TL; DR:
Kod Olarak Algılama ile kuruluşunuzun güvenliğini sağlamak için modern, test odaklı bir metodoloji benimseyin.
Son on yılda tehdit algılama, iş açısından kritik ve daha da karmaşık hale geldi. İşletmeler buluta geçtikçe, manuel tehdit algılama süreçleri artık devam edemez. Ekipler, güvenlik analizini ölçekte nasıl otomatikleştirebilir ve iş hedeflerini tehdit eden zorlukları nasıl ele alabilir? Cevap, yazılım veya kod olarak algılama gibi tehdit algılamalarını ele almakta yatar.
Panther’in İsteğe Bağlı Web Seminerini İzleyin: Cedar ile Kod Olarak Algılama ile Güvenliği Ölçeklendirme Cedar’ın yüksek sinyal uyarıları oluşturmak için Kod Olarak Algılama’dan yararlanmak için Panther’i nasıl kullandığını öğrenmek için.
Kod Olarak Algılama: Yeni Bir (Umut) Paradigma Algılamaları, saldırgan davranışlarını belirlemek için güvenlik günlüğü verilerini analiz etme mantığı tanımlar. Bir kural eşleştiğinde, sınırlama veya inceleme için ekibinize bir uyarı gönderilir.
Kod olarak algılama nedir?
Kod Olarak Algılama, yazılım mühendisliğinin en iyi uygulamalarını güvenliğe uygulayan algılamaları yazmaya yönelik modern, esnek ve yapılandırılmış bir yaklaşımdır. Ekipler, bu yeni paradigmayı benimseyerek, hızla genişleyen ortamlarda karmaşık tehditleri belirlemek için algılamaları yazmak ve güçlendirmek için ölçeklenebilir süreçler oluşturabilir.
Kod Odaklı Bir İş Akışını Benimsemenizin Yararları
Belirli ortamlar ve sistemler için ince ayarlanmış tehdit algılama programları en etkili olanlardır. Ekipler, algılamaları, test edilebilen, kaynak kontrolünde kontrol edilebilen ve eşler tarafından kod gözden geçirilebilen iyi yazılmış kodlar olarak ele alarak, yorgunluğu azaltan ve şüpheli etkinlikleri hızla işaretleyen daha yüksek kaliteli uyarılar üretebilir.
1 — Bir Programlama Dili ile Özel, Esnek Algılamalar Oluşturun
Algılamaları Python gibi evrensel olarak tanınan, esnek ve ifade edici bir dilde yazmak, çok sınırlı etki alanına özgü diller (DSL) kullanmak yerine çeşitli avantajlar sunar. Python gibi dillerle, kuruluşunuza özgü ihtiyaçlara uyacak şekilde daha karmaşık ve uyarlanmış algılamalar yazabilirsiniz. Bu kurallar ayrıca karmaşıklık arttıkça daha okunaklı ve anlaşılması kolay olma eğilimindedir.
Bu yaklaşımın bir başka yararı da, API’lerle etkileşim kurmak veya verileri işlemek için güvenlik topluluğu tarafından geliştirilen ve algılamanın etkinliğini artıran zengin bir yerleşik veya üçüncü taraf kitaplık kümesi kullanmaktır.
2 — Test Odaklı Geliştirme (TDD)
Tespit kodu için uygun bir KG, ekiplerin tespit kör noktalarını erkenden keşfetmesine, yanlış uyarılar için testleri kapsamasına ve tespit etkinliğini artırmasına olanak sağlayabilir. TDD yaklaşımı, güvenlik ekiplerinin bir saldırgan gibi düşünmesine, bu bilgiyi belgelemesine ve saldırganın yaşam döngüsüne ilişkin dahili bir içgörü havuzu oluşturmasına olanak tanır.
TDD’nin avantajı, yalnızca kod doğruluğunu doğrulamaktan daha fazlasıdır. Algılama yazmaya yönelik bir TDD yaklaşımı, algılama kodunun kalitesini iyileştirir ve daha modüler, genişletilebilir ve esnek algılamalar sağlar. Mühendisler, uyarıları bozma veya günlük operasyonları aksatma korkusu olmadan algılamalarında kolayca değişiklik yapabilir.
3 – Sürüm Kontrol Sistemleri ile İşbirliği
Sürüm kontrolü, yeni algılamalar yazarken veya bunları değiştirirken ekiplerin önceki durumlara hızlı ve kolay bir şekilde geri dönmesini sağlar. Ayrıca ekiplerin güncel olmayan veya yanlış kodlara başvurmak yerine en güncel algılamayı kullandığını doğrular. Sürüm kontrolü, bir uyarıyı tetikleyen belirli algılamalar için gerekli bağlamın sağlanmasına veya algılamalar değiştiğinde tam olarak belirlenmesine yardımcı olabilir.
Zamanla sisteme yeni ve ek veriler girdikçe, algılamaların da değişmesi gerekir. Ekiplerin tespitleri gerektiği gibi ele almasına ve ayarlamasına yardımcı olurken aynı zamanda tüm değişikliklerin iyi belgelenmesini ve iyi gözden geçirilmesini sağlamak için bir değişiklik kontrol süreci gereklidir.
4 – Güvenilir Algılamalar için Otomatik İş Akışları
Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) ardışık düzeni, güvenliği uzun süredir daha ileriye taşımak isteyen güvenlik ekipleri için faydalı olabilir. Bir CI/CD ardışık düzeni kullanmak, aşağıdaki iki hedefe ulaşılmasına yardımcı olur:
- Ortak bir platformda birlikte çalışırken ekipler arasındaki siloları ortadan kaldırın, birbirlerinin çalışmalarını kodlayın ve düzenli kalın.
- Güvenlik algılamalarınız için otomatikleştirilmiş test ve teslim ardışık düzenleri sağlayın. Ekipler, ince ayarlanmış algılamalar oluşturmaya odaklanarak çevik kalabilir. Yanlış uyarıları tetikleyebilecek manuel olarak test etmek, dağıtmak ve algılamaların aşırı ayarlanmadığından emin olmak yerine.
5 – Yeniden Kullanılabilir Kod
Son olarak, Kod Olarak Algılama, geniş bir algılama kümesinde kodun yeniden kullanılabilirliğini destekleyebilir. Ekipler zaman içinde çok sayıda tespit yazdıkça, belirli kalıpların ortaya çıktığını görmeye başlarlar. Mühendisler, sıfırdan başlamadan farklı algılamalarda aynı veya çok benzer işlevi gerçekleştirmek için mevcut kodu yeniden kullanabilir.
Kodun yeniden kullanılabilirliği, ekiplerin algılamalar arasında işlevleri paylaşmasına veya belirli kullanım durumları için algılamaları değiştirmesine ve uyarlamasına olanak tanıyan algılama yazmanın hayati bir parçası olabilir. Örneğin, bir dizi İzin Ver/Reddet listesini (örneğin erişim yönetimi için) veya belirli bir işleme mantığını birden çok yerde tekrarlamanız gerektiğini varsayalım. Bu durumda, algılamalar arasında işlevleri paylaşmak için Python gibi dillerdeki Yardımcıları kullanabilirsiniz.
Giriş panter
Panther, geleneksel SIEM’lerin sorunlarını hafifletmek için tasarlanmış bir güvenlik analizi platformudur. Panther, güvenlik mühendisleri tarafından güvenlik mühendisleri için üretilmiştir. Panther, algılama mantığını ifade etmek için başka bir tescilli dil icat etmek yerine, güvenlik ekiplerine anlamlı tehdit algılaması yazmak ve bulut ölçeğinde algılama ve yanıtı otomatikleştirmek için bir Python kural motoru sunar. Panther’in modüler ve açık yaklaşımı, modern bir güvenlik operasyonları hattı oluşturmanıza yardımcı olmak için kolay entegrasyonlar ve esnek algılamalar sunar.
 |
| Panther’de Kod Olarak Algılama iş akışı |
panter şunları kolaylaştırabilen güvenilir ve dayanıklı algılamalar sunar:
- Kuruluşunuza özel ihtiyaçlar için Python’da etkileyici ve esnek algılamalar yazın.
- Günlükleri Python ile algılamaları ve SQL ile sorgulamaları sağlayan katı bir şemada yapılandırın ve normalleştirin.
- Büyük hacimli güvenlik verilerine karşı gerçek zamanlı tehdit algılama ve güç araştırmaları gerçekleştirin.
- Belirli tehditlere, şüpheli etkinliklere ve MITRE ATT&CK gibi güvenlik çerçevelerine eşlenmiş 200’den fazla önceden oluşturulmuş algılamadan yararlanın.
Panther’de Kod Olarak Algılama iş akışı
Panther’de Örnek Algılama
içinde bir algılama yazarken panter, tanımlanacak belirli bir davranışı tanımlayan bir rule() işleviyle başlarsınız. Örneğin, bir kaba kuvvet Okta girişinden şüphelenildiğinde bir uyarı istediğinizi varsayalım. Aşağıdaki algılama, bu davranışı Panther ile tanımlamaya yardımcı olabilir:
 |
| Panther’de Okta Brute Force Giriş Kuralı |
Yukarıdaki örnekte:
- rule() işlevi, bir ‘olay’ argümanını alır ve bir boole değeri döndürür.
- Title() işlevi, analistlere gönderilen oluşturulan uyarı mesajını kontrol eder. Olaylardan alınan değerler daha sonra yardımcı bağlamlar eklemek için enterpolasyon yapılabilir.
Kurallar, doğrudan Panther UI’de etkinleştirilebilir ve test edilebilir veya komut satırı arabirimi (CLI) aracılığıyla algılamaları test etmenize, paketlemenize ve dağıtmanıza olanak tanıyan Panther Analysis aracıyla programlı olarak değiştirilebilir ve yüklenebilir. Panther kuralları, olay triyajına yardımcı olmak için önem derecesi, günlük türleri, birim testleri, runbook’lar ve daha fazlası gibi meta veriler içerir.
Başlamak
Tehditleri ve şüpheli etkinlikleri tespit etmek için tüm güvenlik verilerinizden tam olarak yararlanıyor musunuz? Panther Enterprise ile bulutunuzu, ağınızı, uygulamalarınızı ve uç noktalarınızı nasıl güvence altına alacağınızı öğrenin. Bugün bir demo isteyin.