CyberFlow Logo CyberFlow BLOG
Soc L3 Cloud Security

Veri Madenciliği Nedir? SOC'ta Kullanım Alanları

✍️ Ahmet BİRKAN 📂 Soc L3 Cloud Security

Veri Madenciliği Nedir? SOC'ta Kullanım Alanları konusunu SOC L3 - İleri Tehdit Avcılığı - Veri Madenciliği ve Modelleme baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Veri Madenciliği Nedir? SOC'ta Kullanım Alanları

Veri madenciliği, büyük veri kümelerinden anlamlı örüntüler ve ilişkiler çıkarmak için kullanılan analitik bir süreçtir. SOC ortamında bu süreç; milyonlarca log kaydı, ağ akışı ve olay verisi arasından tehdit göstergelerini otomatik olarak yüzeye çıkarmak için kullanılır.

Giris ve Temel Akis

Veri madenciliği, büyük veri kümelerinden anlamlı örüntüler ve ilişkiler çıkarmak için kullanılan analitik bir süreçtir. SOC ortamında bu süreç; milyonlarca log kaydı, ağ akışı ve olay verisi arasından tehdit göstergelerini otomatik olarak yüzeye çıkarmak için kullanılır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • büyük veri
  • analiz et
  • örüntü
  • tanımla
  • anomali
  • sınıflandır
  • tehdit

Temel Kavram Eslesmeleri

Veri madenciliği dört temel görev üzerine kurulur: sınıflandırma, kümeleme, anomali tespiti ve ilişki analizi. Her biri SOC süreçlerinde farklı bir analitik ihtiyacı karşılar.

  • Sınıflandırma: Trafiği zararlı / zararsız olarak etiketler
  • Kümeleme: Benzer davranışlı kullanıcıları gruplar
  • Anomali Tespiti: Normalden sapan olayları işaretler
  • İlişki Analizi: Birlikte gerçekleşen olaylar arası bağ kurar

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram toplama olarak verilir. SOC'ta veri madenciliği uygulamalarının odak noktası ham log verisini işlenebilir istihbarata dönüştürmektir. Bu sürecin ilk adımı verinin toplanması, ikinci adımı ise verinin temizlenmesi ve normalleştirilmesidir.

Arac, Komut veya Inceleme Akisi

SIEM platformları veri madenciliğinin SOC'taki birincil uygulama alanıdır. Splunk'ta temel bir tehdit avcılığı sorgusu şu şekilde yazılır: index=firewall earliest=-24h | stats count by src_ip, action | where count > 1000 AND action="BLOCK"

Bu bölümün pratik akışı şu sırayla ilerler:

  • index=firewall
  • | stats count
  • by src_ip, action
  • | where count > 1000
  • | sort -count

Kanit ve Bilesen Iliskileri

SOC'ta veri madenciliği farklı veri kaynaklarına uygulanır. Her kaynak farklı tehdit vektörlerine görünürlük sağlar ve analistlerin farklı saldırı aşamalarını tespit etmesine olanak tanır.

  • NetFlow / IPFIX: Ağ içi lateral movement tespiti
  • Windows Event Log: Kimlik doğrulama ve ayrıcalık kötüye kullanımı
  • DNS Sorgu Logu: C2 beaconing ve tünelleme tespiti
  • Proxy Logu: Web tabanlı veri sızıntısı analizi

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram false negative olarak verilir. Veri madenciliğinde model kalitesini ölçmek için precision ve recall metrikleri kullanılır. SOC bağlamında yüksek false positive oranı analist yorgunluğuna, yüksek false negative oranı ise gözden kaçan tehditlere yol açar.

Operasyonel Dogrulama ve Raporlama

Tehdit avcılığında veri madenciliği süreci genellikle bir hipotezle başlar. Python ile basit bir log anomali tespiti şu şekilde yapılır: anomaly = df.groupby('user')['failed_login'].sum()

Bu bölümün pratik akışı şu sırayla ilerler:

  • import pandas as pd
  • df = pd.read_csv('auth.log')
  • anomaly = df.groupby('user')
  • ['failed_login'].sum()
  • print(anomaly[anomaly > 10])

Cikti ve Kullanım Amaci

Veri madenciliği teknikleri SOC'taki farklı tehdit senaryolarına uygulanır. Doğru tekniği doğru senaryoya eşleştirmek analiz verimliliğini doğrudan etkiler.

  • İçeriden tehdit tespiti: Davranış profili oluşturma (UEBA)
  • Sıfır gün tespiti: Denetimsiz anomali tespiti
  • Phishing kampanyası: E-posta başlığı örüntü analizi
  • Ransomware erken uyarı: Dosya erişim hızı anomalisi

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram L3 olarak verilir. SOC olgunluk modeline göre veri madenciliği ve makine öğrenmesi uygulamaları genellikle L3 seviyesindeki analistlerin sorumluluk alanındadır. Bu seviyede analist; model geliştirme, hipotez kurma ve proaktif tehdit avcılığı görevlerini üstlenir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Veri Madenciliği Nedir? SOC'ta Kullanım Alanları konusunu SOC L3 - İleri Tehdit Avcılığı - Veri Madenciliği ve Modelleme baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Sınıflandırma, Kümeleme, Anomali Tespiti, İlişki Analizi, NetFlow / IPFIX, Windows Event Log, DNS Sorgu Logu, Proxy Logu, İçeriden tehdit tespiti, Sıfır gün tespiti. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.