Siber Savunma #4.2 | Components of SOC (2/2)

Bismillâhirrahmânirrahîm

Essalâmü aleyküm ve rahmetullâhi ve berakâtû. Sevgili TurkHackTeam ferdleri, bu konumda sizlere Siber Savnuma serimizin dördüncü konusu olan "Components of SOC"in devamını ele alacağım.

Bu konuda göreceğiniz başlıklar şunlardır:

Components of SOC
Technology
Processes

Sizlere bu konuyu hazırlarken aynı şekilde ben de bilgimi tazelemiş ve unuttuğum yerleri tekrardan hatırlamış olacağım. Sıfırdan başlayarak son demlere kadar beraber geleceğiz. Serinin nasıl devam edeceğini, neler işleyeceğimizi merak ediyorsanız Siber Savunma | Yakında! konumu ziyaret ederek öğrenebilirsiniz.

Components of SOC (2/2)

Konunun bir önceki başlıkları ve içeriğini Siber Savunma #4.1 | SOC Workflow - Components of SOC (1/2) konusundan okuyabilirsiniz.

Technology

​

Kurum her zaman insanlar ve süreçler için uygun olan teknolojiyi seçmelidir.
SOC'de kullanılan teknoloji, sistemleri ve ağları güvence altına almak için verimli bir şekilde işbirliği yapmalıdır​

Kuruluşlar, her zaman insanlar ve süreçler için uygun olan teknolojiyi seçmelidir. Teknoloji, SOC'de önemli bir rol oynar. Hem çok boyutlu hem de çok düzeyli teknoloji, sistemleri, programları ve çözümleri yetkisiz erişimden daha uzun süre korumak için etkili bir şekilde katılmalıdır. SIEM çözümleri, Saldırı Tespit Sistemi (IDS), Saldırı Önleme Sistemi (IPS), Güvenlik Duvarı, Veritabanı Etkinliği İzleme (DAM), Gösterge Tablosu, Ticket Sistemi ve Otomatik Değerlendirme araçlarını içerebilir.

SOC'nin teknoloji bileşeni, sistem loglarını izlemek, güvenlik olaylarını tespit etmek, incelemeler yapmak, ağ trafiğini analiz etmek ve tehdit istihbarat girdilerini izlemek için teknik yeteneklerden oluşur. SOC'un yeteneklerini destekler ve artırır. Bu nedenle, SOC'de kullanılan teknoloji, sistemleri ve ağları güvence altına almak için verimli bir şekilde işbirliği yapmalıdır. SIEM, SOC'un mesaj logları, güvenlik duvarı/IDS çıktısı, uç nokta cihazları, işletim sistemi logları ve ağ logları gibi çeşitli kaynaklardan veri toplamak, merkezileştirmek, bir araya getirmek, normalleştirmek ve ilişkilendirmek için kullandığı temel teknolojilerden biridir.

Güvenlik olaylarıyla ilgili olayları önlemek ve tespit etmek için Saldırı Tespit Sistemi (IDS), Saldırı Önleme Sistemi (IPS), Güvenlik Duvarı ve Veritabanı Etkinliği İzleme (DAM) gibi güvenlik izleme araçları mevcuttur. Örneğin IDS, üzerinden geçen tüm ağ faaliyetlerini izler ve uygunsuz, yanlış veya kötü niyetli faaliyetler tespit edildiğinde SOC yöneticilerine uyarılar üretir. Önceden tanımlanmış kötü niyetli davranış kalıplarını kullanır ve ardından beklenen davranıştan sapmaları belirler. Kullanıcı davranışı izlemeyi kolaylaştırır, taramayı işler, sistem dosyası karşılaştırmaları ve sistem ayarı ve yapılandırmaları izlemer IDS'yi stratejik olarak ağ üzerinde ya da her bir sistem (ana bilgisayar) üzerinde ayarlayabilirsiniz. Ağ saldırı tespit sistemi (NIDS), ana bilgisayar tabanlı saldırı sisteminin işletim sistemi dosyalarını izlediği tüm ağ trafiğini izler.

Gösterge paneli, SOC kullanıcılarına kritik verilerin kişiselleştirilmiş ve taşınabilir bir görünümünü sunan web tabanlı bir uygulamadır. Verileri tablolar, çizelgeler, grafikler ve diğerleri şeklinde temsil eder. Pano ekranı farklı bloklara ayrılmıştır ve her blok farklı bilgileri temsil eder. Bu bloklara widget adı verilir. Tek oturum açma, kişiselleştirme ve birden fazla kaynaktan gelen verilerin entegrasyonunu sağlar. Olay günlüğünü bir girdi olarak alır ve SOC ekibinin olay verilerini incelemesine, kalıpları belirlemesine ve tehditleri ve güvenlik açıklarını tespit etmesine olanak tanıyan bilgi grafiklerine dönüştürür. Dashboard performans izlemeyi, karar vermeyi ve trendleri kolaylaştırır.

Otomatik değerlendirme aracı, farklı senaryolar altında SOC'nin performansını ölçmekten sorumludur. Güvenlik tehdidini tespit etmek için bir araştırma gerçekleştirebilir ve tehdidin herhangi bir eylem gerektirip gerektirmediğini belirleyebilir. Ayrıca tehdidi düzeltmek için uygun çözümler sunabilir ve tehdidin ortadan kaldırılıp kaldırılmadığını doğrulayabilir. Risklerin ve güvenlik açıklarının belirlenmesini kolaylaştıran ağ güvenlik tarayıcılarından oluşurlar. Otomatik değerlendirme araçlarına örnek olarak NIKTO, Aircrack ve Nmap verilebilir.

DAM, ayrıcalıklı kullanıcıların veya yöneticilerin kötü niyetli faaliyetlerini izleyen ve tanımlayan ve verilerin bütünlüğünün ve kullanılabilirliğinin ihlal edilmemesini sağlayan bir dizi araçtır. Politika ihlalleri durumunda uyarılar üretebilmektedir. Veritabanı faaliyetlerini izleyen araçlar, güvenlik açığı yönetimi, saldırı tespit ve önleme, kimlik ve erişim yönetiminin entegrasyonu, keşif ve sınıflandırma ve risk yönetimi gibi birden fazla faaliyet gerçekleştirebilir. Bu araçlar aynı zamanda veritabanı olaylarını, veritabanı yöneticisi etkinliklerini ve SQL etkinliklerini farklı platformlar üzerinden gerçek zamanlı olarak toplar.

Ticket sistemi SOC'nin önemli bir parçasıdır. Değerlendirmeleri kolaylaştırmaktan, yanıtları otomatikleştirmekten ve kapsamlı raporlamadan sorumludur. Etkilenen ana bilgisayarlar veya önceki kayıtlar gibi güvenlik olayları hakkında ilgili ayrıntıları sağlar. Büyük güvenlik olaylarının daha da kötüye gitmesini durdurmak ve önlemek için en iyi uygulama süreçlerini kullanır. Ayrıca, biletleri doğru bir şekilde yakalayarak ve gruplandırarak güvenlik olaylarının uygun şekilde yönetilmesini kolaylaştırır.

Processes

Süreçler, SOC operasyonlarının önemli bir parçasıdır. Yalnızca mevcut değil aynı zamanda olgun da olmalıdırlar. Doğru bir ekip, iyi tanımlanmış bir süreç aracılığıyla doğru görevleri yerine getirecektir. Bunlar, SOC'nin farklı işlevsel bölümleri tarafından sorunsuz ve etkili operasyonlar gerçekleştirmek için kullanılan arayüzler gibidir. İyi bir süreç seti, bir SOC'nin yönetilebilir ve ölçülebilir bir şekilde performans göstermesine yardımcı olur. İyi tanımlanmış süreç ve prosedürlerin yokluğunda, SOC bireylerin bilgisine güvenmek zorundadır. Vasıflı bireylerin mevcut olmaması durumunda, bu durum SOC kapasitesini sekteye uğratacaktır. Bu nedenle, güvenlik operasyonlarının yürütülmesi için güvenilir bir yol ve bunların beklenen sonuçlarını tanımlayan bir dizi ilgili süreç olmalıdır.

Güvenlik izleme ve yönetimi dikkate alınarak tasarlanırlar. Temel amaçları, mevcut tehditleri ve güvenlik açıklarını, bunların kuruluş üzerindeki etkilerini tespit etmek ve bunlara anında yanıt vermektir. Bir SOC için süreçler ve prosedürler, kapsamı, kullanılan teknolojiler, desteklenen müşteriler ve sağlanan hizmetler temelinde planlanır. İyi tasarlanmış bir SOC çeşitli süreç ve prosedürlere sahiptir.

Güvenlik sorunlarını izlemek, analiz etmek ve düzeltmek için SOC tarafından dikkate alınan tipik bir analitik süreç dizisi aşağıdaki gibidir:​

Veri Güvenliği ve İzleme

Ağ, sunucular, veritabanları, uç noktalar, uygulamalar ve diğer sistemlerle ilgili verilerin doğru ve kullanıma uygun olduğundan emin olmak için izlenmesini ve analiz edilmesini içerir. Hem iç hem de dış riskleri, güvenlik ihlallerini ve dolandırıcılıkları, şüpheli ağ trafiği modellerini ve donanım arızalarını tespit etmenize yardımcı olur.

Olay Triyajı

Tespit sonrası ilk olay müdahale sürecidir. Olayları analiz etmek ve ciddiyetini belirlemek için yapılır. Ciddiyetlerine göre olaylar önceliklendirilir. En yüksek öncelikli olaylar ortaya çıktıklarında derhal ele alınır. En yüksek öncelikli olay kalmadıysa, yalnızca orta öncelikli olaylara ve ardından düşük öncelikli olaylara müdahale edilir.

Olay Raporlama

Olay raporlaması, anormal olaylarla ilgili olarak SOC yöneticisinin bilgilendirilmesini içerir. Bu süreç, uyarıları veya uyarıları yükselten ve güvenlik sisteminde tanımlanan tüm günlükleri saklayan SIEM çözümü tarafından gerçekleştirilir. Riskleri ve fırsatları anlamak için gerçekleştirilir.

Olay Analizi

Olay analizi, uyarıların kaynaklarını, etkilenen sistemi ve sorunun ana nedenini belirlemek için yapılır. Bu süreci gerçekleştirmek için, güvenlik analisti canlı sistem yanıtları, bellek analizi, dijital adli tıp ve kötü amaçlı yazılım analizi konularında iyi becerilere sahip olmalıdır. Tehlikenin göstergelerini belirlemek için esas olarak uç nokta analizine, ikili analize ve kurumsal analize odaklanmalıdır.

Olay Kapanışı

Olay kapatma, çözüldüğünde ve geri yüklendiğinde olayların kapatılmasını içerir.
gelecekteki referanslar için sistem. Bu aşamada, SOC analisti farklı cihaz türlerini ilişkilendirir ve bundan bir bağlam geliştirir.

Olay Sonrası İnceleme

Güvenlik sorunlarını belirlemek ve ortadan kaldırmak için olay müdahalesini analiz eder. Bu bir
Müdahalenin etkinliğini ve iyileştirme alanlarını belirlemek için kullanılan olay sonrası yönetimin önemli bir adımıdır. Deneyimli ve bilgili bir kişi tarafından gerçekleştirilmelidir.

Güvenlik Açığı Keşfi ve İyileştirme

Güvenlik açığı keşfi, davetsiz misafirler tarafından istismar edilen sistemdeki zayıflığın tespit edilmesini içerir ve güvenlik açığı giderme, keşfedilen güvenlik açıklarının düzeltilmesi anlamına gelir. Güvenlik açıklarının zamanında istismar edilmesini önlemek için etkili bir güvenlik açığı değerlendirme ve düzeltme programı kullanılmalıdır.

 

eline saglik

 

Bismillâhirrahmânirrahîm

Essalâmü aleyküm ve rahmetullâhi ve berakâtû. Sevgili TurkHackTeam ferdleri, bu konumda sizlere Siber Savnuma serimizin dördüncü konusu olan "Components of SOC"in devamını ele alacağım.

Bu konuda göreceğiniz başlıklar şunlardır:

Components of SOC
Technology
Processes

Sizlere bu konuyu hazırlarken aynı şekilde ben de bilgimi tazelemiş ve unuttuğum yerleri tekrardan hatırlamış olacağım. Sıfırdan başlayarak son demlere kadar beraber geleceğiz. Serinin nasıl devam edeceğini, neler işleyeceğimizi merak ediyorsanız Siber Savunma | Yakında! konumu ziyaret ederek öğrenebilirsiniz.

Components of SOC (2/2)

Konunun bir önceki başlıkları ve içeriğini Siber Savunma #4.1 | SOC Workflow - Components of SOC (1/2) konusundan okuyabilirsiniz.

Technology

Kuruluşlar, her zaman insanlar ve süreçler için uygun olan teknolojiyi seçmelidir. Teknoloji, SOC'de önemli bir rol oynar. Hem çok boyutlu hem de çok düzeyli teknoloji, sistemleri, programları ve çözümleri yetkisiz erişimden daha uzun süre korumak için etkili bir şekilde katılmalıdır. SIEM çözümleri, Saldırı Tespit Sistemi (IDS), Saldırı Önleme Sistemi (IPS), Güvenlik Duvarı, Veritabanı Etkinliği İzleme (DAM), Gösterge Tablosu, Ticket Sistemi ve Otomatik Değerlendirme araçlarını içerebilir.

SOC'nin teknoloji bileşeni, sistem loglarını izlemek, güvenlik olaylarını tespit etmek, incelemeler yapmak, ağ trafiğini analiz etmek ve tehdit istihbarat girdilerini izlemek için teknik yeteneklerden oluşur. SOC'un yeteneklerini destekler ve artırır. Bu nedenle, SOC'de kullanılan teknoloji, sistemleri ve ağları güvence altına almak için verimli bir şekilde işbirliği yapmalıdır. SIEM, SOC'un mesaj logları, güvenlik duvarı/IDS çıktısı, uç nokta cihazları, işletim sistemi logları ve ağ logları gibi çeşitli kaynaklardan veri toplamak, merkezileştirmek, bir araya getirmek, normalleştirmek ve ilişkilendirmek için kullandığı temel teknolojilerden biridir.

Güvenlik olaylarıyla ilgili olayları önlemek ve tespit etmek için Saldırı Tespit Sistemi (IDS), Saldırı Önleme Sistemi (IPS), Güvenlik Duvarı ve Veritabanı Etkinliği İzleme (DAM) gibi güvenlik izleme araçları mevcuttur. Örneğin IDS, üzerinden geçen tüm ağ faaliyetlerini izler ve uygunsuz, yanlış veya kötü niyetli faaliyetler tespit edildiğinde SOC yöneticilerine uyarılar üretir. Önceden tanımlanmış kötü niyetli davranış kalıplarını kullanır ve ardından beklenen davranıştan sapmaları belirler. Kullanıcı davranışı izlemeyi kolaylaştırır, taramayı işler, sistem dosyası karşılaştırmaları ve sistem ayarı ve yapılandırmaları izlemer IDS'yi stratejik olarak ağ üzerinde ya da her bir sistem (ana bilgisayar) üzerinde ayarlayabilirsiniz. Ağ saldırı tespit sistemi (NIDS), ana bilgisayar tabanlı saldırı sisteminin işletim sistemi dosyalarını izlediği tüm ağ trafiğini izler.

Gösterge paneli, SOC kullanıcılarına kritik verilerin kişiselleştirilmiş ve taşınabilir bir görünümünü sunan web tabanlı bir uygulamadır. Verileri tablolar, çizelgeler, grafikler ve diğerleri şeklinde temsil eder. Pano ekranı farklı bloklara ayrılmıştır ve her blok farklı bilgileri temsil eder. Bu bloklara widget adı verilir. Tek oturum açma, kişiselleştirme ve birden fazla kaynaktan gelen verilerin entegrasyonunu sağlar. Olay günlüğünü bir girdi olarak alır ve SOC ekibinin olay verilerini incelemesine, kalıpları belirlemesine ve tehditleri ve güvenlik açıklarını tespit etmesine olanak tanıyan bilgi grafiklerine dönüştürür. Dashboard performans izlemeyi, karar vermeyi ve trendleri kolaylaştırır.

Otomatik değerlendirme aracı, farklı senaryolar altında SOC'nin performansını ölçmekten sorumludur. Güvenlik tehdidini tespit etmek için bir araştırma gerçekleştirebilir ve tehdidin herhangi bir eylem gerektirip gerektirmediğini belirleyebilir. Ayrıca tehdidi düzeltmek için uygun çözümler sunabilir ve tehdidin ortadan kaldırılıp kaldırılmadığını doğrulayabilir. Risklerin ve güvenlik açıklarının belirlenmesini kolaylaştıran ağ güvenlik tarayıcılarından oluşurlar. Otomatik değerlendirme araçlarına örnek olarak NIKTO, Aircrack ve Nmap verilebilir.

DAM, ayrıcalıklı kullanıcıların veya yöneticilerin kötü niyetli faaliyetlerini izleyen ve tanımlayan ve verilerin bütünlüğünün ve kullanılabilirliğinin ihlal edilmemesini sağlayan bir dizi araçtır. Politika ihlalleri durumunda uyarılar üretebilmektedir. Veritabanı faaliyetlerini izleyen araçlar, güvenlik açığı yönetimi, saldırı tespit ve önleme, kimlik ve erişim yönetiminin entegrasyonu, keşif ve sınıflandırma ve risk yönetimi gibi birden fazla faaliyet gerçekleştirebilir. Bu araçlar aynı zamanda veritabanı olaylarını, veritabanı yöneticisi etkinliklerini ve SQL etkinliklerini farklı platformlar üzerinden gerçek zamanlı olarak toplar.

Ticket sistemi SOC'nin önemli bir parçasıdır. Değerlendirmeleri kolaylaştırmaktan, yanıtları otomatikleştirmekten ve kapsamlı raporlamadan sorumludur. Etkilenen ana bilgisayarlar veya önceki kayıtlar gibi güvenlik olayları hakkında ilgili ayrıntıları sağlar. Büyük güvenlik olaylarının daha da kötüye gitmesini durdurmak ve önlemek için en iyi uygulama süreçlerini kullanır. Ayrıca, biletleri doğru bir şekilde yakalayarak ve gruplandırarak güvenlik olaylarının uygun şekilde yönetilmesini kolaylaştırır.

Processes

Süreçler, SOC operasyonlarının önemli bir parçasıdır. Yalnızca mevcut değil aynı zamanda olgun da olmalıdırlar. Doğru bir ekip, iyi tanımlanmış bir süreç aracılığıyla doğru görevleri yerine getirecektir. Bunlar, SOC'nin farklı işlevsel bölümleri tarafından sorunsuz ve etkili operasyonlar gerçekleştirmek için kullanılan arayüzler gibidir. İyi bir süreç seti, bir SOC'nin yönetilebilir ve ölçülebilir bir şekilde performans göstermesine yardımcı olur. İyi tanımlanmış süreç ve prosedürlerin yokluğunda, SOC bireylerin bilgisine güvenmek zorundadır. Vasıflı bireylerin mevcut olmaması durumunda, bu durum SOC kapasitesini sekteye uğratacaktır. Bu nedenle, güvenlik operasyonlarının yürütülmesi için güvenilir bir yol ve bunların beklenen sonuçlarını tanımlayan bir dizi ilgili süreç olmalıdır.

Güvenlik izleme ve yönetimi dikkate alınarak tasarlanırlar. Temel amaçları, mevcut tehditleri ve güvenlik açıklarını, bunların kuruluş üzerindeki etkilerini tespit etmek ve bunlara anında yanıt vermektir. Bir SOC için süreçler ve prosedürler, kapsamı, kullanılan teknolojiler, desteklenen müşteriler ve sağlanan hizmetler temelinde planlanır. İyi tasarlanmış bir SOC çeşitli süreç ve prosedürlere sahiptir.

Güvenlik sorunlarını izlemek, analiz etmek ve düzeltmek için SOC tarafından dikkate alınan tipik bir analitik süreç dizisi aşağıdaki gibidir:​

Veri Güvenliği ve İzleme

Ağ, sunucular, veritabanları, uç noktalar, uygulamalar ve diğer sistemlerle ilgili verilerin doğru ve kullanıma uygun olduğundan emin olmak için izlenmesini ve analiz edilmesini içerir. Hem iç hem de dış riskleri, güvenlik ihlallerini ve dolandırıcılıkları, şüpheli ağ trafiği modellerini ve donanım arızalarını tespit etmenize yardımcı olur.

Olay Triyajı

Tespit sonrası ilk olay müdahale sürecidir. Olayları analiz etmek ve ciddiyetini belirlemek için yapılır. Ciddiyetlerine göre olaylar önceliklendirilir. En yüksek öncelikli olaylar ortaya çıktıklarında derhal ele alınır. En yüksek öncelikli olay kalmadıysa, yalnızca orta öncelikli olaylara ve ardından düşük öncelikli olaylara müdahale edilir.

Olay Raporlama

Olay raporlaması, anormal olaylarla ilgili olarak SOC yöneticisinin bilgilendirilmesini içerir. Bu süreç, uyarıları veya uyarıları yükselten ve güvenlik sisteminde tanımlanan tüm günlükleri saklayan SIEM çözümü tarafından gerçekleştirilir. Riskleri ve fırsatları anlamak için gerçekleştirilir.

Olay Analizi

Olay analizi, uyarıların kaynaklarını, etkilenen sistemi ve sorunun ana nedenini belirlemek için yapılır. Bu süreci gerçekleştirmek için, güvenlik analisti canlı sistem yanıtları, bellek analizi, dijital adli tıp ve kötü amaçlı yazılım analizi konularında iyi becerilere sahip olmalıdır. Tehlikenin göstergelerini belirlemek için esas olarak uç nokta analizine, ikili analize ve kurumsal analize odaklanmalıdır.

Olay Kapanışı

Olay kapatma, çözüldüğünde ve geri yüklendiğinde olayların kapatılmasını içerir.
gelecekteki referanslar için sistem. Bu aşamada, SOC analisti farklı cihaz türlerini ilişkilendirir ve bundan bir bağlam geliştirir.

Olay Sonrası İnceleme

Güvenlik sorunlarını belirlemek ve ortadan kaldırmak için olay müdahalesini analiz eder. Bu bir
Müdahalenin etkinliğini ve iyileştirme alanlarını belirlemek için kullanılan olay sonrası yönetimin önemli bir adımıdır. Deneyimli ve bilgili bir kişi tarafından gerçekleştirilmelidir.

Güvenlik Açığı Keşfi ve İyileştirme

Güvenlik açığı keşfi, davetsiz misafirler tarafından istismar edilen sistemdeki zayıflığın tespit edilmesini içerir ve güvenlik açığı giderme, keşfedilen güvenlik açıklarının düzeltilmesi anlamına gelir. Güvenlik açıklarının zamanında istismar edilmesini önlemek için etkili bir güvenlik açığı değerlendirme ve düzeltme programı kullanılmalıdır.

Elinize sağlık.

 

eline saglik

Elinize sağlık.

Değerli yorumlarınız için teşekkür ederim.