SOC Analisti Genel | Part 1

Home / SOC Analisti Genel | Part 1

Güvenlik Operasyonları (SOC Temelleri)

SOC nedir, hangi amaçlarla çalışır?

SOC (Security Operations Center), bir organizasyonun güvenliğini izlemek, tehditleri tespit etmek ve bu tehditlere yanıt vermek için kurulan bir merkezdir. SOC, sürekli olarak ağları ve sistemleri izler ve herhangi bir güvenlik tehdidi ortaya çıktığında buna müdahale eder. Örneğin, bir virüs bulaştığında ya da siber saldırı yapıldığında SOC, bu durumu hemen tespit etmeli ve gereken adımları atmalıdır.

SOC ile MSSP (Managed Security Service Provider) arasındaki farklar nelerdir?

  • SOC (Security Operations Center): Bu, bir şirketin kendi içinde bulunan bir güvenlik merkezi olabilir. Şirket, tüm güvenlik operasyonlarını kendisi yönetir.
  • MSSP (Managed Security Service Provider): Bir MSSP, dışarıdan bir hizmet sağlayıcıdır. Yani başka bir şirket, sizin güvenlik hizmetlerinizi yönetir. Eğer kendi SOC’nizi kurmak istemiyorsanız, MSSP’ler sizin adınıza güvenlik izlemesi yapar.

2. Güvenlik Olayları ve İhlalleri

Güvenlik olayları ve güvenlik ihlalleri arasındaki farklar.

  • Güvenlik Olayı: Bir güvenlik olayı, güvenlik sisteminin veya ağının normal işleyişinde bir anormallik olduğunu gösteren herhangi bir durumdur. Örneğin, normalde olmayan bir IP adresinden giriş yapılması bir güvenlik olayıdır. Her olay bir güvenlik ihlali değildir, ama bir olay ihlale dönüşebilir.
  • Güvenlik İhlali (Breach): Güvenlik ihlali, sistemin veya verilerin izinsiz bir şekilde ele geçirilmesi ya da zarar görmesidir. Yani, bir güvenlik olayı kötüye kullanılarak gerçekten bir zarar verilmişse bu ihlal olur. Örneğin, hacker’lar veri çaldığında bu bir ihlaldir.

Olayların sınıflandırılması nasıl yapılır (kritik, yüksek, orta, düşük)?

Güvenlik olayları, ciddiyetlerine göre farklı seviyelere ayrılır:

  • Kritik: Hemen müdahale edilmesi gereken çok ciddi bir tehdit. Örneğin, ana sunucuya yapılan büyük bir saldırı.
  • Yüksek: Ciddi, ancak hemen çözülmesi gerekmeyen bir tehdit. Örneğin, sistemde potansiyel bir zafiyetin bulunması.
  • Orta: Normalde sorun yaratmayan, ancak gözlemlenmesi gereken bir durum. Örneğin, sistemde kullanıcıların şüpheli davranışlar sergilemesi.
  • Düşük: Önceliği düşük olan durumlar. Örneğin, güvenlik duvarı üzerinden gelen düşük riskli uyarılar.

3. Güvenlik İzleme ve Olay Yönetimi

SIEM nedir ve nasıl çalışır?

  • SIEM (Security Information and Event Management), güvenlik bilgilerini toplar, analiz eder ve bu bilgileri bir arada sunar. SIEM, olayları (örneğin, şüpheli giriş denemeleri) gerçek zamanlı olarak izler ve güvenlik analistlerine raporlar. Bu sayede güvenlik olayları hızlıca tespit edilir.

MSOC’da kullanılan SIEM araçları (özellikle Microsoft Sentinel) hakkında bilgi.

  • Microsoft Sentinel, MSOC’lar için kullanılan bir SIEM aracıdır. Bu araç, sistemlerden gelen verileri toplar, analiz eder ve şüpheli bir şey tespit ederse hemen bir uyarı gönderir. Microsoft Sentinel, bulut tabanlı çalışır ve organizasyonların güvenlik durumunu tek bir ekranda görmelerine olanak tanır.

SIEM ile ilgili olay ve log yönetimi nasıl yapılır?

SIEM araçları, sistemlerden (örneğin sunucular, ağlar) gelen logları toplar. Bu loglar, her şeyin düzgün çalışıp çalışmadığını gösteren veriler içerir. Olası bir güvenlik olayını tespit etmek için bu loglar analiz edilir. Eğer bir anormallik fark edilirse, bu bir olay olarak kaydedilir ve müdahale edilir.

4. Güvenlik Olayı Tespiti ve Yanıt

Bir güvenlik olayını tespit etmek için kullanılan yöntemler (signature-based, anomaly-based).

  • Signature-based (İmza Tabanlı): Bu yöntem, bilinen tehditlerin imzalarını (örneğin, virüslerin kodları) tanıyıp tespit eder. Yani, önceden bilinen zararlı yazılımlar veya saldırılar sistemde tespit edilmeye çalışılır.
  • Anomaly-based (Anormallik Tabanlı): Bu yöntem, normal davranıştan sapmaları tespit eder. Örneğin, bir kullanıcı normalde bir uygulama kullanmazken aniden giriş yaparsa, bu bir anormallik olarak algılanabilir.

Geleneksel ve yeni nesil güvenlik tehditleri.

  • Geleneksel Tehditler: Daha önce bilinen ve yaygın olan tehditler. Örneğin, eski tip virüsler.
  • Yeni Nesil Tehditler: Daha sofistike ve gelişmiş tehditler. Örneğin, siber saldırılar, hedefli saldırılar (APT), fidye yazılımları gibi.

False positives ve false negatives nedir ve nasıl yönetilir?

  • False Positive (Yanlış Pozitif): Gerçek bir tehdit olmadığı halde, tehdit olarak işaretlenmesi. Örneğin, güvenlik sisteminin yanlışlıkla normal bir işlemi kötü niyetli bir saldırı olarak görmesi.
  • False Negative (Yanlış Negatif): Gerçek bir tehdit olduğu halde, sistemin bunu tespit edememesi. Bu, daha tehlikeli bir durumdur çünkü saldırgan sisteme girebilir.

5. Olay Tespiti ve Yanıt

MSOC’da olaylara nasıl yanıt verilir?

MSOC analistleri, bir güvenlik olayı tespit ettiğinde, bu olayı önceliklendirir ve hemen bir yanıt planı uygular. Yanıt planı, olayın ciddiyetine bağlı olarak değişir ve olayın etkilerini sınırlamak için adımlar atılır.

Olayın kök neden analizini nasıl yaparsınız?

Bir güvenlik olayı gerçekleştiğinde, olayın temel sebebini anlamaya çalışmak önemlidir. Bu “kök neden analizi” olarak adlandırılır. Örneğin, bir saldırgan bir güvenlik açığından faydalandıysa, bu açığın kaynağı bulunmalı ve ortadan kaldırılmalıdır.

Olay yönetimi ve zamanında müdahale süreçleri.

Olay yönetimi, bir güvenlik olayının tespit edilmesinden itibaren müdahale edilip çözülene kadar olan tüm süreçleri içerir. Bu süreç, olayın analiz edilmesinden, etkilerinin azaltılmasına kadar bir dizi adımı kapsar. Zamanında müdahale etmek, zararın büyümesini önler.

6. Güvenlik Olayı Sınıflandırma

Bir güvenlik olayını sınıflandırmak için kullanılan kriterler nelerdir?

Güvenlik olayları, ciddiyetlerine, kaynağına ve etkilerine göre sınıflandırılır. Örneğin:

  • Saldırının türü: Virüs, phishing saldırısı, ağ saldırısı vs.
  • Etkilenen sistemler: Bir sunucu mu, bir bilgisayar mı, yoksa bir ağ mı etkilendi?
  • Olayın yayılma hızı: Olay hızla yayılıp yayılmadığına göre önceliklendirilir.

Bu sınıflama, hangi olayların daha hızlı müdahale edilmesi gerektiğini belirler.

İleri Düzey Tehdit Tespiti ve Avcılığı (Threat Hunting)

Tehdit Avcılığı nedir ve nasıl yapılır?

  • Tehdit Avcılığı (Threat Hunting), kötü niyetli aktiviteleri bulmak için yapılan proaktif bir süreçtir. Normalde, güvenlik sistemleri sadece tehditleri tespit etmeye çalışırken, tehdit avcıları olası tehditleri önceden arar ve bu tehditleri ortadan kaldırmak için çaba gösterir. Yani, herhangi bir alarm beklemeden, sistemde olabilecek anormallikleri incelemeye çalışırlar.
  • Nasıl yapılır? Tehdit avcıları, sistemler üzerinde şüpheli aktiviteleri bulmak için verileri toplar, analiz eder ve desenler (patterns) ararlar. Örneğin, normalde çalışan bir programın çok fazla veri gönderdiğini veya olağandışı bir IP adresinden erişim yapıldığını gözlemleyebilirler.

MSOC’da Tehdit Avcılığının Rolü

  • MSOC, sürekli olarak tehditleri tespit etmeye çalışır. Tehdit avcılığı burada çok önemli bir rol oynar çünkü MSOC, sadece otomatik tespit sistemlerinin uyarılarına dayalı kalmaz, aynı zamanda insanların da tehditleri manuel olarak aradığı, daha derinlemesine bir izleme süreci yürütür.

İleri Düzey Tehditler (APT, Zero-Day)

APT (Advanced Persistent Threat) nedir ve nasıl tespit edilir?

  • APT: APT, çok sofistike, sürekli ve hedefli saldırılardır. Bu saldırılar, organizasyonun en değerli bilgilerini ele geçirmek için uzun süreli, gizli bir şekilde yapılır. Genellikle, bir hacker grubu bir organizasyona yıllarca sızmaya çalışır, çeşitli zafiyetlerden faydalanarak sistemdeki bilgilere ulaşır.
  • Nasıl tespit edilir? APT’ler gizli şekilde çalıştıkları için onları tespit etmek zor olabilir. Ancak, anormal ağ trafiği, zamanla biriken izler, sistemdeki beklenmedik değişiklikler gibi ipuçlarıyla tespit edilebilir.

Zero-day açıkları ile ilgili tespit yöntemleri

  • Zero-day açığı: Bu, yazılımın henüz keşfedilmemiş bir güvenlik açığıdır. Hacker’lar bu açığı kullanarak sisteme girebilirler. Yazılım üreticisi bu açığı fark etmeden önce kötü niyetli kişiler bunu kullanabilirler.
  • Tespit Yöntemleri: Zero-day açıkları genellikle bir güvenlik yazılımı tarafından tanımlanamaz çünkü henüz bilinen bir açık değildir. Ancak, şüpheli aktiviteler ve anormal davranışlar, potansiyel zero-day saldırılarının tespit edilmesine yardımcı olabilir.

Tehdit İstihbaratı (Threat Intelligence)

Tehdit istihbaratının rolü

  • Tehdit istihbaratı (Threat Intelligence), saldırganların kullandığı yöntemleri, araçları ve teknikleri anlamamıza yardımcı olur. Bu bilgi, organizasyonların daha iyi savunma yapmasını sağlar çünkü bilinen saldırı tekniklerine karşı önlemler alınabilir.

IOC (Indicators of Compromise) nedir, nasıl kullanılır?

  • IOC (Indicators of Compromise), bir saldırının sistemde bıraktığı izlerdir. Bu izler, kötü amaçlı yazılımlar veya hacker’lar tarafından bırakılmış olabilir. Örneğin, anormal IP adresleri, şüpheli dosya isimleri veya belirli bir zaman diliminde gerçekleşen olağandışı bağlantılar birer IOC olabilir.
  • Nasıl kullanılır? IOC’ler, sistemlerinizi tararken kullanılan önemli araçlardır. Eğer bir IOC, örneğin bir kötü amaçlı IP adresi tespit edilirse, güvenlik ekipleri bu durumu hızla inceleyip tehdit hakkında bilgi edinirler.

Yetişkin saldırı teknikleri (MITRE ATT&CK framework) hakkında bilgi

  • MITRE ATT&CK: Bu, siber saldırganların sistemlere nasıl saldırdığına dair bir çerçevedir. MITRE ATT&CK, saldırganların kullandığı adımlar, araçlar ve teknikleri kategorize eder. Bu bilgiler, saldırganların davranışlarını anlamamıza ve buna göre savunma yapmamıza yardımcı olur.

Güvenlik Politikaları ve İyileştirme

Olay Yönetim Planları ve Müdahale Süreçleri

  • Olay Yönetim Planı: Bu, bir güvenlik olayının nasıl ele alınacağına dair önceden hazırlanmış bir plandır. Plan, bir güvenlik olayının tespiti, sınıflandırılması, müdahale edilmesi ve sonrasında raporlanması aşamalarını içerir.
  • Müdahale Süreçleri: Olay tespit edildikten sonra, belirli adımlar izlenerek duruma müdahale edilir. Örneğin, saldırı durdurulmalı, zararın boyutu belirlenmeli ve tekrar olmasını önlemek için önlemler alınmalıdır.

Root Cause Analysis (Kök Neden Analizi)

  • Root Cause Analysis (Kök Neden Analizi), bir olayın asıl nedenini bulma sürecidir. Yani, bir güvenlik ihlali olduktan sonra, sadece sonucu değil, bu sonuca yol açan temel nedeni araştırırız. Bu, gelecekte benzer olayların önlenmesine yardımcı olur.
  • Nasıl yapılır? Olay sonrası, olayın meydana gelmesine yol açan teknik ya da organizasyonel zafiyetleri araştırırız. Örneğin, bir hacker’ın sisteme girmesinin sebebi bir güvenlik açığı olabilir ve bu açığı kapatmak için düzeltici önlemler alınır.

Microsoft Sentinel ve MSOC Araçları

Microsoft Sentinel Kullanımı

  • Microsoft Sentinel: Microsoft Sentinel, bir güvenlik izleme ve olay yönetim platformudur. MSOC’lar, Sentinel’i güvenlik olaylarını izlemede, analiz etmede ve raporlama yapmada kullanırlar. Sentinel, otomatik olarak tehditleri tespit eder ve güvenlik analistlerine uyarılar gönderir.

Sentinel’daki Log Analytics Workspace hakkında bilgi

  • Log Analytics Workspace: Sentinel’in veri toplama alanıdır. Sistemler ve ağlar üzerinde gerçekleşen her türlü etkinlik burada toplanır. Güvenlik analistleri, bu verileri inceleyerek şüpheli aktiviteleri tespit ederler.

KQL (Kusto Query Language) sorguları ve kullanımı

  • KQL (Kusto Query Language), Sentinel içindeki verileri analiz etmek için kullanılan bir sorgulama dilidir. KQL kullanarak, güvenlik analistleri verileri filtreleyebilir, inceleyebilir ve raporlar oluşturabilirler.

Log Yönetimi ve Korelasyon

Sentinel üzerinde logların toplanması ve yönetilmesi

  • Sentinel, farklı kaynaklardan (sunucular, ağlar, uygulamalar vb.) logları toplar. Bu loglar, sistemlerdeki güvenlik olaylarını analiz etmek için kullanılır.

Korelasyon kuralları nasıl oluşturulur?

  • Korelasyon kuralları, birden fazla kaynaktan gelen verilerin birleştirilip analiz edilmesini sağlar. Örneğin, bir şüpheli IP adresi birden fazla sunucuda görünüyorsa, bu korelasyonla tespit edilebilir.

Olay Müdahale ve Forensik Analiz

Olay tespiti ve müdahale süreçlerinin detayları

  • Olay Tespiti: Güvenlik analistleri, sistemdeki olağan dışı aktiviteleri tespit etmek için araçlar kullanır. Bu aktiviteler tespit edildikten sonra hızlıca müdahale edilir.

Forensik Araştırma

  • Dijital Forensik: Bir saldırıdan sonra, sistemdeki izleri araştırarak, saldırganın nasıl girdiğini ve ne yaptığını belirlemek için yapılan analizdir. Forensik veriler, olayın tam olarak nasıl gerçekleştiğini anlamamıza yardımcı olur.

İzleme ve İyileştirme

  • Olay sonrası iyileştirme: Olay sonrasında, yapılan hata veya eksiklikler düzeltilir. Güvenlik altyapısı güçlendirilir ve benzer olayların tekrar yaşanmaması için önlemler alınır.