Tehdit Aktörü Seçimi ve İstihbarat Toplama

Kuruma uygun tehdit aktörünü seçmeyi, güvenilir kaynakları karşılaştırmayı ve davranışları ATT&CK tekniklerine dönüştürmeyi öğretir.

Giris ve Temel Akis

Kuruma uygun tehdit aktörünü seçmeyi, güvenilir kaynakları karşılaştırmayı ve davranışları ATT&CK tekniklerine dönüştürmeyi öğretir.

Bu bölümün pratik akışı şu sırayla ilerler:

Sektör riskini belirle
Güvenilir kaynakları topla
Aktör davranışlarını ayır
Teknikleri ATT&CK ile eşleştir
Güncelliği doğrula
Emülasyon adaylarını seç

Temel Kavram Eslesmeleri

Tehdit Aktörü Seçimi ve İstihbarat Toplama kapsamında kullanılan araçlar ve yönetişim bileşenleri farklı görevleri destekler.

MITRE ATT&CK: Tehdit Aktörü Seçimi ve İstihbarat Toplama için birincil analiz veya emülasyon aracıdır
MISP: İkinci veri kaynağı veya doğrulama aracı olarak kullanılır
Rules of Engagement: İzinleri, sınırları ve durdurma koşullarını belirler
Evidence Log: Test zamanı, komut, çıktı ve gözlemleri kaydeder

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Threat Intelligence olarak verilir. Kuruma uygun tehdit aktörünü seçmeyi, güvenilir kaynakları karşılaştırmayı ve davranışları ATT&CK tekniklerine dönüştürmeyi öğretir. Bu çalışma yalnızca yazılı olarak yetkilendirilmiş laboratuvar veya test ortamında yürütülmelidir.

Arac, Komut veya Inceleme Akisi

Araç kullanımı öncesinde kapsam ve telemetri doğrulanır. Örnek güvenli komutlar: Get-FileHash .\intel.json Select-String -Path .\intel.json -Pattern technique

Bu bölümün pratik akışı şu sırayla ilerler:

Komutu İncele
Hedefi Doğrula
Telemetriyi Aç
Komutu Çalıştır
Çıktıyı Kaydet

Kanit ve Bilesen Iliskileri

Komut ve araç çıktıları, savunma doğrulamasında farklı kanıtlar üretir.

Get-FileHash .\intel.json: Birincil güvenli kontrol veya gözlem komutu
Select-String -Path .\intel.json -Pattern technique: İkinci doğrulama veya kayıt toplama komutu
MITRE ATT&CK: Emülasyon veya analiz sonucunu üretir
MISP: Sonucu bağımsız veri kaynağında doğrular

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram MITRE ATT&CK olarak verilir. Bu derste kullanılabilecek temel araçlardan biri MITRE ATT&CK, yardımcı doğrulama aracı ise MISP olarak seçilmiştir.

Operasyonel Dogrulama ve Raporlama

Emülasyon sonucunun öğretici olabilmesi için beklenen ve gözlenen telemetri karşılaştırılır.

Bu bölümün pratik akışı şu sırayla ilerler:

Beklenen Olayı Tanımla
Test Zamanını Kaydet
Endpoint Verisini Topla
Ağ veya Kimlik Verisini Topla
SIEM Sonucunu Karşılaştır
Detection Boşluğunu Yaz

Cikti ve Kullanım Amaci

Tatbikat çıktıları farklı ekipler tarafından farklı amaçlarla kullanılır.

Endpoint Telemetry: Süreç, dosya ve kullanıcı davranışlarını doğrular
Network Telemetry: Bağlantı ve trafik davranışlarını doğrular
Detection Result: Kuralın alarm üretip üretmediğini gösterir
Cleanup Evidence: Test artefactlarının kaldırıldığını kanıtlar

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Cleanup olarak verilir. Yetkili bir emülasyonun tamamlanması için test artefactlarının kaldırılması, geçici erişimlerin kapatılması ve ortamın başlangıç durumunun doğrulanması gerekir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Tehdit Aktörü Seçimi ve İstihbarat Toplama konusunu SOC L3 - Adversary Emulation - Red Teaming Simülasyonları baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: MITRE ATT&CK, MISP, Rules of Engagement, Evidence Log, Get-FileHash .\intel.json, Select-String -Path .\intel.json -Pattern technique, Endpoint Telemetry, Network Telemetry, Detection Result, Cleanup Evidence. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.