SOC Nedir?

                  SOC, temel olarak siber güvenlik olaylarını tespit etmek, analiz etmek, karşılık vermek, raporlamak ve önlemek için düzenlenen güvenlik analistlerinden oluşan bir ekiptir.

SOC İnsan Sürecine Bakış

                  SOC için yüksek önem arz eden insan gücünü uzman ekipler halinde düzenleyerek organize etmemiz gerekiyor. Aşağıdaki görselde Microsoft SOC ekibinin takımlar halinde oluşturulan yapısını inceleyebilirsiniz.

1.Microsoft SOC Takımları Referans Modeli
1.Microsoft SOC Takımları Referans Modeli

Biz yazının ana konusu olan Tier 1 ve Tier 2 seviyelerine odaklanacağız.

SOC Analist Katmanlarının Rolleri ve Fonksiyonları

Seviye 1 Güvenlik Analisti (Tier 1):

               Oluşan alarmları inceleyerek false positive ayıklayıp çağrıları yanıtlayan ve olayların kritikliğine, hassaslığına göre öncelik belirleyen analisttir. Olayların (eğer gerekliyse) yükseltilmeden önce; Ne zaman? Kim? Nasıl? Ne? Neden? Sorularına cevap arayarak ilk incelemeyi gerçekleştirir.

Ne zaman?

  • Saldırı ne zaman başladı?
  • Geniş bir saldırının veya organizasyonun bir parçası mı yoksa yalnız bir eylem mi?
  • Saldırı devam edebilir mi? Containment and Eradication aşamaları için yükseltmek mi daha uygun ya da saldırganın niyet ve yeteneklerine odaklanmak mı?

Kim?

  • Saldırının ilişkilendirilmesi zordur çünkü saldırgan ele geçirilmiş cihazlardan veya anonimleştirilmiş ağlardan saldırı gerçekleştiriyor olabilir.
  • Saldırı içeriden mi gerçekleştiriliyor, dışarıdan mı? (İçeriden gerçekleştirilen saldırılar için öncelik artırmak gerekebilir)
  • Tehdit İstihbaratı, belli grupların kullandığı Taktik, Teknik ve Prosedürlere (TTPs) göre profilleme yapmak için kullanılabilir.

Nasıl?

  • Hangi kullanıcılar dahil oldu?
  • Hangi sistemlerin güvenliği ihlal edildi?
  • Hangi verilere erişildi?
  • Yine bu aşamada elde edilecek veriler Tehdit İstihbaratı ile karşılaştırılaracak “Kim?” sorusuna cevap olabilirler.

Ne?

  • Hangi varlığın güvenliği ihlal edildi?
  • Hangi verilere erişildi?

Neden?

  • Saldırganın amacı ne?
  • Eğer saldırı belli bir gruba atfedilebilmişse, grubun diğer saldırılarının amacına ve sonucuna bakarak kurumunuza saldırı motivasyonlarını anlayabilirsiniz.
  • Saldırganın erişmeye çalıştığı varlıklara bakılarak da tahminler gerçekleştirilebilir.
  • Potansiyel risklere göre contain/eradicate aşaması için yükseltme yapılabilir.

Seviye 2 Güvenlik Analisti (Tier 2):

Seviye 1 Analistlerin oluşturduğu ticket’ları inceler. Etkilenen sistemleri ve saldırının kapsamını belirlemek için ortaya çıkan tehdit istihbaratından (IOC’ler, güncellenmiş kurallar vb.) yararlanır. Daha ayrıntılı inceleme için bu sistemlerde varlık verilerini (yapılandırmalar, çalışan işlemler vb.) inceler ve toplar. Remediation (iyileştirme) ve recovery (kurtarma) çalışmalarını belirler ve yönlendirir. Olay Müdahale Takımına yükseltilen olaylar için ekibin dönütlerine göre daha ayrıntılı araştırmalar yapıp Log Yönetim Platformu ve SIEM’i kullanarak etkilenen sistemler ve kullanıcılar konusunda olay içeriğinin zenginleştirilmesini sağlar.

Olay Yükseltme Süreci

Olayın atandığı Tier 1, sorunu değerlendirir ve sorunu çözme yeteneğine sahip olup olmadığını belirler. Olay kaydını çözme yeteneğine sahipse, şunları yapar:

  • Olayı belirli terimlerle tanımlar.
  • Sorunları gidermek ve çözmek için gerekli ek bilgileri toplar.
  • Olası nedenleri veya seçenekleri dikkate alır ve bir eylem planı oluşturur.
  • Eylem planını uygular ve sonuçları gözlemler.
  • Sorun çözülene veya Tier 2 yardımına ihtiyaç duyana kadar adımları tekrarlar.

Tier 1; olay kaydını çözme yeteneğine sahip değilse, başka bir Tier 1 veya Tier 2 yardımının gerekli olup olmadığını belirler. Saha güvenliği desteği gerekiyorsa, yükseltme işlemini gerçekleştirir ve ardından yerinde bir güvenlik analisti göndermek için yükseltme prosedürlerini uygular. Tier 2 yardımı gerekiyorsa, olay kaydı sorumlu Tier 2 grubuna atanır ve ardından uygun Tier 2 bilgilendirilmek için yükseltme prosedürleri uygulanır.

2. McAfee’nin Olay Yükseltmeye Dair Bir Akış Şeması

Kaynaklar:

  1. https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
  2. https://www.jimmyblake.com/odd-socs-blog/2020/4/1/soc-mistake-7-on-use-cases-you-model-your-defences-not-your-attackers
  3. https://cybersecurity.att.com/solutions/security-operations-center/building-a-soc/soc-team
  4. 1.Microsoft SOC Takımları Referans Modeli
  5. 2. McAfee Olay Yükseltmeye Dair Bir Akış Şeması
  • Eksik ve düzeltilmesi gereken kısımlar olduğunu düşünüyorsanız [email protected] adresinden iletişime geçebilirsiniz.
  • Siber güvenliğe dair diğer yazılarımızı buradan okuyabilirsiniz.