Güvenlik Yapılandırması Değişikliği Simülasyonları

Gerçek korumayı kapatmadan yapılandırma driftini test dosyaları ve politika karşılaştırmalarıyla emüle etme. Test yalnızca yazılı olarak yetkilendirilmiş ve geri dönüş planı bulunan laboratuvar ortamında yürütülür.

Giris ve Temel Akis

Bu bölümün pratik akışı şu sırayla ilerler:

Referans yapılandırmayı kaydet
Kritik ayarları seç
Sentetik drift kaydı oluştur
Compliance aracını çalıştır
Alarm ve raporu incele
Referans durumunu doğrula

Temel Kavram Eslesmeleri

Güvenlik Yapılandırması Değişikliği Simülasyonları kapsamında kullanılan araçlar ve yönetişim bileşenleri farklı görevleri destekler.

CIS-CAT: Birincil test, analiz veya telemetri doğrulama aracı
PowerShell DSC: İkinci veri kaynağı veya bağımsız doğrulama aracı
Rules of Engagement: İzinleri, sınırları ve durdurma koşullarını belirler
Cleanup Plan: Test artefactlarının güvenli biçimde geri alınmasını tanımlar

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Configuration Drift olarak verilir. Gerçek korumayı kapatmadan yapılandırma driftini test dosyaları ve politika karşılaştırmalarıyla emüle etme. Amaç gerçek güvenlik kontrollerini aşmak değil, bu davranışlara karşı görünürlük ve detection dayanıklılığını ölçmektir.

Arac, Komut veya Inceleme Akisi

Konuya uygun güvenli gözlem veya lab komutları: Get-MpPreference | Select-Object DisableRealtimeMonitoring,PUAProtection Get-NetFirewallProfile | Select-Object Name,Enabled

Bu bölümün pratik akışı şu sırayla ilerler:

Komutu İncele
Lab Hedefini Doğrula
Telemetriyi Aç
Komutu Çalıştır
Çıktıyı Kaydet
Cleanup Yap

Kanit ve Bilesen Iliskileri

Komut ve araç çıktıları, evasion davranışlarının savunma tarafındaki izlerini doğrulamak için kullanılır.

Get-MpPreference | Select-Object DisableRealtimeMonitoring,PUAProtection: Birincil güvenli kontrol veya sentetik test komutu
Get-NetFirewallProfile | Select-Object Name,Enabled: Olay, durum veya cleanup doğrulama komutu
CIS-CAT: Ana analiz veya emülasyon çıktısını sağlar
PowerShell DSC: Sonucu ikinci bir veri kaynağında doğrular

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram CIS-CAT olarak verilir. Bu derste birincil araç olarak CIS-CAT, yardımcı doğrulama aracı olarak PowerShell DSC kullanılır.

Operasyonel Dogrulama ve Raporlama

Evasion testinin öğretici olması için beklenen telemetri, gözlenen olay ve detection sonucu aynı zaman çizelgesinde karşılaştırılır.

Bu bölümün pratik akışı şu sırayla ilerler:

Beklenen Olayı Tanımla
Test Zamanını Kaydet
Endpoint Verisini Topla
Ağ veya Kimlik Verisini Topla
SIEM Sonucunu Karşılaştır
Detection Boşluğunu Yaz

Cikti ve Kullanım Amaci

Evasion testi çıktıları farklı savunma ekiplerine farklı kanıtlar sunar.

Endpoint Telemetry: Süreç, dosya ve yapılandırma davranışlarını doğrular
Network Telemetry: Bağlantı, DNS ve proxy görünürlüğünü doğrular
Detection Result: Kuralın alarm üretip üretmediğini gösterir
Cleanup Evidence: Test artefactlarının kaldırıldığını kanıtlar

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Cleanup olarak verilir. Test tamamlandığında sentetik artefactlar kaldırılır, değişiklikler geri alınır ve güvenlik araçlarının başlangıç durumunda olduğu doğrulanır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Güvenlik Yapılandırması Değişikliği Simülasyonları konusunu SOC L3 - Adversary Emulation - Savunma Atlama (Evasion) Testleri baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: CIS-CAT, PowerShell DSC, Rules of Engagement, Cleanup Plan, Get-MpPreference | Select-Object DisableRealtimeMonitoring,PUAProtection, Get-NetFirewallProfile | Select-Object Name,Enabled, Endpoint Telemetry, Network Telemetry, Detection Result, Cleanup Evidence. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.