CyberFlow Logo CyberFlow BLOG
Soc L1 Teshis Triyaj

Eskalasyon Süreci: L2 Analistine Hangi Alarmlar İletilmeli?

✍️ Ahmet BİRKAN 📂 Soc L1 Teshis Triyaj

Siber güvenlikte L1 analistinin alarmları zamanında nasıl L2 analistine ileteceğini öğrenin. Eskalasyon sürecinin temel adımları ve ipuçları.

Eskalasyon Süreci: L2 Analistine Hangi Alarmlar İletilmeli?

Siber güvenlikte alarmların doğru şekilde eskale edilmesi kritik öneme sahiptir. Bu blog yazısında L1 analistinin görevleri, hangi alarmların L2'ye iletilmesi gerektiği ve eskalasyon sürecinin önemi ele alınıyor.

Giriş ve Konumlandırma

Siber güvenlik, dijital dünyada verilerin ve sistemlerin korunmasında kritik bir role sahiptir. Bu alanda, olayların hızlı bir şekilde yönetilmesi ve tehditlerin etkili bir şekilde engellenmesi büyük önem taşımaktadır. Bu bağlamda, siber güvenlik operasyon merkezleri (SOC) içinde yer alan analist kademeleri, olayların gözlemlenmesi, değerlendirilmesi ve gerektiğinde ilgili birimlere aktarılması süreçlerini yönetmektedir. Burada, bir L1 analistinin eline geçen alarmları değerlendirme ve gerektiğinde bu alarmları L2 analistine iletme süreci olan "eskalasyon" önemli bir rol oynamaktadır.

Eskalasyon Sürecinin Önemi

Eskalasyon, L1 analistinin, kendi bilgi veya yetki seviyesini aşan karmaşık bir vakayı daha derinlemesine incelemek üzere L2 analistine veya Olay Müdahale (IR) ekibine aktarma sürecidir. Bu süreçte, L1 analisti ilk olarak alarmları hızlıca triage eder. Eğer bir durum, 15-20 dakikadan fazla zaman alıyorsa ve analiz belirsizlik taşıyorsa, bu durum eskalasyon için uygun bir adaydır. Eskalasyon, zaman kaybını önleyerek olaylara hızlı yanıt verilmesini sağlar; böylece, güvenlik ihlalleri ya da tehditler daha etkili bir şekilde yönetilebilir.

Siber Güvenlik Bağlamında

Siber güvenlik alanında, olayların titizlikle yönetilmesi, sistem bütünlüğünün korunması ve veri kaybının önlenmesi için gereklidir. L1 analistleri genellikle ilk uyarıları değerlendirirken, oldukça hızlı karar vermek zorundadır. Müdahale edilemeyecek kadar karmaşık ya da kritik durumlar, L2 seviyesindeki analistlerin uzmanlığına ihtiyaç duyar. Burada, etkili bir eskalasyon süreci, L1 analistinin yalnızca belirli alarmları denetlemeye odaklanmasını değil, aynı zamanda olayları gerektiğinde bir üst kademeye aktarmasını sağlar.

Doğru Eskalasyon Raporlaması

Eskalasyon sürecinin etkili olabilmesi için, L1 analistinin durumu açık bir şekilde L2 analistine iletmesi gerekir. Burada, yalnızca "bir gariplik var" ifadesi yerinde değildir. Bunun yerine, hangi logların incelendiği, şüpheli IP adreslerinin listesi ve neden tehdit potansiyeli (TP) görüldüğü gibi detaylar aktarılmalıdır. Bu tür bilgiler, L2 analistinin hızlı ve doğru bir şekilde sorunu değerlendirmesine olanak tanır. Aşağıda, sağlıklı bir raporlamada bulunması gereken başlıca unsurları görebiliriz:

- Alarma neden olan olayın özeti
- İncelenen log dosyaları
- Şüpheli IP adresleri ve ilgili faaliyetler
- Önceki adımlar ve yapılan analizler
- Olayın aciliyet düzeyi

Bu içeriğin detaylı bir şekilde aktarılması, olayın gerektirdiği önlemlerin alınması açısından kritik öneme sahiptir. Tüm verilerin kayıt altına alınması ise, analiz sürecinin sağlıklı bir şekilde belgelenmesini sağlamakla kalmaz, aynı zamanda gelecekte benzer vakalarda referans noktası oluşturur.

Eğitim ve Takım İçindeki Rol

Bir esnek takım yapısında, L1, L2 ve L3 analistleri arasında net bir görev tanımı ve görev sınırları oluşturulması gereklidir. L1 analisti, alarmları ilk karşılayan ve öneri niteliğinde kararlar veren konumdayken, L2 analisti karmaşık vakaları ele alır ve müdahalelerde bulunur. L3 analisti ise, mevcut savunma mekanizmalarını daha ileri bir seviyeye taşımak amacıyla proaktif bir yaklaşım sergiler. Bu görev dağılımı, siber güvenlik alanındaki faaliyetlerin etkinliğini artırarak, sistemlerin güvenliğini sağlamada kritik bir öneme sahiptir.

Sonuç olarak, eskalasyon süreci, siber güvenlik alanındaki olay yönetimini ve ihtiyacı olduğunda daha derinlemesine bir araştırma yapmak amacıyla ekip içindeki iletişimi güçlendirir. İyi tanımlanmış bu süreç, hem L1 analistinin hem de L2 analistinin daha etkili bir şekilde çalışmasına olanak tanır; sonuç olarak organizasyonun genel siber güvenlik duruşunu güçlendirir.

Teknik Analiz ve Uygulama

Eskalasyon Sürecinde Teknik Analiz ve Uygulama

Siber güvenlik alanında L1 analistleri, genellikle ilk müdahaleyi yaparak alarmları değerlendirir ve triyaj sürecini yönetir. Ancak, karmaşık veya kritik vakaların daha derinlemesine incelenmesi gerektiğinde, bu vaka L2 analistine eskale edilmelidir. Bu bölümde, bu sürecin oldukça teknik detaylarına odaklanacağız.

Yardım Çağırmak

Bir vakayı eskale etmenin ilk adımı, L1 analistinin kendi yetki ve bilgi seviyesinin farkında olmasıdır. Genellikle, 15-20 dakikalık inceleme sonrasında, bir alarmın analizinin belirsiz ve karmaşık olduğu durumlarda, analistin vakayı devretmesi gereklidir. L1 analisti, yalnızca kendi yetki sınırlarını bilmekle kalmamalı, aynı zamanda durumu net bir şekilde belirtebilecek düzeyde bilgiye de sahip olmalıdır.

Sınırları Bilmek

L1 analisti, kendi yetki sınırlarını ve L2'nin sorumluluğunu anlamalıdır. Bir alarmın kritik olduğunu düşünüyorsanız, örneğin sunucunun ağdan izole edilmesi veya belirli bir parolanın sıfırlanması gerektiğinde, bu tür eylemler L1 analistin yetki sınırlarını aşar ve zorunlu eskalasyon gerektirir. Bu sürecin başarısı, olayların doğru bir şekilde kayıt altına alınması ve doğru bir şekilde raporlanmasına bağlıdır.

SOC Hiyerarşisi

SOC içinde analistlerin görev tanımları önemlidir. Bu hiyerarşide L1 analisti, alarmları triyaj yaparak işlem yaparken, L2 analistleri, derinlemesine vaka analizi ve müdahale işlemlerini gerçekleştirir. Örneğin, eğer L1 analisti bir 'brute force' saldırısıyla karşılaşmışsa ve saldırı iptal olmuşsa, burada "Kapat" (Close) kararı verilebilir:

Senaryo: Dış IP'den Brute Force, Firewall IP'yi otomatik engellemiş, giriş yok.
Karar: Kapat (Close). Saldırı başarısız olmuş, L2'ye gerek yok.

Aynı vakada, eğer bir saldırganın bir iç ağdan veritabanı sunucusuna 50GB veri transfer etmeye çalıştığı bir durum meydana gelirse, vakayı "Acil Eskale Et" (Escalate) kararı ile ilerletmek gerekebilir:

Senaryo: Muhasebe PC'sinden veritabanı sunucusuna 50GB veri transferi (İçeriden dışarıya sızıntı şüphesi).
Karar: Acil Eskale Et (Escalate). Veri sızıntısı riski yüksek, detaylı L2 analizi şart.

İzin ve Sınırlar

Eskalasyon sürecinde, L1 analistinin hangi bilgileri iletmesi gerektiğinin net olması gerekir. "Bu durumda gariplik var, bakar mısınız?" gibi belirsiz ifadeler kullanılmamalıdır. Bunun yerine, hangi logların incelendiği, şüpheli IP adreslerinin neler olduğu ve neden olağan dışı bir durum olduğuna dair net ve ayrıntılı bilgiler raporlanmalıdır. Bu, L2 analistinin durumu hızlı bir şekilde anlaması ve uygun müdahalede bulunabilmesi için kritik öneme sahiptir.

Eksiksiz Devir Teslim

Eskalasyon süreci, yalnızca alarmların iletilmesiyle sınırlı değildir; aynı zamanda tüm süreçlerin belgelenmesine de tabidir. L1 analisti, tüm analizleri, toplanan kanıtları ve vakaya ilişkin detayları eksiksiz bir şekilde kayıt altına almalıdır. Bu kayıtlar, L2’ye devredilen vaka dosyasında yer almalıdır:

Olay Kayıt Sistemi: Olayların tüm detaylarıyla kaydedildiği ve ekipler arası aktarıldığı dijital dosyadır.

Kayıt Altında

Tüm eskalasyon süreci, dijital ortamlarda kayıt altına alınmalı ve L1 analisti, devredilen vakaların durumunu takip edebileceği bir sistem olmalıdır. Hem geçmiş olayların incelenmesi hem de mevcut durumun iyi bir şekilde yönetilmesi açısından bu kayıtlar önemlidir. Ayrıca, tüm süreçlerin doğru bir şekilde belgelenmesi, gelecekte benzer vakalarda hızlı bir şekilde hareket edebilmek açısından da önem taşır.

Modül Sonu: Doğru Karar Verme

Sonuç olarak, L1 analistinin ekranına yansıyan her bir senaryo için doğru kararları vermesi kritik önem taşır. Kapat veya Eskale Et gibi ana karar mekanizmaları, olayın gelişimini etkin bir biçimde yönetmek için hayati öneme sahiptir. L1 analistinin her bir alarm için durumu net bir şekilde analiz etmesi ve ilgili bilgileri doğru bir şekilde raporlaması, etkili bir güvenlik süreci için gereklidir.

Bu süreçler, sadece olayları yönetmekle değil, aynı zamanda ekibin genel becerilerini geliştirmekle de ilgilidir. Misal, bir ticaret şirketinde yapılan bir saldırı sonrası, olayın nasıl yönetildiği ve hangi adımların daha etkili olabileceği konusunda yapılan analizler, ekip üyelerinin performansını ve gelecekteki olaylara tepkilerini de büyük ölçüde etkileyebilir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, risk yönetimi ve olay müdahale süreçleri, altyapı ve hizmetlerin sürekliliği açısından büyük önem taşımaktadır. Alarmların doğru bir biçimde yorumlanması ve gerektiğinde profesyonel destekle eskale edilmesi, güvenlik olaylarına karşı etkin bir savunma yapmanın anahtarıdır. Bu bölümde, bir sistemdeki risklerin nasıl değerlendirilmesi gerektiği, yanlışa neden olabilecek yapılandırmaların etkileri, veri sızıntısı gibi olayların tespitinde dikkat edilmesi gerekenlerin yanı sıra, profesyonel önlemler ve hardening önerileri ele alınacaktır.

Risk Analizi

Risk analizi süreci, elde edilen bulguların güvenlik açıklarını değerlendirerek başlar. Bir L1 analisti, alarmları ilk inceleyerek belirli bir tehdit seviyesi oluşturmalıdır. Bu kapsamda aşağıdaki noktalar göz önünde bulundurulmalıdır:

  • Farklı Alarm Türleri: Sistem, belirli bir kategoride alarmlar üretmektedir. Bu alarmlar, dış saldırılar, iç tehditler veya sistem kendisiyle ilgili sorunlar olabilir. Örneğin, bir dış IP’den gelen Brute Force denemeleri, sistem güvenliğini tehdit ederken, veri transferi gibi iç verilerdeki anormallikler de iç tehditleri ön işaret edebilir.

Örnek bir durum üzerinden geçelim:

Scenario: Muhasebe PC'sinden veritabanı sunucusuna 50GB veri transferi (İçeriden dışarıya sızıntı şüphesi).
Decision: Acil Eskale Et (Escalate). Veri sızıntısı riski yüksek, detaylı L2 analizi şart.

Bu senaryoda, L1 analistinin yükseltmesi gereken durum açıkça tanımlanmaktadır. Veritabanı sunucusuna yapıldığı düşünülen bu büyük veri transferi, potansiyel bir veri sızıntısını işaret eder.

Yanlış Yapılandırma ve Zafiyet Etkisi

Yanlış yapılandırmalar, siber güvenlikte en sık karşılaşılan tehditlerden biridir. SSH, FTP veya web sunucularının yanlış yapılandırılması, kişisel verilerin açığa çıkmasına veya ağın dışarıdan erişimine neden olabilir. Özellikle aşağıdaki durumlar dikkatle izlenmelidir:

  • Servis Açıklıkları: Eski, güncellenmemiş veya yanlış yapılandırılmış bir servisten yararlanılabilir ve bu durum siber saldırganlara kapı aralayabilir.
  • Yanlış ACL (Access Control List): Yanlış yapılandırılmış ACL kuralları, sadece belirli kullanıcıların erişim izni alması gereken kaynaklara izinsiz erişimleri mümkün kılabilir.

Böyle durumlarda, hemen bir L2 analistine eskalasyon yapılmalı ve duruma yönelik profesyonel yardım emniyetle talep edilmelidir.

Sızan Veri ve Ağ Topolojisi

Ağ üzerinde gerçekleştirilen gözlemler, sızan verilerin kategorisini ve potansiyel saldırı yüzeyini anlamak için kritik öneme sahiptir. Aşağıdaki noktalar dikkate alınmalıdır:

  • Sızan Verinin Türü: Eğer görülen trafik, kritik verileri (müşteri bilgileri, finansal veriler vb.) içeriyorsa, bu durum acil müdahale gerektirir.
  • Ağ Topolojisi: Ağda gerçekleşen anormal etkinlikler, belirli bir bölgedeki saldırı potansiyelini artırır. Örneğin, bir istemcinin güvenilir olmayan bir ağa bağlanması veya tanınmayan bir IP’nin sistem yapısına girmesi risk faktörünü artırır.

Yine, detaylı bir raporlama ile bu bulguların L2’yle paylaşılması kritik bir adım olacaktır:

Situation: Dış IP’den gelen şüpheli bir trafik gözlemleniyor.
Action: İzole et (Contain) ve L2 analistine bildir.

Profesyonel Önlemler ve Hardening Önerileri

Sistem güvenliğini artırmak ve olası riskleri en aza indirmek için temel hardening uygulamaları gereklidir:

  • Firewall ve IDS/IPS Kullanımı: Aktif bir firewall ve Intrusion Detection/Prevention Systems (IDS/IPS), ağınızı korumak için kritik bir katmandır.
  • Güncelleme Politikaları: Tüm yazılımların ve işletim sistemlerinin güncel tutulması, bilinen zafiyetlerin sömürülmesini önler.
  • Kullanıcı Erişim Kontrolü: Kullanıcıların sisteme erişim izinlerinin düzenli olarak gözden geçirilmesi, fazladan erişim ilkelerini ortadan kaldırır.
  • Olay Kayıtları: Olayların detaylı bir şekilde kaydedilmesi, gelecekteki olaylara hızlı müdahale edebilmek için büyük önem taşır.

Sonuç Özeti

Siber güvenlikte risk, yorumlama ve savunma süreci, detaylı ve sistematik bir yaklaşıma ihtiyaç duyar. Bir alandaki güvenlik ihlali, yalnızca önceden tespit edilen zararlardan kaçınmakla kalmaz; aynı zamanda kompozit durumların doğru bir değerlendirilmesini de gerektirir. L1 ve L2 analistleri arasındaki etkili bir devretme süreci, olası güvenlik tehditlerine karşı koruma sağlamak için kritik bir öneme sahiptir. Yalnızca hızlı karar vermek, tehditlere karşı yeterli bir savunma mekanizması oluşturmaz; aynı zamanda faaliyetlerin belgelenmesi de güvenlik yönetimini güçlendirir.