Ayrıntılara girmeden önce, yeni başlayanların SOC'un ne olduğunu, hangi araçların dahil olduğunu ve ne tür insanların dahil olduğunu anlaması gerekir.
Güvenlik Operasyon Merkezi (SOC) nedir?
Güvenlik Operasyon Merkezi (SOC), bir kuruluşta güvenlik olaylarını tespit etmeye, izlemeye ve bunlara müdahale etmeye odaklanan ayrı bir departmandır.
SOC'deki Anahtar Roller
SOC'de yer alan birçok rol vardır. İşte SOC'deki kilit roller.
SOC Analisti: Verileri analiz eden, güvenlik uyarılarını izleyen ve olaylara müdahale eden siber güvenlik uzmanları. SOC analistleri olaylara yanıt vermek için taktik planları kullanır.
Incident Responders: Adli analiz ve frameworkler konusunda derin bir anlayışa sahip olan olay müdahale uzmanları, güvenlik ihlallerini kontrol altına alma, ortadan kaldırma ve yok etme çabalarına öncülük ederler.
Olay müdahale uzmanları siber güvenlik olaylarına müdahale konusunda uzmandır.
Threat Intelligence Analyst: Bu kişiler siber tehditler hakkında bilgi toplar ve bu bilgileri analiz eder.
Saldırgan vektörleri tarafından kullanılan TTP'ler hakkında değerli bilgiler sağlarlar. Bu analiz, SOC ekibinin yeni saldırı vektörlerini daha iyi anlamasına ve zamanın önünde gitmesine yardımcı olur.
Security Engineers: Bu kişiler bir kuruluştaki güvenlik çözümünün ele alınmasında ve yapılandırılmasında önemli bir rol oynarlar. Rolleri arasında güvenlik duvarlarının yapılandırılması, IDS/IPS, SIEM çözümlerinin uygulanması vb. yer alabilir. Bir kuruluştaki çözümleri tasarlar, uygular ve yönetirler.
SOC Managers/Team Leads: Bu kişiler SOC operasyonlarını denetlemekten ve SOC ekibinin çabalarını paydaşlarla koordine etmekten sorumludur.
SOC operasyonlarının kuruluşun güvenlik stratejisi ile uyumlu olmasını sağlarlar.
Security Consultants:Bazı kuruluşlar, güvenlik açıklarına erişmek, daha iyi güvenlik stratejileri geliştirmek ve genel güvenlik duruşunu iyileştirmek için SOC için harici yardımcılar işe alır.
Bu yardımcılar güvenlik danışmanları olarak bilinir.
Threat Hunters: Tehditler otomatik sistemleri birçok kez istila eder.
Tehdit avcıları bu bilinmeyen tehditleri bulmaktan sorumludur.
Kuruluşunuz farklı rol adları kullanıyor olabilir ancak sorumluluk aynı olacaktır. Bu roller genel olarak tanımlanmıştır.
Güvenlik Operasyon Merkezindeki (SOC) Temel Bileşenler
Bir siber güvenlik personelinin SOC ekibinde ihtiyaç duyduğu birçok araç vardır. En gerekli olan ve SOC ekiplerinin neredeyse her gün kullandığı araçlardan bahsedeceğim.
Security Incident Event Management (SIEM): Güvenlik Bilgi ve Olay Yönetimi (SIEM), bir kuruluşun BT altyapısında bulunan çeşitli kaynaklardan veri toplamak, bir araya getirmek ve analiz etmek için kapsamlı bir çözümdür. Ayrıca güvenlik olayları hakkında uyarılar verir. SOC analisti uyarıları gördüğünde, uyarıların false positives olup olmadığını doğrular. SIEM çözümleri 3 kategoriye ayrılabilir.
- Self-Hosted SIEM: Kuruluş, SIEM ortamı üzerinde tam kontrole sahip olmak için SIEM'i kendi altyapısında oluşturur ve yönetir. Örneğin, Splunk Enterprise vb. Kendi kendine barındırma, ön maliyet ve ölçeklenebilirlik maliyeti gerektirir.
- Cloud-Hosted SIEM: Bulutta barındırılan SIEM, üçüncü taraf bulut sağlayıcıları tarafından yönetilecektir. Kuruluşların altta yatan altyapıyı yönetmesi gerekmeyecektir. bu nedenle ön maliyet ve donanım maliyeti yoktur. Örneğin, Azure Sentinel (Microsoft) vb.
- Hibrit SIEM: Hibrit SIEM'de, kuruluşlar kendi kendine barındırılan ve bulutta barındırılan SIEM'in bir kombinasyonunu kullanır. Şirket içi bileşenleri bulut hizmetleri ile birleştirir. Bazı veri işlemlerinin şirket içi bileşenlerde, analiz ve depolamanın ise bulutta gerçekleşmesi mümkündür. Örneğin, Bulutta IBM Q-Radar vb.
Security orchestration, automation, and response (SOAR): SIEM, verileri toplamak, bir araya getirmek, analiz etmek, izlemek ve uyarıları tespit etmek için tasarlanmıştır. Güvenlik düzenlemesi, otomasyonu ve yanıtı (SOAR) tekrarlayan görevlerin otomasyonuna yardımcı olur. SIEM'in temel bir otomasyon iş akışı vardır, ancak SOAR olay müdahalesinin iş akışını otomatikleştirmede çok önemlidir. SOAR, müdahale eylemleri için çeşitli güvenlik araçlarıyla da entegre olur.
Endpoint Detection and Response (EDR): Uç Nokta Tespit ve Müdahale (EDR), kötü amaçlı yazılım ve fidye yazılımı gibi siber tehditlere karşı uç nokta cihazlarını (bilgisayarlar, sunucular) sürekli olarak izleyen ve bunlara müdahale eden çözümdür. Bazı ünlü EDR'ler arasında ESET PROTECT Enterprise, Heimdal™ Endpoint Detection and Response, WithSecure Elements Endpoint Detection and Response, Cisco Secure Endpoint, Crowdstrike Falcon Insight, Cybereason Endpoint Detection And Response sayılabilir.
Palo Alto Networks Cortex XDR, SentinelOne Singularity, Sophos Intercept X, VMWare Carbon Black EDR, vb.
Threat Intelligence Platforms: Tehdit istihbaratı, mevcut tehdit aktörleri ve onların TTP'leri (Taktikler, Teknikler ve prosedürler), indicators of compromise (IoC), güvenlik açıkları ve diğer verilerle ilgili bilgi toplamayı ifade eder. Tehdit istihbarat platformları SIEM ve SOAR ile entegre edilebilir. Tehdit istihbaratı, olaylara müdahale etmeye yardımcı olan ve verileri harici tehdit istihbaratı analistleriyle ilişkilendiren eyleme geçirilebilir tehdit bilgilerinin sağlanmasında önemli bir rol oynar.
Veri Kaybı Önleme (DLP): Veri Kaybını Önleme (DLP), hassas verileri tanımlayan ve bu hassas verilere yetkisiz erişimi, kullanımı ve iletimi önlemek için tasarlanmış bir çözümdür. Verileriniz için bir güvenlik duvarı gibidir. DLP çözümleri 3 kategoride sınıflandırılabilir
- Network DLP - Ağ Geçidi Olarak Dağıtıldı
- Storage DLP - Aracı olarak dağıtılır
- Endpoint DLP - Aracı olarak dağıtılır
SOC'de gerekli olan çeşitli beceriler vardır. Bunlar gerekli ana becerilerdir.
- Siber güvenlik temel bilgisi: siber güvenlik ilkeleri, güvenlik açıkları, tehditler ve yaygın saldırılar hakkında sağlam bir anlayış
- Ağ Güvenliği: ağ protokollerini, mimarisini, saldırılarını ve bunların önlenmesini anlama. Bu, ağ trafiğinin nasıl izleneceğini ve anormalliklerin ve saldırı vektörlerinin nasıl bulunacağını içerir.
- Olay Müdahalesi: olay müdahalesi yaşam döngüsünü anlama ve güvenlik olaylarını verimli bir şekilde tespit etme, analiz etme ve bunlara yanıt verme.
- Tehdit İstihbaratı: Güvenlik izleme ve olay müdahalesini geliştirmek için IoC ve TTP'ler gibi tehdit istihbaratı verileriyle çalışma becerisi.
- SIEM Araçları: Splunk, IBM Qradar, vb. gibi başlıca SIEM araçlarının anlaşılması.
- Zararlı Yazılım Analizi: Tüm roller için zorunlu bir beceri değildir, ancak bu konuda temel bilgiye sahip olmak SOC'ye yardımcı olur.
- Diğer Beceriler: Belirli EDR'ler, DLP'ler, güvenlik duvarları, IDS/IPS, Güvenlik Açığı Yönetimi ve iletişim becerileri vb. hakkında bilgi sahibi olmak faydalı olabilir.