Güvenlik Operasyonları Merkezi (SOC)

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28

Security Operations Center (SOC).jpg


SOC nedir?​

SOC, Güvenlik Operasyon Merkezi anlamına gelir. Güvenlik operasyonlarını gerçekleştirebileceğiniz yer. Siber güvenlik ihlalleri günlük bir olay haline gelirken, kuruluşların kendilerini bu ihlallerden nasıl koruduklarını hiç merak ettiniz mi? SOC ile! Evet! SOC ile bunu yapıyorlar. Özetle SOC, BT güvenlik ihlallerini önlemek için ilk sıradaki savunmadır.

Bunun birkaç kademesi var. Tier 1 analisti aslında bir triyaj uzmanıdır. Bir uyarının false positive mi yoksa haklı bir uyarı mı olduğunu belirlerler.

Eğer uyarı gerekçelendirilmişse, o zaman bunu Tier 2 analiste iletir. Tier 2 analisti aslında bir olay işleyicisidir. Analist derinlemesine değerlendirme yapacak ve saldırının kapsamını anlaması ve etkilenen sistemleri tanımlaması gerekecektir.

Analizine ve araç setine dayanarak, daha sonra açıklandığı gibi Tier 3 analistine yükselecektir. Bu analist kendi deneyimine göre tehdidi etkisiz hale getirecektir.

Gördüğünüz gibi, SOC siber güvenlik tehdidinin ilk savunma katmanıdır.

Yani savunma şöyle olmalıdır: SOC, ağ güvenliği olay izleme ve olay müdahalesi için merkezi bir komuta merkezidir. Bir SOC, gelişmiş tehdit algılama yeteneklerini kullanarak yetkisiz ve kötü niyetli ağ faaliyetlerini tespit etmek, analiz etmek ve raporlamaktan sorumludur.
Bir bilgisayar korsanının verileri hacklemesi veya ihlal etmesi çoğu zaman günler sürer. Ayrıca çoğu zaman oltalama yöntemini kullanırlar. Burada bilgisayar korsanları çoğu zaman fidye yazılımı kullanır.

Bir kuruluşun nihai hedefi, iş sürekliliğini ve bütünlüğünü korumak amacıyla bir SOC kullanmaktır.

SOC Stratejileri:​

  • SOC ekibi, bir tehdide yanıt vermek için gereken süreyi azaltmak için proaktif bir strateji geliştirecektir.
  • Bunun için siber suçlulardan bir adım önde olmak zorundadırlar.
  • SOC ekibi, ağlarının işlevselliği hakkında giderek daha fazla şey anlayacaktır. Bu nedenle tehdidi tespit etmeleri kolay olacaktır.

Bir ağ hakkında bilgi edinme faaliyetleri:​

  • Mevcut cihaz listesi.
  • Sürekli Güvenlik İzleme.
  • Zafiyet Taraması.
  • Sızma Testi.
  • Tehdit Avcılığı.

Bir SOC'nin Hedefi​

Tehdit merkezli bir SOC, ağlardaki kötü niyetli tehditleri proaktif olarak yakalayabilir. Yeni tehditler, yakın zamanda tespit edilen güvenlik açıkları, tehdit istihbaratı toplama hizmetleri ve hedeflenen endüstri segmentlerinde kötü niyetli anormallikleri detaylandıran raporlanmış gözlemler aracılığıyla keşfedilebilir.

Uyumluluk tabanlı bir SOC, sektör tarafından önerilen cihaz yapılandırma şablonlarına ve standartlaştırılmış sistem yapılarına uyduklarını doğrulamak için ağ sistemlerinin uyumluluk duruşunu değerlendirmeye odaklanabilir. Bu tür bir uyumluluk izleme, bir güvenlik ihlaline yol açabilecek mevcut yapılandırma sorunlarını ortaya çıkaran yetkisiz yapılandırma değişikliklerini tespit eder.

Operasyonel tabanlı SOC'ler bir kuruluşun dahili ağının güvenlik duruşunu izlemekle görevlidir. Operasyonel tabanlı SOC'lerdeki Tier 2 ve Tier 3 SOC analistleri, bir kuruluşun özel ağ ortamına göre uyarlanmış karmaşık tespit tekniklerini araştıracak, geliştirecek ve operasyonel hale getirecektir.

SOC Zorlukları:​

Bir SOC istihdam etmenin zorlukları yok değildir. Bu zorluklar hem teknik hem de prosedürel nitelikte olabilir. Örneğin, SOC ortamının zorlukları, önlem alınmadığı takdirde ekip üyelerinin yıpranmasına neden olabilir.

Siber güvenlik saldırıları ve bunların bir kuruluşa verdiği mali ve itibar kaybı, bir SOC istihdam etmenin avantajlarını açıkça ortaya koymaktadır. Bu konuda gördüğünüz gibi, bir SOC kurmak ve sürdürmek hem günlük hem de sistemik zorluklarla birlikte gelir.

Bu zorluklar şunlardır:

Uyarıların Hacmi:
  • SOC'ler genellikle çeşitli güvenlik araçları tarafından üretilen yüksek hacimli uyarılarla uğraşırlar. False pozitifler ile gerçek tehditler arasında ayrım yapmak zor olabilir ve etkili bir triyaj ve analiz gerektirir.
Uyarı Yorgunluğu:
  • Analistler çok sayıda uyarı nedeniyle uyarı yorgunluğu yaşayabilir. Bu durum kritik olayların gözden kaçmasına ya da gecikmeli müdahalelere yol açabilir.
Beceri Eksikliği:
  • Yetenekli siber güvenlik uzmanlarının eksikliği, kuruluşların nitelikli SOC analistlerini işe almasını ve elde tutmasını zorlaştırmaktadır. Bu eksiklik, olay tespit ve müdahalesinin etkinliğini etkileyebilir.
Tehditlerin Karmaşıklığı:
  • Siber tehditler giderek daha karmaşık hale geliyor ve bu da tespit edilmelerini ve azaltılmalarını zorlaştırıyor. Advanced persistent threats (APTs) ve zero-day vulnerabilities SOC'ler için önemli zorluklar teşkil etmektedir.
Güvenlik Teknolojilerinin Entegrasyonu:
  • Birçok kuruluş farklı satıcıların çeşitli güvenlik araçlarını kullanmaktadır. Bu araçları sorunsuz çalışacak ve bilgi paylaşacak şekilde entegre etmek karmaşık bir iştir, ancak bütünsel bir güvenlik yaklaşımı için çok önemlidir.
Düzenleyici Uyumluluk:
  • Düzenleyici gereklilikleri ve endüstri standartlarını karşılamak zor olabilir. SOC ekiplerinin, operasyonlarının genellikle sürekli izleme ve raporlama gerektiren çeşitli uyumluluk parametreleriyle uyumlu olmasını sağlamaları gerekir.
İçeriden Tehditler:
  • İster kasıtlı ister kasıtsız olsun, içeriden gelen tehditlerin tespit edilmesi ve azaltılması önemli bir zorluk teşkil eder. İçeridekiler yasal erişime sahip olabilir, bu da normal ve kötü niyetli faaliyetler arasında ayrım yapmayı zorlaştırır.
Aşırı Veri Yükü:
  • SOC'ler büyük miktarda veri üretir ve toplar. Eyleme geçirilebilir bilgiler elde etmek için bu verileri etkili bir şekilde yönetmek ve analiz etmek, uygun araçlar ve süreçler olmadan çok zor olabilir.
Gelişen Teknoloji:
  • Teknolojinin hızlı gelişimi yeni zorlukları da beraberinde getirmektedir. IoT cihazları ve bulut hizmetleri gibi gelişmekte olan teknolojiler, SOC'lerin izlemesi ve güvenliğini sağlaması gereken ek saldırı vektörleri yaratır.
Olay Müdahale Süresi:
  • Güvenlik olaylarının zamanında tespit edilmesi ve müdahale edilmesi kritik öneme sahiptir. Tehditlerin tespit edilmesi ve azaltılmasındaki gecikmeler daha ciddi sonuçlara ve uzun süreli tehlikeye yol açabilir.
Bütçe Kısıtlamaları:
  • Sınırlı bütçeler, gelişmiş araç ve teknolojilerin edinilmesinin yanı sıra SOC personeli için eğitim ve geliştirme yatırımlarını kısıtlayabilir.
İzleme ve tespit perspektifinden bakıldığında, günlük operasyonlarınızı güvence altına almaya yönelik bir yol seçmek için birden fazla model arasındaki temel farkları anlamanız gerekir. İki kuruluşun birbirine benzemediğini ve seçeceğiniz SOC türünün büyük ölçüde (ancak tamamen değil) aşağıdaki kriterlere bağlı olduğunu unutmamak önemlidir:
  • Kuruluşun büyüklüğü.
  • BT güvenlik bütçesi.
  • BT personelinin beceri düzeyi.
  • Kuruluşun daha önce karşılaştığı olaylar.
  • Endüstri türü.
  • Kuruluşun her gün yönettiği veri türü.
Tüm bu kriterler, konuşlandırabileceğiniz SOC türü üzerinde stratejik bir etkiye sahiptir.

SOC Ekibi:​

SOC, NOC/IT, Hukuk danışmanı, İK ile birlikte çalışır.

  • NOC(Network Operation Centers) öncelikle doğal veya insan kaynaklı olmayan olaylardan kaynaklanan ağ müdahalesini önlemeye odaklanır.

Yaygın SOC Hizmetleri​

Bir SOC, olaylar meydana gelmeden önce başlayan ve olaylar çözülene kadar çalışmaya devam eden hizmetler sunar. Aşağıdaki videoda, SOC'nin bu adımlarda sağladığı birkaç temel işlevi öğrenecek ve SOC'nin olay müdahalesi gerçekleştirmek için etkileşimde bulunduğu kuruluş içindeki diğer departmanları öğreneceksiniz.

Uyarılar aşağıdakiler gibi çeşitli yerlerden ve sistemlerden gelebilir:
  • Kullanıcılar
  • Yardım Masası
  • Donanım
  • Yazılım
SANS (SysAdmin, Audit, Network, and Security) Enstitüsü dünyanın en büyük güvenlik eğitimi ve sertifikasyon sağlayıcısıdır. SANS olaylara müdahale için altı adımlı bir plan tanımlar ve siber güvenlik sektöründe siber güvenlik olaylarına müdahale prosedürleri için yaygın olarak kullanılır.

SANS olay müdahale planının altı adımı aşağıdaki gibidir:
  • Preparation: Kuruluşun güvenlik politikası tanımlanır. Tüm hassas varlıkları belirlemek için bir risk değerlendirmesi yapılır ve ardından risk değerlendirmesine dayalı olarak güvenlik olaylarını önceliklendirmek için bir strateji tanımlanır. Son olarak, bilgisayar güvenliği olaylarına müdahale etmek için çalışan bir grup olan Computer Incident Response Team (CSIRT) kurulacaktır.
  • Identification: Olası güvenlik olayları bu aşamada tanımlanır. Her bir olayın meydana geliş türünü ve ciddiyetini belgelemek için ek kanıtlar toplanır.
  • Containment: Bu aşama, teyit edilen bir olayın yayılmamasını veya daha fazla hasara neden olmamasını ve saldırganın herhangi bir ek kaynağa erişememesini sağlar.
  • Eradication: Bu aşamada, tüm yetkisiz bilgiler sistemlerden tamamen kaldırılır. Örnek olarak, internet üzerindeki bir komuta ve kontrol sunucusuyla iletişim kurmak için kullanılan “bot” yazılımı verilebilir. Kaldırılmadığı takdirde, uzun bir süre boyunca gizli kalabilir ve bu nedenle fark edilmeyebilir, ancak daha sonraki bir tarihte iletişimi başlatabilir.
  • Recovery: Olay izole edildikten ve ortadan kaldırıldıktan sonra, etkilenen sistemler “normal” durumlarına veya bu duruma mümkün olduğunca yakın bir duruma geri getirilir.
  • Lessons Learned: Son aşamada, olayın nedeninin belirlenmesi odak noktasıdır. Gelecekteki olayların proaktif olarak önlenmesi için bir plan geliştirilir.

SOC Türleri ve Personel Alımında Dikkat Edilmesi Gerekenler​

Tehdit merkezli SOC​

Tehdit merkezli bir SOC, ağlardaki kötü niyetli tehditleri proaktif olarak avlar. Yeni tehditler, yakın zamanda tanımlanan güvenlik açıkları, tehdit istihbaratı toplama hizmetleri ve hedeflenen endüstri segmentlerinde kötü niyetli anormallikleri detaylandıran raporlanmış gözlemler aracılığıyla keşfedilebilir.

Saldırıları ve olayları tespit etmek, yüksek eğitimli güvenlik personeli için bile zorlu bir görevdir. Günümüzün en büyük güvenlik sorunlarıyla başa çıkmak için kuruluşlar, saldırı öncesinde, sırasında ve sonrasında olmak üzere tüm saldırı sürekliliği boyunca güvenliği ele alan daha basit, ölçeklenebilir, tehdit merkezli bir yaklaşıma ihtiyaç duymaktadır.

Bir saldırıdan önce, ortamı uygun şekilde savunan politikaları ve kontrolleri uygulamak için kapsamlı bağlamsal farkındalık ve ağ trafiğinin derinlemesine analizi gereklidir.

Bir saldırı sırasında, kötü amaçlı yazılımların varlığını sürekli olarak tespit etme ve belirlenen tehditleri engelleme becerisine sahip olmak kritik önem taşır.

Bir saldırıdan sonra aşağıdaki eylemler gerçekleştirilmelidir:
  • Giriş noktasını belirleyerek saldırının etkisini marjinalleştirin.
  • Saldırının kapsamını belirleyin.
  • Tehdidi kontrol altına alın ve virüs bulaşmış ana bilgisayarı düzeltin.
  • Yeniden virüs bulaşma riskini en aza indirin.

Uyumluluk Tabanlı SOC​

Uyumluluk tabanlı bir SOC, ağ sistemlerinin uyumluluk durumunu referans yapılandırma şablonları ve standart sistem yapılarıyla karşılaştırmaya odaklanır. Bu tür bir izleme, güvenlik ihlaline yol açabilecek yetkisiz değişiklikleri ve mevcut yapılandırma sorunlarını tespit eder. Tipik olarak bu tür sorunlar, yapılandırma sorunu aktif olarak istismar edilmediği sürece güvenlik açığı tarayıcıları gibi yaygın güvenlik araçları tarafından tespit edilemez. Ağ içindeki potansiyel güvenlik sorunlarını tespit etmek için en iyi zaman kesinlikle bir istismar sırasında değildir.

Bir kuruluşun risk yönetimi ve olay müdahale uygulamalarını otomatik bir sistem uyumluluk sürecine bağlamak, başarılı bir uyumluluk tabanlı SOC'nin anahtarıdır. Bir endüstri gereksiniminin standartlara dayalı güvenlik uygulamalarını zorunlu kıldığı durumlar olabilir, örneğin Center of Internet Security (CIS) tarafından belirlenen ölçütlere göre sürekli değerlendirme yapmak veya PCI DSS 2.0 uyumluluğunu karşılamak gibi.

Operasyonel Tabanlı SOC​

Operasyonel tabanlı bir SOC, bir kuruluşun dahili ağının güvenlik duruşunu izlemekle görevli dahili odaklı bir kuruluştur. Bu SOC'lerde çalışan Tier 2 ve Tier 3 analistler, bir kuruluşun özel ağ ortamına göre uyarlanmış karmaşık tespit tekniklerini araştırır, geliştirir ve işler hale getirir. Tier 2 analistleri son derece özelleştirilmiş düzenli ifade (REGEX) tabanlı arama dizeleri geliştirebilir. Tier 1 SOC analistleri genellikle bu özelleştirilmiş REGEX tabanlı ifadeleri kuruluşun güvenlik bilgileri ve olay yönetimi (SIEM) analitik çözümüne yerleştirmekle görevlidir. Operasyonel tabanlı bir SOC, kimlik yönetimi ve erişim politikalarının, saldırı tespit sistemi kurallarının ve güvenlik duvarı erişim kontrol listesi (ACL) kurallarının yönetiminin operasyonel bütünlüğünü korumaya odaklanır. Computer Security Incident Response Team (CSIRT), operasyonel tabanlı bir SOC'yi tanımlayan teknik olarak en doğru terimdir.

Bir güvenlik sorununa çözüm ararken verilen tipik bir tepki, bir ağ güvenlik cihazında birden fazla güvenlik tabanlı özelliği etkinleştirmek veya yapılandırmaktır. Ancak, operasyonel tabanlı güvenlik sorunlarının bir cihazda gelişigüzel güvenlik özelliklerinin etkinleştirilmesiyle tam olarak ele alınamayacağını anlamak önemlidir. Doğal risk, bu güvenlik özelliklerini uygulayan kişinin cihazı yanlışlıkla yanlış yapılandırması ve bunun da kurumu korumaya yönelik özellikleri ortadan kaldırabilmesidir. Bir kurumdaki operasyonel sorunların ele alınması operasyonel çözümler ve operasyonel yetkinlik gerektirir.

SOC Rolleri​

Aşağıdaki şekil bir SOC için gerekli olan potansiyel iş rollerinin üst düzey bir görünümünü sunmaktadır. Örneğin, giriş seviyesindeki bir analist büyük olasılıkla bir güvenlik bilgi ve olay yönetimi aracından (SIEM) veya bir BT hizmet yönetimi (ITSM) destek sisteminden üretilen uyarılar için ilk triyajı gerçekleştirecektir. Bir uyarının daha fazla araştırma gerektirdiğine karar verdikten sonra (SOC'nin politikaları ve iş akışı prosedürleri temelinde), analist uyarıyı analiz etmesi için araştırma ekibine iletebilir. İnceleme ekibi mevcut araçlardan veri toplayabilir ve herhangi bir model veya ilişkiyi tanımlamak için veriler üzerinde olay ilişkilendirmesi gerçekleştirebilir. Daha fazla analizin gerekli olduğuna karar verirlerse uyarıyı ekibin kıdemli bir üyesine iletirler.

Araştırmalar, kuruluşlardaki SOC ile ilgili iş rollerinin ve sorumluluklarının büyük ölçüde değişebileceğini göstermektedir. Her kuruluşun, farklı bir kuruluştaki diğer tanımlanmış rollerle örtüşen sorumlulukları olabilir. Standartlar bu sorunu çözmede etkisiz kalmıştır.

SOC Görevleri ve Sorumlulukları​

soc tier .png


Bir SOC ekip üyesi, bir kuruluşun siber saldırıların birincil etkilerini belirlemesine yardımcı olur. Kısacası, bir SOC analisti bir saldırının tam olarak ne zaman, nasıl ve hatta neden başarılı olduğunu anlamaya çalışır. Bu amaçla, bir SOC analisti saldırı kanıtlarını inceler. Bu tür kanıtlara saldırı göstergesi denir. Bir saldırı başarılı olursa, bir SOC analisti, kuruluşun uygun şekilde yanıt vermesine yardımcı olmak ve gelecekte benzer saldırıların gerçekleşmemesi için değişiklikler yapmak üzere tehlikeye girme göstergelerini inceleyecektir. Tüm SOC analistleri cihaz yapılandırması, trafik yakalama, performans izleme ve cihaz izleme gibi temel becerilere sahip olacaktır. Tier 1 analistinin bu işlevlerde en ağır rolü oynayacağını unutmayın.

SOC Tier 1 Analisti: Triyaj Uzmanı​

Triyaj uzmanı olarak SOC Tier 1 analisti bu eylemleri gerçekleştirir:
SOC Tier 1 analist rolü, SOC içindeki giriş seviyesi pozisyonudur. SOC Tier 1 analisti, siber güvenlikle ilgili bir veya daha fazla ilgili sertifikaya (Cisco CyberOPS Associate, Cisco CCNA, CISSP, CompTIA) sahip sistem yöneticisi ve komut dosyası yazma becerilerine sahiptir.

SOC Tier 2 Analisti: Olay Yöneticisi​

SOC Tier 2 analisti olaya müdahale eden kişidir. Aşağıdaki eylemleri gerçekleştireceklerdir:
  • Triyaj uzmanı tarafından iletilen olayların derinlemesine değerlendirmesini gerçekleştirin.
  • Triyaj uzmanı tarafından toplanmayan telemetri verilerinin dahil edilmesi yoluyla saldırı bağlamı sağlayın. Bu, Tehlike Göstergeleri ve daha iyi kural setleri aracılığıyla bir tespit geri bildirim döngüsüne yardımcı olmak için eyleme geçirilebilir tehdit istihbaratının keşfedilmesiyle sonuçlanabilir.
  • Saldırının kapsamını, saldırının niteliğini ve etkilenen sistemleri belirleyin.
  • Sınırlama, düzeltme ve kurtarma için bir strateji belirleyin ve bu stratejiyi uygulayın.
  • Kontrol altına alma, iyileştirme ve kurtarma için bir strateji belirleyin ve bu stratejiyi uygulayın.
  • Karşılaşılan sorunlar varsa Tier 3'e yükseltin.
SOC Tier 2 analisti, Tier 1 analistinden daha geniş ve daha derin bir beceri setine sahiptir. Tier 2 analisti, triyaj uzmanından aldığı toplanan verileri analiz eder.

SOC Tier 3 Analisti: Olay Yanıtlayıcı ve Tehdit Avcısı​

SOC Tier 3 analisti tehdit avcısı ve bazen de konu uzmanı olarak görev yapar. SOC işgücü içinde en deneyimli olanlardır. Tehdit avcısı aşağıdaki eylemleri gerçekleştirir:
  • Tehditleri, güvenlik açıklarını ve bilinmeyen güvenlik açıklarını proaktif olarak tanımlar.
  • Yeni saldırı tekniklerini araştırır ve kuruluşla ilgili tehditleri modeller. Güvenlik izleme araçlarında ve varlıklarında kullanılmak üzere optimizasyonlar ve konfigürasyonlar önerir.
  • Büyük olaylarda diğer SOC analistlerine yardımcı olur. Tehdit avcısı, olay müdahale operasyonlarına önemli içgörüler, deneyim ve uzmanlık getirir.
SOC Tier 3 analist rolü, ağ güvenliği bilgi ve becerilerinin önemli ölçüde genişlemesini gerektiren üst düzey bir pozisyondur. Tier 3 analisti, veri analitiği ve en son saldırı teknikleri konusunda önemli bir uzmanlığa sahiptir ve gerektiğinde Tier 2 olay yöneticilerine faaliyetlerinde yardımcı olacaktır.

SOC yöneticisi aşağıdakilerden sorumludur:
  • Ekip üyelerinin işe alınması, eğitilmesi ve değerlendirilmesi de dahil olmak üzere güvenlik ekibinin yönetilmesi.
  • Olay raporlarının değerlendirilmesi.
  • Kriz iletişim prosedürlerinin geliştirilmesi ve uygulanması:
  • Finansal hususları denetler.
  • Güvenlik denetimlerini destekler.
  • SOC yöneticisi, Baş Bilgi Güvenliği Görevlisine (CISO) rapor verir.

SOC Araçları​

SOC ekibi farklı faaliyetler için çeşitli araçlar kullanmaktadır. Araç setlerini oluşturan araçlardan bazıları şunlardır:
  • BT Hizmet Yönetimi (ITSM) sistemi, güvenlik araçları ve cihazlarından gelen olay verilerini toplayan ve yöneten, SOC'ye tehditleri önceliklendirmede yardımcı olan yapılandırılmış otomatik bir iş akışına dönüştüren bir dizi iş akışı aracıdır. Popüler bir ITSM örneği ServiceNow'dur.
  • Güvenlik ve Bilgi Olay Yönetim Sistemi (SIEM). Olayların gerçek zamanlı olarak izlenmesini, analiz edilmesini ve kaydedilmesini sağlar. Yapay zeka (AI) ve makine öğrenimi teknolojileri aracılığıyla Kullanıcı ve Varlık Davranış Analitiği (UEBA) sağlar. Splunk, popüler bir SIEM örneğidir.
  • İzinsiz Giriş Tespit Sistemi (IDS) / İzinsiz Giriş Önleme Sistemi (IPS). Kötü niyetli faaliyetler veya politika ihlalleri için ağları izler. Bir IDS, potansiyel bir olay hakkında SOC analistine bir uyarı sağlayacaktır. Bir IPS, analiste bir uyarı verecek ve hasarı en aza indirmek için izinsiz girişi engellemek için ek düzeltme eylemleri gerçekleştirecektir. Bir IDS genellikle Ağ İzinsiz Giriş Tespit Sistemleri (NIDS) veya Ana Bilgisayar İzinsiz Giriş Tespit Sistemleri (HIDS) olarak sınıflandırılır. Bir NIDS zararlı veya anormal davranışlar için ağ trafiğini izler. Bir HIDS, zararlı veya anormal davranışlar için tek bir cihazı veya ana bilgisayarı izleyecektir.
  • Güvenlik açığı tarayıcısı, bilinen güvenlik açıkları için bilgisayarları, ağları veya uygulamaları değerlendirmek üzere tasarlanmış bir uygulamadır. Güvenlik duvarları, yönlendiriciler ve sunucular gibi cihazlarda ve uç nokta cihazlarında bulunabilecek cihaz yanlış yapılandırmalarından, yazılım kusurlarından ve eksik yazılım yamalarından kaynaklanan güvenlik açıklarını tespit ederler. Nessus, popüler bir güvenlik açığı tarama uygulamasına örnektir.
  • Bir Threat Intelligence hizmeti, tehdit bilgilerini toplar, işler, analiz eder ve dağıtır ve uygulamalar ve sistemler için tehdit oluşturan faaliyetlere yanıt verir. Tehdit İstihbaratı, güvenlik açığı ve istismar bilgilerini gerçek zamanlı olarak toplar, tek bir veritabanında derler ve hizmetin tüketicilerine dağıtır. Cisco Talos, güvenlik tehdit istihbaratının en büyük sağlayıcılarından biridir.

Olaylardan Önce, Sırasında ve Sonrasında​

Gün boyunca SOC analisti genellikle izlemeye odaklanır. Bir olay meydana geldiğinde, SOC analistinin dikkati olay müdahalesine ve mevcut araçlardan bazılarına yönelir. SOC olay sırasında paydaşlarla koordinasyon içinde olmalıdır. Ağ operasyon merkezi (NOC), sistem sahipleri ve veri sahipleriyle birlikte çalışmak sonucu iyileştirebilir.
SOC Tier 1 triyaj uzmanı, uyarıları izlemek için ITSM bildirim sistemine odaklanır. Tehdit avcısı Cisco Talos tehdit istihbaratı akışlarına odaklanır.

Not: SOC, olay sırasında NOC, insan kaynakları ve hukuk departmanı dahil olmak üzere çeşitli paydaşlarla koordinasyon sağlar.

Bir olay çözüldükten sonra, SOC toparlanma aşamasına başlar. Tüm prosedürlerin belgelendiğinden ve mahkeme işlemlerinde geçerli olacağından emin olmak için hukuk departmanıyla yakın işbirliği içinde çalışırlar. Bulguları ve çıkarılan dersleri detaylandıran raporlar oluşturulur. SOC analistleri olay sonrası aşamada aşağıdaki adımları atar:
  1. Raporları toplamak, analiz etmek ve oluşturmak için Encase, Velociraptor veya Redline gibi adli bilişim uygulamalarını kullanın. Ayrıca, olası mahkeme prosedürleri için yasal uyumluluğu sağlamaya yardımcı olacak adımlar atın.
  2. Kurumsal ve yasal uygunluğu göstermek için bir SOC 2 denetim raporu kullanmayı düşünün.
  3. Gelecekteki SOC olay müdahale faaliyetleri için öğrenilen dersler olarak hizmet edecek çok sayıda rapor oluşturun.

SOC İçerisindeki Çeşitli Rollerin Etkileşimi​

SOC analistlerine ek olarak, bir güvenlik operasyon merkezi birçok hareketli parçası için bir yöneticiye ihtiyaç duyar. SOC yöneticisi genellikle SOC içindeki ve dışındaki olaylara yanıt verir. SOC yöneticisi, kuruluşu etkileyebilecek olayları tespit etmek, araştırmak ve hafifletmek amacıyla işi önceliklendirir ve kaynakları düzenler. SOC yöneticisi hem günlük faaliyetleri hem de güvenlik analistinin işini başarıyla yerine getirmesi için gereken temel becerileri belirler. SOC yöneticisi bir iş akışı modeli geliştirmeli ve olay yönetimi için analistlere triyaj ve müdahale prosedürleri boyunca rehberlik eden standart işletim prosedürleri (SOP'ler) uygulamalıdır.

Bir SOC Tier 1 analisti temel ağ oluşturma, trafik yakalama ve cihaz izleme konularında temel bilgilere sahip olmalıdır. Şekilde, bir SOC Tier 1 analistinin ITSM aracından ilk biletleri nasıl alabileceği ve daha fazla araştırma gerektirip gerektirmediğini görmek için nasıl bir analiz gerçekleştirebileceği gösterilmektedir. İlk süreç, uyarıya dahil olan ana bilgisayarlara veya cihazlara odaklanmak için birden fazla uygulama ve araç kullanmayı içerebilir. Süreç ayrıca bir uyarının gerçek bir pozitif mi yoksa yanlış bir pozitif mi olduğunu da belirleyebilir.

Aşağıdaki şekilde bir güvenlik analisti için işlevsel bir model gösterilmektedir.

SOC kademeleri aşağıdaki sorumlulukları içerebilir:

Tier 1:​

  • Uyarı kuyruğunu sürekli olarak izler
  • Güvenlik uyarılarını düzenler.
  • Güvenlik sensörlerinin ve uç noktaların durumunu izler
  • Kademe 2 çalışmasını başlatmak için gerekli veri ve bağlamı toplar

Tier 2:​

  • Çeşitli kaynaklardan gelen verileri ilişkilendirerek derinlemesine olay analizi gerçekleştirir
  • Kritik bir sistemin veya veri setinin etkilenip etkilenmediğini belirler.
  • İyileştirme konusunda rehberlik sağlar.
  • Tehdit tespitinde kullanılmak üzere yeni analitik yöntemler için destek sağlar

Tier 3:​

  • Ağ, endpoint, tehdit istihbaratı, adli bilişim, zararlı yazılım tersine mühendisliği ve belirli uygulamaların veya temel BT altyapısının işleyişi hakkında derinlemesine teknik bilgi uygular.
  • Gelişmiş bir güvenlik analisti ve proaktif bir tehdit avcısı olarak hareket eder ve olayların tırmanmasını beklemez.
  • Tehdit tespit analitiğinin geliştirilmesi, ayarlanması ve uygulanmasına katılır.
İç paydaşlarla güçlü ilişkiler kurmanın anahtarı doğrudan ve özlü iletişimdir. SOC'nin bir olay meydana gelmesi durumunda BT, ağ ve yazılım departmanlarındaki kritik kaynakları belirlemesi önemlidir. SOC yöneticisi, olayla ilgili bilgileri CISO veya CIO, hukuk departmanı, insan kaynakları ve halkla ilişkiler departmanları ve şirket genelindeki işgücü dahil olmak üzere dahili taraflara ve paydaşlara iletir.

SOC'nin dış kaynaklarla da etkileşimleri vardır. Aşağıda SOC'nin bir olay sırasında irtibata geçebileceği dış kaynaklara örnekler verilmiştir:
  • Tüzel Kişiler
  • Medya kaynakları
  • Uluslararası hukuk mahkemeleri
  • US-CERT/CISA

SOC Araçları ve Özellikleri​

Bir SOC, aşağıdaki hizmetleri sağlayan araç ve sistemlerden oluşan destekleyici bir altyapıya dayanır:
  • Network Mapping
  • Network Monitoring
  • Vulnerability Detection
  • Penetration Testing
  • Data Collection
  • Threat and Anormaly Detection
Data Aggregation and Correlation

Security Onion.png


Bir SOC'deki analistler tarafından kullanılan araçlardan biri Security Onion'dır.

Security Onion'un Enterprise Log Search and Archive (ELSA) sürümü aşağıdaki araçlardan oluşur:
  • ELSA: ELSA, Syslog-NG, MySQL ve Sphinx tam zamanlı metin araması üzerine inşa edilmiş merkezi bir syslog framework'üdür. Günlükleri normalleştiren ve rastgele dizeler için milyarlarca arama yapmayı web'de arama yapmak kadar kolay hale getiren tamamen asenkron web tabanlı bir sorgu arayüzü sağlar. Ayrıca günlükleri, e-posta tabanlı uyarıları, zamanlanmış sorguları ve grafikleri görüntülemek için izinler atamak için araçlar içerir.
  • Snort: Cisco (Sourcefire) tarafından geliştirilen açık kaynaklı, kurallara dayalı bir ağ saldırı tespit sistemi (NIDS) ve ağ saldırı önleme sistemi (NIPS). Gerçek zamanlı tehdit tespiti yapar ve tehditler tespit edildiğinde uyarılar oluşturur. NIPS satır içi modu Security Onion içinde desteklenmez.
  • Suricata: Trafiği analiz etmek ve uyarılar oluşturmak için komut dosyası odaklı bir NIDS ve NIPS tehdit algılama motoru. NIPS satır içi modu Security Onion içinde desteklenmez.
  • Zeek (Bro): Davranışsal anomalileri tespit etmek için ağ trafiğini analiz etmek için yaygın olarak kullanılan bir paket kaydedici ve protokol ayrıştırma motoru.
  • Traffic logging: SPAN, bir TAP bağlantı noktası veya bir paket aracısı aracılığıyla yakalanan trafik. Trafik günlüğü, HTTP, DNS FTP ve SMTP dahil olmak üzere 35'ten fazla ağ protokolü ve uygulama katmanı analizörü için kapsamlı, protokole özgü trafik günlükleri oluşturur.
  • Automated analysis: Bro komut dosyalarını kullanan trafik analizi.
  • File extraction: Çeşitli dosya türlerini doğrudan kablodan çıkarır ve yeniden birleştirir.
  • Wazuh (OSSEC): OSSEC'in yerini alan ve Security Onion'u izlemek ve savunmak için kullanılan ana bilgisayar tabanlı saldırı tespit sistemi (HIDS). Wazuh, ağ ana cihazlarına kurulabilen ve Windows, Linux, Mac OS X, HP-UX, AIX ve Solaris platformlarında desteklenen hafif bir izleme aracısı sunar.
  • Netsniff-ng: Ağ trafiğini SPAN, bir TAP bağlantı noktası veya PCAP dosyaları biçiminde paket aracısı aracılığıyla yakalar.
  • Sysmon: Olay günlüğünü ve sistem etkinliğini izlemek için Windows sistem hizmeti.
  • Syslog-ng: Günlükleri alabilen ve çok çeşitli kaynaklardan girdiler toplayabilen gelişmiş bir BSD günlük arka plan programı.
Ağ analisti araçları: Anormal ağ etkinliğini bulmak için kullanılabilecek paket yakalama ve ağ trafiği IP akış analizi yetenekleri sağlar. Aşağıdaki popüler ağ analisti araçları Security Onion'a dahildir:
  • Wireshark: Ağ protokolü analizörü
  • Sguil: Sguil ağ güvenliği analistleri tarafından ağ güvenliği analistleri için oluşturulmuştur. Sguil'in ana bileşeni, gerçek zamanlı olaylara, oturum verilerine ve ham paket yakalamalarına erişim sağlayan sezgisel bir GUI'dir. Sguil, Ağ Güvenliği İzleme ve olay odaklı analiz uygulamalarını kolaylaştırır.
  • Squert: Squert, bir Sguil veritabanında (tipik olarak IDS uyarı verileri) depolanan olay verilerini sorgulamak ve görüntülemek için kullanılan bir web uygulamasıdır. Squert, meta verileri, zaman serisi gösterimlerini ve ağırlıklı ve mantıksal olarak gruplandırılmış sonuç kümelerini kullanarak olaylara ek bağlam sağlamaya çalışan görsel bir araçtır.
  • NetworkMiner: PCAP dosyalarını ayrıştırmak ve yapıları çıkarmak için ağ trafiği analizi gerçekleştirir
  • CyberChef: Veri manipülasyonu için web tabanlı uygulama
  • CapME: PCAP transkriptlerini analiz etmeye ve yakalanan PCAP dosyalarını indirmeye yardımcı olur
Yukarıdaki araçlar, SOC analistinin ağ ölçüm verilerini görüntülemesine ve bir ağ izinsiz girişinin gerçekleşip gerçekleşmediğini belirlemek için bu verileri analiz etmesine yardımcı olmak için Security Onion'a dahil edilmiştir. Örneğin, IDS uyarıları Snort veya Suricata'dan üretilir. Bir SOC analisti, Snort'tan gelen uyarı mesajlarını doğrulamak için diğer kaynaklardan gelen günlük verilerini sorgulamak için ELSA'yı kullanabilir. Sguil, bir SOC analistinin yorumlaması için verileri görüntüleyen gerçek zamanlı bir olay ve oturum izleme aracıdır. Bu tür araçlar güvenlik analistleri tarafından işlerini yapmak için kullanılır.

Security Onion'ın daha yeni bir sürümüne Elastic Stack (ELK) sürümü adı verilir. Aşağıdaki araçları içerir:
  • Elasticsearch: Günlükleri alma ve dizinleme, Apache Lucene tabanlı büyük ölçeklenebilir arama motoru.
  • Logstash: Veri alma altyapısı, ayrıştırma ve günlükleri biçimlendirme.
  • Kibana: Alınan günlük verilerinin görselleştirmelerini ve veri keşfini sunan web panosu. (Kibana ve Squert, tam paket yakalamalarını almak için CapMe'ye dönebilir).
  • TheHIVE: Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu (MISP) ile entegre güvenlik olayı müdahale platformu ve vaka yönetim sistemi
  • Elastic Beats: Logstash ve Elasticsearch'e belirli operasyonel veri türlerini gönderen hafif veri gönderici sunucu aracısı
  • Curator: Zamanlanmış bakım yoluyla endeksleri yönetin.
  • ElastAlert: Elasticsearch'ü sorgulayın ve kullanıcı tanımlı anormal davranış veya diğer ilginç bilgi parçaları hakkında uyarı verin
  • FreqServer: DGA'ları tespit edin ve rastgele dosya adlarını, komut dosyası adlarını, işlem adlarını, hizmet adlarını, iş istasyonu adlarını, TLS sertifikası ve veren özneleri vb. bulun.
  • DomainStats: Whois aramaları yapar ve oluşturma zamanı, yaş, bilinirlik gibi ek bağlamlar sağlayarak bir domain hakkında bilgi verir.
 
Geri
Üst