Siber tehditlerin tespiti ve müdahalesi üzerine karalamalar

  • Görünürlük (visibility) konusu çok üstün körü geçilen bir konu. Görünürlüğü ağ görünürlüğü ve uç-nokta görünürlüğü olarak ayrı olarak almak elzem. Her bir noktadaki görünürlüğünüzü canlı takip edebildiğiniz bir yapı kurgulayın. Örn: Process Creation, istemci DNS logları, istemci firewall ve IDPS logları vb. gibi hacimsel olarak fazla log üretse de içerik olarak kıymetli log kaynaklarını merkezi log yapınıza almayı ihmal etmeyin.

  • Windows sistemler için asgari System, Security, Application, Sysmon ve Powershell logları aldığınızdan emin olun

  • Açık kaynak ve ücretsiz çözümler -bütçe yetersizliği yaşanması durumunda- en büyük dostunuz (Bro+Sysmon ikilisine mutlaka bir şans verin)

  • Uçnoktalardan olay müdahale esnasında 'kanıt' toplayabileceğiniz bileşenleri kurguladığınızdan emin olun (Örn: GRR, Kansa, IREC, FastIR vb.)

  • Sistemlerinizin normal çalışma davranışlarını bilerek, onlar için doğru profilleme yaptığınıza emin olun. Her PsExec, lateral movement için kullanılmak zorunda değildir. Bunları bildiğiniz takdirde basit istatistiksel analizlerle anormal davranışları daha kolay tespit edebilirsiniz

  • Yatay ağ görünürlüğü konusu büyük yapılar için en büyük zorluklardan birisi. Bunu tam anlamıyla -ağ seviyesinde- yapamıyorsanız uçnokta firewall loglarını tam ve doğru topladığınızdan emin olun

  • Log aramalarını (hem network, hem uçnoktalar için) hızlı yapabildiğiniz bir altyapıya sahip olduğunuza emin olun. (Çoğu geleneksel SIEM bu anlamda başarısız. Özellikle schema-on-read yapılar kullanan büyük-veri amaçlı ürünlere bakabilirsiniz. Örn: Elastic stack)

  • Periyodik ve otomatik çalışan hunting sorgularıyla anormalliklerden anında haberdar olun. (Örn: hatalı child-parent ilişkilerine sahip process'ler, Word.exe tarafından başlatılan cmd.exe'nin powershell.exe çalıştırması, DNS isteklerinde client'lardan çıkan uzun TXT sorgular vb.)

  • Uçnokta ve ağ bileşenlerinden gelen logların 'tespit kurallarınızın' çalıştığı SIEM yada log arama sisteminize gelirken yaşadığı gecikmelerden haberdar olun. Bir ransomware'i Sysmon ile anında logluyor olabiliyorsanız fakat olay müdahale amaçlı alarm üretme işlemini merkezdeki sisteminizle yapıyorsanız, iki sisteminiz arasında gecikmenin asgari olmasını beklemelisiniz.

  • Tespit kabiliyetlerinizi DetectionLab gibi projelerle deneme & yanılma yaparak geliştirebilirsiniz

  • SIEM kurallarınızın yada log sorgularınızın içeriğinin tarihsel değişimini kayıt altına aldığınız bir yapı kurgulayın (bu bir Excel bile olsa) Her olay müdahale sonrasında kurallarınızda gerekli iyileştirmeleri yaptığınıza emin olun

  • MITRE ATT&CK ve Sigma projelerine mutlaka göz atın. Tespit içeriklerinizi iyileştirmek için buralardan faydalanabilirsiniz. (Diğer bazı kaynaklar)

  • SIEM yada log toplama sorgularınızın ürettiği çıktıların güvenilirlik değerlerini doğru belirlediğinizden emin olun.

  • Belirli bir SIEM yada log sorgu alarmı üremesi durumunda ne yapacağınızı adım adım anlatan talimatlara sahip olduğunuza emin olun. Bunlar için 'yüksek güvenilirlikli' kurallarınızla başlayabilirsiniz. Bu aşamaların işletimini yazacağınız betik kodları yada farklı araçlarla (Phantom vb.) edebildiğiniz kadar otomatikleştirin

Furkan ÇALIŞKAN

Read more posts by this author.