Siber operasyon merkezi yönetimi eğitimi

Eğitimin Detayları

• Siber Olay Müdahale Ekipleri (SOME’ler)
• SOME Süreçleri
• Ulusal Siber Güvenlik Strateji ve Eylem Planı
• SOC Amaç ve Etkinlikleri
• SIEM Çözümleri
• Savunma Araç ve Çözümleri
• Modern Savunma Mekanizmaları
• Saldırgan Tabanlı Tespit
• Ağ Güvenlik İzlemesi
• Balküpü Sistemleri
• Sürekli Güvenlik İzlemesi
• Durumsal Farkındalık
• Uygulama İzleme ve Takibi
• Yapılandırma Değişim Yönetimi
• Log Yönetim ve İzlemesi
• Sonnokta Güvenliği
• Yönetici Hesapları İzleme ve Yönetimi
• Tehdit Avcılığı
• Siber İstihbarat
• Yetkilendirme
• Post-Yetkilendirme
• Ün Tabanlı Tespit
• Anomali Tespiti ve Analizi
• Siber İstihbarat
• Paket Analizi
• İmza Tabanlı Tespit
• Oturum Analizi
• Sensör Platformları
• Risk Yönetim ve Planlaması

Örnek Senaryolar

• Saldırı makinesinden kurban makineye nmap ile tarama yapmayı müteakip, izleme makinesinde Sguil üzerinde alarmların görülmesi ve incelenmesi.
• Saldırı makinesinden kurban makineye Metasploit ile saldırmayı müteakip, iz takip alarmlarının izleme makinesindeki sguil üzerinde görülmesi.
• Sguil üzerinde yerel kurallar oluşturmayı müteakip, Scapy ile paket yaratmak ve bunların oluşturacağı web alarmlarını takip etmek.
• TcpReplay ile trafik oluşturmak ve alarmları Sguil üzerinde izlemek.
• İçinde zararlı öğeler barındıran bir pcap trafik dosyasını Snort IDS’ten geçirmek, ortaya çıkan alarmları analiz etmek. Ardından bro kullanarak zararlı exe dosyası ve diğer varlıkları dışarı aktarmak. Sonra aynı paketi Wireshark ile analiz ederek zararlı exe dosyasını bulup dışarı aktarmak. Nihayet bu zararlı exe dosyasını Radare ile açarak disassemble görünümünü elde etmek.
• T-pot balküpü sistemine ssh, ftp ve web trafikleri göndererek oluşacak log kayıtlarını Kibana üzerinden takip etmek.
• Windows Olay Günlüğü loglarını Powershell betikleriyle analiz etmek.
• p0f ile pasit ağ istihbaratı ve işletim sistemi tespiti yapmak.
• ModSecurity sistemine wget paketleri göndererek saldırı enjeksiyonlarına tepkisini anlamak.
• AlienVault OSSIM yapılandırma ortamını tanımak.
• SysInternals Araçlarını; Process Explorer, Process Monitor, psexec, AutoRuns vs. incelemek
• SOC amaçlı olarak Powershell kullanımı.
• Saldırı sonrası iz bilgilerini Mendiant Redline ve iRec kullanarak toplamak ve örnek bir senaryo eşliğinde analiz etmek. Örnek bir SIEM alarmı ışığında toplanan iz bilgilerinden, zararlı trafiğin gelme saati, hangi URL üzerinden geldiği, indirilme ve bulaşma yöntemi, açılan dosyalar ve çalıştırılan komutlar gibi tüm adımların sırasıyla ortaya konması.
• iREC ile elde edilen bir RAM dump’ının Volatility ile incelenmesi.
• Güvenli Domain Altyapısı Yönetimi
• Hukuki Süreçler
• Ağ topolojisini tespit ve önleme bakış açısı ile inceleyerek bileşenleri konumlandırmak.
• Ağ ortamındaki kör noktaları velirleyecek şekilde görünürlük analizinin yapılması.
• Tehditlerin tanımlanması, buna göre risklerin nicelendirilmesi, bu kapsamda veri ve log kaynaklarının tespit edilerek sensörlerin en uygun şekilde konuşlandırılması.
• Saldırgan tarafından gerçekleştirilen (pivoting ya da VLAN hopping gibi) yanal hareketlerde ortaya çıkması beklenen log ve iz bilgilerinin analizi.
• Bir tehdit avcı timinin oluşturularak saldırılara proaktif karşılık verilebilmesi.
• Saldırı ölüm zincirinin anlaşılarak APT saldırılarının tespit edilmesinin sağlanması.