SIEM üstündeki yük nasıl azaltılır, tehdit istihbaratı akışları nasıl verimli kullanılır

Tehdit istihbaratı platformları SOC analistlerine nasıl yardımcı olur.

SIEM sistemleri ilk olarak altyapı içerisindeki güvenlik olayları hakkında bilgi toplamaya ve bilinen siber tehditlere dair harici veriler kullanarak bunları analiz etmeye yönelik araçlar olarak tasarlandı. Uzun bir süre boyunca görevlerini gayet iyi yerine getirdiler. Ancak hem tehditler hem de bilgi güvenliği endüstrisi geliştikçe piyasada gitgide daha çok tehdit istihbaratı akışı belirmeye başladı. Üstelik yapıları da önemli ölçüde değişiyordu. Pek çok uzman, SIEM’lerin verimli şekilde çalışabilmesi için tehdit istihbaratı akışları arasında yön bulmayı sağlayacak yeni bir araca gereksinim doğduğunu fark etti.

SIEM neden bir asistana ihtiyaç duydu?

İlk bakışta SIEM sisteminize ne kadar çok harici siber tehdit veri akışı bağlarsanız işini o kadar verimli yapacağını düşünebilirsiniz. Fakat aslında durum böyle değil.

Birincisi, bir sistem ne kadar gösterge ele alırsa o kadar fazla uyarı üretir. Minimum yanlış pozitif olduğunu varsaysak bile (çünkü hiçbir zaman sıfır olmaz) bir analistin tekrar eden milyonlarca bildirim arasında ilerleyip önemli olanları önceliklendirebilmesi mümkün olmaz.

İkincisi, mevcut SIEM sistemleri sonsuz sayıda gösterge işleyecek şekilde tasarlanmamıştır. Birden fazla akış bağladığınızda sistemin üstündeki iş yükü ciddi ölçüde artar, bu da olay tespit oranını olumsuz yönde etkiler. Aynısı, çok sık güncellenen bir Tİ akışı senaryosu uygulamaya çalıştığınızda da gerçekleşebilir. Tamamen imkansız olmasa da performans ve tespit oranı düşecektir.

Ek olarak, bir SIEM sistemi doğrudan tehdit istihbaratı akışlarıyla daha ayrıntılı çalışmaya uygun değildir. Örneğin, farklı sağlayıcılara ait akışların kalitesini ve tespit oranını karşılaştıramaz ya da URL, ana bilgisayar veya alan olarak temsil edilen güvenlik ihlali göstergelerine sahip akışlardaki farklı maskeleri işleyemez. Analist herhangi bir gösterge için daha derin bir bağlama ihtiyaç duyuyorsa ilave bir araç gerekir (ihtiyaç duyulan bağlamın akışta olup olmaması da önemli değildir, SIEM buna erişmeyi bilmiyor olabilir). Son olarak, ekonomi faktörünü de gözden kaçırmamalıyız. SIEM’lerin çoğu yük bazlı lisans sunar; ne kadar çok gösterge işlerse o kadar çok para ödemeniz gerekir.

Bir tehdit istihabaratı platformu nasıl yardımcı olabilir

Genel olarak, tehdit istihbaratı platformları SIEM sistemlerinin yukarıda bahsedilen tüm dezavantajlarını ortadan kaldırabilir. Bir tehdit istihbaratı platformu, her şeyden önce, farklı sağlayıcılara ait çok sayıda akış arasında yön bulmayı sağlayan vazgeçilmez bir araçtır. Birden fazla akışı (aynı formatta olmasalar bile) bağlayabilir ve farklı parametrelere göre karşılaştırabilirsiniz. Örneğin, farklı akışlardaki gösterge kesişimlerini tespit ederek tekrar eden veri akışlarını belirleyebilir ve bazılarını reddedebilirsiniz. Ayrıca akışları istatistiksel tespit indekslerine göre karşılaştırabilirsiniz. Bazı sağlayıcıların akışları için bir test süresi sunduğunu göz önünde bulundurursak bu sayede satın almadan önce ne kadar etkili olduklarını değerlendirebilirsiniz.

Bir tehdit istihbaratı platformu aynı zamanda SOC analistine SIEM’de uygulanamayacak birçok ek beceri de sunar. Örneğin, önceden kaydedilen geçmiş günlükleri ve verileri yeni akışlardan referansla ikinci kez kontrol eden bir geriye dönük tarama özelliği bulunur. Çeşitli üçüncü taraf kaynaklardan (VirusTotal) göstergelerin zenginleştirilmesi de özellikler arasındadır. Son olarak, iyi bir tehdit istihbaratı platformu, belirli bir uyarıdan başlayarak hem ilgili saldırganların taktiklerini, tekniklerini ve prosedürlerini detaylandıran bir APT raporu hem de karşı önlemlerin nasıl uygulanabileceğine dair pratik öneriler bulup indirmeyi sağlar.

Bir tehdit istihbaratı platformu, göstergeleri filtreleyip indirmenize ve olayları gruplandırmanıza olanak tanır, bunların hepsini analiste rahatlık sağlayan bir grafik arayüzde sunar ve çok daha fazlasını yapmanıza izin verir. Tüm bunlar her spesifik platformun kendi özelliklerine bağlıdır.

Bir Tehdit İstihbaratı platformu, analistin işinin ve SIEM’in neresindedir

Genel olarak şirketin dahili ağına yüklenen tehdit platformları, gelen verilerin analizi ve ilişkilendirilmesi sürecini yürütür, bu da SIEM sisteminin yükünü önemli ölçüde azaltır. Tehditler tespit edildiğinde kendi uyarılarınızı oluşturabilmenizi sağlarlar. Dahası, bir API aracılığıyla mevcut izleme ve yanıt süreçlerinizle entegre olurlar.

Bir tehdit istihbaratı platformu esas olarak şirketinizin ihtiyaçlarına göre özelleştirilmiş, tespitleri içeren kendi veri akışını üretir. Altyapınızda paralel çalışan birden fazla SIEM sistemi varsa özellikle işinize yarar. Tehdit istihbaratı platformu olmadığında her birinden gelen ham akışları yüklemeniz gerekir.

Pratik bir örnek

Bir tehdit istihbaratı platformunun analistlere nasıl yardımcı olduğunu görmek için basit bir olayı ele alalım. Kurumsal bir kullanıcının iş bilgisayarından bir web sitesine eriştiğini düşünelim. Bu sitenin URL’i, tehdit istihbaratı platformunda kötü amaçlı olarak listeleniyorsa platform olayı tespit eder, akışlardan gelen bağlamla zenginleştirir ve kaydedilmesi için SIEM sistemine gönderir. Ardından olay SOC analistinin önüne gelir. Analist, kötü amaçlı URL akışındaki tespiti görür ve bir tehdit istihbaratı platformu kullanarak daha yakından inceler.

IP adresi, bu adresle ilişkili kötü amaçlı dosya hash’leri, güvenlik çözümü kararları, WHOIS servisi verileri gibi Tİ akışından gelen bağlamsal bilgileri doğrudan tespit listesinden açabilir. Bunları, netlik açısından saldırı zincirini analiz etmenin en rahat yolu olan grafik bir arayüzde açar.

Henüz çok fazla bilgi yoktur; tespitin kendisini, tespit edilen kötü amaçlı URL’i ve birinin bu URL’e erişmek için kullandığı makinenin dahili IP adresini görür. Kötü amaçlı URL ikonuna tıklayarak bu adresle ilgili IP adresleri, ek URL’ler ve bir noktada bu siteden indirilmiş olan kötü amaçlı dosya hash’leri gibi bilinen göstergeleri ister.

Sıradaki adım, başka tespitlerin de aynı göstergeleri kullanarak kurumsal altyapıya kayıt edilip edilmediğini kontrol etmektir. Analist herhangi bir nesneye tıklar (örneğin, kötü amaçlı IP adresine) ve ilave tespitleri grafikte görüntüler. Diğer bir deyişle, bir tıkla hangi kullanıcının hangi IP adresine gittiğini görebilir (veya DNS sunucusundan gelen bir URL isteğinin hangi IP adresini verdiğini). Benzer şekilde hangi kullanıcıların hash’i ilgili göstergelerde olan dosyayı indirdiğini kontrol eder.

Tek bir olayda binlerce tespit olabilir. Tİ platformunun kullanımı kolay grafik arayüzü olmadan bunları elle ayırmak oldukça zordur. Siber tehdit veri akışındaki tüm mevcut bağlam, grafikteki her bir noktaya çekilir. Analist nesneleri gruplayabilir, gizleyebilir ya da otomatik düğüm gruplama uygulayabilir. Analist başka ilave bilgi kaynaklarına sahipse manuel olarak gösterge ekleyebilir ve korelasyonlarını bağımsız şekilde işaretleyebilir.

Böylelikle uzman tüm saldırı zincirini yeniden oluşturarak her şeyin nasıl başladığını anlayabilir. Örneğin, bir kullanıcı kötü amaçlı bir sitenin URL’ini girmiş, DNS suncusu IP adresini vermiş ve kullanıcı siteden hash’i bilinen bir dosya indirmiştir.

Sonuç

Yüksek kaliteli bir tehdit istihbaratı platformu bir tür aracı bağlantı görevi görerek hem tespit kalitesinden ödün vermeden SIEM sisteminin yükünü önemli ölçüde azaltmaya hem de analistin işini kolaylaştırmaya yardımcı olur.

İpuçları