Uyarıların hızlı ve verimli bir şekilde işlenmesi, Güvenlik Operasyon Merkezi (SOC) profesyonelinin rolünün temel taşıdır. Tehdit istihbaratı platformları bunu yapma yeteneklerini önemli ölçüde artırabilir. Bu platformların neler olduğunu ve analistleri nasıl güçlendirebileceklerini öğrenelim.
Zorluk: Aşırı Uyarı Yüklenmesi
Modern SOC, SIEM’ler ve EDR’ler tarafından oluşturulan aralıksız güvenlik uyarılarıyla karşı karşıyadır. Bu uyarıları incelemek hem zaman alıcı hem de yoğun kaynak gerektiren bir işlemdir. Potansiyel bir tehdidi analiz etmek, gerçek bir risk oluşturup oluşturmadığını doğrulamak için kesin kanıtlar bulmadan önce genellikle birden fazla kaynakta arama yapmayı gerektirir. Bu süreç, sonuçta yanlış pozitif olduğu ortaya çıkan eserleri araştırmak için değerli zaman harcamanın getirdiği hayal kırıklığı nedeniyle daha da sekteye uğrar.
Sonuç olarak bu olayların önemli bir kısmı araştırılmadan kalıyor. Bu, kritik bir zorluğun altını çiziyor: Farklı göstergelerle ilgili gerekli bilgilerin hızlı ve doğru bir şekilde bulunması. Tehdit veri platformları bir çözüm sunuyor. Bu platformlar herhangi bir şüpheli URL’yi, IP’yi veya diğer göstergeyi aramanıza ve potansiyel riskine ilişkin anında bilgi edinmenize olanak tanır. Böyle bir platform, ANY.RUN’un Tehdit İstihbaratı Aramasıdır.
Kurtarmaya Yönelik Tehdit İstihbaratı Platformları
SOC araştırmalarına yönelik özel platformlar, çeşitli kaynaklardan toplanan tehdit verileri veritabanlarından yararlanır. Örneğin ANY.RUN’un Tehdit İstihbaratı Aramasını (TI Arama) ele alalım. Bu platform, ANY.RUN sanal alanında gerçekleştirilen milyonlarca etkileşimli analiz oturumundan (görevlerden) Uzlaşma Göstergelerini (IOC’ler) toplar.
Platform, tehdit verilerinin ek bir boyutunu sunar: süreç günlükleri, kayıt defteri ve ağ etkinliği, komut satırı içerikleri ve korumalı alan analiz oturumları sırasında oluşturulan diğer sistem bilgileri. Kullanıcılar daha sonra bu alanlarda ilgili ayrıntıları arayabilir.
Tehdit İstihbaratı Platformlarının Avantajları
Tehditlere Dair Daha Derin Görünürlük
Bu tür platformlar, dağınık veri kaynaklarına güvenmek yerine, çeşitli veri noktalarında IOC’leri aramak için tek bir erişim noktası sunar. Buna URL’ler, dosya karmaları, IP adresleri, günlüğe kaydedilen olaylar, komut satırları ve kayıt defterleri dahildir ve tehditlerin daha kapsamlı tanımlanmasına ve araştırılmasına olanak tanır.
Daha Hızlı Uyarı Araştırmaları
Bir güvenlik olayı meydana geldiğinde zaman çok önemlidir. TI platformları, ilgili tehdit istihbaratı verilerinin hızlı bir şekilde toplanmasına yardımcı olarak saldırının doğasının, etkilenen sistemlerin ve güvenlik ihlali kapsamının daha derinlemesine anlaşılmasına olanak tanır. Bu, müdahale çabalarını önemli ölçüde hızlandırabilir ve iyileştirebilir.
Proaktif Tehdit Avcılığı
Tehdit istihbaratı platformları, ekiplerin belirli kötü amaçlı yazılım aileleriyle ilişkili bilinen IOC’leri aktif olarak avlamalarına olanak tanır. Bu proaktif yaklaşım, gizli tehditlerin büyük olaylara dönüşmeden önce ortaya çıkarılmasına yardımcı olabilir.
Bilinen tehditlerle ilişkili potansiyel güvenlik açıklarını ortaya çıkarabilecek verilere erişim sağlayabilirler. Bu bilgiler, risk değerlendirmelerine bilgi sağlayabilir ve kuruluşların güvenlik çabalarını en acil tehlikelere göre önceliklendirmesine yardımcı olabilir.
Tehdit Analizi ve Karar Verme
Kötü amaçlı yazılım davranışına ilişkin ayrıntılı bilgilerle donanmış ekipler, tehditleri daha doğru bir şekilde analiz edebilir ve kontrol altına alma, iyileştirme ve gelecekteki önleyici tedbirler hakkında bilinçli kararlar verebilir. Bu sürekli öğrenme döngüsü, genel güvenlik duruşunu ve ekip yeterliliğini güçlendirir.
Tehdit İstihbaratı Platformu Sorgu Örnekleri
Bireysel Göstergelerle Arama
Ağınızdaki güvenliği ihlal edilmiş bir sistemin kötü amaçlı dosyalar indirdiğinden şüphelendiğinizi düşünün. Belirli bir IP adresini potansiyel kaynak olarak belirlersiniz ve daha fazla araştırmaya karar verirsiniz. IP adresini bir tehdit istihbarat platformunun arama çubuğuna girin. Platform anında adresi kötü amaçlı olarak işaretler ve Remcos kötü amaçlı yazılımıyla bağlantılı olarak bu IP ile ilişkili alanlar, bağlantı noktaları ve hatta dosyalar hakkında bilgi sunar.
Ayrıca bu IP adresinin dahil olduğu analiz oturumlarına erişim sağlar ve bu oturumlarda kötü amaçlı yazılım tarafından kullanılan Taktikleri, Teknikleri ve Prosedürleri (TTP’ler) listeler.
Sadece üzerine tıklayarak her oturumu detaylı olarak inceleyebilirsiniz. Sistem sizi ANY.RUN sanal alanındaki oturumun sayfasına götürecektir; burada tüm süreçleri, bağlantıları ve kayıt defteri etkinliğini keşfedebilir, ayrıca kötü amaçlı yazılımın yapılandırmasını ve IOC’lerini toplayabilir veya kapsamlı bir tehdit raporu indirebilirsiniz.
Joker Karakterlerle Esnek Arama
TI Lookup gibi tehdit istihbaratı platformlarının bir diğer kullanışlı özelliği de joker karakterler ve birleştirilmiş sorgular gönderebilme yeteneğidir.
Örneğin, “binPath=*start= auto” sorgusu yıldız joker karakterini kullanır ve “binPath=” ve ardından “start= auto” ile biten karakterlerin geldiği herhangi bir komut satırını arar.
Platform, aynı parçanın ortaya çıktığı yüz oturum döndürüyor. Arama sonuçlarının daha yakından incelenmesi, bu özel komut satırı yapısının Tofsee kötü amaçlı yazılımının karakteristik özelliği olduğunu gösteriyor.
Birleşik Arama İstekleri
Bir araştırma yürütmenin diğer bir seçeneği de mevcut tüm göstergeleri bir araya toplamak ve bu kriterlerin toplu olarak göründüğü tüm örnekleri belirlemek için bunları tehdit istihbaratı platformuna göndermektir.
Örneğin, Windows 7’de çalışan, 64 bit işletim sistemiyle çalışan, 50500 numaralı bağlantı noktasına bağlanan ve komut satırında “schtasks” dizesini içeren, “dosya” olarak kategorize edilen tüm görevleri (oturumları) arayan bir sorgu oluşturabilirsiniz. .
Platform daha sonra belirtilen kriterleri karşılayan çok sayıda oturumu tanımlar ve ayrıca sorumlu kötü amaçlı yazılımın altını çizerek “RisePro” ile etiketlenen IP’lerin bir listesini sağlar.
Tehdit İstihbaratı Aramasını Deneyin
ANY.RUN’un Tehdit İstihbaratı Araması, tehditleri hassas bir şekilde araştırmanıza olanak tanır. Süreçleri, dosyaları, ağ etkinliğini ve daha fazlasını analiz edin. Aramanızı IP’ler, alanlar, günlüğe kaydedilen etkinlikler ve MITRE teknikleri dahil 30’dan fazla alanla hassaslaştırın. Bütünsel anlayış için parametreleri birleştirin. Erişiminizi genişletmek için joker karakter sorgularını kullanın.
Platformu keşfetmeye yönelik 50 ücretsiz istek almak için deneme talebinde bulunun.