Publicité
Open Source SOC Kurulumu
Signaler
BGA Cyber SecuritySuivre
BGA Cyber Security5 Jul 2021•0 j'aime•1,133 vues
5 j'aime
Soyez le premier à aimer ceci
afficher plus
vues
Nombre de vues
0
Sur Slideshare
0
À partir des intégrations
0
Nombre d'intégrations
0
Check these out next
Open Source SOC Kurulumu
5 Jul 2021•0 j'aime•1,133 vues
5 j'aime
Soyez le premier à aimer ceci
afficher plus
vues
Nombre de vues
0
Sur Slideshare
0
À partir des intégrations
0
Nombre d'intégrations
0
Télécharger pour lire hors ligne
Signaler
Technologie
Open Source SOC Kurulumu Webinarımızda Kullanılan Sunum
BGA Cyber SecuritySuivre
BGA Cyber SecurityPublicité
Publicité
Publicité
Recommandé
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
Open Source SOC Kurulumu
- Open Source Çözümlerle SOC Kurulumu Huzeyfe ÖNAL <huzeyfe.onal@bgasecurity.com>
- Amaç SOC nedir, neden ihtiyaç duyulur ve ideal bir soc için gerekli olan bileşenlerin alternatif çözüm olarak açık kaynak veya ücretsiz araçlarla karşılanması konusunda bilgi paylaşımı...
- Webinar İçeriği ● SOC Nedir, Ne İşe Yarar? ● Neden SOC? ● Neden Open Source SOC? ● SOC/MDR Kavram Karmaşası ● İdeal bir SOC/MDR Yapısı Hangi Bileşenlerden Oluşur? ● Açık Kaynak Çözümlerin SOC için Aktif Kullanımı ● Soru & Cevap
- SOC Nedir? ● Güvenlik Operasyonları Merkezi (SOC), bir kuruluşun güvenlik durumunun sürekli olarak izlenmesinin ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerdir. ● SOC ekibinin amacı, teknolojik çözümleri kullanarak ve iyi bir süreç yönetimi yaparak siber güvenlik olaylarını tespit etmek, analiz etmek ve bunlara karşı aksiyon almaktır. ● Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşmaktadır.
- SOC Ne Değildir? SOC != SIEM
- Kavram Karmaşası ● The Security Operations Center (SOC) ● Cyber Defense Center (CDC) ● Cyber Intelligence Center (CIC) ● Cyber Fusion Center ● Cybersecurity Center ● Managed Security Services (MSS/P) ● Managed Detection & Response (MDR) https://blog.focal-point.com/what-you-name-your-soc-matters
- SOC Neden Gereklidir?
- Neden SOC/MDR? - Deepweb Bakışıyla... ● Son bir senede hacklendiği iddia edilen orta ve büyük ölçekli firma sayısı 10.000 ~ ● Hacklenmeyi bekleyen?
- Neden SOC? Saldırgan Bakış Açısıyla...
- Neden SOC/MDR? By 2025, 50% of organizations will be using MDR services for threat monitoring, detection and response functions that offer threat containment capabilities
- Ticari Açıdan Neden SOC? Kendi bünyenizde SOC kurmanın yaklaşık maliyetleri (TR için /4)
- İnsan Kaynağı Açısından Neden SOC?
- II - Neden OpenSource SOC ?
- OpenSource SOC Hangi Durumda Çalışır? ● Herkese göre değildir!
- Gerçek Ortamlarda Kullanan Var mıdır? https://indico.cern.ch/event/708060/contributions/2906729/attachments/1620409/2577814/2018-03-20-ISMA_SOC.pdf CERN
- Temel SOC Bileşenleri Kaynak: https://zigron.com/category/security/
- 2 - İdeal SOC Bileşenleri Nelerdir?
- I- EDR / Endpoint Detection & Response ● EDR ne işe yarar? ○ AV farkı nedir? ○ Ransomware grupları neden öneriyorlar? ● SOC Açısından Önem Seviyesi ○ Edr öncelik seviyesi 10/10
- Kullanabileceğiniz Free/Open Source EDR Çözümleri ● OpenEDR ● OSQuery ● Sysmon ● Wazuh(!)
- Örnek Kural Yazımı https://www.slideshare.net/bgasecurity/windows-sistemler-iin-sysmon-ve-wazuh-kullanarak-mitre-attck- kurallarnn-yazlmas
- II-IDS / NDR ● Eski köye yeni adet: NDR ● SOC Açısından Önem Seviyesi ○ 10/10 ● Ne için kullanılır ● Nasıl konumlandırılmalıdır?
- Suricata / Zeek ● Uzun yıllardır hem ticari hem de açık kaynak kod dünyasında kullanılan IDS/NDS tarzı ürünlerin temel ilham ve kod kaynağı ● Performans problemi olmadan -doğru donanımlarla- gönül rahatlığıyla kullanılabilir ● Şifreli olmayan ağ trafiği için istenilen türde kural yazma imkanı
- III-SIEM ● ~20 senelik bir teknoloji ● En temel SOC bileşeni, ekmek gibi, su gibi… ● Kurtarıcı gözüyle bakılmış fakat yıllardır doğru düzgün verim alınmadan çalıştırılmıştır ● Son zamanlarda büyük güvenlik üreticileri SIEM yerine XDR tanımını kullanmaya başlamışlardır
- ELK/Wazuh/Graylog vs
- IV - Hazır Saldırı Kuralları Seti ● Her üreticinin ayrı telden çaldığı, kendi standartlarını oluşturmaya çalışarak ortalığı çıkmaza soktuğu anda ortaya çıkan nadide çiçek :) ● ORtak bir dilde, bir platformdan başka platforma dönüştürülebilen kural dili ● Hemen her konuda ücretsiz SIEM kuralları ... https://github.com/SigmaHQ/sigma
- V - SOAR ve Incident Response ● İnsan kaynağı yetersizliği ve harcanan yüksek miktar paraya çözüm olmak amacıyla geliştirilmiş fakat daha yüksek miktarda para ve daha yüksek kalitede insan kaynağı ihtiyacı duyan modern teknoloji:) ● Önümüzdeki yıllarda olgunlaşan ve ticari açıdan kabul edilebilir seviyelere gelecek çözümlerle vazgeçilmez bileşenlerden biri olacağı düşünülüyor
- The Hive & Cortex
- Cortex
- The Hive - SECURITY INCIDENT RESPONSE PLATFORM
- VI - Tehdit İstihbaratı ve Paylaşımı
- MISP
- OpenCTI
- OTX - Tehdit İstihbaratı Paylaşımı
- VII - Sandbox Çözümleri ● Şüpheli dosyalar için inceleme ortamı (kum havuzu) ● Neden ihtiyaç var? ● Aktif kullanılan çözümler ○ Cuckoo ○ DocGuard
- Şüpheli/Zararlı Ofis Dosyası Analizi - DocGuard
- VIII - Tuzak Sistemler (Honeypot) & Deception
- DejaVU - Open Source Deception Framework https://github.com/bhdresh/Dejavu/blob/master/README.md
- T-Pot Honeypot
- IX - SOC Verimliliği Ölçme Araçları
- SOC Bileşenleri - Process ● SOC konusunda en önemli bileşenlerden fakat genellikle gözardı edilir. ● Amaç, işlerin kişi bağımsız bir süreç üzerinden gittiğinden emin olmak. ● Kriz zamanlarında ne yapılacağını belirlemek ● Hangi durumda analistler ne kullanmalı, neyi nasıl raporlamalı yapılacakları kağıda dökmek
- SOC Verimliliği/İşlevselliğini Ölçme ● SOC’un işlevselliğini nasıl ölçersiniz? ○ Kağıt üstünde ○ Gerçek hayatta
- SOC için CMM (Capability Maturity Model) Ölçümü ● 5 domain 25 maddede people, process, technology açısından SOC altyapınızın verimliliğini ölçme https://www.soc-cmm.com/downloads/latest/
- Playbook https://github.com/certsocietegenerale/IRM/tree/master/EN
- SOC & Mitre ATT&CK Framework Kullanımı Mitre ATT&CK nedir, ne işe yarar?
- SOC Bileşenleri - İnsan
- Blueteamsacademy.com Online Eğitim Kaynağı
- SANS Summit Video ve Sunum Dosyaları ● Sektörle ilgili güncel bilgileri doğru ve kısa yoldan öğrenmenin kolay yolu ● Youtube üzerinden ücretsiz izleme https://www.sans.org/presentations/?&focus-area=blue-team-operations
- Boss of the SOC v3 SOC analistlerinin yetişebilmesi için gereki gerçek hayat tecrübesini kazabilecekleri değerli çalışmalardan biri. V2, v1 sürümleri de aynı adresten indirilebilir. https://www.splunk.com/en_us/blog/security/botsv3-dataset-released.html
- Ücretsiz SOC Eğitimleri Eğitim platformları ve Mitre ATT&CK Eğitimleri https://attack.mitre.org/resources/training/cti/ https://academy.picussecurity.com/ https://academy.attackiq.com/courses/foundations-of-operationalizing-mitre-attck
- ENISA Eğitimleri https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc
- OpenSOC Online CTF, uygulama yapma platformu. Ekip olarak katılım sağlanabiliyor.
- Mordor Projesi Alıştırma yapmak, gerçek saldırıları incelemek amaçlı veri setleri https://github.com/OTRF/mordor
- Mini SOC LAb Kurulumu için SecurityOnion
- SOC Analist İş Görüşmesi Soruları https://www.siemxpert.com/blog/soc-analyst-interview- question/ https://www.youtube.com/watch?v=EEfRR5XT1rg
- @dailySOC LinkedIN Sayfamız Günlük hap niteliğinde SOC, MDR, SIEM, SOAR, Threat Intel konulu paylaşımlar.
- Geri Bildirimleriniz İçin... huzeyfe.onal@bgasecurity.com
Publicité