Bu konumda sizlere önceden kurulumunu yaptığımız aracımızın nasıl kullanıldığını göstereceğim. OpenCTI Platform aracı, bizlere siber tehdit istihbaratı için çok fazla özellik sağlamaktadır. Aracımız, dünya genelinde bulunmuş olan zararlı yazılımları ve bunun gibi risk oluşturan birtakım yazılımların paylaşıldığı yerdir. Hadi gelin uygulamamıza bakalım.
Dashboard
Bu ekranımızda karşımıza 3 aylık toplanan veriler çıkmaktadır. Altta verilen harita, tablo ve grafiklerde bize bir takım bilgiler verilmektedir.
Harita, bizlere en çok saldırı alan (hedeflenen) ülkeyi gösterir.
Sütun Grafiği, bizlere 3 ayda en çok aktif olarak faaliyet göstermiş olan kuruluşları gösterir.
Tablo, bizlere en çok bulunan türün hangi etikette olduğunu söyler.
Çizgi grafiği ise bize son aylarda bulunan verileri gösterir.
En üste verilen bilgiler ise raporları, verileri, kurulan bağlantıları ve gözlemleri sunmaktadır.
Analysis
Bu kısımda incelemek üzere getirilen tüm dosyalar gözükür. Tamamlanan, devam eden, saldırı çeşitleri gibi dosyalar burada bulunabilir. OPENCTI logosunun yanında bulunan "Reports", "Notes", Opinions" ve "External Referances" kısmından diğer bilgilere de ulaşabilirsiniz.
Analizi yapılan bir dosyanın içeriğine girdiğimiz zaman içeriğinde yazılan raporu ve açık türüyle alakalı verilen birçok bilgi bizi karşılamaktadır. Hatta en son bağlantı kuran kişiler bile gözükebilmektedir.
Events
Bu kısımda bulunan yazılımların hem etiketleri hem de ne işe yaradığı gibi bilgiler aynı şekilde gözükmektedir. İncelenmiş ve bitmiş bir olaya buradan ulaşabilir ve içeriğine yazılmış olan detayları görebilirsiniz. Bitmiş veya kapatılmış olan olayların yanında "DISABLED" veya "DONE" şeklinde yazmaktadır.
Observations
Bu başlık altında ip adresi, sitemler, URL gibi birtakım incelemelerin olduğu yerdir. Yapılan incelemeler sonucunda raporlar yine aynı şekilde başlık içeriğinde tutulu ve yayına etiket olarak durumları yazılır. Örneğin hacklenmiş bir sunucu olduğunuda hacked etiketi verilir ve analizinde malware bulunduysa bunlar eklenir.
Threats
Sistemlere gelen ve önceden fark edilmiş olan tehditlerin paylaşıldığı ve incelenmesi üzerine paylaşıldığı yerdir. Burada tehditlerin nerede olabileceği hakkında bilgiler de verilmektedir.
Arsenal
Bu bölümde daha çok saldırı tiplerinin ve virüslerin bulunduğu kısımlar diyebiliriz. Burada raporlanmış içerikleri görebiliriz. Sadece raporlanmış değil, anti-virüsler tarafından yakalanmış olan kötü yazılımları da görebiliriz. Örneğin burada paylaşılan bir yazıya girdiğimiz zaman içeriğinde rapor, saldırı yöntemi, önemlilik derecesi ve eğer not eklendiyse notu görebiliriz.
Entities
Bu bölümde kurumların ve kuruluşların adlarının bulunduğu kısımdır. Genellikle hedef alınan kuruluşlar burada olurken raporlarına ve bu kuruluşlara gelen saldırıları da buradan üzerine tıklayarak görebilirsiniz.
Şimdi sizlere resimlerle analiz edilen bir yazılım içerisinde nelerin olduğunu ve raporların nasıl olduğunu birkaç fotoğrafla anlatmak istiyorum. Hemen bakalım.
Resimde görüldüğü üzere incelenen dosyamız bir "RANSOMWARE" etiketine sahip. Sağ üstte rapor bilgisinin "THREATREPORT" yani "Tehdit İhbarı" olduğunu ve onun altında da işlem durumunu görmekteyiz. Açıklama kısmında "Fidye Virüsü" olduğu düşüncesinin olduğunu görebiliriz. Sol tarafa tekrar bakıldığında İncelemenin site içerisine açılmasını ve kimin tarafından oluşturulduğunu görebiliyoruz.
"External References" kısmında da dış kaynaktan alınmış olan bilgileri görebiliriz. Sağ tarafta virüsle alakalı yapılan geçmiş bilgilere ulaşabiliyoruz.
Bir sonraki sekmede bizi grafik olarak karşılıyor. İstediğiniz bir şekilde etrafa açabiliyor ve üzerine giderek bilgi alabiliyorsunuz.
Dashboard
Bu ekranımızda karşımıza 3 aylık toplanan veriler çıkmaktadır. Altta verilen harita, tablo ve grafiklerde bize bir takım bilgiler verilmektedir.
Harita, bizlere en çok saldırı alan (hedeflenen) ülkeyi gösterir.
Sütun Grafiği, bizlere 3 ayda en çok aktif olarak faaliyet göstermiş olan kuruluşları gösterir.
Tablo, bizlere en çok bulunan türün hangi etikette olduğunu söyler.
Çizgi grafiği ise bize son aylarda bulunan verileri gösterir.
En üste verilen bilgiler ise raporları, verileri, kurulan bağlantıları ve gözlemleri sunmaktadır.
Analysis
Bu kısımda incelemek üzere getirilen tüm dosyalar gözükür. Tamamlanan, devam eden, saldırı çeşitleri gibi dosyalar burada bulunabilir. OPENCTI logosunun yanında bulunan "Reports", "Notes", Opinions" ve "External Referances" kısmından diğer bilgilere de ulaşabilirsiniz.
Analizi yapılan bir dosyanın içeriğine girdiğimiz zaman içeriğinde yazılan raporu ve açık türüyle alakalı verilen birçok bilgi bizi karşılamaktadır. Hatta en son bağlantı kuran kişiler bile gözükebilmektedir.
Events
Bu kısımda bulunan yazılımların hem etiketleri hem de ne işe yaradığı gibi bilgiler aynı şekilde gözükmektedir. İncelenmiş ve bitmiş bir olaya buradan ulaşabilir ve içeriğine yazılmış olan detayları görebilirsiniz. Bitmiş veya kapatılmış olan olayların yanında "DISABLED" veya "DONE" şeklinde yazmaktadır.
Observations
Bu başlık altında ip adresi, sitemler, URL gibi birtakım incelemelerin olduğu yerdir. Yapılan incelemeler sonucunda raporlar yine aynı şekilde başlık içeriğinde tutulu ve yayına etiket olarak durumları yazılır. Örneğin hacklenmiş bir sunucu olduğunuda hacked etiketi verilir ve analizinde malware bulunduysa bunlar eklenir.
Threats
Sistemlere gelen ve önceden fark edilmiş olan tehditlerin paylaşıldığı ve incelenmesi üzerine paylaşıldığı yerdir. Burada tehditlerin nerede olabileceği hakkında bilgiler de verilmektedir.
Arsenal
Bu bölümde daha çok saldırı tiplerinin ve virüslerin bulunduğu kısımlar diyebiliriz. Burada raporlanmış içerikleri görebiliriz. Sadece raporlanmış değil, anti-virüsler tarafından yakalanmış olan kötü yazılımları da görebiliriz. Örneğin burada paylaşılan bir yazıya girdiğimiz zaman içeriğinde rapor, saldırı yöntemi, önemlilik derecesi ve eğer not eklendiyse notu görebiliriz.
Entities
Bu bölümde kurumların ve kuruluşların adlarının bulunduğu kısımdır. Genellikle hedef alınan kuruluşlar burada olurken raporlarına ve bu kuruluşlara gelen saldırıları da buradan üzerine tıklayarak görebilirsiniz.
Şimdi sizlere resimlerle analiz edilen bir yazılım içerisinde nelerin olduğunu ve raporların nasıl olduğunu birkaç fotoğrafla anlatmak istiyorum. Hemen bakalım.
Resimde görüldüğü üzere incelenen dosyamız bir "RANSOMWARE" etiketine sahip. Sağ üstte rapor bilgisinin "THREATREPORT" yani "Tehdit İhbarı" olduğunu ve onun altında da işlem durumunu görmekteyiz. Açıklama kısmında "Fidye Virüsü" olduğu düşüncesinin olduğunu görebiliriz. Sol tarafa tekrar bakıldığında İncelemenin site içerisine açılmasını ve kimin tarafından oluşturulduğunu görebiliyoruz.
"External References" kısmında da dış kaynaktan alınmış olan bilgileri görebiliriz. Sağ tarafta virüsle alakalı yapılan geçmiş bilgilere ulaşabiliyoruz.
Bir sonraki sekmede bizi grafik olarak karşılıyor. İstediğiniz bir şekilde etrafa açabiliyor ve üzerine giderek bilgi alabiliyorsunuz.
