Bloga geri dön
(Paylaşılan hususlar hakkında derinlemesine bilgi sahibi olmak için internette yer alan kaynaklardan araştırma yapılması ve eğitim platformlarından faydalanılması gerekmektedir.)
SOC (Security Operations Center) analisti olmak için öncelikle ağ (network) temellerini öğrenmek gereklidir. Bir SOC analisti, ağ trafiğini analiz edebilmek, saldırı vektörlerini anlayabilmek ve anomali tespiti yapabilmek için ağ teknolojilerine hâkim olmalıdır.
1. Temel Ağ Bilgisi
1.1. TCP/IP Modeli
● OSI ve TCP/IP Modelleri: Katmanlar ve görevleri
● IP Adresleme ve Alt Ağlar (Subnetting): IPv4 ve IPv6 kullanımı
● MAC Adresleri ve ARP Protokolü: Ağ içindeki cihazlar arası haberleşme
● ICMP (Ping, Traceroute gibi araçlar): Ağ bağlantılarının test edilmesi
● DHCP ve DNS Çalışma Mantığı: IP dağıtımı ve alan adı çözümlenmesi
Aşağıda yer alan yazılardan bahsedilen kavramlar ile ilgili detaylı bilgi sahibi olabilirsiniz.
Public vs. Private IP Addresses: What’s the Difference?
Networking Basics: What is IPv4 Subnetting?
What Is Address Resolution Protocol (ARP)?
Dynamic Host Configuration Protocol (DHCP)
1.2. Ağ Trafiği ve Protokoller
● HTTP, HTTPS, FTP, SSH, Telnet gibi yaygın protokoller: Veri iletişim protokollerinin güvenliği
● UDP ve TCP farkları: Bağlantılı ve bağlantısız protokollerin kullanımı
● Wireshark ile Ağ Trafiği Analizi: Paket analizi teknikleri
● Nmap ile Ağ Keşfi ve Tarama: Port tarama ve güvenlik kontrolleri
Bkz;
Geleceği Yazanlar platformunda yer alan Temel Network Eğitimi için tıklayın.
Network ile ilgili detaylı bilgi için tıklayın.
Ayrıca, Udemy, LinkedIn Learning gibi eğitim platformlarından alınacak eğitimler de temel ağ bilgisi üzerine bilgi sahibi olunmasında fayda sağlayacaktır.
2. Siber Güvenlik Terimleri
1. Siber Güvenlik Kavramları
● CIA Üçgeni (Gizlilik, Bütünlük, Erişilebilirlik): Güvenliğin temel ilkeleri
● Kimlik Doğrulama (Authentication), Yetkilendirme (Authorization): Erişim kontrol yöntemleri
● Saldırı Türleri (DDoS, Phishing, MITM, SQL Injection vb.): En yaygın tehditler ve korunma yöntemleri
● Zafiyet Yönetimi ve CVE Veritabanı: Güvenlik açıklarının tespiti ve yönetimi
2.2. Güvenlik Araçları
● Antivirüs ve EDR (Endpoint Detection & Response): Son kullanıcı güvenliği
● IDS/IPS Sistemleri (Cisco, Fortinet, Suricata vb.): Ağ saldırılarını tespit etme ve engelleme
● SIEM (Security Information and Event Management) Kullanımı: Güvenlik bilgisi ve olay yönetimi
● Firewall Mantığı ve Temel Yapılandırma: Güvenlik duvarı kuralları ve politika yönetimi
Aşağıda yer alan yazılardan siber güvenlik kavramı ile ilgili detaylı bilgi sahibi olabilirsiniz.
What is an Intrusion Prevention System?
3. Log Analizi ve SIEM Kullanımı
3.1. Log ve Olay Yönetimi
● Windows Olay Günlükleri (Event Viewer Kullanımı): Windows sistemlerinde log analizi
● Linux Log Yönetimi (/var/log dizini, syslog kullanımı): Linux sunucularında kayıt yönetimi
● SIEM Mantığı ve Kullanımı: Güvenlik olaylarını merkezi olarak yönetme
● Örnek SIEM Çözümleri: Arcsight, Splunk, ELK (Elasticsearch, Logstash, Kibana)
Aşağıda yer alan içeriklerden SIEM kavramı ile ilgili detaylı bilgi sahibi olabilirsiniz
Security Information and Event Management
4. Tehdit Avcılığı (Threat Hunting) ve Olay Müdahalesi
4.1. Tehdit Avcılığı Temelleri
● Threat Intelligence Kullanımı: Tehdit istihbaratının analiz edilmesi
● IOC (Indicator of Compromise) Nedir?: Siber saldırı belirtilerini tanımlama
● Honeypot Kullanımı ve Tespit Teknikleri: Saldırganları tuzağa düşürme yöntemleri
4.2. Olay Müdahalesi
● Siber Güvenlik Olaylarına Müdahale Süreci (Incident Response): Olay yönetim aşamaları
● Adli Bilişim ve Kanıt Toplama: Dijital adli bilişim teknikleri
● PowerShell ve Bash Kullanarak Otomasyon: Süreçleri hızlandırmak için komut dosyaları
Aşağıda yer alan yazıdan threat hunting kavramı ile ilgili detaylı bilgi sahibi olabilirsiniz.
5. Sistem Tarafında SOC Analistinin İzlemesi Gereken Yol
SOC analistlerinin, siber güvenlik süreçlerini etkin bir şekilde yönetebilmesi için işletim sistemleri ve sistem yönetimi hakkında derinlemesine bilgi sahibi olması gerekir. İşte sistem tarafında SOC analistlerinin izlemeleri gereken temel adımlar:
5.1. Windows Sistemleri
● Windows Log Analizi: Event Viewer kullanımı, Windows Security Logları
● PowerShell Komutları: Get-EventLog, Get-WinEvent ile log sorgulama
● Active Directory Güvenliği: LDAP sorguları, Kerberos mantığı, Grup Politikaları
Aşağıda yer alan videodan Windows işletim sistemi ile ilgili detaylı bilgi sahibi olabilirsiniz.
5.2. Linux Sistemleri
● Linux Log Yönetimi: /var/log dizini, journalctl, dmesg, auth.log analizi
● Sistem Güvenliği: SELinux, AppArmor, iptables, fail2ban
● Bash Scripting ile Otomasyon: Log analizi ve olay tespiti için script yazımı
Aşağıda yer alan videolardan Linux işletim sistemi ile ilgili detaylı bilgi sahibi olabilirsiniz
5.3. Güvenlik Cihazları ve Araçları
● Firewall Yönetimi: Cisco ASA, Palo Alto, FortiGate gibi cihazlarla güvenlik duvarı yönetimi
● IDS/IPS Sistemleri: Snort, Suricata ile tehdit tespiti
● EDR/XDR Kullanımı: CarbonBlack, Trellix HX, CrowdStrike gibi uç nokta güvenliği araçları
5.4. Otomasyon ve Scripting
● Python ile Log Analizi ve Tehdit Avcılığı: SIEM sistemleriyle entegre Python scriptleri geliştirme
● PowerShell & Bash Scripting: Güvenlik olaylarını analiz eden komut dosyaları oluşturma
Aşağıda yer alan videolardan Bash ve Power Shell kavramları ile ilgili videolar ile detaylı bilgi sahibi olabilirsiniz.
Beginner's Guide to the Bash Terminal
Learn PowerShell in Less Than 2 Hours
6. Sertifikalar ve Kariyer Gelişimi
SOC analisti olarak kariyer yapmak için bazı sertifikalar almak büyük avantaj sağlar.
6.1. Başlangıç Seviyesi Sertifikalar
● CompTIA Security+
● GIAC Security Essentials (GSEC)
● EC-Council Certified SOC Analyst (CSA)
6.2. Orta ve İleri Seviye Sertifikalar
● Certified Ethical Hacker (CEH)
● GIAC Certified Incident Handler (GCIH)
● Certified Information Systems Security Professional (CISSP)
● Offensive Security Certified Professional (OSCP)
7.SOAR
SOAR (Security Orchestration, Automation, and Response) kullanan bir SOC (Security Operations Center) analisti, tehditleri daha hızlı tespit etmek, analiz etmek ve yanıtlamak için otomasyon ve SOAR yeteneklerinden faydalanır. İşte bir SOC analistinin SOAR kullanarak yapması gereken başlıca görevler:
7.1. Olay Yönetimi
● Olay (Incident) Triage: SOAR üzerinden gelen olayları (örneğin, EDR, SIEM veya IDS/IPS’ten gelen alarmlar) sınıflandırır ve önceliklendirir.
● Otomatik Playbook Çalıştırma: Olaylara önceden belirlenen playbook'ları çalıştırarak otomatik müdahale süreçlerini başlatır.
● Manuel İnceleme: Otomasyonun çözemediği olayları derinlemesine analiz eder.
7.2.Tehdit Avı (Threat Hunting)
● IOC (Indicator of Compromise) Analizi: SOAR içindeki entegrasyonlarla (VirusTotal, Threat Intelligence Feeds, WHOIS vb.) tehdit göstergelerini araştırır.
● MITRE ATT&CK Haritalama: Tespit edilen tehditleri MITRE ATT&CK çerçevesine göre sınıflandırır.
7.3. Olaylara Müdahale (Incident Response)
● Otomatik Müdahale: SOAR playbook'larını kullanarak;
● Manuel Müdahale: Daha karmaşık tehditleri detaylı inceleyerek müdahale planı geliştirir.
7.4. Playbook Geliştirme ve Güncelleme
● Yeni Playbook’lar Geliştirme: SOC süreçlerini hızlandırmak ve belirli tehditlere karşı otomatik aksiyon almak için admin ekibi ile koordine olarak özelleştirilmiş playbook'lar oluşturur.
● Mevcut Playbook’ları Güncelleme: Yeni tehditlere veya değişen SOC ihtiyaçlarına göre admin ekibi ile koordine olarak mevcut playbook'ları günceller.
7.5. Entegrasyon Yönetimi
● SIEM, EDR, IDS/IPS, Threat Intelligence Entegrasyonları: SOAR’un farklı güvenlik araçları ile entegrasyonunu yöneterek, merkezi bir olay yönetim platformu oluşturur.
● E-posta, ChatOps Entegrasyonları: Güvenlik olaylarıyla ilgili bildirimlerin ve iş akışlarının, e-posta, Slack, Teams gibi platformlar üzerinden yönetilmesini sağlar.
7.6. Otomasyon ve Verimlilik Artışı
● Sık Tekrarlanan İşlemleri Otomatikleştirme: Örneğin, phishing e-postalarının analizini otomatikleştirerek, analistlerin zaman kazanmasını sağlar.
● False Positive Azaltma: SIEM gibi araçlardan gelen düşük öncelikli olayları otomatik olarak filtreleyerek gereksiz uyarı yükünü düşürür.
7.7. Raporlama ve İyileştirme
● Olay Raporları: SOAR’un sunduğu raporlama araçlarını kullanarak, SOC performansını ve olay müdahale sürelerini analiz eder.
● Post-Mortem(Otopsi Sonrası) Analizler: Büyük güvenlik olaylarından sonra detaylı incelemeler yaparak, gelecekte benzer olaylara karşı daha iyi önlem alınmasını sağlar.
7.8. Kullanıcı Eğitimleri ve İşbirliği
● SOC Ekibini Eğitme: SOAR kullanımına dair iç eğitimler düzenleyerek ekip üyelerinin otomasyon süreçlerini daha iyi anlamasını sağlar.
● İş birliği: Diğer güvenlik ekipleri ile koordineli çalışarak tehdit istihbaratı paylaşımını yönetir.
SOAR teknolojisi, SOC analistlerinin manuel işlemlerden kurtulup daha verimli ve hızlı olay müdahalesi yapmasını sağlar. Otomasyon, entegrasyon, tehdit avı ve olay yönetimi gibi kritik görevleri başarıyla yürütmek için SOAR’un sağladığı playbook'lar, entegrasyonlar ve raporlama yetenekleri etkin şekilde kullanılmalıdır.
Aşağıda yer alan içeriklerden SOAR kavramı ile ilgili detaylı bilgi sahibi olabilirsiniz.
What is SOAR (Security, Orchestration, Automation & Response)
8. Sonuç
Bir SOC analisti olmak için ağ güvenliği, siber güvenlik kavramları, log analizi, tehdit avcılığı ve olay müdahalesi gibi konulara hâkim olunmalıdır. Ayrıca, işletim sistemleri, sistem yönetimi ve güvenlik araçları konusunda uzmanlaşmak, SOC analistlerinin daha etkili ve başarılı olmasını sağlar. Sürekli olarak güncel tehditler ve güvenlik araçları hakkında bilgi edinmek ve pratik yapmak çok önemlidir. Yukarıdaki adımları takip ederek SOC analisti olma yolunda ilerleyebilirsiniz.
