CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering Exploit Research

Exploitten IOC ve Detection Kurali Uretme

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering Exploit Research

Exploitten IOC ve Detection Kurali Uretme konusunu SOC L3 - Tersine Mühendislik - Exploit Analizi ve Zafiyet Araştırması baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Exploitten IOC ve Detection Kurali Uretme

Exploit davranisindan IOC ve detection kurali uretmek, teknik gozlemi operasyonel savunmaya donusturur. Analist tekrar eden artefactlari ayirir, ortama bagimli olmayan gostergeleri secer ve detection mantigini yazar.

Giris ve Temel Akis

Exploit davranisindan IOC ve detection kurali uretmek, teknik gozlemi operasyonel savunmaya donusturur. Analist tekrar eden artefactlari ayirir, ortama bagimli olmayan gostergeleri secer ve detection mantigini yazar.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Davranis Artefactlarini Topla
  • Tekrar Eden Gostergeleri Ayir
  • Ortama Bagimli Olanlari Ele
  • Guclu IOC Adaylarini Sec
  • Detection Mantigini Kur
  • Kurali Ozetle

Temel Kavram Eslesmeleri

Detection kuralina donusebilecek farkli artefact siniflari vardir.

  • Dosya Yolu: Endpoint triage ve dosya avciligi
  • Alan Adi: Ag ve DNS izleme
  • Surec Zinciri: Davranis tabanli detection
  • Registry Anahtari: Kalicilik tespiti

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram IOC olarak verilir. Gozlenebilir tehdit gostergeleri, savunma sistemlerinde hizli eslestirme ve izleme icin kullanilir.

Arac, Komut veya Inceleme Akisi

Secilen gostergelerden yalanci pozitif riski dusuk olanlar ayrilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Ham Gostergeleri Listele
  • Baglama Asiri Bagli Olanlari Cikar
  • Tekrarlanabilir Olanlari Isaretle
  • Birlesik Mantigi Kur
  • Detection Notunu Yaz

Kanit ve Bilesen Iliskileri

Bazi gostergeler tek basina, bazilari ise birlesik kullanildiginda daha anlamlidir.

  • Hash: Tek basina hizli eslestirme saglayabilir
  • Surec + Command Line: Birlesik davranis mantigi sunar
  • Alan Adi + Yol: Ag ve endpoint baglamini birlestirir
  • Registry + Child Process: Kalicilik ve davranis zincirini guclendirir

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Detection Rule olarak verilir. Secilen gostergelerin SIEM, EDR veya benzeri sistemlerde aranabilir mantiga dokulmus hali savunma operasyonu icin gereklidir.

Operasyonel Dogrulama ve Raporlama

Detection kurali yazildiktan sonra savunma ekiplerine uygun bir aciklama eklenir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Kural Amacini Yaz
  • Temel Gostergeleri Belirt
  • Yalanci Pozitif Riskini Not Et
  • Kapsam ve Kaynagi Ekle
  • Dagitim Notunu Tamamla

Cikti ve Kullanım Amaci

Detection kural ciktilari farkli savunma yuzeylerine uygulanabilir.

  • Dosya Hashi: Dosya guvenlik taramalari
  • Process Pattern: EDR davranis izlemesi
  • Network Indicator: Proxy veya DNS gozlemi
  • Registry Pattern: Kalicilik triage'i

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Detection Rule olarak verilir. Bir gosterge veya davranis mantigini guvenlik sistemlerinde aranabilir bicime getiren savunma varligi, bu konuda temel bir cikti olarak uretilir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Exploitten IOC ve Detection Kurali Uretme konusunu SOC L3 - Tersine Mühendislik - Exploit Analizi ve Zafiyet Araştırması baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Dosya Yolu, Alan Adi, Surec Zinciri, Registry Anahtari, Hash, Surec + Command Line, Alan Adi + Yol, Registry + Child Process, Dosya Hashi, Process Pattern. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.