Şəbəkə Təhlükəsizliyi Və Şəbəkə Təhlükəsizliyində İstifadə Olunan Cihazlar
Müəllif : İslam Aslanlı
Last updated
Müəllif : İslam Aslanlı
Last updated
Kibertəhlükəsizlik bu gün getdikcə aktuallaşan bir məsələdir. İnternetin geniş yayılması ilə şəbəkələrə qarşı təhdidlər də artır. Kiberhücumların qarşısını almaq və məlumatları qorumaq üçün bir sıra cihazlardan istifadə olunur. Şəbəkə təhlükəsizliyində istifadə olunan bəzi cihazlar və onların xüsusiyyətləri bunlardır:
İlk öncə günümüzdə Şəbəkə Təhlükəsizliyində ən çox istifadə olunan cihaz ilə başlayaq. Bunlar Firewallardir. Və təbii ki, günümüzə uygun olaraq burada sadəcə irəli səviyyə nəsil firewallar haqqında danışacağıq.
Firewalllar şəbəkəyə daxil olan və çıxan məlumat trafikinə nəzarət etməklə insident yarada biləcək istəklərdən qoruyur. Onun əsas xüsusiyyətlərinə paket filtri, şəbəkə ünvanının tərcüməsi (NAT), müdaxilənin aşkarlanması və qarşısının alınması (IDS/IPS) kimi funksiyalar daxildir. Firewalllar şəbəkəyə daxil olan və gələn trafikə nəzarət edir, istənməyən girişi bloklayır və şəbəkənin bütövlüyünü qoruyur. Firewallar həm xaricdən gələn istəklərə qarşı, həm də daxildə yəni, localda olan istəklərə qarşı konfiqurasiya edilə bilir. Firewallarda ən əsas və diqqət edilən mövzü onlarin rules’leri yani ağ list(whitelist) və ya qara list’lərini (blacklist) konfiqurasiya etməkdir. Çünkü əgər lazımsız və ya artıq bir rule yazsaq, bu zaman sadəcə sade istək olduğu zaman bele firewall blocklayar ve bu hal istifadəçilər üçün çox böyük problemlərə yol açar və ya tam tərsi rule’ləri tam qoruyacaq şəkildə yazmasaq bu zaman da bir çox insident yaradacaq istəklər firewall’ı rahatlıqla bypass edər.
Buna bir örnək olaraq Windows sisteminin Firewall qoruması İCMP yəni Ping istəyini avtomatik blocklayır. Biz bir cihazın aktiv olub olmadığını müəyyən etmək üçün o cihazın sahib olduğu İP adresinə bir ping istəyi göndəririk. Amma Windows sistemləri bu ping istəyini avtomatik blockladığı üçün bizə hər hansı bir cavab qayıtmır bu halda bu firewall qorumasını bypass eləmək çox sadədir. Ping yerinə ARP veya SYN istəyi göndəririk. Bu zaman istədiyimiz kimi cavabı qarşı cihazdan alıb bu cihazın aktiv olub olmadığını müəyyən edə bilərik. Bu Firewall qorumalarını və onları bypass etmə məntiqini başa düşmək üçün bəsit bir örnəkdir.
Firewall’arı Şəbəkə Əsaslı vəya Tətbiq Əsaslı olaraq ikiyə ayıra bilərik. Şəbəkəyə əsaslanan firewall şəbəkələr arasında trafiki yönləndirir. TCP/IP protokol yığını paketləri standart olaraq yaxud da administrator tərəfindən təyin edilmiş şəbəkə qaydalarına əsasən ötürülür.
Tətbiq təhlükəsizlik divarı (həmçinin tətbiq səviyyəsinin təhlükəsizlik divarı adlanır) tətbiqlərə və tətbiqlərdən gələn bütün trafik paketlərini filtrləmək və bloklamaq üçün TCP/IP yığını ilə işləyir. Amma bundan da irəli gedir. Bu firewall həmçinin faylların və kodun müəyyən proqramlar tərəfindən şəbəkəyə və ya serverə icrasına nəzarət edir. Bu o deməkdir ki, hacker giriş əldə edərsə, zərərli kodu işlədə bilməz.Bəzi məşhur və irəli səviyyə nəsil firewall’ara və şirkətlərə örnək olaraq, Cisco Firewallar’ını, Fortinet Firewallar’ını, Palo Alto Firewallar’ını göstərə bilərik.
Hardware firewall, həmçinin hardware-based firewall kimi də tanınır, ayrıca cihaz kimi işləyir. Bu cihaz şəbəkə trafikinə nəzarət edir və nəzarət edir və təhlükəsizlik siyasətlərini tətbiq etmək üçün xüsusi hazırlanmış aparat komponentlərindən istifadə edir.
Hardware firewall adətən şəbəkə keçidi nöqtəsində yerləşdirilir və daxil olan və gedən şəbəkə trafikini filtrələyir. Bu şəkildə şəbəkəyə daxil olan və çıxan paketlərin təhlükəsizlik siyasətlərinə uyğun olub olmadığını yoxlayır.
Hardware firewallları daha yüksək bant genişliyi və emal gücü təmin edərək, onları daha böyük şəbəkələrdə və yüksək trafikli mühitlərdə effektiv edir.
Fiziki təbiətlərinə görə, onlar müstəqil fəaliyyət göstərə bilən və şəbəkəyə xas təhlükəsizlik siyasətlərini tətbiq edə bilən aparat cihazlarıdır.
Software Firewall proqram təhlükəsizlik divarı kompüter və ya serverdə işləyən proqramdır. O, kompüterin əməliyyat sisteminin və ya təhlükəsizlik proqramının bir hissəsi kimi işləyir.
Proqram təminatının təhlükəsizlik divarı kompüterin və ya serverin əməliyyat sisteminə inteqrasiya edərək şəbəkə trafikinə nəzarət edir.
Proqram təminatının təhlükəsizlik divarları şəbəkəyə qoşulmuş hər bir cihazda ayrıca quraşdırılmalı və konfiqurasiya edilməlidir. Hər bir cihaz öz firewall proqramını işlətməlidir.
Proqram təminatının təhlükəsizlik divarları kompüterdə işlədiyi üçün aparatın prosessoru və yaddaş resurslarından istifadə edir. Buna görə də, yüksək trafikli mühitlərdə onlar hardware firewalllarına nisbətən performans baxımından daha məhdud ola bilərlər.
Məkan: Təchizat təhlükəsizlik divarı şəbəkə keçidi nöqtəsində, yəni şəbəkənin giriş və çıxış nöqtələrində yerləşir, proqram təminatı isə kompüterdə və ya serverdə işləyir.
Emal Gücü: Hardware təhlükəsizlik divarı xüsusi hazırlanmış aparat komponentləri sayəsində daha yüksək emal gücünə malikdir. Proqram təminatının təhlükəsizlik divarı isə kompüterin resurslarından istifadə edir və məhdud emal gücünə malik ola bilər.
İş gücü: Hardware firewall daha böyük şəbəkələr və yüksək trafik mühitləri üçün daha yaxşı miqyaslanma təmin edir. Proqram təminatının təhlükəsizlik divarı hər bir cihazda ayrıca quraşdırıldığı üçün idarəetməni çətinləşdirə bilər.
Müstəqillik: Hardware təhlükəsizlik divarı müstəqil şəkildə fəaliyyət göstərə və şəbəkəyə aid təhlükəsizlik siyasətlərini tətbiq edə bilsə də, proqram təminatı təhlükəsizlik divarı kompüterin əməliyyat sisteminin və ya təhlükəsizlik proqramının bir hissəsidir və ondan asılıdır.
Bulud təhlükəsizlik divarı bulud mühitində işləyən virtual təhlükəsizlik divarı kimi müəyyən edilir. Ənənəvi şəbəkə əsaslı firewalllar kimi, bulud təhlükəsizlik duvarı da şəbəkə trafikinə nəzarət edir və ona nəzarət edir və təhlükəsizlik siyasətlərini tətbiq edir. Bulud əsaslı xidmətlər tərəfindən təklif olunan genişlənmə və çeviklikdən istifadə edərək, bulud təhlükəsizlik divarı buludda işləyən proqramların və məlumatların təhlükəsizliyini təmin etmək üçün optimallaşdırılıb.
Məlumat Təhlükəsizliyi: Bulud təhlükəsizlik divarı bulud əsaslı proqramları və məlumatları qorumaq üçün effektiv işləyir. Arzuolunmaz girişin qarşısını almaqla məlumatların icazəsiz şəxslərin əlinə keçməsinin qarşısını alır və informasiya ehtiyatlarının mühafizəsini təmin edir.
İş gücü: Bulud firewall bulud mühitinin miqyaslanma imkanından istifadə edir. Tələb üzrə avtomatik miqyaslana bilən olması onun artan məlumat trafikini idarə etmək qabiliyyətini artırır.
Çeviklik: Bulud təhlükəsizlik divarı bulud əsaslı xidmətlərin çevikliyi ilə uyğun gəlir. O, müştərilərin dəyişən ehtiyaclarına uyğun olaraq təhlükəsizlik siyasətlərini asanlıqla konfiqurasiya edə və yeniləyə bilər.
Mərkəzi İdarəetmə: Bulud təhlükəsizlik divarı mərkəzi idarəetmə konsolu vasitəsilə konfiqurasiya edilə və idarə oluna bilər. Bu, çoxsaylı bulud xidmətləri və ya hibrid bulud mühitlərindən istifadə edərkən təhlükəsizlik siyasətlərinin birləşdirilməsinə və bir nöqtədən idarə olunmasına imkan verir.
Qeyd etdiyim kimi Firewallar’a IDS və IPS daxildir.
Aşkarlama sistemləri şəbəkədə baş verən anormal fəaliyyətləri izləyir və hücumları aşkarlayır. İmza əsaslı və davranışa əsaslanan analiz metodlarından istifadə edərək, zərərli trafiki aşkar edir və müvafiq tədbirlər görür.
(IPS): Hücumların qarşısının alınması sistemləri hücumları aşkar etdikdən sonra avtomatik cavab verir. Hücumların qarşısını almaq və ya zərərli trafiki dayandırmaq üçün kiberhücumçulara qarşı əks tədbirlər görür.
Bəs bu ikisinin fərqi nədir? Adlarından da anlaşıldığı kimi IDS insitenti vəya hücümü kəşf eləyir, IPS isə onun qarşısını almaq üçün tədbirlər görür.
İndi ki zaman da kiberhücumlar getdikcə daha təkmilləşir. Bu hücumlar təşkilatların məlumatlarını və şəbəkələrini hədəf alaraq böyük zərər verə bilər. Buna görə şirkətlər təhlükəsizlik həllərini gücləndirməli və daha effektiv təhlükədən müdafiəni təmin etməlidirlər. XDR (Extended Detection and Response) və EDR (Endpoint Detection and Response) kibertəhlükəsizlikdə bu problemləri həll etmək və təhdidlərə qarşı qabaqcıl müdafiəni təmin etmək üçün istifadə olunan iki mühüm vasitədir.
EDR korporativ kompüter sistemlərində baş verən təhlükələri aşkar etmək və onlara qarşı tədbir görmək üçün istifadə edilən təhlükəsizlik texnologiyasıdır. EDR cihazlarda ki fəaliyyətə nəzarət edir, anormal davranışları aşkarlayır və potensial hücumları bloklayır. Zərərli proqramların aşkar edilməsində, zərərli faylların təhlilində və hücumdan sonrakı hadisələrin araşdırılmasında xüsusilə təsirlidir. Güclü giriş və təhlil xüsusiyyətləri ilə EDR hücumları tez aşkar etməyə və hərəkətə keçməyə imkan verir.
XDR təkcə endpointlər’də deyil, həm də şəbəkə, bulud və digər təhlükəsizlik həllərində təhdidləri aşkar etmək və onlara cavab vermək üçün istifadə edilən daha əhatəli təhlükəsizlik həllidir. XDR daha çox təhlükə görünürlüğünü təmin etmək üçün çoxsaylı təhlükəsizlik məlumat mənbələrini birləşdirərək EDR-dən kənara çıxır. Bu inteqrasiya sayəsində o, şəbəkədəki anomaliyaları və təhdidləri daha effektiv şəkildə aşkarlaya və tez cavab verə bilər. XDR, süni intellekt kimi texnologiyalar’ı istifadə edərək, mürəkkəb hücumları aşkarlaya və təhlükəsizlik hadisələrini avtomatik təhlil edə bilər.
EDR yalnız endpointlər də təhdidlərin aşkarlanması ilə məhdudlaşsa da, XDR şəbəkə, endpoint və digər təhlükəsizlik resurslarını inteqrasiya etməklə daha geniş təhlükə görünürlüğünü təmin edir.
EDR adətən şəbəkə idarəetmə konsolu vasitəsilə işləsə də, XDR çoxsaylı təhlükəsizlik mənbələrini birləşdirir və mərkəzləşdirilmiş idarəetməni təmin edir.
EDR yalnız endpointlər də fəaliyyətlərə nəzarət edir, XDR isə şəbəkə trafikini, təhlükəsizlik hadisələrini və digər təhlükə məlumatlarını birləşdirir və təhlil edir.
XDR’dan danışmış’kən Azərbaycan da ən çox istifadə olunan XDR növü olan Palo Alto şirkətinin Cortex XDR cihazı ilə əlaqəli də biraz məlumatlanaq.
Cortex mənim’də iş mühitin də istifadə elədiyim bir XDR növüdür. Cortex həm xaric’dən gələn istəkləri həm də daxildə ki istəkləri analiz edir. Cortex eyni zaman’da sadəcə istəkləri yox hətda bir cihaza USB taxdıq’da USB’nin içəriyini və içində ki fayllar’ı analiz edir. Həmçinin istədiyimiz rule yəni blacklist və whitelist əlavə eliyə bilirik. Əgər whoami kimi təhlükə yarada biləcək komutu blacklistə əlavə eləsək hər hansı bir cihazda whoami komutu daxil edilsə həmin an Cortex alert yəni bildiriş çıxarır. Cortex’in funksiyaları saymaq’la bitməz burada qısaca məlumat’landıq ki bir XDR’in nə qədər çox effektli oldugunu anlayaq.
Veb tətbiqləri bu gün müəssisələrin müştəriləri ilə qarşılıqlı əlaqəsində mühüm rol oynayır. Bununla belə, bu proqramlar kiberhücumların hədəfinə çevrilə bilər. Burada Veb Tətbiqi Təhlükəsizlik Duvarı (WAF) adlı təhlükəsizlik tədbiri işə düşür. WAF veb proqramlarınızı potensial təhlükələrdən qorumaqla istifadəçi məlumatlarınızı və biznes aktivlərinizi təhlükəsiz saxlamağa kömək edir.
Veb Tətbiq Firewall (WAF) veb proqramların təhlükəsizliyini təmin etmək üçün nəzərdə tutulmuş təhlükəsizlik tədbiridir. WAF HTTP və HTTPS trafikinə nəzarət edir və veb proqramların kritik zəifliklərini hədəfləyən hücumları aşkarlayır və bloklayır. Bu zəifliklərə SQL injection, Cross-Site Scripting (XSS) kimi ümumi hücum növləri daxildir. Təhlükəsizlik siyasətlərinə əsaslanaraq, WAF zərərli trafiki filtrləyir və qadağan edir.
Sorğu Analizi: WAF veb tətbiqinə daxil olan sorğuları ətraflı təhlil edir. Sorğuların məzmununu, parametrlərini və daxiletmələrini qiymətləndirir.
Təhlükənin aşkarlanması: WAF təhlükəsizlik siyasətləri və imza əsaslı aşkarlama metodlarından istifadə edərək potensial təhlükələri aşkarlayır. Məsələn, SQL injection və ya XSS hücumları kimi ümumi təhlükələri tanıya bilər.
Filtrləmə və Bloklama: WAF zərərli trafiki filtrləyir və qadağan edir. O, potensial təhlükə yaradan sorğuları bloklayır və yalnız təhlükəsiz sorğulara icazə verir.
Müdaxilənin qarşısının alınması: WAF veb proqramları hədəf alan hücumlara qarşı aktiv tədbirlər görür. Məsələn, o, avtomatik olaraq hücumları bloklayır və ya hücumu aşkar etdikdən sonra administratorlara xəbərdarlıq göndərir.
Bəzi tanınmış WAF servislər’i bunlardır.
Imperva Web Application Firewall (WAF)
Azure Application Gateway.
HAProxy.
Cloudflare Spectrum.
Wallarm API Security Platform.
Symantec Web Application Firewall and Reverse Proxy.
Cloudflare WAF.
Reblaze.
CloudFare’ni özəlliklə tövsiyyə edə bilərəm.
Virtual Şəxsi Şəbəkə (VPN) Cihazları: VPN cihazları istifadəçilərə təhlükəsiz uzaqdan giriş üçün şifrəli əlaqə yaratmağa imkan verir. Bu cihazlar məlumatların təhlükəsiz ötürülməsini təmin edən VPN protokollarını dəstəkləyir.
VPN hamımızın bildiyi və istifadə etdiyi bir servis’dir. Amma təbii ki, VPN sadəcə İP’mizi dəyişdirmək üçün və ya qadağa olunan bir servisə girə bilmək üçün mənbə İP’mizi dəyişdirdiyimiz bir servis deyil və daha çox özəllikleri var. Belə bir örnək verə bilərik. Əger siz uzaq’dan işləyirsiz’sə, bu zaman şirkətivizə aid servislər’lə elaqə saxlaya bilmək üçün təhlükəsiz və şifrələnmiş bir şəbəkə üzərindən bağlanmalısınız. Bu zaman VPN bizə təhlükəsiz bir şəbəkə yaratmaq üçün istifadə olunan mükəmməl bir servis’dir.
SOAR təhlükəsizlik əməliyyatlarını optimallaşdırmaq və kiberhücumlarla mübarizə aparmaq üçün nəzərdə tutulmuş platformadır. Bu platforma təhlükəsizlik insidentlərinin avtomatik təhlili, cavablandırılması və marşrutlaşdırılması daxil olmaqla bir sıra funksiyaları özündə birləşdirir. SOAR təhlükəsizlik qruplarının biznes proseslərini avtomatlaşdırarkən insanların qarşılıqlı əlaqəsini və qərar qəbulunu sürətləndirmək üçün süni intellekt kimi texnologiyalardan istifadə edir.
SOAR platforması müxtəlif məlumat mənbələrindən (təhlükəsizlik hadisələri qeydləri, təhlükə kəşfiyyatı, təhlükəsizlik duvarları, IDS/IPS sistemləri və s.) təhlükəsizlik hadisələrini toplayır və təhlil edir. Bu hadisələr əvvəlcədən müəyyən edilmiş qaydalar və alqoritmlərdən istifadə etməklə qiymətləndirilir və prioritetləşdirilir. SOAR təhlükəsizlik qruplarına bildirişlər göndərir və lazım gəldikdə hərəkətləri avtomatlaşdırır.
Maqalə boyunca təhlükəsizlik cihazları ilə əlaqəli məlumat oxuduq. Bəs bu təhlükəsizlik cihazları bir insitent yəni hücüm aşkarladığın da logl’ar hara düşür? Hər cihazın log servisini ayrı ayrı incələmək lazımdır? Təbii ki xeyr. Bu zaman bizə köməyə SIEM gəlir.
SIEM təhlükəsizlik hadisələrinin və məlumatlarının toplanması, təhlili, hesabatı və idarə edilməsi üçün proqram həllidir. SIEM şəbəkələrdən, sistemlərdən və proqramlardan təhlükəsizlik hadisələri və log məlumatlarını toplayır, bu məlumatları təhlil edir və mənalı məlumatlara çevirir. Bu, potensial təhlükələrin, hücumlar və zəifliklər barədə xəbərdarlıqların aşkarlanmasını təmin edir.
Məlumatların toplanması: SIEM şəbəkə təhlükəsizlik cihazlarından, log fayllarından, proqramlardan və sistemlərdən təhlükəsizlik hadisələri və log məlumatlarını toplayır. Bu məlumatlar mərkəzi bir yerdə toplanır və təhlil üçün hazırlanır.
Hadisə və İnformasiya Təhlili: SIEM anormal fəaliyyətləri və potensial təhlükələri aşkar etmək üçün toplanmış məlumatları təhlil edir. İmza əsaslı və davranışa əsaslanan analiz üsullarından istifadə edərək hücumları və zəiflikləri müəyyən edir.
Hadisənin Mühafizəsi və Cavab: SIEM aşkar edilmiş təhlükəsizlik hadisələrinə tez cavab verir. Bu, administratorlara xəbərdarlıqlar göndərir, hücumların qarşısını alır və müvafiq tədbirlərin görülməsini təmin edir.
Hesabat və Uyğunluq: SIEM təhlükəsizlik hadisələri və məlumatları haqqında ətraflı hesabatlar təqdim edir. Bu hesabatlar təhlükəsizlik vəziyyətini qiymətləndirmək, uyğunluq standartlarına cavab vermək və audit tələblərini yerinə yetirmək üçün istifadə olunur.
SIEM bizneslərə təhlükəsizlik hadisələrini və məlumatlarını effektiv şəkildə idarə etməyə kömək edən mühüm vasitədir. Təhlükəsizlik insidentlərini aşkar etmək, təhlil etmək, hesabat vermək və onlara cavab vermək bacarığı ilə müəssisələr potensial təhlükələrə qarşı daha güclü müdafiə təmin edə bilərlər. SIEM məlumat təhlükəsizliyini təkmilləşdirir, biznesin davamlılığını qoruyur və uyğunluq standartlarına cavab verməyə kömək edir.
Son olaraq yekunlaşdırmalı olsaq SIEM bizim maqalə boyunca oxuduğumuz təhlükəsizlik cihazlarında ki insidentləri bir araya yəni özünə toplayır bu halda biz SIEM sayəsin də bütün cihazların loglarını bir program üzərindən görə bilirik.
SOAR: Təhlükəsizlik insidentlərinin avtomatik təhlilini, reaksiyasını və yönləndirilməsini təmin edir.
SIEM: Təhlükəsizlik hadisələrini toplayır, təhlil edir və hesabat verir.
SOAR: Avtomatlaşdırılmış hərəkətləri yerinə yetirərək təhlükəsizlik hadisələrinə avtomatik reaksiya verə bilər.
SIEM: Əl ilə müdaxilə tələb edir, analiz nəticələrini insanlara çatdırır və qərar qəbul etmə prosesinə sadiq qalır.
SOAR: Avtomatik cavab idarəetməsi ilə biznes proseslərini avtomatlaşdırır.
SIEM: İnsanların iş proseslərinin əl ilə cavablandırılmasına və idarə olunmasına diqqət yetirir.
SOAR: Müxtəlif təhlükəsizlik komponentləri ilə inteqrasiya imkanları təklif edir, əməkdaşlığı və koordinasiyanı artırır.
SIEM: Adətən digər təhlükəsizlik komponentləri ilə birbaşa inteqrasiyanı təmin etmir.
SOAR: Kibertəhlükəsizlik əməliyyatlarının avtomatlaşdırılması və optimallaşdırılmasına diqqət yetirir.
Son olaraq deyə bilərik ki SOAR, SIEM’dən daha inkişaf eləmiş cihaz və texnologiya’dır.
İş mühitində mən’də, İBM SIEM istifadə edirəm ona görə sizlərlə öz təcrübələrimi son olaraq qeyd etmək istəyirəm.
Öncəliklə, SIEM Blue Team anlayışıdır. SIEM ilə Blue Team’ın Soc Analist kamandası məşğul olur. Bir Soc Analist’in gündəlik işi təhlükəsizlik cihazlarından gələn və SIEM də toplanan loglar’ı analiz etmək və bir insident olub olmadığını təyin etməkdir. SIEM in ən çox istifadə olunan programı QRADAR adlanır. QRADAR bu loglar’ın insident riski daşıyan əsas logları bizim qarşımıza OFFENS yəni insident olaraq çıxarır. Demək olar ki SIEM QRADAR programından aslıdır. Çünki əsas analizlər və işlər SIEM’in QRADAR program’ı üzərindən gedir. Bəs proses nece irəlləyir? Öncəliklə, Soc analist bir insident reportu gördüyündə onun hansı insident yəni hansı hücüm növü olduğunu təyin edir. Daha sonra isə mənbə və təyinat İP’lərinə baxır. Daxili İP’lərdir yoxsa Xarici İP’lər onu müəyyən edir. Əgər xarici İP dən gələn bir insident’dirsə və ya daxil’dən xaricə çıxan bir insident’dirse o zaman xarici İP’ni bəzi program və saytlar üzərindən analiz edir. Bu xarici İP bir təhlükə yaradan İP’dirmi yoxsa tamamən rəsmi bir quruma aid İP’dir mi onu müəyyən edir. Bu məlutmatları əldə etmək üçün isə VirusTotal və AbuseIPDB saytların’dan istifadə edə bilərik.
Daha sonra isə xarici İP’ə gedən istək hansı port’dan çıxıb və hansı port’a gedib bunu təyin etmək lazımdır. Və təbii ki hücüm varsa əgər bir payload olmalıdır bu zaman bir payload var mı onuda log’a baxaraq müəyyən etmək lazımdır. Əgər bir payload yoxdur’sa ve xarici İP güvənli bir İP’dirsə o zaman Rule yəni qaydalar hissəsinə baxırıq ki bu report’un bura düşmə səbəbi firewall’in hansı qaydasıdır yəni firewall bu istəyi niyə bir insident kimi qəbul edib ve reportlayıb. Log’u və report olma səbəbini tam analiz etdikdən sonra isə anlayırıq ki bu report False-Positive və ya True Positive’dir. False-Positive və True-Positive nə deməkdir?
False-Positive: Firewall insident kimi bir istəyi reportlayır və SIEM’də bizim qabağımıza çıxır amma ortada hər hansı bir insident yoxdur təhlükəsiz bir istəkdir bu zaman bu report’a False-Positive deyirik yəni bir report var amma yanlış reportdur ortada bir hücüm riski yoxdur.
True-Positive: False-Positive'nin tam tərsidir. Firewall və ya hər hansı bir təhlükəsizlik cihazı bir istəyi reportlayıb və doğurdan da ortada bir hücüm var. Bu zaman buna True-Positive deyilir. Report var eyni zaman da hücüm da var.
SIEM’i daha yaxşı başa düşmək və ən azından necə bir arayüzü olduğunu görmək üçün Lab şəraitin’də incələyək.
Öncəliklə burada bir SIEM’in arayüzünü görürük təbii ki hər şirkətin SIEM’arayüzü fərqli ola bilər amma əsas məntiq və anlayış eynidir. Bu arayüzdə insident və ya event olaraq düşən log’ları ip adreslər’ini mənbə və təyinat ipləri’ni görürük. Həmçinin proses adlarını.
İndi isə bir insident reportu qarşımıza çıxır cudominer.exe adlı bir insident yaratma təhlükəsi olan program və ya proses işləməyə başlayır və bunu tutan firewall yaxud da digər şəbəkə təhlükəsizlik cihazlarımız SIEM’ə ötürür nəticə olaraq bu təhlükəli girişim SIEM’də qabağımıza çıxır və artıq bir SOC analisti olaraq bu təhlükənin qarşısını almalıyıq.
İnsident ilə əlaqəli ətraflı məlumat görmək üçün üzərinə basırıq və prosesin ID’sini, prosesin olduğu cihazın adını, prosesin ID’sini, log’un hansı təhlükəsizlik cihazından gəldiyi kimi önəmli məlumatları görürük. İndi isə bunu analiz etmək zamanıdır. Bizə insident yaradan proses cudominer.exe idi ona görə digər loglar’ı görməzdən gəlirik və cudominer.exe’yə aid proses’lərə focuslanırıq.
İnsident’i analiz etdik’dən sonra isə bu insident’i şəbəkə təhlükəsizliyi cihazımız’da ki hansı qaydanın (rule) tətiklədiyini bu prosesin hansı qaydanı pozduğunu öyrənmək üçün qaydalar (rule) hissəsinə gedirik və beləliklə arxa planda potensiyal crypto qazısı edən programın işlədiyini öyrənirik.
Son olaraq isə bu insidentin az öncə mənalarını qeyd etdiyimiz kimi True-Positive yoxsa False-Positive olduğuna qərar vermək və insidenti bağlamaq vaxtıdır. Bu reportun bir insident olduğuna və arxa planda zərərli program işlədiyini təspit eləmişdik ona görə True-Positive yəni bir report var eyni zamanda bu report bir insident’dir olaraq qeyd edirik.