2. Amaç
SOC nedir, neden ihtiyaç duyulur ve ideal bir
soc için gerekli olan bileşenlerin alternatif
çözüm olarak açık kaynak veya ücretsiz
araçlarla karşılanması konusunda bilgi
paylaşımı...
3. Webinar İçeriği
● SOC Nedir, Ne İşe Yarar?
● Neden SOC?
● Neden Open Source SOC?
● SOC/MDR Kavram Karmaşası
● İdeal bir SOC/MDR Yapısı Hangi Bileşenlerden Oluşur?
● Açık Kaynak Çözümlerin SOC için Aktif Kullanımı
● Soru & Cevap
4. SOC Nedir?
● Güvenlik Operasyonları Merkezi (SOC), bir
kuruluşun güvenlik durumunun sürekli olarak
izlenmesinin ve güvenlik olaylarının
analizinden sorumlu bir bilgi güvenliği ekibinin
bulunduğu yerdir.
● SOC ekibinin amacı, teknolojik çözümleri
kullanarak ve iyi bir süreç yönetimi yaparak
siber güvenlik olaylarını tespit etmek, analiz
etmek ve bunlara karşı aksiyon almaktır.
● Güvenlik operasyonları merkezleri genellikle
güvenlik analistleri, güvenlik mühendisleri ve
güvenlik işlemlerini denetleyen yöneticilerden
oluşmaktadır.
10. Neden SOC/MDR?
By 2025, 50% of
organizations will be using
MDR services for threat
monitoring, detection and
response functions that offer
threat containment
capabilities
11. Ticari Açıdan Neden SOC?
Kendi bünyenizde SOC kurmanın yaklaşık maliyetleri (TR için /4)
15. Gerçek Ortamlarda Kullanan Var mıdır?
https://indico.cern.ch/event/708060/contributions/2906729/attachments/1620409/2577814/2018-03-20-ISMA_SOC.pdf CERN
20. I- EDR / Endpoint Detection & Response
● EDR ne işe yarar?
○ AV farkı nedir?
○ Ransomware grupları neden
öneriyorlar?
● SOC Açısından Önem Seviyesi
○ Edr öncelik seviyesi 10/10
23. II-IDS / NDR
● Eski köye yeni adet: NDR
● SOC Açısından Önem Seviyesi
○ 10/10
● Ne için kullanılır
● Nasıl konumlandırılmalıdır?
24. Suricata / Zeek
● Uzun yıllardır hem ticari hem de açık kaynak kod
dünyasında kullanılan IDS/NDS tarzı ürünlerin
temel ilham ve kod kaynağı
● Performans problemi olmadan -doğru donanımlarla-
gönül rahatlığıyla kullanılabilir
● Şifreli olmayan ağ trafiği için istenilen türde kural
yazma imkanı
25. III-SIEM
● ~20 senelik bir teknoloji
● En temel SOC bileşeni, ekmek gibi, su gibi…
● Kurtarıcı gözüyle bakılmış fakat yıllardır doğru
düzgün verim alınmadan çalıştırılmıştır
● Son zamanlarda büyük güvenlik üreticileri SIEM
yerine XDR tanımını kullanmaya başlamışlardır
27. IV - Hazır Saldırı Kuralları Seti
● Her üreticinin ayrı telden çaldığı, kendi
standartlarını oluşturmaya çalışarak ortalığı
çıkmaza soktuğu anda ortaya çıkan nadide
çiçek :)
● ORtak bir dilde, bir platformdan başka platforma
dönüştürülebilen kural dili
● Hemen her konuda ücretsiz SIEM kuralları ...
https://github.com/SigmaHQ/sigma
28. V - SOAR ve Incident Response
● İnsan kaynağı yetersizliği ve
harcanan yüksek miktar paraya
çözüm olmak amacıyla geliştirilmiş
fakat daha yüksek miktarda para
ve daha yüksek kalitede insan
kaynağı ihtiyacı duyan modern
teknoloji:)
● Önümüzdeki yıllarda olgunlaşan
ve ticari açıdan kabul edilebilir
seviyelere gelecek çözümlerle
vazgeçilmez bileşenlerden biri
olacağı düşünülüyor
42. SOC Bileşenleri - Process
● SOC konusunda en önemli bileşenlerden fakat genellikle gözardı
edilir.
● Amaç, işlerin kişi bağımsız bir süreç üzerinden gittiğinden emin
olmak.
● Kriz zamanlarında ne yapılacağını belirlemek
● Hangi durumda analistler ne kullanmalı, neyi nasıl raporlamalı
yapılacakları kağıda dökmek
50. SANS Summit Video ve Sunum Dosyaları
● Sektörle ilgili güncel bilgileri doğru ve kısa yoldan
öğrenmenin kolay yolu
● Youtube üzerinden ücretsiz izleme
https://www.sans.org/presentations/?&focus-area=blue-team-operations
51. Boss of the SOC v3
SOC analistlerinin yetişebilmesi için gereki
gerçek hayat tecrübesini kazabilecekleri
değerli çalışmalardan biri.
V2, v1 sürümleri de aynı adresten
indirilebilir.
https://www.splunk.com/en_us/blog/security/botsv3-dataset-released.html
52. Ücretsiz SOC Eğitimleri
Eğitim platformları ve Mitre ATT&CK Eğitimleri
https://attack.mitre.org/resources/training/cti/
https://academy.picussecurity.com/
https://academy.attackiq.com/courses/foundations-of-operationalizing-mitre-attck