SOC Araştırmalarınızı Nasıl Hızlandırabilirsiniz?


SOC Araştırmaları

Uyarıların hızlı ve verimli bir şekilde işlenmesi, Güvenlik Operasyon Merkezi (SOC) profesyonelinin rolünün temel taşıdır. Tehdit istihbaratı platformları bunu yapma yeteneklerini önemli ölçüde artırabilir. Bu platformların neler olduğunu ve analistleri nasıl güçlendirebileceklerini öğrenelim.

Zorluk: Aşırı Uyarı Yüklenmesi

Modern SOC, SIEM’ler ve EDR’ler tarafından oluşturulan aralıksız güvenlik uyarılarıyla karşı karşıyadır. Bu uyarıları incelemek hem zaman alıcı hem de yoğun kaynak gerektiren bir işlemdir. Potansiyel bir tehdidi analiz etmek, gerçek bir risk oluşturup oluşturmadığını doğrulamak için kesin kanıtlar bulmadan önce genellikle birden fazla kaynakta arama yapmayı gerektirir. Bu süreç, sonuçta yanlış pozitif olduğu ortaya çıkan eserleri araştırmak için değerli zaman harcamanın getirdiği hayal kırıklığı nedeniyle daha da sekteye uğrar.

Sonuç olarak bu olayların önemli bir kısmı araştırılmadan kalıyor. Bu, kritik bir zorluğun altını çiziyor: Farklı göstergelerle ilgili gerekli bilgilerin hızlı ve doğru bir şekilde bulunması. Tehdit veri platformları bir çözüm sunuyor. Bu platformlar herhangi bir şüpheli URL’yi, IP’yi veya diğer göstergeyi aramanıza ve potansiyel riskine ilişkin anında bilgi edinmenize olanak tanır. Böyle bir platform, ANY.RUN’un Tehdit İstihbaratı Aramasıdır.

Kurtarmaya Yönelik Tehdit İstihbaratı Platformları

SOC araştırmalarına yönelik özel platformlar, çeşitli kaynaklardan toplanan tehdit verileri veritabanlarından yararlanır. Örneğin ANY.RUN’un Tehdit İstihbaratı Aramasını (TI Arama) ele alalım. Bu platform, ANY.RUN sanal alanında gerçekleştirilen milyonlarca etkileşimli analiz oturumundan (görevlerden) Uzlaşma Göstergelerini (IOC’ler) toplar.

Platform, tehdit verilerinin ek bir boyutunu sunar: süreç günlükleri, kayıt defteri ve ağ etkinliği, komut satırı içerikleri ve korumalı alan analiz oturumları sırasında oluşturulan diğer sistem bilgileri. Kullanıcılar daha sonra bu alanlarda ilgili ayrıntıları arayabilir.

Tehdit İstihbaratı Platformlarının Avantajları

Tehditlere Dair Daha Derin Görünürlük

Bu tür platformlar, dağınık veri kaynaklarına güvenmek yerine, çeşitli veri noktalarında IOC’leri aramak için tek bir erişim noktası sunar. Buna URL’ler, dosya karmaları, IP adresleri, günlüğe kaydedilen olaylar, komut satırları ve kayıt defterleri dahildir ve tehditlerin daha kapsamlı tanımlanmasına ve araştırılmasına olanak tanır.

Daha Hızlı Uyarı Araştırmaları

Bir güvenlik olayı meydana geldiğinde zaman çok önemlidir. TI platformları, ilgili tehdit istihbaratı verilerinin hızlı bir şekilde toplanmasına yardımcı olarak saldırının doğasının, etkilenen sistemlerin ve güvenlik ihlali kapsamının daha derinlemesine anlaşılmasına olanak tanır. Bu, müdahale çabalarını önemli ölçüde hızlandırabilir ve iyileştirebilir.

Proaktif Tehdit Avcılığı

Tehdit istihbaratı platformları, ekiplerin belirli kötü amaçlı yazılım aileleriyle ilişkili bilinen IOC’leri aktif olarak avlamalarına olanak tanır. Bu proaktif yaklaşım, gizli tehditlerin büyük olaylara dönüşmeden önce ortaya çıkarılmasına yardımcı olabilir.

Bilinen tehditlerle ilişkili potansiyel güvenlik açıklarını ortaya çıkarabilecek verilere erişim sağlayabilirler. Bu bilgiler, risk değerlendirmelerine bilgi sağlayabilir ve kuruluşların güvenlik çabalarını en acil tehlikelere göre önceliklendirmesine yardımcı olabilir.

Tehdit Analizi ve Karar Verme

Kötü amaçlı yazılım davranışına ilişkin ayrıntılı bilgilerle donanmış ekipler, tehditleri daha doğru bir şekilde analiz edebilir ve kontrol altına alma, iyileştirme ve gelecekteki önleyici tedbirler hakkında bilinçli kararlar verebilir. Bu sürekli öğrenme döngüsü, genel güvenlik duruşunu ve ekip yeterliliğini güçlendirir.

Tehdit İstihbaratı Platformu Sorgu Örnekleri

Bireysel Göstergelerle Arama

Tehdit İstihbaratı

Ağınızdaki güvenliği ihlal edilmiş bir sistemin kötü amaçlı dosyalar indirdiğinden şüphelendiğinizi düşünün. Belirli bir IP adresini potansiyel kaynak olarak belirlersiniz ve daha fazla araştırmaya karar verirsiniz. IP adresini bir tehdit istihbarat platformunun arama çubuğuna girin. Platform anında adresi kötü amaçlı olarak işaretler ve Remcos kötü amaçlı yazılımıyla bağlantılı olarak bu IP ile ilişkili alanlar, bağlantı noktaları ve hatta dosyalar hakkında bilgi sunar.

Ayrıca bu IP adresinin dahil olduğu analiz oturumlarına erişim sağlar ve bu oturumlarda kötü amaçlı yazılım tarafından kullanılan Taktikleri, Teknikleri ve Prosedürleri (TTP’ler) listeler.

Tehdit İstihbaratı

Sadece üzerine tıklayarak her oturumu detaylı olarak inceleyebilirsiniz. Sistem sizi ANY.RUN sanal alanındaki oturumun sayfasına götürecektir; burada tüm süreçleri, bağlantıları ve kayıt defteri etkinliğini keşfedebilir, ayrıca kötü amaçlı yazılımın yapılandırmasını ve IOC’lerini toplayabilir veya kapsamlı bir tehdit raporu indirebilirsiniz.

Joker Karakterlerle Esnek Arama

TI Lookup gibi tehdit istihbaratı platformlarının bir diğer kullanışlı özelliği de joker karakterler ve birleştirilmiş sorgular gönderebilme yeteneğidir.

Tehdit İstihbaratı

Örneğin, “binPath=*start= auto” sorgusu yıldız joker karakterini kullanır ve “binPath=” ve ardından “start= auto” ile biten karakterlerin geldiği herhangi bir komut satırını arar.

Platform, aynı parçanın ortaya çıktığı yüz oturum döndürüyor. Arama sonuçlarının daha yakından incelenmesi, bu özel komut satırı yapısının Tofsee kötü amaçlı yazılımının karakteristik özelliği olduğunu gösteriyor.

Birleşik Arama İstekleri

Bir araştırma yürütmenin diğer bir seçeneği de mevcut tüm göstergeleri bir araya toplamak ve bu kriterlerin toplu olarak göründüğü tüm örnekleri belirlemek için bunları tehdit istihbaratı platformuna göndermektir.

Tehdit İstihbaratı

Örneğin, Windows 7’de çalışan, 64 bit işletim sistemiyle çalışan, 50500 numaralı bağlantı noktasına bağlanan ve komut satırında “schtasks” dizesini içeren, “dosya” olarak kategorize edilen tüm görevleri (oturumları) arayan bir sorgu oluşturabilirsiniz. .

Platform daha sonra belirtilen kriterleri karşılayan çok sayıda oturumu tanımlar ve ayrıca sorumlu kötü amaçlı yazılımın altını çizerek “RisePro” ile etiketlenen IP’lerin bir listesini sağlar.

Tehdit İstihbaratı Aramasını Deneyin

ANY.RUN’un Tehdit İstihbaratı Araması, tehditleri hassas bir şekilde araştırmanıza olanak tanır. Süreçleri, dosyaları, ağ etkinliğini ve daha fazlasını analiz edin. Aramanızı IP’ler, alanlar, günlüğe kaydedilen etkinlikler ve MITRE teknikleri dahil 30’dan fazla alanla hassaslaştırın. Bütünsel anlayış için parametreleri birleştirin. Erişiminizi genişletmek için joker karakter sorgularını kullanın.

Platformu keşfetmeye yönelik 50 ücretsiz istek almak için deneme talebinde bulunun.

Bu makaleyi ilginç buldunuz mu? Bu makale değerli ortaklarımızdan birinin katkıda bulunduğu bir yazıdır. Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link