CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

SOAR Bileşenleri: Veri Alma, Orkestrasyon ve Otomasyon

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

SOAR platformlarının temel bileşenlerini keşfedin: Veri Alma, Orkestrasyon, Otomasyon ve Vaka Yönetimi ile siber güvenlik stratejilerinizi güçlendirin.

SOAR Bileşenleri: Veri Alma, Orkestrasyon ve Otomasyon

SOAR bileşenleri, güvenlik olaylarının yönetiminde kritik bir rol oynuyor. Veri Alma, Orkestrasyon, Otomasyon ve Vaka Yönetimi konularında önemli bilgileri bu yazıda bulabilirsiniz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, güvenlik olaylarının etkili bir şekilde yönetimi ve yanıtlanması, kuruluşların güvenliğini sağlamak için kritik bir öneme sahiptir. Günümüzün karmaşık tehdit ortamında, birçok güvenlik aracının beraber çalışabilmesi ve olayların hızlı bir şekilde ele alınabilmesi için SOAR (Security Orchestration, Automation and Response) platformları, önemli bir çözüm olarak karşımıza çıkmaktadır. SOAR bileşenleri olan veri alma (ingestion), orkestrasyon ve otomasyon, bu platformların temel yapı taşlarıdır ve siber güvenlik yönetim süreçlerinin etkinliğini artıra durarak güvenlik ekiplerinin işlerliğini güçlendirir.

Veri Alma (Ingestion)

SOAR platformlarının ilk adımı olan veri alma, farklı kaynaklardan gelen alarmların ve olay verilerinin platforma aktarılması süreçlerini kapsar. Bu süreç, SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) ve phishing mailbox gibi çeşitli kaynaklardan veri çekmeyi içerir. Örneğin, bir SIEM platformu, güvenlik alarmlarını oluşturan çeşitli korelasyon kurallarını kullanarak alarmları oluşturur ve bu veriler SOAR platformuna entegre edilir.

Veri Alma (Ingestion) Süreci:
1. Alarm ve olay oluşur.
2. SIEM platformu ilgili veriyi oluşturur.
3. SOAR, bu verileri içe aktarır.

Bu ilk adımın önemi, olayların doğru bir şekilde izlenmesi ve analiz için gereken verilerin zamanında toplanmasıdır. Verilerin anlık olarak toplanması, güvenlik ekiplerinin potansiyel tehditlere hızlı bir şekilde tepki vermesine olanak tanır.

Orkestrasyon

Orkestrasyon, SOAR platformunun farklı güvenlik araçlarının birlikte çalışmasını sağlamak ve yönlendirmek adına hayati bir işlemdir. Geniş çaplı bir süreç olan orkestrasyon, firewall, Active Directory ve EDR gibi bağımsız güvenlik sistemlerinin entegrasyonunu içerir. Bu sistemler arasında bilgi akışını sağlayarak, belirli bir olayın yönetimini tek bir merkezden kontrol etmeyi mümkün kılar.

Orkestrasyon Süreci:
1. Farklı güvenlik araçları bir araya gelir.
2. SOAR platformu, bu araçlar arasında veri akışını yönetir.
3. Koordine edilen görevler tamamlanır.

Orkestrasyonun sağladığı bu entegrasyon, olay müdahalesinde maksimum verimlilik ve hız sağlar. Örneğin, bir zararlı yazılım tespit edildiğinde, SOAR otomatik olarak farklı güvenlik araçlarına komut gönderebilir, böylece bir güvenlik duvarı, zararlı IP’leri engelleyebilir, bu da insan müdahalesine ihtiyaç duymadan olay müdahalesinin hızlı bir şekilde gerçekleşmesini sağlar.

Otomasyon

Otomasyon, SOAR sisteminin sunduğu diğer önemli bir bileşendir. Bu kavram, belirli görevlerin otomatik bir şekilde gerçekleştirilmesini ifade eder. Örneğin, belirli bir IP adresinin otomatik olarak engellenmesi gibi görevler, insan müdahalesine gerek kalmaksızın sistem tarafından yönetilir. Otomasyon, güvenlik ekiplerinin tekrarlayan ve zaman alıcı görevlerden kurtulmasına yardımcı olarak daha stratejik görevlere odaklanmalarını sağlar.

Otomasyon Süreci:
1. Belirli bir olay tespit edilmiştir.
2. SOAR, otomasyon kurallarını devreye sokar.
3. Belirtilen eylemler (örn. IP engelleme) otomatik olarak gerçekleştirilir.

Otomasyonun en önemli avantajlarından biri, hızın artması ve insan hatası riskinin azalmasıdır. Güvenlik ekipleri, olaylara ve tehditlere daha hızlı yanıt verip, süreçleri etkin bir biçimde yönetme olanağına sahip olur.

Sonuç

SOAR platformlarının veri alma, orkestrasyon ve otomasyon bileşenleri, siber güvenlik olaylarının yönetilmesinde önemli bir rol oynamaktadır. Bu bileşenlerin etkili entegrasyonu, güvenlik ekiplerinin iş akışlarını optimize etmesine ve tehditlere hızlı bir şekilde yanıt vermesine olanak tanır. Gelecek bölümlerde, bu bileşenlerin detaylarını ve işlevlerini daha derinlemesine inceleyeceğiz, böylece SOAR'ın siber güvenlik stratejilerindeki rolünü daha iyi anlayabileceğiz.

Teknik Analiz ve Uygulama

Veri Alma (Ingestion)

Veri alma, SOAR (Security Orchestration, Automation, and Response) platformlarının en temel bileşenidir. SOAR, olay verilerini ve alarmları dış kaynaklardan alarak kendi içine çeker. Bu süreç, güvenlik olaylarını daha etkili bir şekilde yönetmek için gereklidir. Verilerin doğru ve zamanında alınması, siber güvenlik olaylarına hızlı yanıt verebilmek için kritik bir adımdır. SOAR platformları, genellikle SIEM (Security Information and Event Management) sistemleri, EDR (Endpoint Detection and Response) çözümleri veya phishing mailbox'lar gibi çeşitli veri kaynakları kullanarak verilerini tedarik eder.

# Splunk'tan veri çekme örneği
curl -X GET "https://<Splunk_Instance>/services/search/jobs/export" \
-H "Authorization: Splunk <TOKEN>" \
-d "search=search index=security_alerts | head 10"

Bu komut, Splunk üzerindeki güvenlik alarmlarını çekmek için kullanılabilir. SOAR platformları, verileri çekerken API'ler üzerinden entegrasyonları kullanarak veri kaynakları ile iletişim kurar.

SOAR'ın Dört Temel Sütunu

SOAR çözümlerinin ana yetenekleri şu dört temel sütunda toplanabilir:

  • Veri Alma (Ingestion): Alarmlar ve olay verilerinin toplanması.
  • Orkestrasyon: Farklı güvenlik ürünlerinin entegre çalışması.
  • Otomasyon: Belirli görevlerin otomatik olarak gerçekleştirilmesi.
  • Vaka Yönetimi (Case Management): Olayların yönetimi ve analizi.

Bu bileşenlerin her biri, siber güvenlik olaylarına etkin bir yanıt vermeye yardımcı olur. Özellikle orkestrasyon ve otomasyonun doğru bir şekilde uygulanması, tehlikeleri minimize etmek için önemlidir.

Orkestrasyonun Amacı

Orkestrasyon, bağımsız olarak çalışan farklı güvenlik araçlarının birbiriyle uyum içinde çalışmasını sağlar. Bu süreç, güvenlik ürünlerinin iletişimini kolaylaştırarak siber güvenlik yanıt süreçlerini hızlandırır. Örneğin, bir saldırı algılandığında, bir firewall üzerinde belirli bir IP adresinin otomatik olarak engellenmesi gibi işlemler orkestrasyon sürecinin bir parçası olabilir.

Orkestrasyon araçları arasında bir sipariş dizisi oluşturarak, sistem ve ekipmanların birbiriyle uyumlu çalışmasını sağlamak için gerekli adımlar mantıksal bir sıralama içinde gerçekleştirilir. Bu, zaman kaybını önler ve insan hata payını azaltır.

Otomasyon (Automation)

Otomasyon, orkestrasyon sürecinin bir devamı olarak değerlendirilebilir. Belirli bir görevin (örneğin IP engelleme) insan müdahalesi olmadan gerçekleştirilmesine olanak tanır. Otomasyon, güvenlik süreçlerini basitleştirir, hızlı yanıt süreleri sağlar ve tekrarlayan görevleri minimize eder. SOAR platformları, otomasyon adımlarını kullanarak güvenlik araçları üzerinde doğrudan aksiyon alabilir.

# Otomasyon örneği: IP engelleme komutu
curl -X POST "https://<Firewall_Instance>/block_ip" \
-H "Authorization: Bearer <TOKEN>" \
-d '{"ip": "192.168.1.1"}'

Bu örnek, belirli bir IP adresinin otomatik olarak engellenmesi için kullanılacak bir otomasyon komutunu gösterir.

Orkestrasyon vs. Otomasyon

Orkestrasyon ve otomasyon genellikle karıştırılmakla birlikte, işlevsel olarak farklı amaçlara hizmet eder. Orkestrasyon, çoklu sistemlerin birlikte çalışmasını sağlar ve süreçleri koordine ederken; otomasyon, belirli eylemlerin hızlı ve doğrudan bir şekilde gerçekleştirilmesini sağlar. Orkestrasyon daha geniş bir bakış açısıyla sistemler arası iletişimi yönetirken, otomasyon daha dar bir alanda belirli görevleri yerine getirir.

Vaka Yönetimi (Case Management)

Vaka yönetimi, bir olaya ait tüm log, analiz ve aksiyonların tek bir ekrandan yönetilmesi sürecidir. SOAR platformu, olayları daha etkili bir şekilde yönetmek amacıyla vakaları analiz etmek ve yanıt vermek için bir yapı sunar. Bu, güvenlik analistlerinin daha hızlı ve daha doğru kararlar almasına olanak sağlar.

Vaka yönetimi sistemlerinde, alarm içerisinden çıkarılan IP adresi, URL, dosya hash'i gibi dijital deliller "bulgu" olarak adlandırılır. Bu bulgular, analistlere olayla ilgili derinlemesine analiz yapma şansı tanır.

# Vaka yönetimi için bulguların listelenmesi
GET /case-management/cases/{case_id}/artifacts

Yukarıdaki örnekte, bir vakaya ait bulguların (artifacts) listelendiği bir API çağrısının yapılışı gösterilmektedir.

Uygulamalar ve Entegrasyonlar

SOAR platformunun diğer güvenlik araçlarıyla (örn: CrowdStrike, Palo Alto) entegrasyonu, API'ler kullanılarak gerçekleştirilen entegrasyon eklentileri aracılığıyla sağlanır. Bu entegrasyonlar, çok katmanlı bir güvenlik mimarisi oluşturmayı ve var olan sistemlerin uyumlu çalışmasını mümkün kılar.

Entegrasyonlar sayesinde, SOAR çözümleri mevcut güvenlik altyapınızla sorunsuz bir şekilde çalışabilir; bu da olay yönetimini ve yanıt verme süreçlerini optimize eder. Etkin bir SOAR uygulaması, güvenlik altyapısının yanı sıra bağlı olduğu tüm sistemlerin verimliliğini artırır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk, yorumlama ve savunma, güvenlik stratejilerinin en önemli bileşenleri olarak karşımıza çıkar. SOAR (Security Orchestration, Automation and Response) platformları, güvenlik olaylarının otomasyonunu ve orkestrasyonunu sağlarken, aynı zamanda elde edilen bulguların güvenlik anlamını yorumlamada da kritik bir rol oynar. Bu bölümde, elde edilen bulguların analizine, yanlış yapılandırmaların ve zafiyetlerin etkilerine, sızan veri ve servislerin tespitine ve profesyonel önlemler ile hardening önerilerine yer vereceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Bir SOAR platformu, SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) ve diğer güvenlik araçlarından gelen verileri alarak güvenlik alarmlarını işler. Örnek olarak, bir SIEM platformundan gelen bir uyarı durumu düşünelim:

Uyarı: Şüpheli IP adresi (192.0.2.1) sistemde anormal etkinlik sergiliyor.

Bu tür bir uyarı, sistemde bir risk oluşabileceğinin göstergesi olabilir. SOAR platformu bu durumu yorumlarken, benzer vakalarla ilişkili onaylı veri kaynaklarını inceleyerek bu IP adresinin geçmişteki etkinliğini ve potansiyel tehdit bilgilerini değerlendirebilir. Düşük güvenlik puanına sahip olan bir IP adresinin aktif olması, bir sızma girişiminin işareti olabilir.

Yanlış Yapılandırmalar ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, bir organizasyonun güvenlik duvarlarının veya sistemlerinin beklenmedik şekilde açılmasına yol açarak büyük riskler oluşturabilir. Örneğin, yanlışlıkla açık bırakılan bir port (örneğin TCP 8080), saldırganların sisteme erişimini kolaylaştırabilir. Bu bağlamda, sıkı bir konfigürasyon yönetimi ve sıkı güvenlik politikalarının uygulanması kritik öneme sahiptir.

Zafiyetlerin etkisini gözlemlemek için bir sızma testi yapılabilir. Örneğin, bir sistemde bilinen bir zafiyet (CVE-2023-XXXX) var ise, SOAR platformu bu zafiyetle ilişkilendirilmiş kötü niyetli etkinlikleri keşfedebilir. Bu tür zafiyetlerin aktif olarak kullanılmakta olduğu durumlarda, risk büyük ölçüde artar.

Sızan Veri ve Servis Tespiti

Veri sızıntıları, bir organizasyon için büyük tehditler oluşturur. Kullanıcıların kimlik bilgileri, mali veriler veya korunması gereken hassas bilgiler sızarsa, bu durum büyük zararlara yol açabilir. SOAR, veritabanı erişim günlüklerini analiz ederek veya belirli IP adreslerinin kötüye kullanım geçmişini inceleyerek olası veri sızıntılarını tespit edebilir.

Örneğin, bir sızma olayında, bir kullanıcı adının ve şifresinin dışında milyonlarca kullanıcı verisi sızabilir. Bu durumda SOAR platformu, aşağıdaki komutları çalıştırarak etki alanındaki tüm kullanıcı hesaplarını inceleyebilir:

grep 'brute-force-login' access.log | awk '{print $1}' | sort | uniq -c | sort -nr

Bu komut, güvenlik günlüklerini inceleyerek en fazla yeniden deneme yapılan IP adreslerini listeler ve olası bir ihlali önceden tespit etmeye yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Organizasyonların siber güvenlik protokollerini güçlendirmek için profesyonel önlemler almaları elzemdir. Öncelikle, tüm sistemlerin güncel tutulması ve bilinen zafiyetlerin zamanında kapatılması sağlanmalıdır. Bunun yanı sıra, aşağıdaki hardening önerilerine dikkat edilmelidir:

  1. Güvenlik Duvarı ve Saldırı Tespit Sistemleri: Güvenlik duvarı kuralları doğru bir şekilde yapılandırılmalı ve saldırı tespit sistemleri etkin bir şekilde izlenmelidir.
  2. Erişim Kontrolleri: Kullanıcıların yalnızca gerekli seviyede erişim iznine sahip olmalarını sağlayan katı kurallar ve kullanıcı yönetimi uygulamak.
  3. Düzenli Güvenlik Testleri: Penetrasyon testleri ve zafiyet değerlendirmeleri düzenli olarak gerçekleştirilmelidir.
  4. Eğitim ve Farkındalık: Çalışanların güncel siber tehditler hakkında bilgi sahibi olmaları için düzenli eğitim programları uygulanmalıdır.

Sonuç Özeti

Siber güvenlikte risk, yorumlama ve savunma kavramları, bir SOAR platformunun performansında merkezi bir rol oynamaktadır. Elde edilen bulguların etkili bir şekilde yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerinin anlaşılması, sızan veri ve servislerin tespit edilmesi, güvenlik stratejileri üzerinde büyük bir etki yaratır. Ayrıca, profesyonel önlemler ve hardening uygulamaları, en iyi güvenlik uygulamalarını sürdürmek için kritik önem taşımaktadır. Bu yazının ışığında, güvenlik ekiplerinin sistemlerini nasıl güçlendirebileceği konusunda önemli tesbitler yapılabilmiştir.