SOME – SOC Ekipleri için Kullanıma Hazır Açık Kaynak Çözümler

Cyber Security Operation Center(C-SOC) Nedir?
1. MISP(Zararlı yazılım bilgi paylaşma platformu)
2. The Hive Projesi
– The Hive – İş Birliği Yapmak
– The Hive – Detaylandırma
– The Hive – Analiz
3. Yeti Projesi
– Yeti Kullanım Alanları
4. Fame-FIR Framework
– Fame – Tehdit İstihbaratından Yararlanmak
– FIR(Fast Incident Response) Projesi
5. Cortex Projesi
6. GOSINT Framework
7. Collective Intelligence Framework
8. Cyphon Projesi
– Cyphon Çalışma Mimarisi
– Cylops Arayüzü
9. RTIR Projesi(Request Tracker)
– RT – Email Entegrasyonu
– RT – Özel Çalışma Alanları
10. Apache Metron
– Metron Dashboard
– Metron Mimarisi

Cyber Security Operation Center(C-SOC) Nedir?

Güvenlik operasyonları merkezi (SOC), bir kuruluşun güvenlik durumunu sürekli olarak izlemek, analiz etmek ve geliştirmekle sorumlu bilgi güvenliği ekibidir. SOC ekibinin amacı, teknolojik çözümleri ve güçlü bir süreç yönetimi kullanarak siber güvenlik vakalarını tespit etmek, analiz etmek ve bunlara tepki vermektir. Güvenlik operasyon merkezlerinde genellikle siber güvenlik analistleri, mühendisleri ve oluşan tüm süreçleri denetleyen yöneticiler bulunur. SOC personeli, güvenlik sorunlarının keşfedildiğinde hızla ele alınmasını sağlamak için organize bir şekilde olay müdahale(incident response) ekipleriyle yakın çalışırlar.

SOC analistleri, artmakta olan siber güvenlik tehditleri, sürekli uyarı yorgunluğu ve SOC’leri yetersiz bırakan endüstriyel sorunlar sebebiyle sürekli olarak yıpranmaktadır. Hem rutin hem de karmaşık görevlerin otomasyonu, hem analistin zamanını artırmakta hem de olaya müdahale sürecini hızlandırmaktadır. Her geçen gün saldırganlar daha hızlı ve daha güçlü hale geldiğinden, siber güvenlik sektörünün liderleri “otomasyonunun” günümüzün siber tehdit ortamında bir zorunluluk olduğunu anlamaktadır.

Etkili bir siber güvenlik operasyon merkezi (C-SOC) oluşturmak için kaynaklar iletişimini “geliştiren” ve “verimliliği” artıracak şekilde organize etmeyi gerektirmektedir. SOC’nin üç temel işlevini organize etmek için gerekli üç etken: insan, süreç ve teknolojidir.

İnsan:

Birçok organizasyon, mevcut güvenlik işlevlerini gerçekleştiren çalışanlara ve ilgilenen diğer kişilere resmi eğitim programları sağlayarak, kendi SOC’lerini kendi kaynakları ile kurmayı tercih etmektedir. Diğerleri kurum içi ve dışı kaynakların karma bir karışımını yapmaktadır. Sizin için en doğru seçenek; mevcut kurum içi kaynaklara, bütçenize ve karşılaştığınız tehditlerin aciliyetine bağlı olmaktadır. Güçlü bir güvenlik operasyonları ekibi oluşturmaya başlamak için mevcut personelinizin envanterini çıkartmak önemlidir. Sorulması gereken bazı iyi sorular şunlardır:

  • Kurum içerisinde siber güvenlik amaçlı çalışanlar kimlerdir?
  • Bilgi teknolojileri alanından kimseler güvenlik amaçlı çalışmaya hazır mıdır?
  • Siber güvenlik amaçlı dışarıdan insan kaynağı ihtiyacı var mıdır?
  • Kurum içerisinde kaç kişi (diğer çalışanlara göre) SOC ekibinin bir parçası olacak organizasyonda bulunmuştur?
  • İşe alma planı ve bütçesi nedir?
  • Yıllık toplam siber güvenlik bütçesi nedir? SOC’nin uygulanmasını desteklemek için BT veya diğer departmanlardan daha fazla bütçe çekebilir miyiz?
  • Güvenlik ağı noktaları bizi ne kadar etkilemektedir ve onlara yönelik olarak SOC’yi ne kadar erken inşa edebiliriz?

Bu temel sorular güçlü bir SOC oluşturmak için insan kaynağını anlamak açısından yardımcı olabilmektedir.

Süreç:

Bir SOC oluşturulmadan önce, genellikle güvenlik işleri, darmadağın haldedir ve elden ele iletilen işlerdir. Kimin hangi işle uğraştığı, sorunların nasıl çözüldüğü ve belgelendiği düzenli bir süreç içerisinden geçmemektedir. Daha resmi ve merkezileştirilmiş bir organizasyon oluşturmaya başlarken, mevcut prosedürlere şu şekilde sorular sorarak değerlendirmek iyi bir fikir olmaktadır:

  • Siber tehditleri kim izliyor?
  • Siber güvenlik olaylarını atayan çalışanlar kimlerdir?
  • Siber güvenlik olaylarını düzeltmekten kim sorumludur?
  • Mevcut işlemler belgelenmiş midir?

Bu soruların yanıtları, işlerin nerede durduğunu bilmenize yardımcı olabilir, böylece güvenlik operasyonlarını optimize etmek için bir plan oluşturabilirsiniz.

Bir SOC ile süreçteki her adımın daha büyük bir stratejinin parçası olmasını sağlayarak, işlem başladığından itibaren olay yönetimi iş akışları oluşturulmalıdır. İş akışları, her bir takım üyesinin rolü ve sorumlulukları etrafında netlik sunmaya yardımcı olur, böylece hiçbir taş devrilmez.

Teknoloji:

Birçok kurum ağlarında görünürlük stratejisini ve olaylara tepkisini destekleyecek, bütçesine uyan teknoloji araçları istemektedir. Kuruluşunuz için seçtiğiniz teknolojilerin aşağıdakilere uyması gerekmektedir:

  • İçinde bulunduğunuz ortam (bulut(cloud), kurum içi(dedicated) veya ikisi birlikte) nedir?
  • Karşılaştığınız siber tehdit türleri (kötü amaçlı yazılım, kimlik avı, vb.) nelerdir?
  • Uyumluluğun yerine getirilmesi için zorunlu olduğunuz şartlar (HIPAA, SOC2, ISO 27001 vb.) nelerdir?

SOC’nizin teknolojisi geliştirildiğinde, kapsama alanında herhangi bir boşluk bulunup bulunmadığını veya zaten sahip olduğunuz araçlarla işlevsellikte çakıştığını da belirleme fırsatı bulabilirsiniz. Örneğin, güvenlik izlemesi yapan üç araç olabilir, ancak hiçbiri zararlı yazılımlara karşı koruma sağlamaz. Bu tarz durumları tespit etmeniz oldukça önemli olmaktadır.

Bu blog yazısında, Olay Müdahale sürecinizi iyileştirmenize ve siber saldırılar karşısında SOC ekiplerinin tepki ve otomasyon ihtiyaçlarına yardımcı olacak açık kaynak kodlu veya ücretsiz kullanılabilecek araçları tanıtmaya çalışacağız.

1 – MISP (Zararlı yazılım bilgi paylaşma platformu)

MISP (Zararlı yazılım bilgi paylaşım platformu) siber tehdit istihbaratının paylaşımına yardımcı olan ücretsiz ve açık kaynaklı bir yazılımdır[1] .

MISP, hedeflenen saldırıların, mali dolandırıcılık bilgilerinin, güvenlik açıklarının veya terörle mücadele bilgilerinin ele geçirilmesi ve toplanması, paylaşılması, depolanması ve ilişkilendirilmesi için oluşturulmuş bir siber tehdit istihbaratı platformudur.

Bu platform kurum ve kuruluşların zararlı yazılım tehdit göstergeleri (IOC) hakkında bilgi paylaşmalarını sağlar. MISP kullanıcıları, zararlı yazılımlar(malware) veya tehditler hakkındaki “iş birliğine” dayalı bilgiden yararlanırlar. Bu güvenilir platformun amacı , hedeflenen saldırılara karşı kullanılan karşı önlemlerin geliştirilmesine yardımcı olmak ve önleyici eylemler oluşturmaktır.

MISP, bir web arayüzü (analistler veya olay müdahale ekipleri için) üzerinden kullanılabilmektedir. Bir REST API üzerinden de tehdit göstergelerini (IOCs) alıp gönderebilmektedir. MISP platformunun temel hedefi tehdit bilgilerini açığa çıkarmayı, olgunlaştırabilmeyi ve istismar edilmesini önleyen sorunsuz bir operasyon sağlayan sağlam bir platform olmaktır.

Proje sayfası: http://www.misp-project.org/

Github : https://github.com/MISP

Topluluk: http://www.misp-project.org/communities/

2 – The Hive Projesi

The Hive, açık kaynak kodlu, siber olay müdahale ekiplerinin işlerini hızlıca halledebilmesi için tasarlanmış, ölçeklenebilir ve ücretsiz bir olay müdahale platformudur.

Bir siber vakayı araştırırken takım çalışması kullanmak, olay müdahale işlerinin kalitesini büyük ölçüde artırmaktadır. TheHive’in tasarımcıları, takımların birlikte çalışmasına ve zamanında soruşturma yapabilmesi için iş birliği yapmalarına odaklanan ayrıntılı bir analiz ve SOC düzenleme platformudur. Her bir soruşturma süreci, bir veya daha fazla göreve bölünebilen bir olaylara(case) karşılık gelir. Bu görevler güvenlik operasyon analistlere atanır ve daha sonra bunları eş zamanlı olarak araştırmaları istenir.

TheHive ayrıca, analistlerin vakalar oluşturmasına ve e-posta veya SIEM gibi farklı kaynaklardan uyarılar göndermesine olanak tanıyan bir Python API istemcisine sahiptir. TheHive Project tarafından yapılan ek yardımcı araçlar toplu analiz yapabilmek için bir otomasyon aracı olan Cortex ve bir tehdit istihbaratı besleme(feed) toplayıcısı olan Hippocampe aracını geliştirmektedirler.

The Hive – İş Birliği Yapmak:

İş birliği TheHive’ın kalbindedir. Birden fazla analist aynı anda aynı vakayı çalıştırabilir. Örneğin, bir analist zararlı yazılım analizini ele alabilirken, bir başkası IOC‘ler ile çalışabilmektedir. Örneğin bir Komuta&Kontrol sunucusu ekip arkadaşlarınca eklendikten hemen sonra etkinliğin proxy logları üzerinde çalışılabilir. TheHive’ın canlı akışını kullanarak, herkes gerçek zamanlı olarak platformda neler olduğunu gözlemleyebilmektedir.

(Olayların bulunduğu bir listeden oluşan ekran görüntüsü)

The Hive – Detaylandırma

TheHive projesinde her soruşturma bir olaya karşılık gelir. Durumlar, MISP(Malware Information Sharing Platform) olaylarından, SIEM uyarılarından, e-posta raporlarından ve diğer kayda değer herhangi bir güvenlik olayından oluşturulabilir.

Her vaka bir veya daha fazla göreve ayrılabilmektedir. Analistler, vaka oluşturulduğunda aynı görevleri eklemek yerine, TheHive’in şablon motorunu kullanarak onları bir kez ve herkes için oluşturabilirler. Durum şablonları, takımın etkinliğini artırmak, önemli zaman alan soruşturmaların tipini belirlemek ve sıkıcı görevleri otomatikleştirmek için metrikleri belirli vaka türleriyle ilişkilendirmek için kullanılabilmektedir. Her görev belirli bir analiste atanabilir.

Ekip üyeleri bir görevin başkalarının onlara atanmasını beklemeden de işlem yapabilmektedir. Görevler, analistlerin, görevin ne olduğunu, sonuçlar, kanıtlar veya kayda değer dosyaları eklemeleri gibi bir olayı tanımlamak için katkıda bulunabilecek çok sayıda çalışma içerebilmektedir. Bunların dışında kayıtlar, zengin bir metin editörü veya Markdown kullanılarak yazılabilmektedir ve bu durum yazı işleri için oldukça avantajlıdır.

The Hive – Analiz

TheHive’in Python API istemcisi TheHive4py sayesinde, SIEM uyarıları, kimlik avı ve diğer şüpheli e-postalar ve bunun gibi diğer güvenlik olaylarını eklemek mümkün olmaktadır. Bütün uyarıları ana panelde güncellenmiş olarak görüntülenebilmektedir.

Web sitesi : https://thehive-project.org/

Github : https://github.com/CERT-BDF/TheHive

Topluluk : https://groups.google.com/a/thehive-project.org/forum/#!forum/users

3 – Yeti Projesi

Yeti, tehdit göstergelerini(indicator of compromise)  teknik, taktik ve prosedürler (TTP) hakkındaki bilgileri tek birleşik bir depoda organize etmeyi amaçlayan bir platformdur. Yeti, tehdit göstergelerini(IOC) otomatik olarak zenginleştirebilme özelliğine sahiptir. Örneğin domain alanlarını çözmek, IP adreslerini coğrafi konumlara ayırmak gibi. Yeti kullanıcıların rahat bir ortamda çalışabilmesi için Bootstrap tabanlı bir kullanıcı ara yüzü sunmaktadır. Bir web API arabirimi üzerinden diğer araçlarla entegre edilebilmekte ve kullanılabilmektedir.

Yeti, çok çeşitli kaynaklardan örneğin yazımızda bahsettiğimiz zararlı yazılım bilgi paylaşım platformu olan MISP üzerinden zararlı yazılımlara ait göstergeler, XML özetleri, JSON verileri toplayabilir ve işleyebilmektedir. Sorguları otomatik hale getirebilir ve olay müdahale ekiplerinin işlerine yardımcı olabilmektedir. Yeti, yakın zamanda piyasaya sürülen ve tehdit istihbarat yönetimini kolaylaştırmayı amaçlayan birçok araçtan biridir. Beslemeler ile verilerini derlemenize ve zenginleştirmenize yarayacak çok geniş bir araç kombinasyonuna sahiptir.

Yeti üzerine eklenen tüm bu verileri hızlıca listeyelebilir, analiz edebilir, ilişkilendirebilir ve dışa aktarım sağlayabilirsiniz. Örneğin bu veriler SIEM gibi ürünlere meşhur formatlarda aktarılabilir ve entegrasyon sağlanabilir. Bu sayede yapılan analizler sonucu bulunan tüm tehdit istihbaratını SIEM gibi yazılımlar üzerine aktarmakla uğraşmaktan kurtarmaktadır.

Yeti Kullanım Alanları

Örneğin zararlı yazılımları tespit edebilmek için bir sandbox sisteminiz var ve yeni bir bankacılık zararlısı tespit ettiniz. Bu zararlı yazılım çaldığı verileri depolamak için kullanıcının “Roaming” dizininde başka bir alt dizin kullandığını anladınız. Bunu belgelemek istersiniz, böylece başka bir analist bu davranışı gördüğünde bunun bir bankaları hedefleyen bir zararlı yazılım davranışı olduğunu kolayca anlayabilmektedir.

Web sitesi: https://yeti-platform.github.io/yeti-ecosystem

Github: https://github.com/yeti-platform/yeti

Topluluk: https://yeti-platform.github.io/community

4 – Fame-FIR Framework

FAME, uçtan uca(end-to-end) analizi hızlandırmak ve otomatikleştirmek için mümkün olduğunca çok bilgi kullanan ve zararlı yazılımlar ile ilgili dosyaların analizini kolaylaştırmak amacıyla geliştirilmiş açık kaynak zararlı yazılım analiz platformudur.

Fame projesi, zararlı yazılım analizi alanında uğraşan ekiplerin ana problemlerini çözmek üzerine tasarlanmıştır.

Bir zararlı yazılım analizini tamamlamak oldukça fazla zaman almaktadır, örneğin spam emailler ile dağıtılan bir bankacılık zararlısını ele aldığımızda analist bu zararlı yazılımı dağıtılan spam mailler sayesinde tanımış bile olsa kimin ve nasıl hedef aldığını öğrenmek için elde edilen örneği sanal bir makineye yüklemesi, analiz sonucunu beklemesi, belleğin imajını alması ve bu belleğin analizini yapması, tersine mühendislik gibi oldukça zorlu süreçleri tamamlaması gerekmektedir. Ayrıca her analist farklı sorunları farklı bir şekilde çözebilir.

Fame, bir framework olarak bu sorunları ele almaktadır ve çözüm oluşturulmuş modülleri zincir gibi kullanarak uçtan uca analiz yapmaktadır. Örneğin, bir analist bir zararlı yazılım örneği gönderecek, birkaç dakika bekleyecek ve FAME malware ailesini tanımlayacak, yapılandırmasını çıkartacak ve malware’in kuruluşunuzu nasıl hedeflediğini tespit edebilecektir.

Fame, modüller olarak Python sınıflarını(class) kullanmaktadır. Bu yönden de oldukça avantajlı, kolay yazılabilir ve anlaşılabilir bir Syntax’e sahiptir.

Fame – Tehdit İstihbaratından Yararlanmak

Fame üzerindeki tehdit istihbaratı modülleri, analizinizi tehdit istihbaratı platformlarınızdaki etiketler ve göstergelerle zenginleştirmek için FAME tarafından otomatik olarak kullanılmaktadır.

Örneğin,

Olay müdahale ekiplerinin zararlı yazılım analizi kısmında işlerini kolaylaştırmak için oluşturulan FAME, “FIR” adında bir olay yönetim(incident managament) platformuna da sahiptir.

FIR(Fast Incident Response) Projesi

5- Cortex Projesi

Cortex, tehdit istihbaratı ve olay müdahale   alanında SOC ekiplerinin sık karşılaştığı bir sorunu çözmek amaçlı geliştirilmiştir. Bu sorun toplanan tehdit göstergelerinin tek bir araç kullanarak ve sorgulanarak nasıl analiz edileceğidir.

TheHive Projesi tarafından açık kaynak kodlu ve ücretsiz bir yazılım olan Cortex bu amaçla oluşturulmuştur. IP, e-posta adresleri, URL’ler, alan adları, dosyalar veya dosya özetleri gibi göstergeler, bir web arayüzü kullanılarak tek tek veya toplu modda analiz edilebilir. Analistler, Cortex REST API sayesinde bu işlemleri otomatikleştirebilirler. Cortex Scala’da yazılmıştır. Bootstrap ile birlikte AngularJS kullanmaktadır.

Cortex’in sunduğu avantajlardan biri, bir analiz işlemi için bir servis veya bir araç kullanmak istediğiniz de her seferinde tekerleği yeniden icat etmek zorunda kalmamanızdır.

Web sitesi : https://github.com/CERT-BDF/Cortex

6 – GOSINT Framework

Yazımızda da bahsettiğimiz gibi internet üzerinde halihazırda çok fazla açık kaynak tehdit istihbarat aracı bulunmaktadır. Ancak bu konu hakkında yararlı bilgi bulmak, toplamak ve filtrelemek için kolay bir yol bulunmamaktadır. GOSINT, bir güvenlik analistinin yapılandırılmamış tehdit istihbaratını toplamasına ve standartlaştırmasına olanak tanımaktadır.

GOSINT’i tehdit göstergeleri için bir transfer istasyonu olarak düşünebilirsiniz. Yazılım, tehdit istihbaratı analistlerine bir göstergenin izleme değerinde olup olmadığını veya reddedilmesi gerektiğini değerlendirmesine izin verir. Bu karar verme aşaması, herhangi bir tehdit göstergesini yönetmede çok önemlidir. Hem bir insan analisti hem de GOSINT’in kendisi tarafından tetkik edilmesi, göstergelerin tehdit algılama etkinliğini arttırır. Ekleyebileceğiniz gösterge kaynakları sayısında da bir sınır bulunmamaktadır.

7 – Collective Intelligence Framework

CIF, bir siber tehdit istihbarat yönetim sistemidir. CIF, birçok kaynaktan gelen bilinen zararlı yazılım tehdit göstergelerini(IOC) birleştirmenize ve bu bilgileri tanımlamanızı ve algılamanızı sağlamaktadır. CIF’te depolanan en yaygın tehdit göstergeleri türleri, zararlı etkinlikle ilişkili olduğu gözlenen IP adresleri, FQDN‘leri ve URL’lerdir.

CIF, çeşitli tehdit verilerini herhangi bir kaynaktan alabilmektedir.

Framework’ün çalışma mantığı şu şekildedir.

  • Herhangi bir kaynaktan veri alma.
  • Bu veriyi kaydetme ve reputation(itibar)’a göre değerlendirme.
  • Sorgular aracılığıyla tekrar veriye erişim ve dışarı aktarma.

CIF Nasıl Çalışır?

Parse(Ayrıştırma Süreci)

CIF, aynı tipteki birçok farklı veri kaynağınından veri toplamayı destekler; Örneğin, zararlı domainlerin veri setleri veya feedlerini(beslemeleri) toplayabilir. Her benzer veri setini kaynak veya güvenirlik oranı gibi farklı niteliklerle işaretlenebilmektedir.

Normalize(Normalleştirme)

Tehdit istihbaratı veri setleri genellikle aralarında ince farklara sahiptir. CIF, diğer uygulamalarda veya süreçlerde tehdit istihbaratından yararlanırken size öngörülebilir bir deneyim sunan bu veri kümelerini normalleştirmektedir.

Post Process

CIF, tek bir tehdit istihbaratından ek istihbarat elde eden birçok işlemciye sahiptir. Basit bir örnek, bir domain ve bir IP adresinin CIF içine alınan bir URL‘den türetilebilmesidir.

Store (Depolama)

CIF, milyonlarca tehdit istihbarat verilerini depolamak için son derece optimize edilmiş bir veritabanı şemasına sahiptir. CIF v2, ElasticSearch kullanmaktadır.

Query(Sorgu)

CIF bir web tarayıcısı, yerel istemci veya doğrudan API kullanılarak sorgulanabilmektedir. CIF, milyonlarca kayıt veritabanına karşı sorgulama yapmak için son derece optimize edilmiş bir veritabanı şemasına sahiptir.

Share(Paylaşma)

CIF kullanıcıları, grupları ve api anahtarlarını destekler. Her tehdit istihbaratı verisi, belirli bir kullanıcı grubuyla paylaşılmak üzere etiketlenebilir. Bu, tehdit istihbaratının federasyonlar arasında paylaşılmasına izin vermektedir.

Produce

CIF, depolanan tehdit istihbaratından yeni veri kümeleri oluşturulmasını destekler. Bu veri setleri, tür veya güvenirlik ile oluşturulabilir. CIF ayrıca feed oluşturma sürecinde whitelisting desteklemektedir.

Proje sitesi : http://csirtgadgets.org/

Github: https://github.com/csirtgadgets/massive-octo-spice

8 – Cyphon Projesi

Cyphon, çok sayıda ilgili görevi tek bir platformda hızlandırarak olay müdahale(incident response) sorunlarını ortadan kaldırıyor. Analitik iş akışı için veri toplama, uyarıları paketleme ve önceliklendirme işlerini ve analistlerinizi olayları araştırmak ve belgelemek için yetkilendirmek için kapsamlı bir çözüm sunmak için olayları alır, işler ve süreçlere ayırır.

Birçok işletme, ağlarını gözetlemek için e-postalara güvenmektedir. Cyphon, e-posta, günlük mesajları, API’ler, sosyal medya ve daha pek çok şeyi içeren çeşitli kaynaklardan ayrıntılı bilgi toplayarak veri yönetimindeki boşlukları kapatır. Analistlere, tüm bu veri kaynaklarına bir platform aracılığıyla tam erişim sağlayarak, Cyphon, veri kapsamını en üst düzeye çıkarırken ağları izlemek için gereken süreyi ve enerjiyi en aza indirmektedir.

Uyarılar tetiklendiğinde, analistler olayı doğrudan Cyphon aracılığıyla inceleyebilir. Karşılaşılan aktivitenin türünü, coğrafik kökenini ve kritiklik seviyesini hızlı bir şekilde görebilirler. Bir düğmeyi tıklatarak olayla ilgili günlükleri bulmak için verilere derinlemesine dalabilirler. Bu, bir uyarıyı araştırmak için gereken zamanı ve çabayı azaltır, böylece analistler daha verimli çalışabilir ve olaylar daha çabuk giderilebilir.

Cyphon, başka bir SIEM veya veri toplama aracın daha fazla özellik sunmaktadır. İş akışınızı düzene sokmak için diğer API’lerle bütünleşen hepsi bir arada bir olay yönetimi çözümüdür. Cyphon, analistlerin ekip üyeleri ile sorunları paylaşmalarına ve analiz sonuçlarına uyarı eklemelerine olanak tanır. Bu, operasyon merkezinize veya güvenlik görevlilerine tam şeffaflık sağlarken, aynı zamanda kuruluşunuz için değerli bir bilgi tabanı oluşturur.

Cyphon Çalışma Mimarisi

Kuruluşlarınızın Cyphon’dan en iyi şekilde yararlanmasına yardımcı olmak için, uyarıları yönetmek için bir kullanıcı arabirimi olan Cyclops geliştirilmiştir. Cyclops, Cyphon uyarılarını kolayca görüntülemenizi, atamanızı ve araştırmanızı sağlar. Verilerinize “göz” sağlar, sorunlara hızlı ve etkili bir şekilde yanıt vermenizi sağlar.

Cylops Arayüzü

Cyphon birkaç açık kaynak projesinin yardımıyla çalışır. Cyphon’u çalıştırmak için tüm bağımlılıklarını yüklemeniz gerekir. Bu işlemi, bir uygulamayı bir mikro hizmet kümesi olarak kolayca dağıtmanıza olanak tanıyan Docker kullanılarak basitleştirilmiştir.

Cyphon’u hem geliştirme hem de üretim ortamlarında çalıştırmak için Docker Oluşturma dosyaları seti hazır olarak bulunmaktadır.

Bu, Cyphon’u ve kullandığı diğer hizmetleri hızlı bir şekilde kurmanıza ve çalıştırmanıza izin verir.

Proje Sayfası : https://www.cyphon.io/

Github: https://github.com/dunbarcyber

9 – RTIR Projesi(Request Tracker)

Her büyüklüğe ait kuruluşlar, müşteri isteklerini, iç proje görevlerini ve her türlü iş akışını izlemek ve yönetmek için Request Tracker kullanabilir. Özel ticket süresi, sorunsuz e-posta entegrasyonu, yapılandırılabilir otomasyon ve detaylı izinler ve roller ile RT, müşterilerinizin, personelinizin ve sizin ihtiyaçlarınıza cevap verir.

RT, birçok popüler mobil cihaz da dahil olmak üzere, herhangi bir modern tarayıcı ile çalışan bir sunucu tarafında, veritabanı destekli bir web uygulamasıdır. E-posta arayüzü, Outlook’tan Apple Mail’e, Thunderbird’den Gmail’e ve Mutt’e kadar herhangi bir posta istemcisiyle çalışır. Sunucu tarafında RT, Unix benzeri veya Linux işletim sistemi, SQL veritabanı, web sunucusu ve Perl gerektirir.

RT – Email Entegrasyonu:

  • Request Tracker, anahtar e-posta adreslerine gönderilen tüm e-postaları alır ve yönetir: örneğin, support @, sales @, helpdesk @, security @.
  • Dahili ekipler, aynı ticket üzerinde harici müşteriler ve ekip üyeleri ile birlikte iletişim kurabilir.
  • Otomatik cevaplar için şablonları ve her cevapla yararlı bağlantılar göndermek üzere sayfalarınızı ve diğer bilgiler de dahil olmak üzere markalı, stilli HTML e-postaları göndermek için diğer tüm yazışmaları özelleştirebilirsiniz.
  • Personel, ticket cevaplarını e-posta yoluyla yönetebilir veya RT’nin tam web arayüzünü kullanabilir.
  • E-posta ile gönderilen yanıtları ve yorumları ve ilgili tüm aktiviteleri kontrol edebilirsiniz.

RT – Özel Çalışma Alanları:

RT’nin yaşam döngüsü, ticket durumlarınızı ve işlemlerinizi içeren kişiselleştirilebilir iş akışları oluşturmanıza olanak tanır.

Ticket’larda yapılan her işlem otomatik olarak yapılandırılmış script’leri tetikler. Her bir script’teki koşullar ve işlemler, bir ticket üzerinde önemli güncellemeler yapıldığında, RT ya da diğer sistemlerdeki olayları otomatik hale getirmenizi sağlar.

SLA aracı gibi gelişmiş özellikleri, her bir ticket üzerindeki son tarih gibi anahtar değerleri otomatik olarak ayarlar; böylece bir yanıtsız kalmazsınız.

Rt-crontool programı, ticket güncellemelerini otomatik olarak gerçekleştirir veya ticketlar boşta kaldığında bildirim göndermek için zamanlanmış işleri çalıştırabilir.

Proje Sayfası: https://bestpractical.com/request-tracker

Github: https://github.com/bestpractical

10 – Apache Metron

Apache Metron, on yıl süren büyük veri bilgisini ve akışlı analitik deneyimini, güvenlik ekiplerinin kullanacağı seçilmiş bir teknoloji paketi halinde kapsayan, yenilik için oluşturulmuş bir araçtır. Siber güvenlik platformu için temel altyapıyı oluşturmakla ilgili tekrarlanabilir veri mühendisliği problemleri hakkında kaynak harcamaya gerek kalmadan, gerçek zamanlı profil oluşturma ve istatistiksel analiz için makine öğrenimini hızlı bir şekilde kullanabilmek için bir platform sağlar.

Apache Metron, eski adıyla OpenSOC, tehdit izleme ve analizi için merkezi bir araç sunmak için çeşitli açık kaynaklı büyük veri teknolojilerini birleştirir. Metron, güvenlik telemetrisine tek bir platformda en güncel tehdit istihbarat bilgilerini uygularken log toplama, full packet capture, indeksleme, depolama, gelişmiş davranış analizi ve veri zenginleştirme yetenekleri sunar.

Apache Storm, Apache HBase ve Apache Kafka‘nın üzerine kurulan Metron, full packet capture da dahil olmak üzere herhangi bir telemetri kaynağını ölçeklendirebilir, normalleştirebilir ve dönüştürebilir.

Metron’a verilen veriler, akışa göre coğrafi konum veya varlık tanımlayıcıları gibi değerli bağlamlarla zenginleştirilebilir. Yeni zenginleştirmeler, kesintisiz olarak kullanıcı tanımlı işlevler ve sağlam bir komut dosyası dili ile belirtilebilir. Tehditleri, olay müdahale ve araştırması için yalnızca en büyük tehditlere öncelik verilmesi için kurallar veya makine öğrenmesi modelleri kullanılarak belirlenebilmektedir.

Metron’a ait bazı özellikler:

  • Herhangi bir güvenlik türünde yakalama, saklama ve normalleştirme mekanizması;
  • Yüksek oranlarda telemetri;
  • Gerçek zamanlı işleme ve zenginleştirme uygulamaları;
  • Verimli bilgi depolama;
  • Sistemden geçen verilerin merkezi bir görünümünü ve uyarıları sağlayan arabirim
  • En büyük veri kümelerinde bile güvenlik analizi yapmak için istatistiksel özet veri yapılarının kullanılması

Apache Metron, ister e-posta hizmeti sağlayıcısı gibi uygulamaya özel ortamlarda olsun isterse Nesnelerin interneti (IoT) gibi platformlarda olsun, kullanıcıların siber güvenlik tehditlerini hızla algılar ve bunlara yanıt vermesini sağlamak için büyük verileri ve makine öğrenmesini kullanır.

Avustralya’nın en büyük telekomünikasyon, medya ve İnternet Hizmet Sağlayıcısı Telstra, anahtar hizmet merkezlerinde kurumsal düzeyde güvenlik operasyon merkezleri (SOC) için Apache Metron kullanmaktadır.

Metron Dashboard

Metron’un varsayılan gösterge tablosu, varsayılan sensör paketiyle Metron‘un uçtan uca çalışmasını kolaylıkla doğrulamanıza izin vermek için tasarlanmıştır. Kibana 4‘te bulunan yararlı widget‘ların bazılarını vurguluyor ve kendi özelleştirilmiş gösterge tablolarınızı oluşturmanız için başlangıç noktası olarak hizmet ediyor.

Metron Mimarisi

Proje Sayfası: http://metron.apache.org/

Github Sayfası: https://github.com/apache/metron


Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.