Splunk MLTK ile Müşteri Verisini Stratejik Avantaja Dönüştürmek

Hazırlayan: Mahmut Arda Cömertoğlu – Bilgi Güvenliği Mühendisi – Sekom

Günümüzde veri, dijital çağın petrolü olarak kabul edilmektedir. Kurumlar; satış, yatırım ve güvenlik politikalarını sahip oldukları veriye dayanarak şekillendirmektedir. Bu noktada, veriyi harici kaynaklarla zenginleştirmek, makine öğrenimi gibi yöntemlerle veriye değer katmak ve elde edilen bulguları üst yönetime net ve anlaşılır şekilde aktarmak kritik öneme sahiptir.

Veriden değer elde etmenin yanı sıra, kuruluşlara yönelik saldırı paternlerinin veri aracılığıyla analiz edilmesi ve olası veri ihlallerinin önüne geçilmesi de büyük önem taşımaktadır. Nitekim günümüzde veri ihlallerinden kaynaklanan milyarlarca dolarlık kayıplar yaşayan kurumlara sıkça rastlanmaktadır.

Splunk platformu, sahip olduğu güçlü teknolojik kabiliyetler sayesinde uzun yıllardır kurumların güvenliğini sağlamada ve veriyi anlamlandırarak zenginleştirmede sektör lideri konumunu sürdürmektedir. Splunk, kurumların iç ve dış tehditlerine karşı bir gözcü işlevi görmenin yanı sıra, makine öğrenmesi gibi yöntemlerle veriye değer katmaktadır.

Müşteri ortamında veriye SPLUNK MLTK ile nasıl değer kattık?

Müşterimiz, tek bir platform üzerinde farklı satıcılara ait veriler barındıran bir ekosisteme sahipti. İhtiyaç, her satıcıya ait ağ trafiğinin öğrenilmesi ve olası anomali durumlarının makine öğrenimi desteğiyle tespit edilmesiydi.

Bu ihtiyacın karşılanabilmesi için öncelikle mevcut veri ve veri alanları incelendi. Ardından, Splunk Machine Learning Toolkit içerisinde kullanılabilecek uygun yöntemin belirlenmesi hedeflendi. Splunk üzerinde bir model oluşturularak, modelin eğitimi için Smart Outlier Detection yönteminin uygulanmasına karar verildi.

Smart Outlier Detection, sayısal verilerde olağandışı noktaları tespit etmeyi amaçlayan ve arka planda çoğunlukla DensityFunction (yoğunluk temelli) algoritmasını kullanan bir yöntemdir. Seçilen metrikler için normal dağılım öğrenilerek, olası sınırların dışında kalan veriler anomali olarak işaretlenmektedir.

Bu süreçte öncelikle Define Data Source adımında müşteri verileri üzerinden trafik ve üretici bazlı trafiği ayırmak için bir Splunk SPL sorgusu geliştirildi.

Learn Data adımında, anomali tespitine yönelik olarak Field to analyze kısmı trafik, Split by fields kısmı ise satıcı olarak belirlendi. Böylece satıcı bazlı trafik, loglar üzerinden ayrıştırılarak anomali tespiti yapılabilir hale getirildi. Distribution type varsayılan olarak bırakıldı, Outlier tolerance threshold değeri ise 0,019 olarak tanımlandı.

Elde edilen sonuçlarda, anomalilerin hangi satıcıda yoğunlaştığı ve hangi üreticilerin trafiğinin stabil olduğu metrikler sayesinde gözlemlenebilmiştir.. Burada iki metrik kritik rol oynadı: std/mean (oynaklık) ve Wasserstein distance (öğrenilen dağılım ile gözlenen dağılım farkı). Bu göstergelere göre; B ve E satıcılarının yüksek ortalama + yüksek oynaklık ve yüksek distance değerleri daha yüksek risk işaret ederken, D satıcısı düşük std/mean ve düşük distance ile daha stabil bir görünüm sergilemektedir.

Sonraki aşamada, Splunk Machine Learning üzerinde üretilen modelin Enterprise Security içerisinde bir model olarak tanımlanması gerekmektedir. Ardından, modelin periyodik olarak eğitilmesi için Enterprise Security üzerinde modeli kullanan bir SPL oluşturulmalı ve bu SPL günlük öğrenim amacıyla 24 saat aralıklarla çalışacak şekilde güncellenmelidir.

Son adımda ise, Enterprise Security üzerinde event-based detection tanımlanarak oluşturulan model aracılığıyla anomalilerin tespiti sağlanmalıdır. Bu SPL’in en kritik bölümü, anomali durumlarında uyarı mekanizması oluşturmak ve boundary aralıklarını gözlemlemektir.

İlgili korelasyon devreye alındığında, Analyst Queue ekranı üzerinden anomalilerin takibi etkin bir şekilde gerçekleştirilebilmektedir.

Sonuç

Splunk’ın sektör liderliğini güçlendiren yanı, yalnızca güvenlik kabiliyetleri değil; çağın petrolü olan veriye makine öğrenmesi gibi yöntemlerle değer katma becerisidir. Kurumların farklı alanlardaki stratejileri Splunk ve ekibimizin desteğiyle şekillenmektedir. Siz de veri rafinerinizdeki ham veriyi Splunk MLTK ile değerli içgörülere dönüştürmek için bizimle iletişime geçin.