SOC Nedir? SOC Ekibi Ne İş Yapar?
Blue Team

SOC Nedir? SOC Ekibi Ne İş Yapar?

SOC NEDİR?
SOC genel anlamda bir güvenlik hizmetidir güvenlik operasyonları merkezi olarak bilinen bu sistem ismini security operation Center kelimelerinin baş harflerinden alıyor bir kuruluşun güvenliğini sürekli izler ve güvenlik olaylarını analiz eder. Bu ekip teknolojik çözümleri kullanarak iyi bir süreç yönetimi yapar ve siber güvenlik olaylarını tespit edilmesini sağlayan analizi sunar. Siber saldırılara karşı aksiyon alır daha ayrıntılı tanımıyla SOC iyi tanımlanmış süreçleri yardımı ile siber güvenlik olaylarını önlemeyi hedefler. Siber güvenlik olaylarının gerçekleşmesi süreçlerinde tespit analiz ve yanıtlama aşamalarında profesyonel bir ekip oluşturur kurumun güvenlik duruşuna sürekli olarak izleyen ve iyileştirilmesi için organize olan bu rakip ayrıca ayrıntılı olarak belirlenmiş prosedürlerden oluşan iş süreçlerine sahiptir.
SOC sistemleri Bir komuta merkezi gibi çalışır. Ağları cihazların bilgi depoları dahil olmak üzere bütün BT altyapısının göz önüne alarak hareket eder. Temel olarak, SOC, izlenen organizasyonda kaydedilen her olay için Bir benzerlik noktasıdır. Bu olayların her biri için sonuç nasıl yönetileceğini ve nasıl davranacağına karar vermelidir. Kararların alınması ile saldırıların önceden tespit edilmesini sağlar.
Güvenlik operasyonları merkezleri, genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşan güvenlik operasyonlarını denetleyen yöneticilerle birlikte çalışır.

SOC EKİBİ
Profesyonel 1 altyapı ve bilgi güvenliği ekibinden oluşan SOC özel bir ekiptir. Siber güvenlik konusunda başarısı ise ekibe bağlıdır. 
Bir SOC ekibi en alt tabakadan üste doğru şu şekilde sıralanır;
Seviye-1: İzleme ekibi
Oluşan alarmları ilk karşılayan ekiptir. Alarm seviyesinin durumuna göre ilgili kişileri bilgilendirir. Sistemsel müdahale gerektirmeyen olayların çözümünden sorumludur.
Seviye-2: Olay Müdahale ekibi
Aksiyon alınması gereken ve sisteme müdahale gerektiren olayları inceler. Kuralların oluşturulması, sıkılaştırılması gibi görevleri üstlenirler.
Seviye-3: Tehdit avcılığı
Derin analiz gerektiren olayların incelenmesi, oluşan alarmların kök sebeplerinin araştırılması, saldırı tipinin belirlenmesi ve gerekli önlemlerin alınımından sorumludur. Sisteme sızan ve kendini belli etmeyen APT türü saldırılar, sistemde uzun süre kalabilmektedir. Bunların tespiti ve müdahale edilmesi görevlerini üstlenirler.
Seviye-4: SOC Yöneticisi
En üst tabakadır seviye 1,2ve3 analistlerinin yetkinliklerini ek olarak güçlü liderlik ve iletişim yeteneklerine sahip olmalıdır ekip ruhunu diri tutmalıdır sokak yöneticisi operasyonları ve ekibini yönetir soğuk ekibinin faaliyetlerini gözetler ve ekip içi eğitim süreçleri işe alımları ve değerlendirmeleri yapar saldırıların süreçlerinin yönetimi ve olay raporlarını gözden geçirilir ekiple haberleşme için iletişim planını geliştirir ve uygular uyumluluk raporlarını yayınlar denetleme süreçlerini yakından takip eder ve destekler sonuç önemini iş dünyasına aktarır.

SOC EKİBİ NE İŞ YAPAR?
Bir güvenlik operasyonları merkezinin kapsayıcı stratejisi tüm organizasyonu daha güvenli hale getirmek için veri toplamayı ve bu verileri şüpheli etkinlik için analiz etmeyi gerektirir. SOC ekipleri tarafından izlenen ham veriler güvenlik ile ilgilidir ve güvenlik duvarlarından, tehdit istihbaratından, izinsiz giriş önleme ve tespit sistemlerinden ( IPS’ler / IDS’ler ), incelemelerden ve güvenlik bilgileri ve olay yönetimi ( SIEM ) sistemlerinden toplanır . Uyarılar, verilerden herhangi birinin anormal olması ve tehlike göstergeleri göstermesi durumunda ekip üyeleriyle hemen iletişim kurmak için oluşturulur. Bir SOC sisteminin temel sorumlulukları şunlardır:

  • Varlık keşif yönetimi, kuruluş içinde kullanılan tüm araçlar yazılımlar donanımlar teknolojiler hakkında yüksek Bir farkındalık elde etmeyi içerir. Ayrıca tüm varlıkların düzgün şekilde çalışmasını ve düzenli olarak güncellenmesini sağlamaya çalışır.

  • Sürekli davranışsal izleme, tüm sistemleri yıl boyunca 7/24 inceler aktiviteler deki herhangi bir düzensizlik anında tespit edildiğinde SOC sistemleri reaktif ve proaktif önlemlere eşit ağırlık vermesini sağlar. Davranışsal modeller, herhangi Bir faaliyetin şüpheli olduğu konusunda veri toplama sistemlerini eğitir. Ve false pozitif olarak kaydedilebilecek bilgileri aalamak için kullanılabilir.

  • Etkinlik günlüklerini tutmak, SOC ekip üyelerinin bir ihlalle sonuçlanmış olabilecek önceki eylemleri geri izlemesine veya tam olarak saptamasına olanak tanır. Bir kuruluştaki tüm iletişimler ve etkinlikler SOC tarafından günlüğe kaydedilmelidir.

  • Uyarı önem derecesi sıralaması, ekiplerin en ciddi veya acil uyarıların önce ele alınmasını sağlamasına yardımcı olur. Ekipler, siber güvenlik tehditlerini potansiyel hasar açısından düzenli olarak sıralamalıdır.

  • Savunma geliştirme ve evrimi, SOC ekiplerinin güncel kalmasına yardımcı olmak için önemlidir. Ekipler, sistemleri yeni ve eski saldırılara karşı savunmak için bir olay müdahale planı (IRP) oluşturmalıdır. Ekipler ayrıca yeni bilgiler elde edildiğinde planı gerektiği gibi ayarlamalıdır.

  • Olay kurtarma, bir kuruluşun güvenliği ihlal edilmiş verileri kurtarmasını sağlar. Buna sistemlerin yeniden yapılandırılması, güncellenmesi veya yedeklenmesi dahildir.

  • Uyum bakımı, SOC ekip üyelerinin ve şirketin iş planlarını yürütürken düzenleyici ve organizasyonel standartları takip etmesini sağlamanın anahtarıdır. Tipik olarak, bir ekip üyesi, uyumluluğun eğitimini ve uygulanmasını denetler.

SOC TÜRLERİ

  • Özel veya kendi kendini yöneten SOC: Bu model, kurum içi personeli olan bir kurum içi tesislere sahiptir.

  • Dağıtılmış SOC: Ortak yönetilen SOC olarak da bilinen bu model, bir üçüncü taraf yönetilen güvenlik hizmeti sağlayıcısı (MSSP) ile birlikte çalışmak üzere şirket içinde işe alınan yarı özel tam zamanlı veya yarı zamanlı ekip üyelerine sahiptir.

  • Yönetilen SOC: Bu model, bir kuruluşa tüm SOC hizmetlerini sağlayan MSSP’lere sahiptir. Yönetilen algılama ve yanıt (MDR) iş ortakları, yönetilen bir SOC’nin başka bir biçimidir.

  • Komuta SOC: Bu model, diğer tipik olarak tahsis edilmiş güvenlik operasyon merkezlerine tehdit istihbaratı içgörüleri ve güvenlik uzmanlığı sağlar. Bir komut SOC, gerçek güvenlik operasyonlarında veya süreçlerinde yer almaz, sadece istihbarat tarafında yer alır.

  • Füzyon merkezi: Bu model, diğer SOC türleri veya BT departmanları dahil olmak üzere, güvenlik odaklı herhangi bir tesisi veya girişimi denetler. Füzyon merkezleri, gelişmiş SOC’ler olarak kabul edilir ve BT operasyonları, DevOps ve ürün geliştirme gibi diğer kurumsal ekiplerle birlikte çalışır.

  • Çok işlevli SOC: Bu model, özel bir tesise ve kurum içi personele sahiptir, ancak rolleri ve sorumlulukları, ağ operasyon merkezleri (NOC’ler) gibi BT yönetiminin diğer kritik alanlarını da kapsar.

  • Sanal SOC: Bu modelin özel bir şirket içi tesisi yoktur. Sanal bir SOC, kurumsal olarak çalıştırılabilir veya tamamen yönetilebilir. Kurumsal bir SOC’de genellikle kurum içi çalışanlar veya kurum içi, isteğe bağlı ve bulut tarafından sağlanan çalışanların bir karışımı bulunur. Dış kaynaklı veya hizmet olarak SOC (SOCaaS) olarak da bilinen tam olarak yönetilen bir sanal SOC, kurum içi personele sahip değildir.

  • SOCaaS: Bu abonelik tabanlı veya yazılım tabanlı model, SOC işlevlerinin bir kısmını veya tamamını bir bulut sağlayıcısına dış kaynak sağlar.

SOC MERKEZLERİ NASIL ÇALIŞIR?
Bir SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gerekmektedir. Bazı SOC ekiplerinde olayları analiz etmek için gelişmiş adli analiz, kripto analiz ters mühendislik ve zararlı yazılım analiz ekibi Teknik kabiliyetlerini içermektedir. Bir kuruluşun SOC’unu kurmanın ilk adımı, çeşitli departmanlardan işletmeye özgü hedeflerin yanı sıra yöneticilerin girdisi ve desteğini içeren bir stratejiyi açıkça tanımlamaktır. Strateji geliştirildikten sonra, gereken altyapı uygulanmalıdır. Tipik bir SOC altyapısı güvenlik duvarları, IPS / IDS, DLP, Endpoint Security ve SIEM sistemi içerir. SOC personeli tarafından veri etkinliklerinin ilişkilendirilebilmesi ve analiz edilebilmesi için veri akışlarının, network kayıtlarının, cihaz loglarının ve ihtiyaca göre gerekli görülen kayıtların toplanması gerekmektedir. SOC işlemlerinin temeli, kurumun sahip olduğu cihaz ve sistemlerden gönderilen log kayıtlarını yani sistemin dijital hareket verilerini ve bu verileri analiz edip, uygun sonuçlar ve tepkiler üreten SIEM ve SOAR sistemleridir.SOC merkezi bir organizasyonun, kurumun bilgi güvenliği sistemlerini kontrol ve analiz ederek siber güvenlik tehditlerine karşı korur. Bir SOC ekibinde yönetici, güvenlik analistleri, güvenlik mühendisleri bulunur ve diğer tüm BT personeliyle koordineli olarak çalışırlar.

SOC SİSTEMLERİNİN ÇALIŞMA ADIMLARI
Birinci adım: Kurumun sahip olduğu sistemlerin, yazılımların ve donanımların tespit edilmesi.
İkinci adım: Tespit edilen envanterin zafiyet değerlendirmesini yapılması.
Üçüncü adım: Sistemin sıradan hareketlerini ve sıradan dışı hareketlerini belirlenmesi.
Dördüncü adım: IPS, IDS ,DLS gibi teknolojileri kullanarak sızma ve sıradan dışı hareketlerin tespitinin yapılması.
Beşinci adım: SIEM ve SOAR sistemleri kullanılması.
Altıncı adım: Saldırı varsa müdahale etmek ve analiz yapmak. Analiz sonuçlarını raporlanması.
Yedinci adım: Raporlara göre güvenlik önlemi almak ve sistemi eskisinden daha güvenilir hale getirilmesi.


SOC'UN ALTYAPISINDA BULUNAN SİSTEMLER

IDS:instruction detection systems kelimelerinin kısaltılması olarak kullanılır IDS güvenlik sistemlerinin amacı zararlı hareketleri tanımlama ve loglama yapmaktır.
IPS:Ağ trafiği içerisindeki zararlı hareketleri veya zararlı bağlantıların tespiti ile önlenmesi için kullanılan sistemlerdir. Instruction prevention system kelimelerinin kısaltması olarak kullanılır. IPS sistemlerinin amacı zararlı bağlantıların ve hareketlerin ağ trafiği üzerinde durdurulması ve önlenmesidir.
DLP: (Data Loss/Leak Prevention) Veri Kaybı/Sızıntısı Önleme sistemidir. Network güvenlik alanında nispeten yeni sayılan ve gittikçe kullanımı artan bir veri koruma çeşididir. DLP yazılımları ile sisteminizden istenmeyen verinin çıkışını önleyebilir ya da belirlediğiniz dosyaların kullanım durumlarını izleyebilirsiniz.
End Point Security: Uç nokta güvenliği çevremizde kullandığımız birçok uzaktan erişim araçlarına gerçekleştirilebilecek saldırıları engelleyebileceğimiz Bir platformdur. Bunlar gündelik hayatımızda sık sık kullandığımız fakat bağlandığınız ağların güvenliğinden emin olmadan bağlandığımız araçlar; yani telefonlar, tabletler masaüstü bilgisayarlar, yazıcılar, dizüstü bilgisayarlar kısacası “BYOD” ve buna ve benzeri uzaktan erişime açık olan cihazlardır. End point security yani uç nokta güvenliği şirketlerde de yaygın olarak kullanılan Bir sistemdir bunun nedeni ise işletmeler genelde çalışanlarına kişisel cihazlar tahsis etmektedirler ve bu cihazların güvenliği işletmeler end point ile sağlayıp çalışanlarının bu cihazlarda bulunan kurumsal verileri ele geçirilmesine veya olur da cihaz yanlış ellere geçerse korunmasını sağlayacak şekilde bir ilerleme sağlamak zorundadır.
SIEM: SIEM (Security Information And Event Management) teknolojisinin Türkçedeki karşılığı genelde Güvenlik Bilgisi ve Olay İzleme Sistemi olarak tanımlanır. SIEM (Security Information And Event Management) teknolojisi SIM (Security Information Management) ve SEM (Security Event Management) teknolojilerini tek bir teknolojide birleştiren bir Güvenlik bilgisi ve olay izleme sistemidir. SIEM sistemlerinin temel işlevini basitçe tanımlayacak olursak, farklı kaynaklardan log toplamak, topladığı bu logları anlamlandırmak ve belirlenmiş kurallar çerçevesinde uyarılar oluşturarak gerektiğinde bu uyarıları aksiyona dönüştürmektir. Örneğin ağ’da olası bir güvenlik sorunu algılandığında SIEM sistemi, ağ cihazlarından topladığı loglar ile bunu tespit edip uyarıya ve aksiyona dönüştürebilir. Böylece güvenlik sorunu sistemlerimize zarar vermeden tespit etmiş ve engellemiş oluruz.
SOAR: SOAR (Güvenlik Düzenleme Otomasyon ve Yanıt), bir kuruluşun güvenlik tehditleri hakkında veri toplamasına ve küçük güvenlik olaylarına insan yardımı olmadan yanıt vermesine olanak sağlayan sistemdir. SIEM olayların analizini yapıp sonuçları söylerken SOAR olayları anlayıp karşı hamle yapmaktadır. Saldırılar daha karmaşık hale geldikçe tehdit istihbaratında hızlanmak gerekecektir. Daha hızlı öğrenme ve daha hızlı cevap süreleri elde etmenin yolu SOAR dan geçmektedir. SOAR şüpheli davranışların algılanmasını kolaylaştırmakta ve cevap verme süresini azaltmaktadır. Veri kaynaklarından gelen bilgileri birleştirerek işlemlerin etkinliğini ve verimliliği arttırmakta ve cevapları otomatikleştirmektedir. Sonuç olarak SIEM olayların analizini yapıp sonuçları söylerken SOAR olayları anlayıp karşı hamle yapmaktadır.
GRC Sistemleri: Kurumsal risklerin sistematik bir şekilde yönetilmesini sağlar. Risk göstergeleri ve erken uyarı sistemiyle saldırılara hemen müdahale etmemize olanak sağlar.
UTM: Günümüzdeki güvenlik duvarları da sadece port kapatmak amaçlı kullanılmıyor. Yeni nesil güvenlik duvarları da UTM (Unified Threat Management) güvenlik duvarı, antivirüs, antispam, IDS/IPS, VPN, router gibi özellikleri olan tümleşik cihazlardır. Bilinen UTM cihaz markaları ; Palo Alto, Checkpoint, Cisco ASA, Fortinet, Labris, Juniper, NetSafe-Unity, Netscreen ve Symantec serisidir. Bu cihazlar üzerinde port , protokol bazısında kısıtlama yapabilir. Web filtrelemesi(terör, şiddet, silah gibi kategorilerine göre yasaklama) yapabilir. Dosya indirme gibi işlemleri durdurabilir.
NGFW: Yeni nesil güvenlik duvarı, geleneksel güvenlik duvarını, sıralı derin paket denetimi kullanan bir uygulama güvenlik duvarı, saldırı önleme sistemi gibi diğer ağ cihazı filtreleme işlevleriyle birleştiren üçüncü nesil güvenlik duvarı teknolojisinin bir parçasıdır.

Yazar: Hasan Öztürk
Etiketler: soc, blueteam,
Blog sayfamız henüz aktif değil!