Siber güvenlik için veri mühendisliği, birçok güvenlik ekibinin karşılaştığı bir boşluğu kapatmak için yola çıkıyor: topladıkları kütük, etkinlik ve telemetri seli ile ne yapacağını bilmek.
Yazar hakkında
James Bonifield, kötü niyetli etkinlikleri analiz etme, veri boru hatları uygulama ve güvenlik sektöründeki başkalarını eğitme konusunda on yıllık deneyime sahiptir. Kurumsal ölçekli günlük çözümleri, otomatik algılama iş akışları ve büyük siber tehdit aktörlerini araştıran analist ekipleri kurdu.
Kitabın içinde
Kitap dört bölüm halinde düzenlenmiştir. Birincisi, “Güvenli Veri Mühendisliğinin Temelleri”, bir SIEM’e veri almak, verimi yönetmek ve olayları standartlaştırmak gibi temel kavramları tanıtmaktadır. Bonifield, JSON, YAML ve elastik ortak şema gibi veri serileştirme formatlarını kapsar ve ayrıca geçici merkezileştirme ve olay önbelleğinin önemini açıklar. Bu bölüm, resmi veri mühendisliği eğitimi alamayan, ancak günlük olarak güvenlik bağlamında verilerle çalışan okuyucular için zemin hazırlar.
İkinci bölüm olan “Günlük Çıkarma ve Yönetim” toplama tarafına kazıyor. Son nokta ve ağ verileri, Windows günlükleri, verileri entegre ve depolama ve Syslog ile çalışma konusunda özel bölümler vardır. Bu bölümler FileBeat, Winlogbeat ve RSYSLOG gibi araçlardan geçiyor ve TLS’nin güvenli veri aktarımı için nasıl yapılandırılacağı. Odak noktası, güvenilir verileri, akış aşağı hareket etmeden önce budama ve özelleştirme konusunda yan tartışmalar ile ilgilidir.
Üçüncü Bölüm, “Veri Dönüşümü ve Standardizasyonu”, gelen verileri daha kullanışlı hale getirmek için manipüle etmeye bakar. Bonifield, logstash boru hatlarının nasıl kurulacağını, dönüşüm filtrelerinin nasıl uygulanacağını ve ek bağlamla olayları zenginleştireceğini açıklar. Vurgu, algılama, yanıt ve tehdit avı için verileri tutarlı ve kullanılabilir hale getirmektir. Bu bölüm, çeşitli günlükleri ortak bir şema ile eşleştirme konusunda çalışan herkese aşina olacak, ancak aynı zamanda süreci netleştirmeye yardımcı olan somut örnekler de içerir.
Son bölüm olan “Veri Merkezileştirilmesi, Otomasyon ve Zenginleştirme” ölçeklendirme ve verimliliğe odaklanıyor. Güvenlik verilerinin elasticsearch, takım konfigürasyonlarını Ansible ile otomatikleştirme ve tehdit istihbarat beslemelerini önbelleğe alma gibi bir ortamda merkezileştirmeyi kapsar. Bu bölümler, bir güvenlik programı boyunca tutarlılığı artırırken otomasyonun manuel çabayı nasıl azaltabileceğini göstermektedir.
Kitabın güçlü yönlerinden biri, açık kaynaklı araçlara verdiği vurgudur. Her örnek, çoğu takımın bütçe onayı olmadan erişebileceği araçlara dayanır, bu da hem işletme hem de kaynak kısıtlı ortamlar için pratik hale getirir. Adımlar detaylandırılabilirken, Bonifield çok fazla varsaymaktan kaçınır ve açıklamalar tam zamanlı mühendis olmayabilecek güvenlik profesyonelleri için yeterince açıktır.
Stil kuru olmadan öğreticidir. Ekran görüntüleri, konfigürasyon snippet’leri ve mantıksal ilerlemeler takip etmeyi kolaylaştırır. Kitap, okuyucunun değeri zaten anladığını varsayarak güvenlik veri toplama işleminin “neden” için fazla zaman harcamıyor. Bunun yerine, çoğu uygulayıcının arayacağı “nasıl” üzerine odaklanır.
Kimin için?
Siber güvenlik için veri mühendisliği, veri boru hatlarını geliştirmek veya günlük ve telemetri akışlarına daha fazla sahip olmak isteyen güvenlik mühendisleri, SOC analistleri ve olay müdahalecileri için en uygun olanıdır.
Ekibinizin geçici günlük koleksiyonundan yapılandırılmış, otomatik ve güvenli bir boru hattına geçmesi gerekiyorsa, bu kitap kendi ortamınıza uyum sağlayabileceğiniz bir yol haritası sağlar.