrar oluşursa yeni bir acquisition başlatılmasını engellemek için bu alan kullanılır.
  5. Use custom options kısmında, acquisition tamamlandığında delillerin nerede toplanacağı, CPU, bant genişliği veya disk alanı limitasyonları gibi seçenekler yapılandırılabilir.

Bu işlemler tamamlandıktan sonra, webhook üzerinde oluşan URL kopyalanır ve bundan sonra Splunk üzerinde yapılması gereken işlemlere geçilir.

(Splunk Search ve Alert Tanımlanması)

Splunk üzerinde basit bir alarm tanımlamak gerekirse, örneğin bir fail login alarmı oluşturulup bu alarm üzerinde webhook action tanımlanabilir. Bunun için:

  1. HomeSearch & Reporting sekmesinden Search bölümüne gidilir.
  2. Alarm tanımlaması yapılacak log için ilgili sorgu (query) yazılarak, istenilen zaman aralıklarında bir arama gerçekleştirilir.

Arama sonuçlarına göre Save AsAlert seçilerek alarm tanımlaması yapılır.

(Splunk Alert Konfigürasyonu ve Webhook Action Tanımı)

Splunk üzerinde çalıştırılan fail login sorgusu bir alarm olarak kaydedilir ve Webhook Action kısmına, Binalyze’dan alınan URL tanımlanarak alarm kaydı tamamlanır.

(Splunk Alert)

Yukarıdaki ekran görüntüsünde de görüldüğü gibi, ilgili alarm tetiklendiğinde entegrasyon sonucunda Binalyze üzerinde otomatik olarak bir Acquisition başlatılması beklenir.

(Binalyze Webhook Acquisiton Task)

Son olarak, Splunk üzerinde tanımlanan alarm tetiklendiğinde, Binalyze üzerinde webhook ile çalışan Acquisition’ın otomatik olarak devreye girdiği gözlemlenir. Bu Acquisition görevi sonucunda, Splunk üzerinde risk teşkil eden bir alarm tetiklendiğinde, Binalyze üzerinde tanımlanan kanıt türlerine göre deliller toplanır ve raporlanır.

Bu entegrasyonun amacı, analiz sürecinde saldırıları tespit etmek, mevcut bir saldırı varsa saldırının başlangıcından itibaren kanıtları toplamak, incelemek ve gerekli aksiyonları hızla alabilmektir. Özellikle, gece saatlerinde kritik bir alarmın tetiklendiğini düşünürsek, Binalyze bu entegrasyon sayesinde saldırı tespiti yapılmadan önce arka planda otomatik olarak kanıtları toplar ve tüm detaylarıyla bir rapor hazırlar. Bu süreç, zaman yönetimi açısından büyük bir avantaj sağlar.

ReFS ve NFTS Hakkında Karşılaştırma

ReFS vs. NTFS

Versus

Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.

Daha fazla
ArcSight ESM MISP entegrasyonu nasıl yapılır?

ArcSight ESM MISP entegrasyonu nasıl yapılır?

Entegrasyon

SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.

Daha fazla
9 Adımda Veri Keşfi Neden Önemli

9 Adımda Veri Keşfi neden önemli ve Veri Keşfi ürünlerinde nelere dikkat edilmeli

Analiz

Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.

Daha fazla
CyberArk API Kullanımları

CyberArk API Kullanımları

CyberArk

2 uygulama veya yazılım bileşenin belirli protocoller ile veri transferi sağlayan mekanizmalardır. Mobil cihazlardaki, hava durumu uygulamaları, haber sitelerindeki borsa uygulaması gibi benzeri uygulamalar API protokolleri ile anlık haberleşmektedir.

Daha fazla