- 11 Tem 2023
- 7
- 10
Merhaba arkadaşlar ben Cl0p, Blue Team özelinde forum içerisinde bir çok eğitim paylaşmayı düşünüyorum. Bugün sizlere hazırlamış olduğum "Güvenlik Operasyonları Merkezi (SOC) Giriş" konusunun ilk bölümünü paylaşacağım. Bu konunun devamında Security Monitoring, Incident Response ve Threat Hunting olmak üzere devam niteliğinde 3 konu daha paylaşacağım. SOC kısmını bitirdikten sonra "Advanced Forensic Analysis (Gelişmiş Adli Analiz)" konusunda eğitimler paylaşmaya devam edeceğim. Konu altında soru ve önerilerinizi paylaşabilirsiniz. İyi okumalar dilerim. Saygılarımla.
Güvenlik Operasyonları Merkezi (SOC), bir kuruluş için siber savunma operasyonlarının ana merkezidir. Bir SOC, SOC analistlerinin çabalarını yöneten ve koordine eden bir SOC yöneticisinden oluşur.
Bir SOC'deki soruşturma işi tipik olarak SOC analistleri tarafından yapılır ve günlük işlerin çoğunu oluşturur ve bu nedenle, SOC'nin ne olduğunu ve burada yapılan işin türünü anlamak isteyen SOC analistleri için önemlidir. Bir SOC'yi organize etmenin, hem SOC analistlerinin nasıl katıldığı, hem de bir organizasyonun ağ ortamına nasıl uygulandığı açısından, her birinin değiş tokuşu olan birkaç yolu vardır.
Gelişmiş siber güvenlik programlarına sahip kuruluşlar, genellikle ağlarında aşağıda listelenenler gibi çeşitli noktalardan büyük miktarlarda güvenlikle ilgili veri toplar:
- uç noktalar
- Güvenlik duvarları
- Saldırı Tespit Sistemleri (IDS)
- Uç Nokta Algılama ve Düzeltme (EDR) sistemleri
- Kullanıcı ve Varlık Davranışı Analitiği (UEBA)
- Ağ cihazları
SOC ekibi, siber güvenlik savunmasının ön cephesidir. Algılama kaynaklarından gelen uyarıları inceler ve bir uyarının ek araştırma gerektirip gerektirmediğini veya yanlış pozitif olarak bilinen herhangi bir kötü amaçlı etkinliğe karşılık gelip gelmediğini belirler.
10.000'den fazla çalışanı olan şirketler gibi büyük kuruluşlar her gün 1.000'den fazla uyarı alabilir ve bunların çoğu ağdaki gerçek tehditlerle ilgili değildir. Bu uyarıları incelemek, hangisinin daha fazla araştırılması gerektiğine karar vermek, bu soruşturmayı gerçekleştirmek ve herhangi bir takip veya düzeltmeyi yürütmek SOC'nin görevidir.
Bir SOC'de ne tür görevlerin yapıldığına girmeden önce, geleneksel bir SOC'deki rolleri göz önünde bulundurun. Tipik olarak, bir SOC'de beş rol vardır. Kurumun büyüklüğüne ve karmaşıklığına bağlı olarak roller arasında örtüşmeler olabilir ve kişiler bu rollerin birden fazlasını doldurabilir.
SOC Analisti - Kademe 1
Tier 1 SOC analisti, SOC analistlerinin en küçüğüdür. Birincil işlevlerinden biri, gelen uyarıları öncelik sırasına koymaktır. Çoğu kuruluşun, uyarılar üreten otomatik sistemlerle SOC'ye gelen büyük miktarda verisi vardır. Bunların çoğu yanlış pozitiftir, ancak bazıları değildir. SOC Analisti - Kademe 1'in görevi, hangi uyarıların araştırmaya değer olduğunu ve hangilerinin göz ardı edilebileceğini belirlemektir. Gerçek pozitif olması muhtemel uyarılar, Kademe 2 SOC analistlerine iletilir.
Bu iş, yüksek stresli bir iş olabilir çünkü birçok analist, hataların şirket üzerinde büyük olumsuz etkileri olabileceğini bilerek kısa sürede çok sayıda uyarıyı işleyecektir. Bu rol, karar verme sürecine yardımcı olmak için otomasyondan ve makine öğreniminden/yapay zekadan büyük ölçüde yararlanabilir. Bu, kuruluşların Tier 1 rolünü, Tier 2 SOC analistlerine daha çok benzeyecek şekilde geliştirmelerini sağlayabilir.
SOC Analisti - Kademe 2
Kademe 2 SOC analistleri, büyük ölçekli veya büyük bir ihlalle uğraşmadıkça genellikle olaylara ana müdahale eden kişilerdir. 1. Kademe analistleri tarafından önceliklendirilen uyarıları alırlar, soruşturmayı yürütürler, olayın kapsamını belirlerler ve muhtemelen iyileştirme çabaları yürütürler.
Bu analist seviyesi, Kademe 1'den daha deneyimlidir ve analist rolü için SOC'deki ilerlemede bir sonraki adımdır. Kademe 2 analistleri, sıklıkla Kademe 1 analistleri için akıl hocası olarak hizmet eder.
SOC Analisti - Kademe 3
Bu genellikle SOC analistinin en yüksek seviyesidir. Bir Kademe 3 analisti, bir Kademe 2 analistine benzer şekilde olay müdahalesi ve adli tıp analizi de yapabilir, ancak genellikle tehdit avcılığı ile uğraşır. Bu rolde, halihazırda ağda bulunabilecek ancak Kademe 1 analistleri tarafından işlenen herhangi bir uyarı oluşturmayan tehditleri aktif olarak ararlar. Bu tür avlanma, genellikle diğer kuruluşların gördüğü mevcut ve aktif gelişmiş tehditleri ileten tehdit istihbaratı akışları tarafından bilgilendirilir.
Bu kişiler, çok çeşitli teknolojilerde çalışabilen, son derece teknik olmalıdır. Kuruluşun SIEM'ini kullanma konusunda uzman olmanın yanı sıra ağ adli araştırmalarını yürütme konusunda da yetkin olmalıdırlar.
Güvenlik Mühendisi
SOC'ler, günlük işlevlerini yerine getirmek için karmaşık bir dizi araç ve veri kaynağı kullanır. Analistlerin görevlerini yerine getirebilmeleri için bu araçların dikkatli bir şekilde seçilmesi, kurulması, yapılandırılması ve bakımının yapılması gerekir. Bu, bir SOC güvenlik mühendisinin rolüdür.
Mühendis, çözümleri SOC yöneticisi ve Baş Bilgi Güvenliği Sorumlusu'ndan (CISO) gelen girdilerle birlikte tasarlar ve tasarlar. Bu çözümler, verilere görünürlük ve ortaya çıkan herhangi bir olaya yanıt verme yeteneği sağlamak için SOC'de uygulanır.
SOC güvenlik mühendisleri, genellikle kuruluş tarafından kullanılan SIEM konusunda uzmandır ve onu yeni veri kaynaklarını kullanacak, yüksek performans için ayarlayacak ve veri toplama ve analiz sürecine eklemek için yeni sistemler kuracak şekilde yapılandırabilir. Ayrıca sistemlerin kullanımını kolaylaştırmak için eklentiler veya otomasyon komut dosyaları geliştirmeleri istenebilir. Veri raporlaması gereken tüm sistemlerin gerçekten veri raporlamasını sağlamak onlar için de önemlidir. Ayrıca, her bir sistem hakkında yapılandırma bilgileri de dahil olmak üzere ortamda hangi sistemlerin bulunduğunu bilmeleri gerekir.
SOC Yöneticisi
SOC yöneticisi, tüm SOC ekibini yönetir, çabalarını koordine eder ve ayrıca organizasyonun daha yüksek seviyelerine iletişimi yönetir. Ayrıca SOC analistlerinin işe alınmasını ve eğitimini yönetirler ve SOC ekibinin gelecekteki yönü ve yetenekleri için vizyon sağlamalıdırlar.
Tipik bir SOC yöneticisi, SOC'deki diğer rollerde derinlemesine bilgi ve deneyime sahip, son derece teknik bir kişidir ve herhangi bir boşluğa adım atabilir. Bu, kuruluşa göre değişse de, sıklıkla doğrudan CISO'ya rapor verirler. SOC'nin boyutuna ve karmaşıklığına bağlı olarak, her biri SOC'nin işlevlerinin belirli bir bölümünü denetleyen birden çok SOC yöneticisi olabilir.
Cl0p ^_-
Konunun devamı; Güvenlik Operasyonları Merkezi (SOC): Güvenlik İzleme
Son düzenleme:
