SIEM sistemleri ilk olarak altyap\u0131 i\u00e7erisindeki g\u00fcvenlik olaylar\u0131 hakk\u0131nda bilgi toplamaya ve bilinen siber tehditlere dair harici veriler kullanarak bunlar\u0131 analiz etmeye y\u00f6nelik ara\u00e7lar olarak tasarland\u0131. Uzun bir s\u00fcre boyunca g\u00f6revlerini gayet iyi yerine getirdiler. Ancak hem tehditler hem de bilgi g\u00fcvenli\u011fi end\u00fcstrisi geli\u015ftik\u00e7e piyasada gitgide daha \u00e7ok tehdit istihbarat\u0131 ak\u0131\u015f\u0131 belirmeye ba\u015flad\u0131. \u00dcstelik yap\u0131lar\u0131 da \u00f6nemli \u00f6l\u00e7\u00fcde de\u011fi\u015fiyordu. Pek \u00e7ok uzman, SIEM\u2019lerin verimli \u015fekilde \u00e7al\u0131\u015fabilmesi i\u00e7in tehdit istihbarat\u0131 ak\u0131\u015flar\u0131 aras\u0131nda y\u00f6n bulmay\u0131 sa\u011flayacak yeni bir araca gereksinim do\u011fdu\u011funu fark etti.<\/p>\n
\u0130lk bak\u0131\u015fta SIEM sisteminize ne kadar \u00e7ok harici siber tehdit veri ak\u0131\u015f\u0131 ba\u011flarsan\u0131z i\u015fini o kadar verimli yapaca\u011f\u0131n\u0131 d\u00fc\u015f\u00fcnebilirsiniz. Fakat asl\u0131nda durum b\u00f6yle de\u011fil.<\/p>\n
Birincisi, bir sistem ne kadar g\u00f6sterge ele al\u0131rsa o kadar fazla uyar\u0131 \u00fcretir. Minimum yanl\u0131\u015f pozitif oldu\u011funu varsaysak bile (\u00e7\u00fcnk\u00fc hi\u00e7bir zaman s\u0131f\u0131r olmaz) bir analistin tekrar eden milyonlarca bildirim aras\u0131nda ilerleyip \u00f6nemli olanlar\u0131 \u00f6nceliklendirebilmesi m\u00fcmk\u00fcn olmaz.<\/p>\n
\u0130kincisi, mevcut SIEM sistemleri sonsuz say\u0131da g\u00f6sterge i\u015fleyecek \u015fekilde tasarlanmam\u0131\u015ft\u0131r. Birden fazla ak\u0131\u015f ba\u011flad\u0131\u011f\u0131n\u0131zda sistemin \u00fcst\u00fcndeki i\u015f y\u00fck\u00fc ciddi \u00f6l\u00e7\u00fcde artar, bu da olay tespit oran\u0131n\u0131 olumsuz y\u00f6nde etkiler. Ayn\u0131s\u0131, \u00e7ok s\u0131k g\u00fcncellenen bir T\u0130 ak\u0131\u015f\u0131 senaryosu uygulamaya \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131zda da ger\u00e7ekle\u015febilir. Tamamen imkans\u0131z olmasa da performans ve tespit oran\u0131 d\u00fc\u015fecektir.<\/p>\n
Ek olarak, bir SIEM sistemi do\u011frudan tehdit istihbarat\u0131 ak\u0131\u015flar\u0131yla daha ayr\u0131nt\u0131l\u0131 \u00e7al\u0131\u015fmaya uygun de\u011fildir. \u00d6rne\u011fin, farkl\u0131 sa\u011flay\u0131c\u0131lara ait ak\u0131\u015flar\u0131n kalitesini ve tespit oran\u0131n\u0131 kar\u015f\u0131la\u015ft\u0131ramaz ya da URL, ana bilgisayar veya alan olarak temsil edilen g\u00fcvenlik ihlali g\u00f6stergelerine sahip ak\u0131\u015flardaki farkl\u0131 maskeleri i\u015fleyemez. Analist herhangi bir g\u00f6sterge i\u00e7in daha derin bir ba\u011flama ihtiya\u00e7 duyuyorsa ilave bir ara\u00e7 gerekir (ihtiya\u00e7 duyulan ba\u011flam\u0131n ak\u0131\u015fta olup olmamas\u0131 da \u00f6nemli de\u011fildir, SIEM buna eri\u015fmeyi bilmiyor olabilir). Son olarak, ekonomi fakt\u00f6r\u00fcn\u00fc de g\u00f6zden ka\u00e7\u0131rmamal\u0131y\u0131z. SIEM\u2019lerin \u00e7o\u011fu y\u00fck bazl\u0131 lisans sunar; ne kadar \u00e7ok g\u00f6sterge i\u015flerse o kadar \u00e7ok para \u00f6demeniz gerekir.<\/p>\n
Genel olarak, tehdit istihbarat\u0131 platformlar\u0131 SIEM sistemlerinin yukar\u0131da bahsedilen t\u00fcm dezavantajlar\u0131n\u0131 ortadan kald\u0131rabilir. Bir tehdit istihbarat\u0131 platformu, her \u015feyden \u00f6nce, farkl\u0131 sa\u011flay\u0131c\u0131lara ait \u00e7ok say\u0131da ak\u0131\u015f aras\u0131nda y\u00f6n bulmay\u0131 sa\u011flayan vazge\u00e7ilmez bir ara\u00e7t\u0131r. Birden fazla ak\u0131\u015f\u0131 (ayn\u0131 formatta olmasalar bile) ba\u011flayabilir ve farkl\u0131 parametrelere g\u00f6re kar\u015f\u0131la\u015ft\u0131rabilirsiniz. \u00d6rne\u011fin, farkl\u0131 ak\u0131\u015flardaki g\u00f6sterge kesi\u015fimlerini tespit ederek tekrar eden veri ak\u0131\u015flar\u0131n\u0131 belirleyebilir ve baz\u0131lar\u0131n\u0131 reddedebilirsiniz. Ayr\u0131ca ak\u0131\u015flar\u0131 istatistiksel tespit indekslerine g\u00f6re kar\u015f\u0131la\u015ft\u0131rabilirsiniz. Baz\u0131 sa\u011flay\u0131c\u0131lar\u0131n ak\u0131\u015flar\u0131 i\u00e7in bir test s\u00fcresi sundu\u011funu g\u00f6z \u00f6n\u00fcnde bulundurursak bu sayede sat\u0131n almadan \u00f6nce ne kadar etkili olduklar\u0131n\u0131 de\u011ferlendirebilirsiniz.<\/p>\n
Bir tehdit istihbarat\u0131 platformu ayn\u0131 zamanda SOC analistine SIEM\u2019de uygulanamayacak bir\u00e7ok ek beceri de sunar. \u00d6rne\u011fin, \u00f6nceden kaydedilen ge\u00e7mi\u015f g\u00fcnl\u00fckleri ve verileri yeni ak\u0131\u015flardan referansla ikinci kez kontrol eden bir geriye d\u00f6n\u00fck tarama \u00f6zelli\u011fi bulunur. \u00c7e\u015fitli \u00fc\u00e7\u00fcnc\u00fc taraf kaynaklardan (VirusTotal) g\u00f6stergelerin zenginle\u015ftirilmesi de \u00f6zellikler aras\u0131ndad\u0131r. Son olarak, iyi bir tehdit istihbarat\u0131 platformu, belirli bir uyar\u0131dan ba\u015flayarak hem ilgili sald\u0131rganlar\u0131n taktiklerini, tekniklerini ve prosed\u00fcrlerini detayland\u0131ran bir APT raporu hem de kar\u015f\u0131 \u00f6nlemlerin nas\u0131l uygulanabilece\u011fine dair pratik \u00f6neriler bulup indirmeyi sa\u011flar.<\/p>\n
Bir tehdit istihbarat\u0131 platformu, g\u00f6stergeleri filtreleyip indirmenize ve olaylar\u0131 grupland\u0131rman\u0131za olanak tan\u0131r, bunlar\u0131n hepsini analiste rahatl\u0131k sa\u011flayan bir grafik aray\u00fczde sunar ve \u00e7ok daha fazlas\u0131n\u0131 yapman\u0131za izin verir. T\u00fcm bunlar her spesifik platformun kendi \u00f6zelliklerine ba\u011fl\u0131d\u0131r.<\/p>\n
Genel olarak \u015firketin dahili a\u011f\u0131na y\u00fcklenen tehdit platformlar\u0131, gelen verilerin analizi ve ili\u015fkilendirilmesi s\u00fcrecini y\u00fcr\u00fct\u00fcr, bu da SIEM sisteminin y\u00fck\u00fcn\u00fc \u00f6nemli \u00f6l\u00e7\u00fcde azalt\u0131r. Tehditler tespit edildi\u011finde kendi uyar\u0131lar\u0131n\u0131z\u0131 olu\u015fturabilmenizi sa\u011flarlar. Dahas\u0131, bir API arac\u0131l\u0131\u011f\u0131yla mevcut izleme ve yan\u0131t s\u00fcre\u00e7lerinizle entegre olurlar.<\/p>\n
Bir tehdit istihbarat\u0131 platformu esas olarak \u015firketinizin ihtiya\u00e7lar\u0131na g\u00f6re \u00f6zelle\u015ftirilmi\u015f, tespitleri i\u00e7eren kendi veri ak\u0131\u015f\u0131n\u0131 \u00fcretir. Altyap\u0131n\u0131zda paralel \u00e7al\u0131\u015fan birden fazla SIEM sistemi varsa \u00f6zellikle i\u015finize yarar. Tehdit istihbarat\u0131 platformu olmad\u0131\u011f\u0131nda her birinden gelen ham ak\u0131\u015flar\u0131 y\u00fcklemeniz gerekir.<\/p>\n
Bir tehdit istihbarat\u0131 platformunun analistlere nas\u0131l yard\u0131mc\u0131 oldu\u011funu g\u00f6rmek i\u00e7in basit bir olay\u0131 ele alal\u0131m. Kurumsal bir kullan\u0131c\u0131n\u0131n i\u015f bilgisayar\u0131ndan bir web sitesine eri\u015fti\u011fini d\u00fc\u015f\u00fcnelim. Bu sitenin URL\u2019i, tehdit istihbarat\u0131 platformunda k\u00f6t\u00fc ama\u00e7l\u0131 olarak listeleniyorsa platform olay\u0131 tespit eder, ak\u0131\u015flardan gelen ba\u011flamla zenginle\u015ftirir ve kaydedilmesi i\u00e7in SIEM sistemine g\u00f6nderir. Ard\u0131ndan olay SOC analistinin \u00f6n\u00fcne gelir. Analist, k\u00f6t\u00fc ama\u00e7l\u0131 URL ak\u0131\u015f\u0131ndaki tespiti g\u00f6r\u00fcr ve bir tehdit istihbarat\u0131 platformu kullanarak daha yak\u0131ndan inceler.<\/p>\n
IP adresi, bu adresle ili\u015fkili k\u00f6t\u00fc ama\u00e7l\u0131 dosya hash\u2019leri, g\u00fcvenlik \u00e7\u00f6z\u00fcm\u00fc kararlar\u0131, WHOIS servisi verileri gibi T\u0130 ak\u0131\u015f\u0131ndan gelen ba\u011flamsal bilgileri do\u011frudan tespit listesinden a\u00e7abilir. Bunlar\u0131, netlik a\u00e7\u0131s\u0131ndan sald\u0131r\u0131 zincirini analiz etmenin en rahat yolu olan grafik bir aray\u00fczde a\u00e7ar.<\/p>\n
Hen\u00fcz \u00e7ok fazla bilgi yoktur; tespitin kendisini, tespit edilen k\u00f6t\u00fc ama\u00e7l\u0131 URL\u2019i ve birinin bu URL\u2019e eri\u015fmek i\u00e7in kulland\u0131\u011f\u0131 makinenin dahili IP adresini g\u00f6r\u00fcr. K\u00f6t\u00fc ama\u00e7l\u0131 URL ikonuna t\u0131klayarak bu adresle ilgili IP adresleri, ek URL\u2019ler ve bir noktada bu siteden indirilmi\u015f olan k\u00f6t\u00fc ama\u00e7l\u0131 dosya hash\u2019leri gibi bilinen g\u00f6stergeleri ister.<\/p>\n
S\u0131radaki ad\u0131m, ba\u015fka tespitlerin de ayn\u0131 g\u00f6stergeleri kullanarak kurumsal altyap\u0131ya kay\u0131t edilip edilmedi\u011fini kontrol etmektir. Analist herhangi bir nesneye t\u0131klar (\u00f6rne\u011fin, k\u00f6t\u00fc ama\u00e7l\u0131 IP adresine) ve ilave tespitleri grafikte g\u00f6r\u00fcnt\u00fcler. Di\u011fer bir deyi\u015fle, bir t\u0131kla hangi kullan\u0131c\u0131n\u0131n hangi IP adresine gitti\u011fini g\u00f6rebilir (veya DNS sunucusundan gelen bir URL iste\u011finin hangi IP adresini verdi\u011fini). Benzer \u015fekilde hangi kullan\u0131c\u0131lar\u0131n hash\u2019i ilgili g\u00f6stergelerde olan dosyay\u0131 indirdi\u011fini kontrol eder.<\/p>\n
Tek bir olayda binlerce tespit olabilir. T\u0130 platformunun kullan\u0131m\u0131 kolay grafik aray\u00fcz\u00fc olmadan bunlar\u0131 elle ay\u0131rmak olduk\u00e7a zordur. Siber tehdit veri ak\u0131\u015f\u0131ndaki t\u00fcm mevcut ba\u011flam, grafikteki her bir noktaya \u00e7ekilir. Analist nesneleri gruplayabilir, gizleyebilir ya da otomatik d\u00fc\u011f\u00fcm gruplama uygulayabilir. Analist ba\u015fka ilave bilgi kaynaklar\u0131na sahipse manuel olarak g\u00f6sterge ekleyebilir ve korelasyonlar\u0131n\u0131 ba\u011f\u0131ms\u0131z \u015fekilde i\u015faretleyebilir.<\/p>\n
B\u00f6ylelikle uzman t\u00fcm sald\u0131r\u0131 zincirini yeniden olu\u015fturarak her \u015feyin nas\u0131l ba\u015flad\u0131\u011f\u0131n\u0131 anlayabilir. \u00d6rne\u011fin, bir kullan\u0131c\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 bir sitenin URL\u2019ini girmi\u015f, DNS suncusu IP adresini vermi\u015f ve kullan\u0131c\u0131 siteden hash\u2019i bilinen bir dosya indirmi\u015ftir.<\/p>\n