Makine öğrenmesi ile olay tabanlı kullanıcı ve varlık davranış analizi

Teknolojinin hızla evrimiyle birlikte, işletmeler için siber güvenlik artık vazgeçilmez bir öncelik haline gelmiştir. Kötü niyetli yazılımlar, hizmet dışı bırakma saldırıları ve sıfır gün açıkları gibi dış saldırılarla başa çıkmak için yapılan yatırımların yanı sıra, kurum içi tehditlere karşı da önlem almak büyük önem taşımaktadır. Ne yazık ki, bilinçsiz veya kötü niyetli çalışanlar nedeniyle ortaya çıkan iç tehditlerle başa çıkmak, hala birçok şirket için zorlu bir mücadele olmaya devam etmektedir. Bu sorunu çözmek için ortaya atılan çözümlerden biri de kullanıcı ve varlık davranış analizidir. Bu yaklaşım, çalışanların günlük aktivitelerini izleyerek anormal davranışları tespit etmeyi amaçlar. Böylece, iç tehditlerin belirlenmesi ve önlemlerin alınması için zamanında müdahale edilebilir. Bu çalışmada, şirketlerin güvenlik bilgileri ve olay yönetimi sistemleriyle uyumlu bir kullanıcı ve varlık davranış analizi modeli önerilmiştir. Bunun için, öncelikle Wazuh uygulaması kullanılarak çalışanların Windows işletim sistemlerini kullanırken gerçekleştirdikleri aktiviteler toplanmıştır. Toplanan veriler, bir kural yapılmıştır. Ardından, veriler geçmişten günümüze doğru sıralanmış ve kayan pencere yöntemi kullanılarak yedi farklı veri seti oluşturulmuştur. Her bir veri seti, dokuz farklı sınıflandırma algoritması ile eğitilmiş ve modellerin başarı oranı, F1 skoru, kesinlik, duyarlılık, hassasiyet ve yanlış negatif oranı değerleri hesaplanmıştır. Yapılan analizler sonucunda, en başarılı sonuçların 25 pencere boyutunda Rastgele Orman Yöntemi ile elde edildiği gözlemlenmiştir. Bu yaklaşım, şirketlerin iç tehditlere karşı daha proaktif bir yaklaşım benimsemelerini sağlayarak, güvenlik açıklarının kapatılmasına yardımcı olabilir.

With the rapid evolution of technology, cybersecurity has become an essential priority for businesses. In addition to investing in dealing with external attacks such as malware, denial-of-service attacks and zero-day exploits, it is of utmost importance to take precautions against internal threats. Unfortunately, dealing with insider threats caused by unconscious or malicious employees is still an uphill battle for many companies. One solution to this problem is user and asset behavior analysis. This approach aims to detect abnormal behavior by monitoring the daily activities of employees. Thus, internal threats can be identified and responded to in time to take action. In this study, we propose a user and entity behavior analysis model that is compatible with companies' security information and incident management systems. For this purpose, firstly, the Wazuh application was used to collect the activities of employees while using Windows operating systems. The collected data was subjected to a rule filtering process and a warning assessment of the events was performed. Then, the data was sorted from past to present and seven different data sets were created using the sliding window method. Each dataset was trained with nine different classification algorithms and the success rate, F1 score, precision, sensitivity, accuracy and false negative rate of the models were calculated. As a result of the analysis, it was observed that the most successful results were obtained with the Random Forest Method with a window size of 25. This approach can help companies adopt a more proactive approach against insider threats and help close security gaps.