SOC nedir ve rolü nedir?
Cevap:
SOC, Security Operations Center (Güvenlik Operasyonları Merkezi) anlamına gelir. SOC, organizasyonların bilgi güvenliğini izlemek, yönetmek ve korumak amacıyla 7/24 çalışan bir merkezi kontrol noktasını temsil eder. Rolü, siber tehditleri tespit etmek, analiz etmek, tehditlere müdahale etmek ve gerekli önlemleri almaktır. SOC, saldırıları erken tespit etmek ve minimize etmek için önemli bir yapı taşır.
2. SIEM nedir? Bir SOC analisti olarak SIEM kullanımı hakkında ne biliyorsunuz?
Cevap:
SIEM, Security Information and Event Management (Güvenlik Bilgi ve Olay Yönetimi) anlamına gelir. SIEM, ağlardan, sunuculardan ve uygulamalardan gelen logları toplar, analiz eder ve bunları güvenlik olaylarını tespit etmek için kullanır. Bir SOC analisti olarak, SIEM araçlarını kullanarak sistemden gelen verileri izler, şüpheli aktiviteleri tespit eder ve raporlar oluştururum.
3. Kötü amaçlı yazılım (malware) nedir? Bir malware saldırısının tespit edilmesi nasıl sağlanır?
Cevap:
Kötü amaçlı yazılım (malware), zarar vermek amacıyla tasarlanmış yazılımdır. Virüsler, truva atları, solucanlar gibi türleri vardır. Malware tespiti için ağ trafiği, dosya değişiklikleri, anormal davranışlar veya sistemdeki yeni ve şüpheli uygulamalar gözlemlenir. SIEM çözümleri ve antivirüs yazılımları malware tespiti için kullanılabilir.
4. False positive nedir ve nasıl yönetilir?
Cevap:
False positive, bir güvenlik aracının aslında zararsız olan bir olayı tehdit olarak tespit etmesidir. False positive’leri yönetmek için, alarm kurallarını optimize etmek, doğru eşikleri belirlemek ve düzenli olarak kuralları incelemek gerekir. Ayrıca, manual doğrulama ve inceleme ile sahte alarmların azaltılması sağlanabilir.
5. Log yönetimi ve analizi nasıl yapılır?
Cevap:
Log yönetimi, sistemlerden gelen log verilerinin toplanması, saklanması ve analiz edilmesi sürecidir. Bir SOC analisti olarak, loglar üzerinde şüpheli aktiviteleri izlemek için araçlar kullanırım. Log verileri, kimlik doğrulama hataları, ağ trafiği anormallikleri, uygulama hataları gibi bilgileri içerir. Bu veriler analiz edilerek, güvenlik tehditlerine karşı yanıt verilir.
6. Saldırı vektörleri hakkında bilgi verin.
Cevap:
Saldırı vektörleri, bir saldırganın hedefe ulaşmak için kullandığı yollar veya yöntemlerdir. Örnekler arasında phishing (oltalama), kötü amaçlı yazılımlar, zayıf şifreler, sıfır gün açıkları ve sosyal mühendislik yer alır. SOC analisti olarak, bu saldırı vektörlerini analiz eder ve tespit ederim.
7. Root cause analysis nedir?
Cevap:
Root cause analysis (Kök Neden Analizi), bir olayın arkasındaki temel nedeni bulmak için yapılan bir analiz sürecidir. Bir güvenlik ihlali sonrası, bu ihlalin neden kaynaklandığını, zayıf noktayı veya hatalı işlemi belirlemek için yapılır. Bu, gelecekte benzer ihlallerin önlenmesi için kritik öneme sahiptir.
8. APT (Advanced Persistent Threat) nedir?
Cevap:
APT, hedefli ve sürekli bir saldırıdır. Saldırganlar, belirli bir organizasyonu uzun süre boyunca hedef alır ve genellikle gizlice çalışarak ağda derinlemesine sızmaya çalışır. APT’lerin tespit edilmesi zordur çünkü genellikle çok dikkatli ve stratejik bir şekilde yürütülürler. SOC analistleri olarak, APT’lerin izlerini sürmek için ağ trafiği ve kullanıcı davranışlarını dikkatlice izleriz.
9. SOC ekibindeki farklı seviyeler hakkında bilgi verin (Tier 1, Tier 2, Tier 3).
Cevap:
SOC ekibindeki farklı seviyeler şu şekilde çalışır:
- Tier 1: İlk seviye analistler, gelen alarmları izler, erken aşama tehditleri tespit eder ve olayı araştırmadan önce sınıflandırır.
- Tier 2: Orta seviye analistler, daha derinlemesine analiz yapar ve karmaşık olayları inceler. Tier 1’den gelen alarm ve uyarıları inceler.
- Tier 3: En yüksek seviye analistler, ileri düzey tehdit analizi yapar, tehditleri manuel olarak araştırır ve saldırılara müdahale eder.
10. Phishing saldırısı nedir ve nasıl tespit edilir?
Cevap:
Phishing saldırısı, bir saldırganın kullanıcıları kandırarak gizli bilgilerini çalmasını amaçlayan bir siber saldırıdır. Genellikle sahte e-postalar veya web siteleri kullanılır. Phishing tespit etmek için e-posta başlıkları, bağlantı URL’leri, ekler ve dil bilgisi hataları gibi şüpheli öğeler incelenebilir.
11. SIEM ile çalışırken karşılaştığınız zorluklar nelerdir?
Cevap:
SIEM ile çalışırken karşılaşılan zorluklar arasında false positive oranlarının yüksek olması, log verilerinin büyük ve karmaşık olması ve doğru uyarıları zamanında analiz etme zorluğu bulunur. Bu zorlukları aşmak için, SIEM kurallarının optimize edilmesi ve log verilerinin anlamlı bir şekilde korelasyon edilmesi gerekir.
12. SOAR nedir ve nasıl kullanılır?
Cevap:
SOAR, Security Orchestration, Automation, and Response anlamına gelir. SOAR, güvenlik operasyonlarını otomatikleştirmek ve orkestrasyon sağlamak için kullanılır. Bu, olaylara daha hızlı müdahale edilmesine yardımcı olur. SOAR araçları, kurallar ve playbook’lar aracılığıyla belirli olaylara otomatik yanıt verir.
13. Bir güvenlik ihlali tespit ettiğinizde nasıl bir süreç izlersiniz?
Cevap:
İlk olarak, olayın doğruluğunu teyit ederim. Ardından, olayı sınıflandırır ve önceliklendiririm. Etkilenen sistemleri izole ederim, zararın boyutunu belirlerim ve olayın nasıl yayıldığını incelemeye başlarım. Son olarak, olayın kaynağını bulur ve çözüm için adımlar atarım.
14. Dijital forensik nedir ve SOC’da nasıl kullanılır?
Cevap:
Dijital forensik, siber suçların araştırılması için dijital verilerin toplanması ve analiz edilmesi sürecidir. SOC’da dijital forensik, olay sonrası yapılan araştırmalarla, güvenlik ihlali hakkında derinlemesine bilgi edinilmesini sağlar. Forensik analiz ile saldırganın hareketleri, kullandığı teknikler ve etkilediği sistemler belirlenir.
15. Saldırı tespiti için kullanılan araçlar hakkında bilgi verin.
Cevap:
SOC analistleri, saldırıları tespit etmek için SIEM araçları, antivirüs yazılımları, ağ izleme araçları (Wireshark, Zeek gibi) ve IDS/IPS (Intrusion Detection/Prevention Systems) kullanır. Bu araçlar, ağ trafiğini izleyerek anormal aktiviteleri ve potansiyel tehditleri tespit etmeye yardımcı olur.
16. Kötü amaçlı yazılımlara karşı savunma stratejileri nelerdir?
Cevap:
Kötü amaçlı yazılımlara karşı savunma stratejileri şunları içerir:
- Güçlü antivirüs ve anti-malware yazılımlarının kullanımı.
- E-posta filtreleme ve spam koruma.
- Düzenli yazılım güncellemeleri ve yamaların uygulanması.
- Kullanıcıları phishing saldırılarına karşı eğitme.
- Güçlü ağ segmentasyonu ve güvenlik duvarları kullanımı.
17. Zafiyet taramaları ve güvenlik açıkları hakkında bilgi verin.
Cevap:
Zafiyet taramaları, sistemdeki güvenlik açıklarını belirlemek amacıyla yapılan düzenli taramalardır. Bu taramalar, sistemlerin ve uygulamaların potansiyel zayıf noktalarını tespit eder. Zafiyet taramaları, güvenlik açıklarının kapatılmasına yönelik önlem almayı sağlar.
18. Firewall nedir ve nasıl çalışır?
Cevap:
Firewall, bir ağın dışarıdan gelen veya giden trafiğini izleyen ve filtreleyen bir güvenlik cihazıdır. İzin verilen ve engellenen trafiği belirleyen kurallar içerir. Bu sayede, istenmeyen veya şüpheli trafiği engelleyerek ağı korur.
19. Güvenlik olaylarının raporlanması ve yönetilmesi nasıl yapılır?
Cevap:
Güvenlik olayları, olayın türü, etkisi, ne zaman meydana geldiği ve nasıl çözülmesi gerektiği ile ilgili detaylı raporlarla belgelenir. Raporlar, yöneticilere, yasal düzenlemelere ve iç güvenlik denetimlerine göre hazırlanır. Olay yönetim araçları kullanılarak olaylar izlenebilir ve çözüme kavuşturulabilir.
20. Ekip çalışması ve iletişim hakkında nasıl bir yaklaşım sergilersiniz?
Cevap:
Ekip çalışması ve iletişim, SOC analizinin temel unsurlarındandır. Etkili iletişimle, bir güvenlik olayına hızlı ve doğru bir şekilde müdahale edebiliriz. Ayrıca, ekip üyeleri arasında düzenli bilgi paylaşımı ve işbirliği, olayların daha etkili yönetilmesine yardımcı olur.
SENARYOLAR
1. SOC’ın Rolü ve Temel Amaçları
Senaryo: Şirketin güvenlik ekibi bir SOC kurmayı planlıyor. Senin rolün SOC analisti olarak belirlenmiş ve seninle bu konuyu tartışıyorlar.
Soru: SOC nedir ve temel amaçları nelerdir?
Cevap: SOC, Security Operations Center yani Güvenlik Operasyonları Merkezi’dir. SOC, bir organizasyonun siber güvenliğini 7/24 izler, güvenlik tehditlerini tespit eder, analiz eder ve gerektiğinde müdahale eder. SOC’ın temel amacı, olası güvenlik ihlallerini erken tespit edip, güvenlik olaylarına zamanında yanıt vererek organizasyonun verilerini korumaktır.
2. SIEM ve MSOC Arasındaki Farklar
Senaryo: Şirket, SIEM ve MSOC kullanımı arasında bir tercih yapmaya çalışıyor.
Soru: SIEM nedir ve MSOC ile farkları nelerdir?
Cevap: SIEM (Security Information and Event Management) güvenlik bilgi ve olay yönetimidir. Log toplama, analiz etme ve raporlama yapar. MSOC ise, SIEM’in üzerinde daha ileri düzey bir yapı olup, sadece izleme ve tespit yapmaz; olaylara müdahale, otomasyon ve orchestrasyon gibi süreçleri de içerir. MSOC daha proaktif bir güvenlik yönetimi sunar.
3. Güvenlik Olayı Tespiti
Senaryo: Bir gün MSOC sisteminde olağandışı bir ağ trafiği tespit ediyorsun.
Soru: Bir güvenlik olayını tespit etmek için hangi yöntemleri kullanırsın?
Cevap: Güvenlik olayları tespit etmek için signature-based ve anomaly-based yöntemler kullanılır. Signature-based yöntem, bilinen tehditlerin imzalarını ararken, anomaly-based yöntem alışılmadık davranışları tespit eder. Bu sayede daha önce görülmemiş tehditler de fark edilebilir.
4. False Positives ve False Negatives
Senaryo: MSOC sisteminde bir dizi false positive alıyorsun. Bu durumu nasıl yönetirsin?
Soru: False positive ve false negative nedir? Bu durumu nasıl yönetirsin?
Cevap: False positive, sistemin yanlış bir şekilde tehdit olduğunu tespit etmesidir. False negative ise, gerçek bir tehdidi göz ardı etmesidir. Bu durumları yönetmek için, tespit kurallarını sürekli güncelleyerek, alarm eşiklerini optimize ederim ve tehdit avcılığı yaparak gerçek tehditleri tespit ederim.
5. Tehdit İstihbaratı ve IOC Kullanımı
Senaryo: Bir tehdit istihbarat raporu aldın ve içinde IOC’ler (Indicators of Compromise) bulunuyor.
Soru: IOC nedir ve nasıl kullanılır?
Cevap: IOC, bir saldırının sistemde bıraktığı izlerdir. Örneğin, şüpheli IP adresleri, dosya adları veya anormal ağ trafiği IOC olabilir. Bu izler, saldırıları tespit etmek için kullanılır ve güvenlik sistemlerimize entegre edilerek, olası tehditler hızla belirlenebilir.
6. APT (Advanced Persistent Threat)
Senaryo: Şirketinin ağlarında uzun süredir devam eden bir saldırı olduğunu fark ettin.
Soru: APT nedir ve nasıl tespit edilir?
Cevap: APT, çok sofistike ve uzun vadeli hedefli saldırılardır. Genellikle gizli bir şekilde çalışarak organizasyona ciddi zarar verir. APT’leri tespit etmek için, ağ trafiği, kullanıcı davranışları ve dosya değişiklikleri gibi anormallikleri izlerim.
7. Olay Müdahale ve Zamanında Müdahale
Senaryo: Bir güvenlik ihlali meydana geldi ve hemen müdahale edilmesi gerekiyor.
Soru: MSOC’da olaylara nasıl yanıt verilir?
Cevap: MSOC, olayları tespit ettiğinde, olayın türüne göre yanıt süreçlerini başlatır. İlk olarak, tehdit analiz edilir, ardından gerekli izolasyon, engelleme ve iyileştirme adımları gerçekleştirilir. Son adımda ise olayın kaynağı tespit edilerek, root cause analizi yapılır.
8. Root Cause Analysis (Kök Neden Analizi)
Senaryo: Bir güvenlik ihlali sonrası olayın neden kaynaklandığını belirlememiz gerekiyor.
Soru: Olay sonrası root cause analizi nasıl yapılır?
Cevap: Root cause analizi, olayın kök nedenini bulmak için kullanılan bir tekniktir. Bu süreçte, olayın meydana gelmesine neden olan tüm sistemler, süreçler ve zayıf noktalar gözden geçirilir. Bu sayede gelecekte benzer bir durumun yaşanmaması için önlemler alınır.
9. SOAR ve Playbook Kullanımı
Senaryo: Bir saldırı algılandı ve otomatik müdahale yapılması gerekiyor.
Soru: SOAR nedir ve playbook’lar nasıl çalışır?
Cevap: SOAR, Security Orchestration, Automation, and Response anlamına gelir ve güvenlik süreçlerini otomatikleştirir. Playbook’lar, belirli bir olay için önceden tanımlanmış adımları içerir. Bu adımlar, tehdit algılandığında otomatik olarak çalıştırılarak olaylara hızlı ve etkili bir şekilde müdahale edilmesini sağlar.
10. Otomatik Yanıt (Auto-Remediation)
Senaryo: MSOC’da otomatik yanıt kuralları yapılandırmak istiyorsunuz.
Soru: Otomatik yanıt nasıl yapılandırılır?
Cevap: Otomatik yanıt, belirli bir tehdit tespit edildiğinde, önceden yapılandırılmış aksiyonları otomatik olarak alır. Örneğin, bir şüpheli IP adresinden gelen trafiği otomatik olarak engelleme veya bir kullanıcı hesabını askıya alma gibi eylemler gerçekleştirilir.
11. Kötü Amaçlı Yazılım ve Saldırı Taktikleri
Senaryo: Şirketin ağında bir kötü amaçlı yazılım tespit ediliyor.
Soru: Kötü amaçlı yazılım nedir ve nasıl tespit edilir?
Cevap: Kötü amaçlı yazılım, zarar vermek amacıyla tasarlanmış yazılımdır. Virüsler, truva atları, solucanlar gibi türleri vardır. Tespit etmek için, sistemdeki olağandışı aktiviteleri, yeni yüklenen dosyaları ve ağ trafiğini izlerim. Antivirüs yazılımları ve SIEM çözümleri bu konuda yardımcı olabilir.
12. Saldırı Vektörleri
Senaryo: Phishing saldırıları şirketin e-posta sistemine büyük zarar veriyor.
Soru: Phishing saldırısı nedir ve nasıl korunursun?
Cevap: Phishing, kullanıcıyı aldatıp gizli bilgilerini çalmayı amaçlayan bir saldırıdır. Bu tür saldırılara karşı, e-posta filtreleme sistemleri, kullanıcı eğitimi ve çok faktörlü kimlik doğrulama gibi önlemler alınabilir.
13. Log Yönetimi ve Korelasyon Kuralları
Senaryo: Sentinel üzerinde logların toplandığı bir workspace yapılandırıyorsunuz.
Soru: Log yönetimi nasıl yapılır ve korelasyon kuralları nasıl oluşturulur?
Cevap: Loglar, sistemlerin ve ağların aktivitelerini kaydeder ve bu veriler, güvenlik olaylarını tespit etmek için kullanılır. Korelasyon kuralları, belirli olayların bir araya gelerek daha büyük tehditleri işaret etmesini sağlar. Bu kurallar, tekrarlayan desenleri tanımlayarak olayları daha verimli şekilde analiz eder.
14. Sentinel’de KQL Kullanımı
Senaryo: Sentinel üzerinde bir sorgu yazman gerekiyor.
Soru: KQL nedir ve nasıl kullanılır?
Cevap: KQL (Kusto Query Language), Sentinel’in verilerini sorgulamak için kullanılan bir dildir. KQL ile, loglar üzerinde filtreleme, analiz yapma ve raporlama işlemleri gerçekleştirilebilir.
15. Sentinel Workbooks ve Dashboards
Senaryo: MSOC için önemli metrikleri izlemek amacıyla bir dashboard oluşturman isteniyor.
Soru: Workbooks nedir ve nasıl oluşturulur?
Cevap: Workbooks, Sentinel’de özelleştirilmiş raporlar ve görselleştirmeler oluşturmak için kullanılır. Dashboards ise, bu bilgilerin özetlendiği görsel sunumlardır. Workbooks ile logları analiz eder, trendleri ve anormallikleri izleriz.
16. Custom Detection Rules
Senaryo: Şirketin ağı için özel bir tespit kuralı yazman gerekiyor.
Soru: Özel tespit kuralları nasıl yazılır?
Cevap: Özel tespit kuralları, belirli tehditleri tanımlayan, log verileri veya olaylar üzerinde koşullar içeren kurallardır. Örneğin, anormal ağ trafiği veya şüpheli bağlantılar gibi özel durumları izleyebiliriz.
17. Dijital Forensik ve Olaydan Sonra Veri Toplama
Senaryo: Bir saldırı sonrası dijital forensik çalışması yapman isteniyor.
Soru: Dijital forensik nedir ve nasıl yapılır?
Cevap: Dijital forensik, bir olay sonrası sistemlerden veri toplayarak, saldırının nasıl gerçekleştiğini ve ne gibi zararlar verdiğini analiz etme sürecidir. Bu süreçte, log dosyaları, sistem görüntüleri ve diğer dijital izler toplanarak analiz edilir.
18. Olay Sonrası İyileştirme
Senaryo: Bir güvenlik olayı sonrası iyileştirme önerileri geliştirmek istiyorsunuz.
Soru: Olay sonrası iyileştirme önerileri nasıl yapılır?
Cevap: Olay sonrası iyileştirme, olayın kök nedenini belirleyerek, zayıf noktaların giderilmesini içerir. Bu, güvenlik önlemlerinin artırılması, kullanıcı eğitimlerinin düzenlenmesi veya altyapının güçlendirilmesi gibi adımlar içerebilir.
19. Güvenlik Olay Raporlama
Senaryo: Bir güvenlik ihlali sonrası yöneticilere rapor sunman gerekiyor.
Soru: Güvenlik olay raporu nasıl hazırlanır?
Cevap: Güvenlik olay raporu, olayın ne zaman gerçekleştiği, nasıl tespit edildiği, nasıl müdahale edildiği ve alınan sonuçları içerir. Ayrıca olayın etkileri, risk değerlendirmesi ve iyileştirme adımları da rapora eklenmelidir.
20. Saldırı Yöntemleri ve Taktikleri
Senaryo: Şirketin sistemlerine yönelik sızma testi yapılıyor.
Soru: Bir saldırının farklı aşamaları nelerdir?
Cevap: Bir saldırı genellikle 5 aşamadan oluşur: keşif (reconnaissance), giriş (initial access), sürdürme (persistence), hareketlilik (lateral movement) ve veri sızdırma (exfiltration). Bu aşamaları anlamak, etkili bir savunma için çok önemlidir.