CyberFlow Logo CyberFlow BLOG
Soc L1 Teshis Triyaj

Siber Güvenlikte Vaka Açma ve Dokümantasyon Standartları

✍️ Ahmet BİRKAN 📂 Soc L1 Teshis Triyaj

Siber güvenlik olay yönetiminde vaka açma ve dokümantasyonun önemi üzerine detaylı bir inceleme.

Siber Güvenlikte Vaka Açma ve Dokümantasyon Standartları

Siber güvenlikte vaka açma (ticketing) ve dokümantasyon, olayların etkili yönetimi için kritik öneme sahiptir. Eğitim içeriğimiz ile bu sürecin inceliklerini öğrenin.

Giriş ve Konumlandırma

Siber güvenlik alanında, olay yönetimi süreçlerinin etkili bir şekilde yürütülmesi, bilgi güvenliğinin temel taşlarından biridir. Bu süreçlerin en önemli bileşenlerinden biri olan vaka açma (ticketing) ve dokümantasyon standartları, olayların doğru bir şekilde kaydedilmesi, incelenmesi ve yorumlanması için kritik öneme sahiptir. Olayların doğru bir biçimde kaydedilmesi, yalnızca mevcut tehditleri yönetmekle kalmaz, aynı zamanda gelecekte benzer durumların önlenmesine yönelik stratejilerin geliştirilmesine de olanak tanır.

Vaka Açma ve Dokümantasyon Neden Önemlidir?

Siber saldırıların karmaşıklığı ve sıklığı her geçen gün artmakta, bu durum siber güvenlik analistlerinin etkin algılama ve müdahale yeteneklerini geliştirmenin yanı sıra, bu yetenekleri destekleyecek bir dokümantasyon sürecinin gerekliliğini de artırmaktadır. Olay yönetimi süreçlerinde kayıt altına alınan tüm veriler, bir saldırının analizi ve risk yönetimi için hayati bir rol oynamaktadır. "Söz uçar, yazı kalır." anlayışı, siber güvenlik pratiği içinde çok yönlü olarak geçerlilik kazanır. Yapılan her işlem, ileride bir hukuki süreçte veya başka bir saldırı senaryosunda referans olarak kullanılabilir, bu nedenle olay yönetimi sisteminde oluşturulan kayıtlar dikkatle hazırlanmalıdır.

Siber Güvenlik ve Penetrasyon Testi Bağlamında Vaka Yönetimi

Siber güvenlik analistleri, güvenlik olaylarını yalnızca görsel izleme ile değil, detaylı bir vaka yönetim süreciyle de ele almalıdır. Penetrasyon testleri sırasında ortaya çıkan zafiyetlerin doğru bir şekilde belgelenmesi, bu zafiyetlerin ne şekilde istismar edileceğine dair öngörülerde bulunmayı ve benzer saldırılara karşı proaktif önlemler alınabilmesini sağlar. Olayın yaşam döngüsü, açık, işlemde ve kapalı gibi durum kodları ile tanımlanan aşamalardan oluşur. Her bir aşamada izlenmesi gereken adımlar, analistlerin etkinliğini artıracak şekilde yapılandırılmalıdır.

## Vakanın Durum Kodları

- **Open (Açık)**: Alarm yeni düştü, bir analistin incelemesini bekliyor.
- **In Progress (İşlemde)**: Analist vakayı üzerine aldı ve aktif inceleme sürdürülüyor.
- **Closed (Kapalı)**: İnceleme tamamlandı, karar verildi ve vaka sonlandırıldı.

İspat Yükümlülüğü ve Standart Operasyon Prosedürleri

Her siber güvenlik olayı, olayın gerçekleştiğine dair kanıtların toplanmasını gerektirir. Zararlı IP adresleri, log ekran görüntüleri veya ağ trafiği dosyaları gibi kanıtlara "evidence" (ispati yükümlülüğü) denir. Bu belgeler, olayın analizi ve gelecekteki koruma stratejilerinin geliştirilmesi açısından büyük değer taşır. Ayrıca, analistlerin belirli alarm türlerini incelemek için kullanacakları araçlar ve yöntemler, standart operasyon prosedürleri (Playbook) ile sistematik bir şekilde tanımlanmalıdır. Böylelikle analistler, olayların çözüm süreçlerini daha güvenilir ve hatasız bir biçimde gerçekleştirebilirler.

Vardiya Devirleri ve Süreklilik

Siber güvenlik ekiplerinde çalışan analistlerin, mesai saatleri sonunda vaka bilgilerini bir sonraki ekibe sorunsuz bir şekilde aktarması gerekmektedir. Bu aktarma işlemine "Shift Handover" (vardiya devri) denir ve bu süreçler, organizasyonun sürekli güvenlik sağlama yeteneğini pekiştirir. Açık vakaların detaylı notlarla birlikte devir teslim edilmesi, yeni ekibin olaya dair kritik bilgilere hızlı bir şekilde ulaşmasını sağlar.

Sonuç olarak, siber güvenlikte vaka açma ve dokümantasyon standartları, yalnızca olayların etkili bir şekilde yönetilmesi için değil, aynı zamanda gelecekteki güvenlik stratejilerinin temellerini atmak adına da hayati öneme sahiptir. Bu nedenle, analistlerin bu süreçleri etkili bir şekilde yönetmeleri beklentisi içindeyiz. Okuyucular, sonraki bölümlerde bu süreçlerin detaylarını, ayrıca iyi ve kötü vaka kapatma notlarının nasıl hazırlanacağına dair bilgileri daha derinlemesine inceleme fırsatı bulacaklardır.

Teknik Analiz ve Uygulama

Kayıt Altında

Siber güvenlik incident management sürecinde, olayların yönetimi ve dokümantasyonu kritik bir öneme sahiptir. SOC (Security Operations Center) ortamında yapılan her işlem ve elde edilen veriler, kaydedilerek izlenmelidir. Bu işlem, olası bir hukuki süreçte veya benzer bir saldırı senaryosunda referans olarak kullanılabilmesi açısından gereklidir. Yazılı dokümantasyon, "Söz uçar, yazı kalır" ilkesine dayanarak, siber güvenlik süreçlerinin belgeleyici bir hafızasıdır.

Vaka yönetimi sistemine (ticketing system) kaydedilen olayların detayları, müdahale sürecindeki tüm aşamaları içermelidir. Bir olay meydana geldiğinde, oluşturulacak vaka kaydı (ticket), o olayın tanımı, analist tarafından yapılan eylemler ve alınan kararlarla birlikte düzenli bir şekilde tutulmalıdır.

# Örnek komut: Vaka oluşturma
create_ticket --issue "Phishing Alert" --priority "High" --description "Potential phishing attempt detected on user A."

Yukarıdaki komut, yeni bir vaka oluşturmak için kullanılan basit bir örnektir.

Altın Kural

Siber güvenlik alanında en önemli kural, "yazılmayan ve kaydedilmeyen hiçbir işlem SOC ortamında yapılmış sayılmaz"dır. Herhangi bir analiz ya da müdahale sürecinde, işlemlerin kaydedilmesi gerektiğini yinelemek önemlidir. Bu, hem analiz sürecinin hatırlanabilirliğini artırır hem de gelecekteki başvurular için değerlilik kazanır.

Vakanın Yaşam Döngüsü

Bir vakanın yaşam döngüsü, genellikle şu durum kodlarıyla tanımlanır:

  • Open (Açık): Alarm yeni düştü ve bir analistin incelemesini bekliyor.
  • In Progress (İşlemde): Analist vakayı üzerine aldı ve aktif inceleme yapıyor.
  • Closed (Kapalı): İnceleme tamamlandı ve karar verildi.

Her bir durum kodu, olayın ilerlemesine dair kritik bilgiler sunar ve bu bilgiler dokümantasyonun bir parçası olmalıdır. Örnek bir vaka durumu kodunun uygulamadaki karşılığı aşağıdaki şekilde gösterilebilir:

# Vaka durumu örneği
ticket_id: 12345
status: Open
description: "User A reported phishing email."
assigned_to: "Analist 1"

İspat Yükümlülüğü

Olay yönetiminde, belgelenmesi gereken bir başka önemli kavram da ispat yükümlülüğüdür. Vaka dosyası, zararlı IP adresleri, log ekran görüntüleri veya PCAP ağ dosyaları gibi ispatlayıcı teknik materyalleri içermelidir. Bu tür belgeler, analiz sürecinin doğruluğunu sağlamak adına kritik öneme sahiptir ve ilerideki süreçlerde referans alınabilecek belgeleri oluşturur.

# İspatlayıcı belge örneği
- IP Address: 192.168.1.101
- Log: "User A accessed the suspicious link."
- PCAP: "Network traffic capture for detailed analysis."

Bu tür belgeler, karar aşamalarında destekleyici bir kaynak teşkil eder.

Standart Operasyon

Vaka yönetiminde, analistlerin belirli alarm tiplerini (örneğin Phishing veya Malware) incelerken kullanması gereken adımları belirten standart operasyon prosedürlerine 'Playbook' denir. Her bir playbook, olayın türüne göre özel stratejiler ve adımlar içerir, bu da analistlerin vakaları standart ve hatasız bir şekilde çözebilmesini sağlar. 

# Playbook örneği
Playbook: Phishing Incident Response
1. Alarmı doğrula.
2. Kullanıcıdan onay al.
3. Sistem mühürle (quarantine).
4. Logları topla.
5. Durumu yönetim ve kullanıcıya bildir.

Bayrak Yarışı

Olay yönetiminde, bir vardiyanın sona erdiği durumda, henüz çözülememiş ve incelemesi devam eden açık vakaların detaylı notlarla birlikte bir sonraki ekibe aktarılması işlemine "Vardiya Devir" (Shift Handover) denir. Bu süreç, bilgilerin kaybedilmeden aktarılması ve durumun kesintisiz bir şekilde izlenebilmesi açısından büyük önem taşır.

Kapatma Notları

Vaka kapatma sürecinde analistler, olayı sonlandırmadan önce kapanış notları yazmalıdır. Kapatma notları, olayın detayları, alınan kararlar ve gelecekteki referanslar için gerekli bilgiler içermelidir. Kapanış notlarının iki şekilde olabileceği belirtilebilir; kötü not ve iyi not şeklinde. İyi kapanış notları, açık ve anlaşılır bilgiler sunarken, kötü notlar belirsizlik içerir. 

# Kapatma notları örneği
- Kötü Not: "Temiz görünüyor, FP, kapatıldı."
- İyi Not: "Kullanıcı ile teyit edildi. İşlem şirket içi zafiyet tarama aracına (IP: X.X.X.X) aittir. Kapatıldı."

Sonuç olarak, siber güvenlikte vaka açma ve dokümantasyon standartları, doğru bir olay yönetimi süreci için gereklidir. Uygulayıcıların olayları sistematik bir şekilde ele alması, kayıt altına alması ve dokümante etmesi, siber güvenlik stratejilerinin başarısını artıracaktır.

Risk, Yorumlama ve Savunma

Siber güvenlik olay yönetimi, incelenen alarmların ve olayların kalitesini artırmak için gerekli adımları içerir. Bu adımlar, herhangi bir güvenlik olayı için oluşturulan risk değerlendirmelerini anlamayı ve bunları etkili bir şekilde dokümante etmeyi gerektirir. Risk değerlendirmesi, alınan bulguların güvenliğini yorumlamakla başlar.

Bulguların Güvenliği ve Yorumlanması

Siber güvenlikte elde edilen bulgular, belirli bir olayın tehdit düzeyini anlamak için kritiktir. Örneğin, bir sızma testi sonucu elde edilen veriler veya bir anormal kullanıcı davranışı raporu üzerinden risk analizi yapılabilir. Aşağıda bu tür bulguların nasıl yorumlanabileceğine dair bir örnek verilmiştir:

Sızan veri: Kullanıcı kimlik bilgileri
Topoloji: Kullanıcıdan gelen isteklerin yoğunluğu ve zamanlaması
Servis tespiti: Şüpheli bir IP adresinden gelen giriş denemeleri

Yukarıdaki veriler doğrultusunda, sızan kullanıcı bilgileri potansiyel bir hesap ele geçirmeye yol açabilir. Topolojideki tutarsızlık, kullanıcı hesabının kontrolünün kaybolduğunu gösteriyor olabilir. Bu tür bulguların detaylı analizi, gelecekteki saldırıların önlenmesi için gerekli önlemleri almayı sağlar.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, pek çok güvenlik olayının kökeninde yatar. Örneğin, bir sunucunun internetten erişilebilir bir portunun yanlış açılması, siber saldırganların bu kapıdan içeri sızmasına yol açabilir. Diğer yandan, güncellenmeyen yazılımlar da zafiyetler barındırabilir. Bu tür durumların etkileri arasında bilgi sızıntıları, sistem çöküşleri veya hizmet kesintileri sayılabilir.

Analistlerin bu tür zafiyetleri zamanında tespit edip düzeltebilmeleri için belirli standart operasyon prosedürlerine uymaları önemlidir. Şu şekilde ifade edebiliriz:

Yanlış yapılandırma durumu: Açık portlar
Sonuç: Yetkisiz erişim ve veri sızıntısı ihtimali

Bu tür durumlar için sürekli olarak sistem yapılandırmalarının gözden geçirilmesi ve güncellemelerin zamanında yapılması kritik bir önlem teşkil eder.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte risklerin yönetimi, proaktif bir yaklaşım gerektirir. İşte önerilen bazı önleyici tedbirler:

  1. Güvenlik Duvarları ve Filtreleme: Tüm gelen ve giden trafiğin güvenlik duvarları üzerinden geçmesini sağlamalıyız. Bu, şüpheli kaynaklardan gelen isteklerin engellenmesine olanak tanır.

  2. Sızma Testleri: Düzenli olarak pentest (sızma testi) yapılmalı. Bu testlerde elde edilen bulgular, potansiyel zafiyetleri tespit etmek için kullanılabilir.

  3. Düzenli Güncellemeler: Yazılımların, uygulamaların ve işletim sistemlerinin güncellemeleri sürekli olarak yapılmalıdır. Bu güncellemeler, bilinen zafiyetleri kapatır.

  4. Kullanıcı Eğitimi: Çalışanların siber güvenlik konusunda bilinçlendirilmesi, en önemli savunma katmanlarından biridir. Örneğin, şifre güvenliği ve phishing saldırıları hakkında eğitim verilmelidir.

Sonuç Özeti

Siber güvenlikte olay yönetiminde, risk değerlendirmesi ve yorumlama hayati öneme sahiptir. Elde edilen bulguların anlamını doğru şekilde yorumlamak, olası tehdidi önceden belirlemek için gereklidir. Yanlış yapılandırma ve zafiyetler, siber saldırılara kapı aralayabilir. Bu nedenle, profesyonel önlemler ve hardening önerileri uygulanarak sistemlerin güvenliği artırılmalıdır. Yalnızca bu şekilde, güvenlik açıklarını en aza indirmek ve olası saldırılara karşı daha dirençli bir duruma geçmek mümkün olacaktır.