- Katılım
- 21 Ocak 2024
- Mesajlar
- 164
- Tepkime puanı
- 36
- Puanları
- 28
Öncelikle İzleme'nin 2 ana türü vardır:
Endpointler
Network
peki aralarındaki fark nedir ve onlardan hangi verileri görebilirim.
Ağ İzleme ile başlayalım:
Network
Öncelikle bazı soruları yanıtlamamız gerekiyor.
Ağ analizi hakkında konuştuğumuzu fark etmiş olmalısınız.
Peki cevabı nasıl alacağız?
İşte NSM'nin rolü burada ortaya çıkıyor ve açılımı Ağ Güvenliği İzleme
Ağ Güvenliği İzleme Nedir?
Ağ güvenliği izleme, güvenlik açıkları, tehditler ve şüpheli faaliyetler için ağ cihazlarını ve trafiğini izleyen otomatik bir süreçtir, ayrıca verilerin toplanmasını ve analiz edilmesini içerir, bu da şirketlere ağlarındaki davetsiz misafirleri tespit etme ve bunlara yanıt verme fırsatı verir.
Ağ Güvenliği İzleme ile temel olarak şunları bilebileceğimizi söyleyebiliriz
Ağ trafiğini analiz etme.
Hizmetler: DNS, HTTP(S), SMB, RDP, FTP, SSH, vb.
Riskli / tehlikeye benzer davranışları belirleme
Katmana Göre NSM
Katman 3 ve 4
Katman 7
NSM Etkinlik Toplama Noktaları ve Biçimleri
NSM'ye neden ihtiyacımız var?
Bu makaleyi okuyabilirsiniz https://pchtechnologies.com/why-do-i-need-network-security-monitoring-for-my-network/
Endpointler
Ayrıca Uç Noktaların İzlenmesi ile birlikte cevaplanması gereken bazı sorular ortaya koymalıyız.
Bu sorular şunlardır:
Peki cevabı nasıl alacağız?
CSM'nin rolü burada ortaya çıkıyor ve Sürekli Güvenlik İzleme anlamına geliyor ya da NIST'in tanımladığı gibi ISCM diyebilirsiniz, peki nedir?
Sürekli Güvenlik İzleme Nedir?
Sürekli Güvenlik İzleme (CSM), operasyonel güvenliğinizi sürekli olarak kontrol etme ve değerlendirme sürecini otomatikleştiren bir stratejidir. Bu yaklaşımın arkasındaki fikir, siber suçlular bunları istismar etmeden önce güvenlik açıklarını belirlemenizi ve bunları düzeltmenizi sağlamaktır.
Ayrıca NIST'in tanımını da okuyabilirsiniz https://csrc.nist.gov/glossary/term/information_security_continuous_monitoring
CSM'nin faydaları nelerdir?
CSM Etkinlik Koleksiyonu
İşte CSM Olay Toplama Kaynakları:
CSM Nasıl Çalışır?
Sürekli izleme çözümleri, bir kuruluşun güvenlik duruşu hakkında gerçek zamanlı bilgi sağlayarak çalışır. Ulusal Standartlar ve Teknoloji Enstitüsü'nün teknik incelemesi NIST SP 800-137'ye göre, bilgi güvenliği sürekli izleme (ISCM) şu şekilde çalışır
NIST Siber Güvenlik Çerçevesi tüm süreci aşağıdaki temel bileşenlere ayırır:
Soruşturmalar ağ ve son kullanıcı verilerini gerektirecektir
Örnek için: Kötü Amaçlı Yazılım Enfeksiyonu oluşur
ama ya bu süreçlerin bunu oluşturduğunu biliyorsanız
Son olarak, olayları aramak ve uyarmak için tek bir yer vardır, o da SIEM'inizdir
BONUS
Veriler SIEM'e Nasıl Ulaşır?
Bu küçük fotoğraf (NSM) VE (CSM)'nin SIEM ile nasıl çalıştığını göstermektedir
Endpointler
Network
peki aralarındaki fark nedir ve onlardan hangi verileri görebilirim.
Ağ İzleme ile başlayalım:
Network
Öncelikle bazı soruları yanıtlamamız gerekiyor.
- Hangi portların gerçekten kullanımda olduğunu biliyor musunuz?
- Bu portlarda gerçekte hangi hizmetler kullanılıyor?
- Hangi alan adlarının kimler tarafından ziyaret edildiğini biliyor musunuz?
- Kötü niyetli şifrelenmiş trafiği tespit edebiliyor musunuz?
- Üst düzey bant genişliğini ve trafik akışını görebiliyor musunuz?
Ağ analizi hakkında konuştuğumuzu fark etmiş olmalısınız.
Peki cevabı nasıl alacağız?
İşte NSM'nin rolü burada ortaya çıkıyor ve açılımı Ağ Güvenliği İzleme
Ağ Güvenliği İzleme Nedir?
Ağ güvenliği izleme, güvenlik açıkları, tehditler ve şüpheli faaliyetler için ağ cihazlarını ve trafiğini izleyen otomatik bir süreçtir, ayrıca verilerin toplanmasını ve analiz edilmesini içerir, bu da şirketlere ağlarındaki davetsiz misafirleri tespit etme ve bunlara yanıt verme fırsatı verir.
Ağ Güvenliği İzleme ile temel olarak şunları bilebileceğimizi söyleyebiliriz
- Kim kiminle konuşuyor, ne söylüyorlar ve aslında ne tür bir hizmet kullanıyorlar.
Ağ trafiğini analiz etme.
Hizmetler: DNS, HTTP(S), SMB, RDP, FTP, SSH, vb.
Riskli / tehlikeye benzer davranışları belirleme
- Exploit Gönderimi
- Dahili yeniden yapılandırma ve döndürme
- Komuta & Kontrol (C2) Trafiği
- Veri Sızıntısı
- Çalıştırılabilir içerik aktarımı
Katmana Göre NSM
Katman 3 ve 4
- NetFlow, Güvenlik Duvarı Günlükleri, İstatistiksel Veriler
Katman 7
- Servis Günlükleri
- Paket Yakalama, IDS uyarıları
NSM Etkinlik Toplama Noktaları ve Biçimleri
NSM'ye neden ihtiyacımız var?
Bu makaleyi okuyabilirsiniz https://pchtechnologies.com/why-do-i-need-network-security-monitoring-for-my-network/
Endpointler
Ayrıca Uç Noktaların İzlenmesi ile birlikte cevaplanması gereken bazı sorular ortaya koymalıyız.
Bu sorular şunlardır:
- Herhangi biri yetkisiz program yükledi mi?
- Hangi Portlar dinleniyor ve neden?
- Hangi açıklara karşı savunmasızsınız?
- Herhangi bir sistem dosyası değiştirildi mi?
- Herhangi bir kötü niyetli komut dosyası çalıştırıldı mı?
- Bilgisayarlar, Bulutlar, Sunucular hakkında konuştuğumuzu fark etmelisiniz
Peki cevabı nasıl alacağız?
CSM'nin rolü burada ortaya çıkıyor ve Sürekli Güvenlik İzleme anlamına geliyor ya da NIST'in tanımladığı gibi ISCM diyebilirsiniz, peki nedir?
Sürekli Güvenlik İzleme Nedir?
Sürekli Güvenlik İzleme (CSM), operasyonel güvenliğinizi sürekli olarak kontrol etme ve değerlendirme sürecini otomatikleştiren bir stratejidir. Bu yaklaşımın arkasındaki fikir, siber suçlular bunları istismar etmeden önce güvenlik açıklarını belirlemenizi ve bunları düzeltmenizi sağlamaktır.
Ayrıca NIST'in tanımını da okuyabilirsiniz https://csrc.nist.gov/glossary/term/information_security_continuous_monitoring
CSM'nin faydaları nelerdir?
- uç nokta verilerine - "duran verilere" veya uç noktada üretilen verilere bakar
- Uygulamalarınız ve altyapınız için gerçek zamanlı görünürlük sağlar
- Güvenlik açığı taraması
- Dosya / Kayıt Defteri bütünlüğü izleme
- Otomatik Çalıştırmalar
- Hizmetler
- Çalışan süreç
- Cihazları sınıflandırır: önleyici tedbirler uygulamanıza olanak sağlamak için
CSM Etkinlik Koleksiyonu
İşte CSM Olay Toplama Kaynakları:
- İşletim Sistemi/Uygulama kimlik doğrulama günlükleri
- Sysmon
- Antivirüs
- EDR
- Beyaz Liste
- HIDS/HIPS
- Güvenlik Açığı Tarayıcısı
CSM Nasıl Çalışır?
Sürekli izleme çözümleri, bir kuruluşun güvenlik duruşu hakkında gerçek zamanlı bilgi sağlayarak çalışır. Ulusal Standartlar ve Teknoloji Enstitüsü'nün teknik incelemesi NIST SP 800-137'ye göre, bilgi güvenliği sürekli izleme (ISCM) şu şekilde çalışır
- Kurum ve tedarikçi ekosistemindeki tüm sistemlere ilişkin durumsal farkındalığın sürdürülmesi
- Tehditleri ve tehdit faaliyetlerini anlamayı sürdürmek
- Tüm güvenlik kontrollerinin değerlendirilmesi
- Güvenlikle ilgili bilgilerin toplanması, ilişkilendirilmesi ve analiz edilmesi
- Kuruluşun tüm kademelerinde güvenlik durumunun eyleme geçirilebilir iletişiminin sağlanması; ve
- Kurum yetkilileri tarafından riskin aktif yönetimi.
- Bilgi güvenliği ve risk yönetimi çerçevelerinin entegrasyonu.
NIST Siber Güvenlik Çerçevesi tüm süreci aşağıdaki temel bileşenlere ayırır:
- Tanımlama
- Koruma
- Algılama
- Yanıt
- Kurtarma
Soruşturmalar ağ ve son kullanıcı verilerini gerektirecektir
Örnek için: Kötü Amaçlı Yazılım Enfeksiyonu oluşur
- Trafik 443 numaralı bağlantı noktasındaki bir IP'ye oluşturulur
- Ağ verileriyle araştırma yaparken, örneğin kötü IP veya kötü alan adını görebilirsiniz...?
ama ya bu süreçlerin bunu oluşturduğunu biliyorsanız
- şimdi calc.exe | PID: 2092 işlem ağacını görüyorsunuz ve bu calc.exe cmd.exe'yi başlatıyor tabii ki bu iyi görünmüyor mu?
- şimdi bunun bir kalıcılık tekniği olduğunu tespit ettik ve şimdi dosyanın sürücüde nerede olduğunu biliyoruz.
Son olarak, olayları aramak ve uyarmak için tek bir yer vardır, o da SIEM'inizdir
BONUS
Veriler SIEM'e Nasıl Ulaşır?
Bu küçük fotoğraf (NSM) VE (CSM)'nin SIEM ile nasıl çalıştığını göstermektedir