Open in app

Sign in

Write

Sign in

TryHackMe Çözüm & Çeviri — Junior Security Analyst Intro

Aslıhan Kuzucu
6 min readSep 11, 2023

--

Junior Güvenlik Analisti Rolünde:

Junior Güvenlik Analisti rolünde, bir Triaj Uzmanı olacaksınız.

Triaj Nedir?

Oluşan bir olayın en olası etkilerine göre algılanan tehditlerin önceliklendirmesini ve doğrulamasını sağlayan kavramdır.

Junior Güvenlik Analisti veya Seviye 1 SOC Analisti’nin sorumlulukları şunlardır:

  • Alarmları izlemek ve araştırmak (çoğu zaman bu, 24x7 SOC operasyon ortamıdır)
  • Güvenlik araçlarını yapılandırmak ve yönetmek
  • Temel IDS (Saldırı Tespit Sistemi) imzaları geliştirmek ve uygulamak
  • SOC çalışma gruplarına, toplantılara katılmak
  • Gerekirse güvenlik olaylarını Seviye 2 ve Takım Liderine ileten biletler oluşturmak

IPS (Intrusion Prevention System) ve IDS (Intrusion Detection System) sistemleri, ağ ve sistemleri siber saldırılara karşı korumak için kullanılan iki temel güvenlik teknolojisidir.

IDS, ağ trafiğini izleyerek ve analiz ederek, ağdaki kötü amaçlı aktiviteleri tespit eder. Bu aktiviteler, sızma girişimleri, yetkisiz erişimler, veri hırsızlığı gibi çeşitli şekillerde olabilir. IDS sistemleri, tespit ettikleri saldırıları, güvenlik yöneticilerine bildirmek, kayıt tutmak ve raporlamak gibi çeşitli şekillerde yanıt verir.

IPS ise, IDS’nin tespit ettiği saldırılara ek olarak, saldırıların gerçekleşmesini önlemeye çalışır. IPS sistemleri, kötü amaçlı trafiği engellemek, bağlantıları sıfırlamak, sistemleri karantinaya almak gibi çeşitli eylemler gerçekleştirerek saldırıları durdurabilir.

IPS ve IDS sistemleri arasındaki temel fark, IPS’nin IDS’nin tespit ettiği saldırılara ek olarak, saldırıların gerçekleşmesini önlemeye çalışmasıdır.

IPS ve IDS sistemleri, ağ ve sistem güvenliğini sağlamak için birlikte kullanılabilir. IPS, ağdaki kötü amaçlı trafiği engelleyerek saldırıların gerçekleşmesini önlerken, IDS, tespit ettiği saldırıları güvenlik yöneticilerine bildirerek, saldırıların daha hızlı ve etkili bir şekilde ele alınmasına yardımcı olur.

IPS ve IDS sistemleri, aşağıdaki yöntemlerle saldırıları tespit edebilir:

  • İmza tabanlı tespit: Bu yöntemde, IPS ve IDS sistemleri, bilinen saldırıların imzalarını kullanarak, ağdaki trafiği analiz eder.
  • Profil tabanlı tespit: Bu yöntemde, IPS ve IDS sistemleri, ağdaki normal trafiği analiz ederek, bu trafiğe aykırı olan aktiviteleri tespit eder.
  • Yapay zeka tabanlı tespit: Bu yöntemde, IPS ve IDS sistemleri, yapay zeka algoritmaları kullanarak, ağdaki trafiği analiz ederek, kötü amaçlı aktiviteleri tespit eder.

Gerekli Nitelikler (En yaygın)

  • Güvenlik Operasyonlarında 0–2 yıl deneyim
  • Ağ (OSI modeli (Açık Sistemler Arası Bağlantı Modeli) veya TCP/IP modeli (İletim Kontrol Protokolü/İnternet Protokolü Modeli)), İşletim Sistemleri (Windows, Linux), Web uygulamaları gibi temel ağ bilgisi. OSI ve TCP/IP modelleri hakkında daha fazla bilgi için, Tanıtım Ağı Odası’na bakınız.
  • Kodlama/programlama becerileri artı

İstenilen sertifika:

  • CompTIA Security+

CompTIA Security+, siber güvenlik alanında temel bilgi ve becerileri öğreten bir sertifikadır. Bu sertifika, işletmeler ve kuruluşlar için siber güvenlik tehditlerine karşı savunma oluşturmak için gereken bilgi ve becerilere sahip olduğunuzu kanıtlamanın bir yoludur.

CompTIA Security+, aşağıdaki konuları kapsar:

  • Ağ güvenliği
  • Güvenlik yönetimi
  • Tehditler ve zayıflıklar
  • Güvenlik denetimi
  • Uygulama güvenliği
  • Veri güvenliği
  • Kriptografi

Bu sertifika, siber güvenlik alanında kariyer yapmanıza yardımcı olacak sağlam bir temel sağlar.

Junior Güvenlik Analisti olarak ilerledikçe ve becerilerinizi geliştirdikçe, sonunda Seviye 2 ve Seviye 3'e yükseleceksiniz.

TASK 1:

Bir SOC’nin (Güvenlik Operasyon Merkezi) temel işlevi, siber dünyada 7/24 veya günün her saati tehditleri araştırmak, izlemek, önlemek ve yanıt vermektir. McAfee’nin bir SOC tanımına göre, “Güvenlik operasyon ekipleri, fikri mülkiyet, personel verileri, iş sistemleri ve marka bütünlüğü gibi birçok varlığı izlemekle ve korumakla görevlendirilir. Bir kuruluşun genel siber güvenlik çerçevesinin uygulama bileşeni olarak, güvenlik operasyon ekipleri, siber saldırılara karşı izleme, değerlendirme ve savunma için koordineli çabalarda işbirliğinin merkezi noktası olarak hareket eder.”

SOC’de çalışan kişi sayısı, kuruluşun büyüklüğüne göre değişebilir.

  • SOC (Güvenlik Operasyon Merkezi): Bir kuruluşun siber güvenlik tehditlerini izlemek, analiz etmek ve bunlara yanıt vermek için 24/7 çalışan bir departmanı veya birimini ifade eder.
  • Tehdit: Bir kuruluşun sistemlerine, ağlarına veya verilerine zarar verme potansiyeline sahip bir olay veya eylem.
  • İzleme: Bir kuruluşun sistemlerini, ağlarını ve verilerini tehditlere karşı sürekli olarak izleme işlemi.
  • Analiz: Tehditleri ve güvenlik olaylarını anlamak için verileri inceleme işlemi.
  • Yanıt: Bir tehdit veya güvenlik olayına karşı alınan önlemler.

Hazırlık ve Önleme

Junior Güvenlik Analisti olarak, güncel siber güvenlik tehditlerinden haberdar olmalısınız (Twitter ve Feedly, siber güvenlikle ilgili haberleri takip etmek için harika kaynaklar olabilir). Tehditleri tespit etmek ve avlamak, kuruluşu korumak için bir güvenlik yol haritası üzerinde çalışmak ve en kötü senaryoya hazır olmak çok önemlidir.

Önleme yöntemleri, en son tehditler, tehdit aktörleri ve TTP’leri (Taktikler, Teknikler ve Prosedürler) hakkında istihbarat verileri toplamayı içerir. Ayrıca, güvenlik duvarı imzalarını güncelleme, mevcut sistemlerdeki açıklıkları düzeltme, uygulamaları, e-posta adreslerini ve IP adreslerini kara ve beyaz listeleme gibi bakım prosedürlerini de içerir.

İzleme ve Soruşturma

Bir SOC ekibi, SIEM (Güvenlik Bilgisi ve Olay Yönetimi) ve EDR (Uç Nokta Tespit ve Yanıt) araçlarını, şüpheli ve kötü niyetli ağ etkinliklerini proaktif olarak izlemek için kullanır. Bir itfaiyeci ve çok alarmlı bir yangın olduğunuzu hayal edin — tek alarmlı yangınlar, iki alarmlı yangınlar, üç alarmlı yangınlar; kategoriler, bizim durumumuzda bir tehdidin ciddiyetini sınıflandırır. Bir Güvenlik Analisti olarak, uyarıları önemine göre nasıl önceliklendireceğinizi öğreneceksiniz: Düşük, Orta, Yüksek ve Kritik. Tabii ki, en yüksek seviyeden (Kritik) başlamanız ve en alt seviyeye — Düşük seviyeli uyarıya doğru çalışmanız gerektiğini tahmin etmek kolaydır. Düzgün yapılandırılmış güvenlik izleme araçlarının kullanılması, tehdidi azaltma şansınızı optimize eder.

Junior Güvenlik Analistleri, soruşturma prosedüründe önemli bir rol oynarlar. Süreçteki uyarıları triaj ederek, belirli bir saldırının nasıl çalıştığını keşfedip anlayarak, kötü sonuçları önlerler. Soruşturma sırasında, “Nasıl? Ne zaman ve neden?” sorusunu sormak önemlidir. Güvenlik Analistleri, açık kaynaklı araçlarla birlikte veri günlükleri ve uyarılarına inerek cevapları bulurlar.

EDR Ve SIEM Nedir?

EDR (Endpoint Detection and Response) ve SIEM (Security Information and Event Management) ürünleri, bir kuruluşun siber güvenlik duruşunu güçlendirmek için kullanılan iki önemli araçtır.

EDR, son nokta cihazlarında (bilgisayarlar, sunucular, IoT cihazları vb.) gerçekleşen şüpheli ve kötü amaçlı etkinlikleri tespit etmek ve bunlara yanıt vermek için tasarlanmıştır. EDR ürünleri, genellikle uç nokta cihazlarından toplanan verileri analiz ederek çalışır. Bu veriler, olay günlükleri, kayıtlar ve diğer sistem günlüklerini içerebilir. EDR ürünleri, bu verileri analiz ederek, kötü amaçlı yazılım enfeksiyonları, şifreleme fidye yazılımı saldırıları ve diğer siber tehditleri tespit edebilir. EDR ürünleri ayrıca, tespit edilen tehditlere karşı yanıt vermenize yardımcı olmak için çeşitli araçlar ve özellikler sunar.

SIEM, bir kuruluşun çeşitli güvenlik kaynaklarından toplanan verileri toplamak, ilişkilendirmek ve analiz etmek için tasarlanmıştır. Bu kaynaklar, güvenlik duvarları, ağ tarayıcıları, IDS/IPS cihazları ve diğer güvenlik cihazlarını içerebilir. SIEM ürünleri, bu verileri analiz ederek, siber tehditleri tespit edebilir ve bunların daha iyi anlaşılmasına yardımcı olabilir. SIEM ürünleri ayrıca, güvenlik olaylarını raporlamak ve izlemek için de kullanılabilir.

Yanıt

Soruşturmadan sonra, SOC ekibi, ele geçirilen ana bilgisayarlarla ilgili olarak koordine eder ve harekete geçer. Bu, ana bilgisayarları ağdan izole etme, kötü amaçlı işlemleri sonlandırma, dosyaları silme ve daha fazlasını içerir.

TASK 3:

Öncelikle şüpheli bir giriş tespit ettik. IP adresini not edip, çeşitli kaynaklardan bu IP adresini araştıracağız.

Ve IP adresi “kötü niyetli” çıktı.

Ardından, Level 1 SOC Analisti olarak, bu şüpheli IP adresini, ekip liderimize bildirmemiz gerekiyor.

Ve gördüğümüz gibi IP adresini bloklamaya iznimiz olduğu söyleniyor. Bu nedenle şüpheli IP adresini blokluyoruz.

Tryhackme
Cybersecurity
Soc Analyst
Cyber Security Analyst

--

--

Aslıhan Kuzucu

Written by Aslıhan Kuzucu

72 Followers

Curious computer engineer interested in cyber security👩‍💻

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams