Güvenlik Operasyon Merkezi




Güvenlik Operasyon Merkezi ingilizce olarak “Security Operation Center (SOC)” olarak adlandırılır. Güvenlik Operasyon Merkezi, tehditlerin gerçek zamanlı tespitinde ve tehdit sonrası müdahalede önemli bir rol oynar. Güvenlik operasyon merkezi, tüm ağ cihazlarının, güvenlik çözümlerinin, uygulamaların ve veritabanı sistemlerinin izlendiği yerdir. SOC ayrıca, güvenlik açığı yönetim araçları, ağ güvenliği izleme çözümleri ve sürekli güvenlik izleme ürünlerinin kullanımı yoluyla tehditlerin periyodik olarak değerlendirilmesiyle ilgilenir. Uç nokta güvenlik yönetimi, olay müdahale, uyumluluk izleme gibi görevler aynı zamanda güvenlik operasyon merkezi ekibinin diğer ana görevleridir.

SOC Hizmetleri SOC, haftanın yedi günü, günde 24 saat çalışır. SOC tarafından sunulan tipik hizmetler şunlardır:
  • Sürekli Tehdit izleme ve Olay Algılama
  • Olay Yanıtı
  • Tehdit Azaltma
  • Kural / İmza güncellemeleri
  • Tehdit İstihbaratı Entegrasyonu
  • Güvenlik Açığı Değerlendirmesi
  • Web Uygulaması Taraması
  • Uyumluluk izleme
  • Yönetilen Cihazlar


SOC Rolleri ve Takımları

Bir SOC belirli veya farklı görevleri yerine getiren birden çok ekip düzeyine sahip olacaktır.

1. kademe(TIER)ekibi ,güvenlik olaylarının gerçek zamanlı izlenmesinden sorumludur ve ayrıca diğer rutin görevlerin yanı sıra güvenlik olaylarıyla ilgili müşterilerden veya kullanıcılardan gelen telefon görüşmelerine de katılırlar. 

1. kademe ekibi güvenlik izleme ekibi, varsayılan eşik ayarlarına göre uyarıları bir CASE'e dönüştürür ve bunu Aşama -2'ye yükseltir. CASE olayların kategorisine ve ciddiyetine, ilgili uygulamanın veya kaynağın kritikliğine, sahip olabileceği iş etkisine gibi durumlara göre tanımlanır. 1. kademe ekibi, yalnızca olayın temel analizini yapar ve etkinliği otuz dakikadan fazla birlikte tutmaz. 

2. kademe ekibi, güvenlik olaylarının derinlemesine analizinden sorumludur. Derinlemesine analiz yapmaları birkaç saatten haftalara kadar sürebilir. 2. kademe ekibi'nin üzerinde birden fazla ekip seviyesi olabilir. Durum gerektirdiğinde olaylar sırayla onlara da iletilecektir.




SOC Raporları

SOC çözümleri, farklı tüketici sınıflarını hedefleyen farklı türde raporlar sunar. Örneğin, bir yönetici özeti raporu, olayı yalnızca kısa bir kapsama ve ayrıca bu olayın kuruluşlara vereceği dolar cinsinden hasarı veya gözetimsiz giderse yaratabileceği olası zararı içerir. Böyle bir rapor, “C” seviye ekibinin (CSO, CEO, CISO, CTO) böyle bir olaya nasıl müdahale edileceğine dair hızlı bir karar vermesine yardımcı olmayı ve ayrıca gelecekte böyle bir olayın olasılığını önlemeyi amaçlamaktadır.

SOC Analisti - İstenen Beceri Seti 

Bir güvenlik analistinin farklı işletim sistemlerini kullanma konusunda iyi bir uzmanlığa sahip olması beklenir. Linux, SOC ortamlarında en yaygın kullanılan işletim sistemi çeşididir. Bir güvenlik analisti izinsiz giriş tespit sistemi, izinsiz girişi önleme sistemi, güvenlik duvarı, UTM gibi ağ güvenliği cihazları konusunda iyi bir uzmanlığa sahip olmalıdır. Etik ve dürüstlük bir güvenlik izleme uzmanının kaçınılmaz nitelikleridir. Dahası iyi okuma alışkanlıklarına, problem çözme becerilerine ve yönetim yeteneklerine sahip olması gerekir. Bir güvenlik analistinin soyut bir düşünür olması ve çok sinir bozucu durumlara iyi yanıt vermesi gerekir. Bir olayın son ayrıntılarını son derece merak ediyor olmalıdır. 


SOC ROLLERİ


Güvenlik Analisti

Bir SOC ortamında dağıtılan tüm araçların en iyi şekilde çalışmasını sağlar. Ortamı tehditlere karşı sürekli olarak izlerler. Aslında çoğu zaman güvenlik operasyonlarının ön saflarında yer alırlar. Ayrıca adli soruşturmanın ilk aşamasından da sorumludurlar.


SME/ Araştırma Uzmanı

Teknik uzmanlığa ve deneyime sahip olan bir güvenlik uzmanı araştırma uzmanı olarak hareket edecektir. Diğer düşük seviye ekipler tarafından karmaşık ve artan güvenlik olaylarına yardımcı olması için görev yapacaktır. Normalde SOC yöneticisi ve CISO'ya danışman olarak hareket eder.


SOC Yöneticisi 

SOC yöneticisi sorunlarını CISO'ya iletir ve bütçe üzerinde gerekli onayı almak için yönetimle yakın çalışır. SOC yöneticisi, SOC mühendisleri ve CISO arasında bir arayüz görevi görür. SOC'nin günlük güvenlik operasyonlarını denetler . Kaynakların (insanlar), araçların, süreçlerin ve ölçüm yöntemlerinin kullanılabilirliğini sağlar.


Bilgi Güvenliği Sorumlusu (CISO)

Bu "C" üyesi, güvenlik organizasyonu ile iş sahibi arasında birincil arayüz görevi görür. SOC kaynaklarının ve faaliyetlerinin organizasyonun iş stratejisiyle uyumlu olmasını sağlar. İş gereksinimlerini güvenlik operasyon hedeflerine çevirmekten sorumludur. Bütçe ayarlama CISO'nun bir başka önemli sorumluluğudur.


SIEM Çözümü Nasıl Seçilir?

Yanlış bir SIEM çözümü fazla harcama yapılmasına neden olabilir. Bu yüzden bir kuruluş SIEM ürünün özelliklerinin yanı sıra iş gereksinimlerini iyi bilmelidir. Doğru yapılandırılmış ve izlenen SIEM çözümü, neredeyse gerçek zamanlı güvenlik ihlallerinin belirlenmesinde önemli bir rol oynar. 

Mosaic security (https://mosaicsecurity.com), gereksinimlerinizi listelemenize ve ardından satıcıların kısa bir listesini oluşturmanıza yardımcı olan kapsamlı bir SIEM satıcı karşılaştırma aracı sunar. Önde gelen satıcı ürünlerini karşılaştırır ve ardından girdinize göre kişiselleştirilmiş satıcı listesi oluşturur. Araç, Mosaic security research.com/ SIEM- vendor- shortlist- tool adresinde mevcuttur. Bu kısım kitapta dikkatimi çektiği için yazdım. Ama Türkiye’de sanırım firmalar bunu kullanmıyor. 


Bir SIEM'in beş farklı işlevsel modülü şunlardır

    1. Etkinlik Oluşturucular
    2. Etkinlik Toplayıcıları
    3. Mesaj Veritabanı
    4. Analiz Motoru
    5. Reaksiyon Yönetimi Yazılımı


Bu modüller normalde otonom parçalar olarak oluşturulur ve daha sonra sürekli izleme ve tehdit tepkisi elde etmek için mantıksal bir şekilde birleştirilir.


Bu yazımda faydalanmış olduğum kitap:"Security Operation Center SIEM Technology Use Cases and Practices Arune THOMAS - Analysis Guide Güvenlik Operasyon Merkezi Analiz Kılavuzu". Size SOC hakkında güzel bilgiler veriyor .Okumanızı mutlaka tavsiye ederim. Bu yazımı okuduğunuz için teşekkür ederim..

Yorum Gönder

2 Yorumlar