Open Source SOC Kurulumu Webinarımızda Kullanılan Sunum

1. Open Source Çözümlerle
SOC Kurulumu
Huzeyfe ÖNAL
<huzeyfe.onal@bgasecurity.com>

2. Amaç
SOC nedir, neden ihtiyaç duyulur ve ideal bir
soc için gerekli olan bileşenlerin alternatif
çözüm olarak açık kaynak veya ücretsiz
araçlarla karşılanması konusunda bilgi
paylaşımı...

3. Webinar İçeriği
● SOC Nedir, Ne İşe Yarar?
● Neden SOC?
● Neden Open Source SOC?
● SOC/MDR Kavram Karmaşası
● İdeal bir SOC/MDR Yapısı Hangi Bileşenlerden Oluşur?
● Açık Kaynak Çözümlerin SOC için Aktif Kullanımı
● Soru & Cevap

4. SOC Nedir?
● Güvenlik Operasyonları Merkezi (SOC), bir
kuruluşun güvenlik durumunun sürekli olarak
izlenmesinin ve güvenlik olaylarının
analizinden sorumlu bir bilgi güvenliği ekibinin
bulunduğu yerdir.
● SOC ekibinin amacı, teknolojik çözümleri
kullanarak ve iyi bir süreç yönetimi yaparak
siber güvenlik olaylarını tespit etmek, analiz
etmek ve bunlara karşı aksiyon almaktır.
● Güvenlik operasyonları merkezleri genellikle
güvenlik analistleri, güvenlik mühendisleri ve
güvenlik işlemlerini denetleyen yöneticilerden
oluşmaktadır.

5. SOC Ne Değildir?
SOC != SIEM

6. Kavram Karmaşası
● The Security Operations Center (SOC)
● Cyber Defense Center (CDC)
● Cyber Intelligence Center (CIC)
● Cyber Fusion Center
● Cybersecurity Center
● Managed Security Services (MSS/P)
● Managed Detection & Response
(MDR)
https://blog.focal-point.com/what-you-name-your-soc-matters

7. SOC Neden Gereklidir?

8. Neden SOC/MDR? - Deepweb Bakışıyla...
● Son bir senede hacklendiği
iddia edilen orta ve büyük
ölçekli firma sayısı 10.000
~
● Hacklenmeyi bekleyen?

9. Neden SOC? Saldırgan Bakış Açısıyla...

10. Neden SOC/MDR?
By 2025, 50% of
organizations will be using
MDR services for threat
monitoring, detection and
response functions that offer
threat containment
capabilities

11. Ticari Açıdan Neden SOC?
Kendi bünyenizde SOC kurmanın yaklaşık maliyetleri (TR için /4)

12. İnsan Kaynağı Açısından Neden SOC?

13. II - Neden OpenSource SOC ?

14. OpenSource SOC Hangi Durumda Çalışır?
● Herkese göre değildir!

15. Gerçek Ortamlarda Kullanan Var mıdır?
https://indico.cern.ch/event/708060/contributions/2906729/attachments/1620409/2577814/2018-03-20-ISMA_SOC.pdf CERN

16. Temel SOC Bileşenleri
Kaynak: https://zigron.com/category/security/

18. 2 - İdeal SOC Bileşenleri Nelerdir?

20. I- EDR / Endpoint Detection & Response
● EDR ne işe yarar?
○ AV farkı nedir?
○ Ransomware grupları neden
öneriyorlar?
● SOC Açısından Önem Seviyesi
○ Edr öncelik seviyesi 10/10

21. Kullanabileceğiniz Free/Open Source EDR Çözümleri
● OpenEDR
● OSQuery
● Sysmon
● Wazuh(!)

22. Örnek Kural Yazımı
https://www.slideshare.net/bgasecurity/windows-sistemler-iin-sysmon-ve-wazuh-kullanarak-mitre-attck-
kurallarnn-yazlmas

23. II-IDS / NDR
● Eski köye yeni adet: NDR
● SOC Açısından Önem Seviyesi
○ 10/10
● Ne için kullanılır
● Nasıl konumlandırılmalıdır?

24. Suricata / Zeek
● Uzun yıllardır hem ticari hem de açık kaynak kod
dünyasında kullanılan IDS/NDS tarzı ürünlerin
temel ilham ve kod kaynağı
● Performans problemi olmadan -doğru donanımlarla-
gönül rahatlığıyla kullanılabilir
● Şifreli olmayan ağ trafiği için istenilen türde kural
yazma imkanı

25. III-SIEM
● ~20 senelik bir teknoloji
● En temel SOC bileşeni, ekmek gibi, su gibi…
● Kurtarıcı gözüyle bakılmış fakat yıllardır doğru
düzgün verim alınmadan çalıştırılmıştır
● Son zamanlarda büyük güvenlik üreticileri SIEM
yerine XDR tanımını kullanmaya başlamışlardır

26. ELK/Wazuh/Graylog vs

27. IV - Hazır Saldırı Kuralları Seti
● Her üreticinin ayrı telden çaldığı, kendi
standartlarını oluşturmaya çalışarak ortalığı
çıkmaza soktuğu anda ortaya çıkan nadide
çiçek :)
● ORtak bir dilde, bir platformdan başka platforma
dönüştürülebilen kural dili
● Hemen her konuda ücretsiz SIEM kuralları ...
https://github.com/SigmaHQ/sigma

28. V - SOAR ve Incident Response
● İnsan kaynağı yetersizliği ve
harcanan yüksek miktar paraya
çözüm olmak amacıyla geliştirilmiş
fakat daha yüksek miktarda para
ve daha yüksek kalitede insan
kaynağı ihtiyacı duyan modern
teknoloji:)
● Önümüzdeki yıllarda olgunlaşan
ve ticari açıdan kabul edilebilir
seviyelere gelecek çözümlerle
vazgeçilmez bileşenlerden biri
olacağı düşünülüyor

29. The Hive & Cortex

30. Cortex

31. The Hive - SECURITY INCIDENT RESPONSE PLATFORM

32. VI - Tehdit İstihbaratı ve Paylaşımı

33. MISP

34. OpenCTI

35. OTX - Tehdit İstihbaratı Paylaşımı

36. VII - Sandbox Çözümleri
● Şüpheli dosyalar için inceleme ortamı (kum havuzu)
● Neden ihtiyaç var?
● Aktif kullanılan çözümler
○ Cuckoo
○ DocGuard

37. Şüpheli/Zararlı Ofis Dosyası Analizi - DocGuard

38. VIII - Tuzak Sistemler (Honeypot) & Deception

39. DejaVU - Open Source Deception Framework
https://github.com/bhdresh/Dejavu/blob/master/README.md

40. T-Pot Honeypot

41. IX - SOC Verimliliği Ölçme Araçları

42. SOC Bileşenleri - Process
● SOC konusunda en önemli bileşenlerden fakat genellikle gözardı
edilir.
● Amaç, işlerin kişi bağımsız bir süreç üzerinden gittiğinden emin
olmak.
● Kriz zamanlarında ne yapılacağını belirlemek
● Hangi durumda analistler ne kullanmalı, neyi nasıl raporlamalı
yapılacakları kağıda dökmek

43. SOC Verimliliği/İşlevselliğini Ölçme
● SOC’un işlevselliğini nasıl
ölçersiniz?
○ Kağıt üstünde
○ Gerçek hayatta

44. SOC için CMM (Capability Maturity Model) Ölçümü
● 5 domain 25 maddede
people, process,
technology açısından
SOC altyapınızın
verimliliğini ölçme
https://www.soc-cmm.com/downloads/latest/

46. Playbook
https://github.com/certsocietegenerale/IRM/tree/master/EN

47. SOC & Mitre ATT&CK Framework Kullanımı
Mitre ATT&CK nedir, ne işe yarar?

48. SOC Bileşenleri - İnsan

49. Blueteamsacademy.com Online Eğitim Kaynağı

50. SANS Summit Video ve Sunum Dosyaları
● Sektörle ilgili güncel bilgileri doğru ve kısa yoldan
öğrenmenin kolay yolu
● Youtube üzerinden ücretsiz izleme
https://www.sans.org/presentations/?&focus-area=blue-team-operations

51. Boss of the SOC v3
SOC analistlerinin yetişebilmesi için gereki
gerçek hayat tecrübesini kazabilecekleri
değerli çalışmalardan biri.
V2, v1 sürümleri de aynı adresten
indirilebilir.
https://www.splunk.com/en_us/blog/security/botsv3-dataset-released.html

52. Ücretsiz SOC Eğitimleri
Eğitim platformları ve Mitre ATT&CK Eğitimleri
https://attack.mitre.org/resources/training/cti/
https://academy.picussecurity.com/
https://academy.attackiq.com/courses/foundations-of-operationalizing-mitre-attck

53. ENISA Eğitimleri
https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material
https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc

54. OpenSOC
Online CTF, uygulama yapma
platformu.
Ekip olarak katılım sağlanabiliyor.

55. Mordor Projesi
Alıştırma yapmak, gerçek saldırıları incelemek
amaçlı veri setleri
https://github.com/OTRF/mordor

56. Mini SOC LAb Kurulumu için SecurityOnion

57. SOC Analist İş Görüşmesi Soruları
https://www.siemxpert.com/blog/soc-analyst-interview-
question/
https://www.youtube.com/watch?v=EEfRR5XT1rg

58. @dailySOC LinkedIN Sayfamız
Günlük hap niteliğinde SOC, MDR, SIEM,
SOAR, Threat Intel konulu paylaşımlar.

59. Geri Bildirimleriniz İçin...
huzeyfe.onal@bgasecurity.com