Letsdefend-SOC Fundamentals
Merhabalar, bu yazıda letsdefend.io platformundaki SOC Fundamentals odasına göz atacağız. “SOC modelleri nelerdir”, “SOC’de hangi pozisyonlar bulunur?”, “SOC analistlerinin günlük rutinleri nasıldır?” gibi soruları cevaplayacağız, SIEM, EDR ve SOAR kavramlarına değineceğiz. Keyifli okumalar…
SOC Türleri ve Rolleri
SOC nedir?
SOC, yani Security Operations Center (Güvenlik Operasyonları Merkezi), bilgisayar sistemlerini 7/24 izleyerek güvenlik ihlali olması durumunda müdahale eden merkezdir. Ana görevleri insan, süreç ve teknolojiyi kullanarak siber güvenlik olaylarını tespit etmek, analiz etmek ve müdahale etmektir.
SOC Modellerinin Türleri
Gereksinim ve bütçeye bağlı olarak değişen birkaç tür SOC vardır, bunlar şu şekildedir:
Kurum içi SOC: Kurumun, şirket içinde kendi ekibini kurar. Kurum içi SOC kurmak için belli bir bütçe ayrılır.
Sanal SOC: Ekibin kendine ait bir tesisi yoktur ve uzaktan (remote) çalışırlar.
Ortak Yönetilen SOC: Harici bir şirketten alınan hizmet ile şirketteki ekiplerin ortak yönettiği SOC modelidir. Bu modelde koordinasyon önemidir.
Command SOC: Geniş bir bölgede küçük SOC gruplarını denetleyen üst düzey gruptur. Büyük telekom sağlayıcıları ve savunma kurumları tarafından kullanılır.
İnsanlar, Süreç ve Teknoloji
Ciddi bir koordinasyon gerektiren SOC kurulumu için insan, süreç ve teknoloji ilişkisi önemlidir.
İnsanlar: Saldırı vektörleri ve güvenlik operasyonlarına hâkim kişilere ihtiyaç vardır. Yeni saldırı türlerini araştıran, bu saldırılara uyum sağlayabilecek kişiler.
Süreçler: Sağlam bir SOC kurmak için, SOC’yi PCI, NIST HIPAA gibi uluslararası regülasyonlara uyumlu hale getirmek önemlidir.
Teknoloji: Penetrasyon testi, tespit, önleme, analiz gibi çeşitli ürünlere ihtiyaç vardır. En iyi teknoloji, bütçeye uygun ve gereksinimleri karşılayan teknolojidir.
SOC Pozisyonları
SOC Analisti (SOC Analyst)
SOC yapısına göre tier 1, tier 2 ve tier 3 olarak sınıflandırılabilirler. Temel amaçları, gelen alarmları sınıflandırıp analiz etmek ve olayı düzeltici önlem tavsiyeleri vermektir.
Olay Müdahale Görevlisi (Incident Responder)
Herhangi bir güvenlik ihlali durumunda olaya ilk müdahale eden kişidir. İhlallerin ilk değerlendirmesini yapar.
Tehdit Avcısı (Threat Hunter)
Kuruluşun sistem ve ağlarındaki tehditleri araştırarak zararlı girişimlerden önce bildirmekle görevlidir.
Güvenlik Mühendisi (Security Engineer)
SOC bünyesindeki SIEM ve diğer güvenlik ürünlerinin (Firewall, IDS, IPS, WAF vs.) bakım, onarım ve konfigürasyonunu yapar.
SOC Yöneticisi (SOC Manager)
Bir SOC yöneticisinin görevi, SOC bütçesini yönetme, personel eğitimleri, strateji oluşturma, operasyonları koordine etmektir. Teknik konular yerine, genel olarak personel ve SOC yapısıyla ilgilenirler.
SOC Analisti ve Sorumlulukları
SOC analisti, bir sistemdeki ihlalle ilk karşılaşan güvenlik personelidir. Güvenlik ürünlerinde oluşturulan alarmları sınıflandırıp analiz ederek, zararlı bir girişim olması durumunda bir üst birimine (tier1 →tier2,
tier2 →tier3) bildirmekle görevlidir.
SOC Analisti Olmanın Avantajları
Her gün değişen ve gelişen teknolojilerle birlikte saldırganlar, yeni tip saldırı vektörleri kullanarak zararlı girişimlerde bulunurlar. Bu yenilenen saldırıları, bu saldırılara karşı alınabilecek önlemleri araştırmak ve uygulamak keyif vericidir. Bunları yaşarken adeta bir Hırsız-Polis kovalamacasında gibi hissedilir.
Genel Rutin
Bir SOC analisti, genel rutininde SIEM ürünlerinden gelen uyarıları inceleyerek False Positive’leri eleyerek gerçek tehditleri ayıklar. Bu tehditlerle ilgili gerçek sonuçlara varmak için EDR, Log Management ve SOAR gibi çeşitli ürünleri kullanır.
Bir SOC Analisti olmak için aşağıdaki niteliklere sahip olmak gerekir:
İşletim Sistemi (Operating System)
Bir sistemde neyin anormal olduğunu belirlemek için, neyin normal olduğunu bilmek gerekir. İşletim sistemlerinde (Windows, Linux, Mac OS) normalde hangi hizmetlerin çalıştığını, hangi durumların araştırmaya değer olacağını bilmek önemlidir.
Ağ (Network)
Tıpkı sistemlerde olduğu gibi, ağda da nelerin anormal olduğunu belirlemek için hangi şeylerin normal olduğunu bilmek gerekir. (Örneğin bir cihaz, ağa bağlandığında 100 defa ARP yayını yapmaz, bu durum bize ARP poisoning saldırısı olabileceğini gösterir)
Kötü Amaçlı Yazılım Analizi (Malware Analysis)
Çeşitli tehditlerle uğraşırken kimi zaman sisteme bulaşan bir virüse rastlanabilir. Bu durumlarda ilgili zararlıyı analiz ederek amaçlarını, dışarıyla bağlantılarını, indirdiği dosya ve çalıştırdığı komutları vs. analiz etmek önemlidir.
SIEM ve Analist İlişkisi
SIEM Nedir?
Güvenlik bilgileri ve olay yönetimi (SIEM), sistemdeki olayların gerçek zamanlı olarak loglanmasını sağlayan bir güvenlik çözümüdür.
SIEM ürünlerinin özellikleri çeşitlilik gösterse de bir analistini en çok ilgilendiren kısımları topladıkları verileri filtreleyip, belli kurallarla örtüşünce alarm üretmeleridir.
Örneğin, SIEM’e birkaç saniyede onlarca defa 4625 (Windows logon failure event id) logu düşerse, bu bir saldırı belirtisi olabilir. Biz de yeni bir SIEM kuralı ekleyerek (örneğin 1 dakikada 10 defa yanlış Windows parola girişini bana bildir) zararlı girişim olabileceği durumlarda SIEM’in bize uyarı vermesini sağlıyoruz.
Bazı popüler SIEM çözümleri: IBM QRadar, ArcSight ESM, FortiSIEM, Splunk vb.
Bir SOC Analisti ile SIEM Arasındaki İlişki
Bir SOC analisti, genel olarak SIEM’den gelen uyarıları inceler ve analiz eder. SIEM üzerinde farklı kurallar ve korelasyonları başka gruplar/insanlar oluşturur.
Uyarılar, SIEM’e gelen logların filtrelenmesi sonrasında yazılan kurallar ile eşleşmesi durumunda oluşturulur. Bu noktadan sonra SOC analisti devreye girerek olayın gerçek bir ihlal mi yoksa bir False Positive mi olduğunu belirlemek için EDR Log Management gibi ürünlerle çalışır.
Örnek:
SIEM ekibi, kural oluştururken, URL içinde “union” sözcüğü geçmesi durumunda SIEM’i alarm vereceği şekilde yapılandırdı. Şirketteki bir stajyer, Google’da “sql union usage” kelimelerini aratarak aslında zararlı olmayan bir ifadenin içinde “union” sözcüğünü kullandı ve URL’de (https://www.google.com/search?q=sql+union+usage) ilgili sözcüğü gören SIEM alarm üretti. Bu durumda bu alarm False Positive olarak nitelendirilir ve gerçek alarmlara ulaşmak için bir SOC analisti tarafından ayıklanır.
Günlük Yönetimi (Log Management-SIEM)
Günlük Yönetimi nedir?
Bir ortamdaki tüm loglara (Firewall, WAF, IPS, IDS, EDR) erişip, bu logların tek noktadan yönetilmesini sağlayarak zamandan tasarruf sağlar.
Kullanım Amacı
SOC analistleri logları, belirli bir adresle (C2 vs.) iletişim kurulup kurulmadığını ayırt etmek için kullanır. Farklı kaynaklardan gelen bağlantı isteklerini tek merkezden yöneterek, alarm analizi yaparken zararlı bir ip’ye ulaşıldığında Log management ve EDR ile araştırılarak, hangi cihazların ilgili zararlı IP ile iletişim kurduğuna karar verilebilir.
EDR-Uç Nokta Tespiti ve Yanıtı (Endpoint Detection and Response)
Bir SOC analisti, uç nokta cihazlarının etkinliklerini izlemek için EDR üzerinde çok zaman harcamalıdır.
EDR nedir?
EDR, gerçek zamanlı izleme ve uç nokta verilerinin toplanmasını birlikte yürüterek kural tabanlı otomatik analiz ve yeteneklerine sahip olan güvenlik çözümüdür.
EDR ve uç nokta güvenliği hakkında daha fazla bilgi almak için bu linkten “Uç nokta Güvenliği Nedir?” isimli yazımı okuyabilirsiniz.
İş yerinde kullanılan bazı popüler EDR çözümleri: CarbonBlack, SentinelOne, FireEye HX.
Letsdefend platformunda yer alan EDR simülasyonu olan Endpoint Security’i inceleyelim.
Sol tarafta IP veya Host makinesi adıyla host veya hash vb. arama bölümü bulunmakta, hemen altında ise uç nokta cihazları yer alıyor.
Herhangi bir host’u seçerek ilgili host’un EDR üzerinde incelenen verilerine erişebiliriz.
Host’u seçtikten sonra yan tarafta açılan pencerede Host bilgisi ve karantina durumu görüntüleniyor.
Karantina (Containtment): Herhangi bir bilgisayarda ihlal girişimi (IoC), virüs vb. durumlar tespit edilince ağdan izole edilmesi durumu.
Remote Access yanında yer alan Connect butonu ile (Eğer letsdefend hesabında Incident Response üyeliği varsa) sisteme uzaktan erişim sağlanabilir.
Pencerede biraz aşağıya inildiğinde birkaç sekmeden oluşan işlemler bölümü bulunuyor.
Burada sırasıyla:
· Processes: İlgili endpointte çalışan işlemleri görüntüleme
· Network Action: İlgili endpointte bulunan ağ bağlantılarını görüntüleme
· Terminal History: İlgili endpointin terminalde çalıştırdığı komutları görüntüleme
· Browser History: İlgili endpointin tarayıcı geçmişini görüntüleme
Gibi özellikler bulunmaktadır.
Soru 1)
“83e0cfc95de1153d405e839e53d408f5” hash değerine sahip olan nmap dosyasının çalıştırıldığı bilgisayarın hostname’ini soruyor.
Cevap: EricProd
İlgili hash değerini EDR üzerinde arattığımızda karşımıza EricProd hostname’i geliyor. Terminal history kısmından çalıştırılan komutlara bakınca dosyanın çalıştırıldığını doğruluyoruz.
Soru 2)
Roberto endpointinde “Ps1.hta” dosyasının çalıştırıldığını söylüyor, bu dosyayı çalıştıran tam komutu istiyor.
Cevap: C:/Windows/System32/mshta.exe C:/Users/roberto/Desktop/Ps1.hta
Endpoint security üzerinde Roberto hostunu arıyoruz.
İlgili host’un EDR detaylarına giriyoruz. Terminal History kısmından ilgili komuta ulaşıyoruz.
SOAR (Security Orchestration Automation and Response)
Güvenlik Düzenleme Otomasyonu ve Yanıtı anlamına gelen SOAR, ortamdaki güvenlik ürünlerinin birlikte ve koordineli bir şekilde çalışmasını sağlar.
Örneğin SIEM ile iletilen ve zararlı olduğu düşünülen bir IP adresini Virustotal üzerinde otomatik olarak tarayarak SOC analistlerinin işlerini kolaylaştırır.
Sektörde sıklıkla kullanılan bazı SOAR ürünleri:
· Splunk Phantom
· IBM Resilient
· Logsign
· Demisto
Şekil 2 Bir SOAR ürününün özellikleri — hawk-eye.io
SOAR Faydaları
Zaman Kazandırma:
SOAR, Süreçleri otomatize ederek zamandan tasarruf sağlar.
· IP adresi itibar kontrolü
· Hash sorgulama
· Elde edilen bir dosyayı korumalı alan (sandbox) ortamında tarama
Merkezileştirme:
Çeşitli güvenlik ürünlerinin (Sandbox, Log Management vs.) merkezi bir yerden çalıştırılmasını sağlar.
Başucu Kitabı (Playbook): SIEM uyarıları, SOAR üzerinde organize edilmiş playbook’lar aracılığıyla daha kolay analiz edilebilir. Alarm analizleri için bir yol gösterici niteliği taşıyan playbook’lar, SOC analistlerinin tüm alarmları belli kalıplara göre incelemesini ve dolayısıyla koordinasyonu arttırır.
Letsdefend platformundaki Playbook’lar, SOAR üzerinde kullanılan playbooklara benzer.
Tehdit İstihbaratı Akışı (Threat Intelligence Feed)
SOC ekipleri, yeni gelişen tehditleri olabildiğince hızlı anlamalı ve önleyebilmelidir. Malware hash’leri, zararlı IP adresleri, zararlı URL’ler gibi veriler, Siber tehdit İstihbaratı (CTI) kapsamında 3. Parti şirketler tarafından hizmet olarak alınır.
Aşağıdaki fotoğrafta Letsdefend’in CTI simülasyonu görüntülenmektedir.
SIEM uyarısından gelen bir IP adresi veya zararlı yazılımın hash değerini CTI kaynaklarını kullanarak sorgulayabiliriz.
Ücretsiz Siber Güvenlik İstihbaratı (CTI) kaynakları:
· https://talosintelligence.com/
Dikkat edilmesi gereken birkaç noktaya göz atalım.:
· Virustotal üzerinde bir hash dosyasını veya zararlı yazılımı taratırken, güvenli görünmesine aldanmamalı ve tekrardan gerekli analizleri yapmalıyız.
· Amazon sunucularını C2 sunucusu olarak kullanan bir saldırganın IP adresi zararlı aktiviteleri sebebiyle virustotal üzerinde zararlı olarak işaretlenebilir. Ancak saldırgan bu sunucuyu kapattıktan sonra aynı ip üzerinde açılan bir blog sayfası zararlı olmayabilir.
Soru 3)
“e1def6e8ab4b5bcb650037df234e2973” hash’inin kaynağını soruyor. (CTI)
Cevap: AbuseCH
İlgili hash’i Threat Intel sayfasında aratarak sonuca ulaşıyoruz.
SOC Analistleri İçin Yaygın Hatalar
(Common Mistakes for SOC Analysts)
Herhangi bir insan gibi SOC analistleri de hata yapabilir. Aşağıdaki hatalar, SOC analistleri özelinde en sık karşılaşılan hatalardır:
· VirusTotal Sonuçlarına Aşırı Bağlı Olmak
· Sandbox’taki Kötü Amaçlı Yazılımların Hızlı Analizi
· Yetersiz Log Analizi
· VirusTotal Tarihlerini Görmezden Gelmek
VirusTotal Sonuçlarına Aşırı Bağlı
Daha önce de değindiğimiz gibi Virustotal’de masum gibi görünen bir IP veya hash değeri, aslında zararlı olabilir. Bu yüzden gerekli analizleri tekrardan yapmak gerekir.
Sandbox’taki Kötü Amaçlı Yazılımların Acele Analizi
Sandbox ortamında malware analizi yapılırken 3–4 dakika içinde yapılan analizler her zaman doğru sonucu vermeyebilir. Bunun sebebi zararlının, belli bir süre geçtikten sonra kötü faaliyetlerine başlamak üzere programlanması veya Sandbox ortamını algılayıp bu faaliyetlere hiç başlamaması olabilir.
Yetersiz Günlük Analizi
Log analizi, sistemlerde olup bitenlerden emin olmak, zararlı girişimlerin olup olmadığına karar vermek gibi durumlar için büyük önem taşır. Bu yüzden her alarm ve vaka için gerekli loglar detaylıca incelenmelidir.
VirusTotal Tarihlerini Görmezden Gelmek
Virustotal’de tarama yapıldıktan sonra sağ üstte bu dosyanın, hash’in vs. en son ne zaman tarandığı yazar. Örneğin bir malware analizi yapacaksak ve yüklediğimiz malware’nin analiz raporu 3 ay önceyi gösteriyorsa ilgili dosyayı kendi statik ve dinamik yöntemlerimizle analiz etmeliyiz. Aradan geçen 3 ay, çok şeyi değiştirebilir…
Bir yazımızın daha sonuna geldik. Umarım faydalı olmuştur. Bir sonraki yazıda görüşmek üzere, güvende kalın… :)
