Open in app

Sign in

Write

Sign in

SOC analistleri için bazı minik trick’ler

Salim Doğan CESUR
2 min readApr 29, 2022

Reddit’te Siber Güvenlik Analistlerinin genel olarak karşılaştığı olay tiplerini, aksiyonlarını, rutinlerini soran bir gönderi paylaşmıştım. Aslında sorduğum şey son derece unique fakat verilen yanıtlarda ilginç ve bilgi verici olabileceğini düşünerek yazmayı uygun gördüğüm şeyler oluştu. Kısa kısa da olsa bunların birlikte üzerinden özet geçelim istedim.

Bankacılık sektöründe analistler için öncelikli amaç Ransomware(fidye yazılımı) bulaşmaması yönünde. Perakende sektörü için öncelikli savunma hattı DDOS saldırıları tipinden korunmaya dayalı.

Bazı analistlerin yorumuna göre ise sürekli oturum açma girişimlerini baz alarak yapılan monitoring(izleme) zaman kaybı. Ayrıca bu eski tip bir SOC yapısı olarak tanımlanmakta. Public Server’lara erişimleri otomasyon yazılımları kullanarak engellediklerini ve bunun önemli olduğundan bahsediliyor. İçeride oluşabilecek bir lokal kullanıcı tehditlerinde çözüm için genellikle DLP’ye odaklanıyorlar.

Analistlerin bir diğer yorumuna göre iç ağda brute force ile pek karşılaşmadıkları yönünde. İç ağ yapısıda en çok odaklanılan şey kendi yapılarını etkileyen Zero Day ve şüpheli phishing(oltalama) baz alınan saldırıları türlerinde sonra oluşabilecek durumlar. Eğer analiz esnasında baz alınan alarmlar phishing’e(oltalama) göre ise Impossible Traveler tercih edilen Playbook arasında.

Bir diğer feedback’e göre belirtilen şey ise:

  • Kuruma dokunan External(kurum dışı) IP adresleri,
  • Başarısız oturum açma denemeleri,
  • Bir çok başarısız oturum açma sonrası başarılı oturum açılması,
  • GeoIP’deki anamolik durumlar,
  • Başarısız DNS çözümlemeleri,
  • Standart dışı(uygun olamayan) TLD ziyaretleri,
  • Kritik servis ve portlarda(21, 23, 3389 vb.) görülen anamoliler rutin olarak dikkat edilen şeylerin başında.

Bir başka analistin yorumunu baz alırsak:

  • Saldırganlar faaliyetlerini başarılı bir şekilde gerçekleştirirken %70 oranında EDR ve türevi uygulamalarının detect edememesinden,
  • %20 oranında Public Server/App uygulamalardan,
  • %10'da ise Supply Chain olarak adlandırdığımız güvenli uygulamalardan kaynaklı zafiyetleri bypass ederek faaliyetlerini gerçekleştirdiğinden bahsedebiliriz.

Tekrar etmemde fayda var. Güvenlik analistlerinin aksiyon alma, izleme ve sonuçlandırma çalışmaları tamamen sahip olduğu asset, araç ve yapıya bağlı. Burada belirtilen trick’ler sadece bazı konularda fikir sağlama amacı ile yazılmıştır.

Son olarak bu yazı için paylaşacağım parçayı buradan dinleyebilirsiniz. İyi(dinlemeler, çalışmalar, günler.)

Bilgi Güvenliği
Security Operation Center
Cybersecurity

--

--

Salim Doğan CESUR

Written by Salim Doğan CESUR

40 Followers

Someone related to their computers. Sometimes it is very irrelevant.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams