Blue Team Stratejisi Bootcamp Bölüm 5 | Nedir Bu Soc Analyst ?

StrongsAire.exe

StrongsAire.exe

Junior Hunter
15 Tem 2010
815
154
/.root
Sıkılmamanız için güzel bir şarkı öneriyorum #5


Nedir Bu Soc Analisti Ne İş Yapar ?


SOC (Security Operations Center) Nedir?

SOC (Security Operations Center), işletmelerin güvenlik açıklarını izleyen, sızma testi yapan ve düzeltmeler için birlikte çalışan bir grup siber güvenlik uzmanından oluşur. SOC çalışanları, güvenlik açıklarının keşfedildiği anda ele alınmasını sağlamak için müdahale ekipleriyle yakın işbirliği içinde çalışır. Ağ altyapısı, bilgisayar sunucuları, çok sayıda uç nokta, uygulamalar, web sayfaları ve diğer varlıklar; bir güvenlik tehdidi veya ihlaline işaret edebilecek olağandışı davranışları kontrol eden güvenlik operasyon merkezlerinde izlenir ve analiz edilir. SOC, olası güvenlik olaylarını doğru bir şekilde tanımlamak, analiz etmek, savunmak, araştırmak ve raporlamaktan sorumludur. Bilgi güvenliği operasyon merkezi – information security operations center (ISOC), ağ güvenliği operasyon merkezi – network security operations center (NSOC), güvenlik istihbarat ve operasyon merkezi – security intelligence and operations center (SIOC), küresel güvenlik operasyon merkezi – global security operations center (GSOC) veya siber güvenlik merkezi – cybersecurity center, güvenlik operasyon merkezinin diğer isimleridir.

Neden Önemlidir ? İşletmeler, SOC olmadan riskleri belirleme ve bu risklere tepki verme yeteneklerinden yoksun olacağından, siber saldırıları uzun süre tespit edemeyebilir. Fakat SOC ile işletmeler BT altyapıları hakkında daha derinlemesine bir anlayış kazanır. Bir güvenlik operasyon merkezi, iç ve dış trafiği izler ve işletmenin BT kaynaklarıyla ilişkisini sürekli kontrol eder. Ayrıca, işletmenin dijital mülkiyetine yasal erişimi olmayan herhangi bir dolandırıcılık trafiğini engellemekten de sorumludur.


soc-analyst.jpg


SIEM Nedir ?

SIEM (Security Information and Event Management), kurumların faaliyetlerini kesintiye uğratmadan güvenlik tehditlerini algılamasına, analiz etmesine ve müdahale etmesine yardımcı olan bir güvenlik çözümüdür. SIEM, hem güvenlik bilgi yönetimini (SIM) hem de güvenlik olayı yönetimini (SEM) tek bir güvenlik yönetim sisteminde birleştirir. SIEM teknolojisi, bir dizi kaynaktan olay günlüğü verilerini toplar, gerçek zamanlı analizle normdan sapan etkinlikleri tanımlar ve gerekli eylemi gerçekleştirir. Özetlemek gerekirse SIEM, kurumların potansiyel siber saldırılara hızlıca yanıt verip uyumluluk gerekliliklerini karşılayabilmesi için ağlarındaki etkinlikleri görünür hale getirir.

SIEM araçları, güvenlik ekiplerinin saldırıları tespit edip engelleyebilmesi için bir kurumun uygulamalarından, cihazlarından, sunucularından ve kullanıcılarından gerçek zamanlı olarak yüksek hacimde veri toplayıp bunları bir araya getirir ve analiz eder. SIEM, şüpheli kullanıcı etkinliklerini algılama, kullanıcı davranışlarını izleme, erişim girişimlerini sınırlama ve uyumluluk raporları oluşturma gibi birçok farklı alanda siber risklerin azaltılması için kullanılabilir. Kısaca SIEM gelen dataları filtreler yanlış bir dosyada alarm verir.



EDR - Uç Nokta Algılama ve Yanıtlama

Bir SOC analisti, bir uç nokta cihazında analiz gerçekleştirirken EDR kullanarak önemli miktarda zaman harcamalıdır. Aşağıdaki bölümlerde EDR'nin SOC analistleri için neden yararlı olduğu ve nasıl etkili bir şekilde kullanılacağı ele alınmaktadır.


EDR Nedir ?


EDR (Endpoint Detection and Response), bir kuruluşun bilgisayar sistemleri ve ağlarında gerçekleşen kötü amaçlı etkinlikleri tespit eden ve bu tehditlere hızlı bir şekilde tepki verebilen bir güvenlik teknolojisidir. EDR, uç noktalarda tespit ve müdahale, ana bilgisayar ve uç nokta bağlantılarındaki şüpheli etkinlikleri tespit etmek ve bunlara müdahale etmek için gerçek zamanlı, sürekli izleme, uç nokta veri toplama ve gelişmiş korelasyon özelliklerini birleştirir. Bu yaklaşım, güvenlik ekiplerinin hem manuel hem de otomatik müdahale seçenekleriyle yüksek güvenilirliğe sahip algılamalar üretmek için etkinlikleri hızla belirlemesine ve ilişkilendirmesine olanak tanır. EDR, tehdit olabilecek her şeyi sürekli ararken hem uç noktayı ve sunucuyu hem de ana bilgisayar erişim noktalarını sürekli olarak izlemenize olanak tanır. EDR güvenlik çözümleri, bir uç noktada gerçekleşen tüm etkinlikleri ve olayları kaydeder. Bazı satıcılar bu hizmeti ağınıza bağlı tüm iş yüklerine de genişletebilir. Bu kayıtlar veya olay günlükleri daha sonra, tespit edilemeyen olayları ortaya çıkarmak için kullanılabilir. Gerçek zamanlı izleme, tehditleri kullanıcı uç noktalarının ötesine yayılmadan önce çok daha hızlı algılar. Uç noktalarda tespit ve müdahalenin faydaları arasında araştırmaları hızlandırma, güvenlik açıklarını hızla belirleme ve herhangi bir kötü amaçlı etkinliğe manuel ve otomatik seçenekleri kullanarak daha hızlı müdahale etme yeteneği yer alır. Ancak, tek bir vektörün ötesine geçerek e-posta, ağ, bulut iş yükü ve daha fazlası gibi ek güvenlik katmanlarını içeren XDR çözümlerinin gelişmesiyle birlikte, EDR hızla bir silo yaklaşımı haline geliyor. XDR’ye başka bir veri girişi olarak mevcut olduğundan, tespit ve müdahale stratejinizin tamamı ve sonu değildir. Uç noktalarda tespit ve müdahale sistemlerinin nasıl çalıştığına bakmanın basit bir yolu, evinizin kapısını bir uç nokta olarak düşünmektir. Basitçe söylemek gerekirse, güvenli bir ortamda riski azaltmak söz konusu olduğunda uç noktalarda tespit ve müdahale önemli bir stratejidir, ancak güçlü bir risk yönetimi stratejisi oluştururken diğer güvenlik katmanlarını da dikkate almak önemlidir. Sürekli ve kapsamlı görünürlük Ağınızın güvenlik ekibinin yapması gereken önemli bir iş var. Ağın istikrarlı ve güvenli olmasını sağlamanın yanı sıra, zaman içinde ortaya çıkan olası tehditleri veya sorunları izlemeleri gerekir.


SOAR (Güvenlik Orkestrasyonu Otomasyonu ve Yanıtı)

SOAR, Güvenlik Orkestrasyonu Otomasyonu ve Yanıtı anlamına gelir. Bir ortamdaki güvenlik ürünleri ve araçlarının birlikte çalışmasını sağlayarak SOC ekip üyelerinin görevlerini kolaylaştırır. Örneğin, bir SIEM uyarısının kaynak IP'sini otomatik olarak VirusTotal'da arayarak SOC analistinin iş yükünü azaltır.

Sektörde yaygın olarak kullanılan bazı SOAR ürünleri:
  • Splunk Phantom
  • IBM Resilient
  • Logsign
  • Demisto

Aşağıdaki görsel SOAR çözümüyle neler başarılabileceğinin göstergesidir.

1673338401944


Zamandan Tasarruf Etmenizi Sağlar

SOAR, süreçleri otomatikleştiren iş akışlarıyla zamandan tasarruf sağlar. Bazı yaygın iş akışları şunlardır:



  • IP adresi itibar kontrolü
  • Karma sorgu
  • Edinilen bir dosyanın sandbox ortamında taranması

Merkeziyetçilik (İhtiyacınız olan her şey için tek bir platform)

Ortamınızdaki farklı güvenlik araçlarını (sandbox, log yönetimi, 3. parti araçlar vb.) hepsi bir arada bir yazılım sağlayarak kullanmanıza olanak tanır. Bu araçlar SOAR çözümüne entegre edilmiştir ve aynı platformda kullanılabilir.

soar-central.PNG

SOC Analistlerinin Yaptığı Yaygın Hatalar

Herkes gibi SOC analistleri de hata yapabilir. Bu bölümde, SOC analistleri tarafından yapılan yaygın hataları ve bunları kendiniz yapmaktan nasıl kaçınacağınızı ele alacağız.

VirusTotal Sonuçlarına Aşırı Güvenme
Bir Sandbox'taki Kötü Amaçlı Yazılımların Aceleyle Analizi
Yetersiz Log Analizi
VirusTotal Tarihlerini Gözden Kaçırma


Bu dersi, bölümdeki önceki dersleri tamamladıktan sonra tekrar gözden geçirmeniz önerilir.



VirusTotal Sonuçlarına Aşırı Güvenme

Bazen bir dosyanın URL'sini analiz ettikten ve adresin zararsız olduğunu gördükten sonra VirusTotal'ın yeşil ekranında görüntülenen sonuca güvenebiliriz. Ancak, VT (VirusTotal) tarafından tespit edilemeyebilecek bir AV (AntiVirüs) atlama tekniği kullanılarak geliştirilen yeni bir kötü amaçlı yazılım var. Bu nedenle, VirusTotal'ı destekleyici bir araç olarak kabul etmeli ve analizlerimizi bunu aklımızda tutarak gerçekleştirmeliyiz.



Bir Sandbox'taki Kötü Amaçlı Yazılımların Aceleyle Analizi

Bir sandbox ortamında 3-4 dakikalık bir analiz her zaman doğru sonuçlar vermeyebilir. İşte nedenleri:


Kötü amaçlı yazılımlar bir sanal alan ortamını tespit edebilir ve kendini etkinleştirmeyebilir.

İşlem gerçekleştirildikten sonra zararlı yazılım 10-15 dakika aktif hale gelmeyebilir.


Bu nedenle analizin mümkün olduğunca uzun süre tutulması ve mümkünse gerçek ortamda gerçekleştirilmesi gerekmektedir.

Yetersiz Log Analizi

Bazen bazı günlük analizlerinin düzgün yapılmadığını görüyoruz. Örneğin, "LetsDefend" ana bilgisayar adına sahip bir makinede bir kötü amaçlı yazılım parçası tespit edildiğini ve bu kötü amaçlı yazılımın gizlice "letsdefend.io" adresine veri gönderdiğini varsayalım. Bir SOC analisti olarak, başka bir cihazın da bu adrese bağlanmaya çalışıp çalışmadığını belirlemek için Günlük Yönetimi çözümlerini kullanmalısınız.

VirusTotal Tarihlerini Gözden Kaçırma

VirusTotal'da gerçekleştirdiğiniz arama daha önce sorgulanmışsa, önbellekten bir sonuç gösterilecektir. Örneğin: VirusTotal'da "turkhackteam.org" adresini aradık ve sonuç aşağıda gösterilmiştir.

82b7ef0a.png



SOC Modellerinin Türleri

Güvenlik ihtiyaçlarınıza ve bütçenize bağlı olarak çeşitli SOC türleri mevcuttur:

soc-models.png



Şirket içi SOC

Bu ekip, bir organizasyon siber güvenlik ekibini kurduğunda oluşturulur. Dahili bir SOC düşünen organizasyonlar, sürekliliğini desteklemek için bir bütçeye sahip olmalıdır.


Sanal SOC

Bu tip SOC ekiplerinin kalıcı bir tesisi yoktur ve sıklıkla çeşitli lokasyonlarda uzaktan çalışırlar.


Ortak Yönetimli SOC

Ortak Yönetimli SOC, harici bir Yönetilen Güvenlik Hizmet Sağlayıcısı (MSSP) ile çalışan dahili SOC personelinden oluşur. Bu tür modelde koordinasyon anahtardır.


Komuta SOC

Bu SOC ekibi, geniş bir bölgedeki daha küçük SOC'leri denetler. Bu modeli kullanan kuruluşlar arasında büyük telekomünikasyon sağlayıcıları ve savunma ajansları yer alır.



SOC EKİBİ

Siber güvenlik operasyon merkezleri , kurum içerisindeki başarısı ekibe bağlıdır. SOC ekibi ; seviye 1 , seviye 2 seviye 3 , seviye 4 pozisyonlarına sahiptir. Birde siber tehdit istihbarat ekibi vardır.


SEVİYE 1 GÜVENLİK ANALİSTİ :
En alt tabakadadır. Sistem yöneticisi yetkinliklerine, programlama ve güvenlik yeteneklerine sahiptir. Alarmların doğruluğunu kontrol eder ve önceliğini belirler. Saldırı sinyali veren alarmlar için ticket oluşturur ve bunu seviye 2 yani üst yöneticiye haber verir. Zafiyet taramaları yapar ve raporlarını değerlendirir. Güvenlik izleme araçlarını yönetir ve yapılandırır.



SEVİYE 2 GÜVENLİK ANALİSTİ :
Seviye 1 analistin yapması gereken görevlerin yanı sıra problemin asıl kaynağına inebilme ve baskı altında çalışabilme ve krizi yönetebilmelidir. Seviye 1 analistinin oluşturduğu ticket’ları inceler. Tehdit istihbaratlarını değerlendirerek etkilenen sistemleri ve saldırının kapsamını belirler. Saldırıya maruz kalabilecek sistemler üzerindeki bilgileri ileriki saldırılar için toplar, iyileştirme ve kurtarma planını belirleyip yönetir.



SEVİYE 3 UZMAN GÜVENLİK ANALİSTİ :
Seviye 1 ve 2 analistlerinin yetkinliklerinin yanında veri görselleştirme araçlarına hakim olmalıdır. Tanımlanan zafiyet değerlendirme ve varlık envanterini verilerini gözden geçirir. Tehdit istihbaratlarını göz önünde bulundurarak kurum ağı içerisinde yerleşmiş olan gizli tehditleri ve tespit yöntemlerini bulur. Sistemlere sızma testleri yaparak dayanıklılığını ve düzeltilmesi gereken açıklıkları bulurlar. Tehdit avcılığının yardımıyla güvenlik izleme araçlarını optimize ederler.



SEVİYE 4 SOC YÖNETİCİSİ :
En üst tabakadır. Seviye 1,2 ve 3 analistlerinin yetkinliklerine ek olarak güçlü liderlik ve iletişim yeteneklerine sahip olmalıdır. Ekip ruhunu diri tutmalıdır. SOC yöneticisi, operasyonları ve ekibi yönetir. SOC ekibinin faaliyetlerini gözetler. Ekip için eğitim süreçlerini , işe alım ve değerlendirmelerini yapar. Saldırıların süreçlerini yönetir ve olay raporlarını gözden geçirir. Ekiple haberleşme için iletişim planını geliştirir ve uygular. Uyumluluk raporlarını yayınlar .Denetleme süreçlerini yakından takip eder ve destekler; SOC önemini iş dünyasına aktarır.



SİBER TEHDİT İSTİHBARATI EKİBİ :
Siber tehdit istihbaratı, kurumlarda güvenliğine zarar verebilecek tehditler hakkında tanımlanmış, toplanmış ve zenginleştirilmiş verilerin bir süreçten geçirilerek analiz edilmesi sonucu saldırganların amaçlarını ve metotlarını tespit etmeye yarayan bir istihbarat türüdür. Siber tehdit istihbaratı ,bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır. Büyük SOC ekipleri tehdit istihbaratına özel görevlendirmeler yapabilirler. Daha küçük SOC ekipleri ise güvenilir bir tehdit istihbaratı hizmet sağlayıcısından bilgi almak gibi bir yöntem uygulayabilirler.

XE8VI_IZz5VXvz76inWrRv5CfnyVeI9oZmAd-qLbYrrrJugy-5bxZD5_oJiPiyVETl06nb_0kaP8HJpAG0rKdq9PNGbeMs8yK3Jc9szSajt4nfWsnRdZI_XnOWeAFuYmoNvz7eMMWeLPteF1fWIn1jI
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.