İlginizi Çekebilir
  1. Ana Sayfa
  2. Güvenlik Ürünleri
  3. SOAR Çözümleri Bölüm-1
k_zd_m_

SOAR Çözümleri Bölüm-1

a796_myth_buster_bannerone_soar_playbook_fits_all_organizations_2x-100-475x249-min

Merhabalar bu yazı dizisinde sizlerle çözümlerini birlikte inceleyeceğiz. Ancak çözümler üzerine konuşmadan önce SOAR nedir, faydaları nelerdir, neler yapılabilir soruları ve konular üzerine genel bir bakış açısıyla başlamak isterim. SOAR günümüz siber güvenlik teknolojileri hakkında en çok konuşulan konularda biri haline gelmiştir. Doğru SOAR çözümü, iyi bir uygulama ile birleştiğinde, güvenlik ekiplerinin, modern siber güvenliğin önemli bir bileşeni olan olay müdahalesini iyileştirmesine ve hızlandırmasına yardımcı olacaktır.

SOAR (Security Orchestration Automation and Responce) NEDİR?

SOAR, “Güvenlik Orkestrasyon, Otomasyon ve Olaylara Müdahale” açılımının kısaltmasıdır. Bu cümle, kurumdaki birçok kaynaktan alınan güvenlik olaylarına ait verilerin toplanılmasına ve analiz edilmesine olanak tanır. SOAR çözümü bu verileri kullanarak, güvenlik araştırmalarını, tehdit avını ve iyileştirmeyi etkili bir şekilde otomatikleştirerek güvenlik operasyonlarını daha verimli hale getiren teknolojidir.

Resim -1

SOAR Şekil 1‘de gösterildiği gibi aşağıdaki işlev türlerini sağlayan teknolojilerin bir birleşimini içerir.

Security Orchestration and Automation (SOA): birden çok araç, sistem ve uygulama genelinde iş akışlarını düzenleyerek orkestrasyonunu ve otomasyonunu yöneten ve raporlamayı mümkün kılar.

Security Incident Response (SIR): Olay müdahale dâhil olmak üzere olay ve vaka yönetimi için yetenekler sağlar.

Threat Intelligence Platforms (TIP): Bir veya daha fazla tehdit verilerini ve istihbaratını alıp, analiz ederek saldırganların, teknik ve prosedürleri hakkında yaklaşım sunar.

SOAR’ ı içeren üç farklı alt başlık vardır:

1-Orkestrasyon Nedir?

Çeşitli kaynaklardan bilgi toplamak ve bunları yararlı bir şekilde birleştirmekle ilgilidir. Örneğin, şüpheli bir dosya bulduğunuzu varsayalım. Oluşturduğu risk hakkında bir fikir edinmek için, dosyanın kaynağını ve bilinen herhangi bir kötü amaçlı yazılım içerip içermediğini bilmek isteriz. Bu yanıtları manuel olarak almak zaman alır dosyanın nereden geldiğini bulmak için bazı günlükleri incelememiz ve virüs bulaşıp bulaşmadığını anlamak için VirusTotal gibi bir hizmete yüklememiz gerekecektir.

Ancak bir SOAR çözümü kullanıyorsak, ondan bu görevleri gerçekleştirmesini isteyebiliriz. Yazılım, perde arkasında gerekli işleri yapar ve bunları aldıktan sonra cevapları sunar. SOAR, değerli güvenlik bilgilerine hızlı erişim sağlayarak, araştırmaları daha verimli hale getirir ve bizlere mümkün olan en iyi kararları vermemiz için gereken bilgileri verir.

2-Otomasyon Nedir?

Güvenlik yazılımlarının insan müdahalesi olmadan harekete geçmesini sağlayan özelliklerini ifade eder. Otomasyon, analistlerinin yerini tutmaz; bunun yerine, analistlerin basit, tekrarlayan görevler için harcadıkları zamanı azaltır. Bu, dikkatlerine ve uzmanlıklarına gerçekten ihtiyaç duyulan daha karmaşık konulara odaklanmak için daha fazla zaman harcamalarını sağlar.

Otomasyonu en yaygın olaylardan bazılarını meydana gelir gelmez işlemek için kurallar oluşturabiliriz. Örneğin SOAR çözümünü, ağ trafiğini düzenli olarak güncellenen kötü amaçlı domain listesine göre kontrol edecek şekilde yapılandırabiliriz. Ortamdaki bir makine sürekli olarak bu domainlerden biriyle iletişim kurmaya çalışırsa, SOAR, araştırmak için bir analist bulunana kadar onu otomatik olarak karantinaya alabilir.

3-Tepki Nedir?

SOC analistleri çoğu işlemi manuel olarak gerçekleştirmek zorunda kalıyor. SOAR çözümlerinin müdahale yetenekleri, bir güvenlik olayını doğrularken tüm güvenlik etkinlikleri, işlemleri ve süreçleridir. Ve bu hem otomatik hem de manuel süreçleri kapsar. SOAR tekrar eden görevleri otomatikleştirir, kritik olaylara öncelik verir ve yanıt sürelerini önemli ölçüde azaltmak için güvenlik süreçlerini düzenler.

SOAR’ ı şu şekilde tanımlar:

“Kuruluşların, standart bir iş akışına göre standartlaştırılmış olay müdahale faaliyetlerini tanımlamaya, önceliklendirmeye ve yönlendirmeye yardımcı olmak için insan ve makine gücünün bir kombinasyonu kullanılarak olay analizi ve triyajın gerçekleştirilebildiği farklı kaynaklardan güvenlik tehditleri verilerini ve uyarıları toplamasına olanak tanıyan teknolojiler.

Resim-2

SOAR İLE NELER YAPABİLİRİZ?

  • GÜVENLİK AÇIKLARINI YÖNETME: Saldırganların hangi açıklardan yararlandığını anlamak için günlük verilerimizi tehdit istihbaratıyla ilişkilendirerek altyapımızdaki güvenli açıklıklarını belirleyebiliriz.
  • OLAYLARA YANIT VERME: Oluşturduğumuz kurallar ile birlikte SOAR platformlarının belirli bir tür olay meydana geldiğinde otomatik olarak harekete geçmesini sağlayabiliriz. Örneğin IP adreslerinin engellenmesini, kullanıcı hesaplarının askıya alınmasını ve virüslü makinelerin karantinaya alınmasını içeren olay yanıt prosedürlerini otomatikleştirmemize yardımcı olur.
  • İŞBİRLİĞİNİ KOLAYLAŞTIRMA: Olay araştırması ve diğer güvenlik süreçlerinde, ekiplerimiz işbirliği yapamadığında iş süreçlerimiz uzayabilir ya da durma noktasına gelebilir. SOAR ile birlikte otomatikleşen süreçleri yönetmek ve ilgili ekipleri görevlendirmek daha kolay olabilir.
  • RAPORLAMA: Çeşitli kaynaklardan gelen istihbaratı bir araya getirerek ve bu bilgileri görsel, özel olarak oluşturduğumuz gösterge panelleri aracılığıyla görsellik ve raporlamada fayda sağlayabiliriz.

SOAR-

Resim-3

SOAR-SIEM uyumu ve farklılıkları üzerine konuşmadan önce kısaca SIEM’ den bahsetmek gerekir.

SIEM NEDİR? : Güvenlik Bilgileri ve Olay Yönetimi anlamına gelir. Birden çok kaynaktan günlük verileri toplayan, bu verileri analiz eden, şüpheli etkinliği belirleyen ve bu bulguları güvenlik ekibine bildiren bir grup etkili güvenlik teknolojisinin adıdır. SIEM platformunun en temel işlevi: güvenlik araçlarından günlük verilerini merkezileştirmek, raporlamak ve uyarıları tetiklemektir. Raporlar, kötü amaçlı etkinlikler, başarısız oturum açma girişimleri, gibi güvenlikle ilgili olayları bir araya getirir ve görüntüler. Aracın analiz motoru, bir kural setini ihlal eden etkinlikler tespit ederse uyarılar tetiklenir.

SIEM araçlarının sağladığı en büyük avantaj, veri toplama ve normalleştirme yoluyla gelişmiş tanımlama ve yanıt süresidir. Ek olarak ve en önemlisi, tehdit algılamayı, güvenlik uyarılarını ve uyumluluk gereksinimlerini karşılamayı hızlandırırlar.

Peki SIEM ile SOAR arasındaki farklar nelerdir? SOAR, SIEM ile Nasıl Uyum Sağlar?

  • Temel İşlevler ve Yetenekler: SIEM araçları temel olarak veri depolama, tehdit istihbaratı ve analiz içindir. SIEM araçları, şüpheli etkinlik tespit edildiğinde uyarı verir güvenlik analistleri daha fazla araştırmanın gerekip gerekmediğine karar vermek için manuel olarak müdahale etmelidirler. SOAR araçları ise tüm araştırma iş akışını otomatikleştirir.
  • İnsan Müdahalesi: SIEM ve SOAR arasındaki temel farklardan biri, her bir araç türünü çalıştırmak için gereken insan müdahalesidir. SIEM araçlarında, kuralları ve kullanım durumlarını yönetmek, gerçek ve yanlış uyarıları sürekli olarak ayırt etmek gerekmektedir. SOAR araçları ise, SOAR’ ın ana hedefi otomasyon olduğundan aslında insan müdahalesini azaltmaya yardımcı olur. SOAR araçları false-positiveleri filtrelediği için, daha az uyarı oluşturarak güvenlik analistlerinin zamanlarını verimli kullanmasına fayda sağlayacaktır.
  • Veri Kaynakları: SIEM araçları bizlerin eklediği ağ bileşenleri, sunucular, güvenlik duvarları, güvenlik ürünleri gibi kaynaklardan veri toplarken SOAR araçları daha farklı çalışır. SOAR bir otomasyona dayandığından, araçların anormallikleri tanımlamak için ağdaki eylemler ve konfigürasyonlar hakkında olabildiğince fazla bilgiye sahip olması gerekir.

SOAR çözümü, SIEM ile entegrasyondan yararlanarak:

  • Güvenlik olaylarını belirlemek için uyarı ve raporlama verilerini kullanır.
  • Analistlerin bir olayı daha fazla araştırması için gereken verileri kullanır
  • Verileri sorgulamaya ve keşfetmeye dayanan proaktif olay müdahalesi ve tehdit avlama konusunda analistlere yardımcı olur.

SIEM araçlarını bir SOAR çözümüyle entegre etmek, güvenlik ekiplerinin etkili bir şekilde yanıt verebileceği daha güvenilir ve anlamlı uyarılar üretmek, verimli ve duyarlı bir güvenlik çözümü oluşturmak için her birinin gücünü birleştirir.

SOAR + SIEM: Entegre Çözümler

Güvenlikte olay müdahalede, SIEM aracından alınan bilgiler ile aşağıdaki gibi genel bir hat belirlenebilir;

  • Koleksiyon: olaylar çeşitli protokoller kullanılarak alınır.
  • Ayrıştırma: olaylar bölünür ve alanlara girilir.
  • Zenginleştirme: olaylara bağlamsal bilgiler eklenir.
  • İndeksleme: olaylar veritabanında saklanır.
  • Korelasyon: benzer olaylar birbirine bağlanır ve analiz edilir.
  • Doğrulama: olay ayrıntıları birden çok kaynakta kontrol edilir.
  • Yanıt: bir tehdide karşı koymak için işlem yapılır.

Burada birçok varyasyon mümkündür. Kurumlar kendi sistemleri özelinde yeni adımlar ekleyebilir veya birkaç adımı eleyebilirler. Bu süreçte SOAR’ ın güvenlik operasyonlarımıza katkılarını inceleyelim.

Veri zenginleştirme:


Resim-4

  • Bir kullanıcının Active Directory ya da Proxy Olayları
  • 3rd Party tehdit istihbaratını toplama ve olayları bağlamla zenginleştirme
  • AD’ den çıkarılan kullanıcı olaylarını veritabanı kullanıcılarına ekleme

SIEM, olay günlükleri toplar ve uyarılar oluşturmak için üzerinde korelasyonlar çalıştırır. Korelasyonları daha verimli hale getirerek SIEM platformunuzun yeteneklerini geliştirmiş oluruz ancak yine de analistlerin olay müdahalesinde olaylarda false-positive olanları ayıklamak zaman ve enerji kaybının önüne geçemeyecektir.

Güvenlik Operasyonlarında Tehditleri doğrulama:

Resim-5

Korelasyon sonuçlarını otomatik olarak doğrulamak veya 3rd Party tehdit istihbaratını dahil ederek SOAR, korelasyonları da doğrulayabilir ve tepki aşamasında doğru kararların alınmasını sağlayabilir. Tehditlerin doğrulanma yollarına örnekler şunları içerir:

  • Tehdit istihbaratı sağlayıcılarını kullanarak domainleri, IP’leri, dosya hashleri vb. doğrulayabiliriz.
  • Doğrulama aşamasında SOAR, tehditleri yanlış pozitiflerden ayıran manuel kontrollere olan ihtiyacı ortadan kaldırarak araştırma süresini kısaltır.

Otomatik Olay Müdahale:


Resim-6

Tehdit, eylem gerektiren onaylanmış bir uyarı haline gelmiş, tehdidin çapraz doğrulaması gerçekleşmiş, bu nedenle bu aşamada tehdide karşı önlem alınmalıdır.

SOAR çözümleri ile birlikte eski olay müdahalelerden farklı olarak;

  • ITSM uygulamalarında ilgili iş birimleri için ticket açılabilir.
  • Ağda tanınmayan bir cihazda bir güvenlik açığı tarayıcısını tetikleyebilir.
  • Bir Endpoint ürünü kullanarak bir işlemi, engelleme veya izole edebilirsiniz.

Yazının ilerleyen bölümlerinde açık kaynak SOAR çözümleri ile ilgili detaylı incelemelerde bulunacağım. Yaptığım araştırmalardan yola çıkarak popüler olan ücretsiz SOAR çözümlerini aşağıda yer almaktadır.

  1. Cynet 360
  2. GRR Rapid Response
  3. AlienVault
  4. Cyphon
  5. Volatility
  6. Sans Investigative Forensics Toolkit (SIFT) Workstation
  7. TheHive Project

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar https://www.mshowto.org

The 8 Best SOAR Security Companies for 2020

Beginner’s Guide to Open Source Incident Response Tools and Resources

TAGs: SOAR, SIEM, , Gartner, Güvenlik

Yorum Yap

Yazar Hakkında

Namık Kemal Üniversitesi Elektronik ve Haberleşme Mühendisliği ana dalından mezunum. Mezun olmadan önce proje bazlı PCI Elektronik, NKÜ teknokentte, öğrenciliğim son yılında ise İstanbul Büyükşehir Belediyesi Elektronik Sistemler Müdürlüğünde proje öğrenciliği yaparak haberleşme ve bilgi teknolojileri sektöründe altyapımı daha iyi hazırlama fırsatım oldu. Mezun olduktan sonra Belbim A.Ş.de information Security Engineer olarak görev almaktayım.Hobi olarak embedded systems ve satellite intelligence alanlarında kendimi geliştirmeye devam ediyorum.

Yorum Yap