evinde İsimlerSOC (Güvenlik Operasyon Merkezi) faaliyeti oldukça yeni: Ana faaliyeti entegrasyon olan şirketin, “çok sayıda talebin ardından” bu yeni faaliyeti başlatmasının üzerinden yalnızca iki yıl geçti, şirketin Avrupa SOC faaliyetleri yöneticisi Luis Delabarre şöyle açıklıyor.
Kütükler, savaşın sinirleri
SOC’lerin hammaddesi, müşteri tarafından kurulan farklı güvenlik çözümleri tarafından oluşturulan “log’lardır”. Müşteriler, farklı öneme sahip uyarılar üreten çok sayıda güvenlik ürününü (güvenlik duvarı, EDR ve diğerleri) kullanır. Hangi uyarıların güvenlik ekiplerinin ilgisini hak ettiğini belirlemek için bunları sıralamanız gerekir.
“Ya danışan göreceli olarak olgundur ve başlangıçtan itibaren bu işlevi içselleştirmeye yönelik ne beceriye ne de arzuya sahip olacağını bilir ya da bunu içsel olarak yapmaya başlar ve oldukça hızlı bir şekilde bunun karmaşık olduğunu fark eder ve ardından bir partner çağırır. ” Luis Delabarre’ı özetliyor.
SIEM yazılımı içinde merkezileştirilen ve standartlaştırılan günlükler daha sonra SOC analistleri tarafından analiz edilir. “Müşterilerle yaptığımız ilk iş, ekipmanlarına, kurdukları çözümlere ve aynı zamanda bütçelerine bağlı olarak hangi logları göndereceklerini belirlemektir. Bu loglardan, belirli koşulları sağladıklarında güvenlik olayları oluşturan korelasyon kuralları oluşturabiliriz” Louka Tanguy açıklıyor.
8 müşteriden oluşan bir SOC ekibi
Günlüklerin niteliği sorusu, müşteriyle ilk temaslarda, bazen haftalık toplantılar aracılığıyla geliştirilmeden önce gündeme getirilen bir konudur. Tek başına çalışmanın ötesinde, Nomios analistleri, garip davranışların tespit edilmesinin ardından olayları bilgilendirmek veya şüpheleri çözmek için toplantılarda veya müşteri ekipleriyle iletişim halinde önemli miktarda zaman harcıyor.
Ayrıca iş, ekip tarafından analistler arasında dağıtılıyor: “Her biri yedi ila sekiz müşteriyi yönetebilecek üç analist ve daha deneyimli bir liderden oluşan ekiplere geçeceğiz” diye açıklıyor Luis Delabarre.
Analistler, müşteriyle yapılan toplantıların yanı sıra, her analistin kendi senaryolarını, olaylarını veya karşılaştığı teknolojileri ekibin diğer üyelerine sunduğu şirket içi toplantılar da düzenler. Birbirinizden öğrenmenin ve farklı ortamlara alışmanın iyi bir yolu.
Samandan çıkan buğday
SOC analistlerinin işinin özü, müşteriye sorunu çözmek için gerekli bilgileri sağlamak amacıyla en önemli olayları tanımlama yeteneğidir. Bunu başarmak için analist, müşteri bağlamına ilişkin bilgisine ve içgüdüsüne güvenebilir.
“İkisine de ihtiyacımız var. Anomaliler sık sık meydana gelmez. Bir makinede alışılmadık bir şey gözlemlediğimizde, bunun geçmişte olup olmadığını görebilir ve bir şeyin anormal olup olmadığını anlayabiliriz. Ancak aynı zamanda yukarı yöndeki şeyleri de tanımlayabiliriz: örneğin Müşterilerimden biri, eğer Active Directory’ye yeni bir kullanıcı eklenirse, ne olursa olsun ticket atmanız ve onları uyarmanız gerekiyor.Bu, “Çok nadiren yapıyorlar, dolayısıyla bizim karşılayabileceğimiz bir işlem” diyor Louka Tanguy.
Şüpheleriniz devam ederse konuyu netleştirmenin en iyi yolu elbette müşteriyle iletişime geçmektir. Ancak burada da SOC analistinin istek istemcisine “spam göndermesini” önlemek için yukarı yönlü çalışma gereklidir.
Otomasyon SOC’lere geliyor
“Bize gerçekten yardımcı olan şey, çevre hakkında mümkün olduğunca fazla bilgiye sahip olmak ve tercihen yazılı formda olmak, böylece gerektiğinde ona başvurabilir ve en ufak bir sorun için müşteriyle iletişime geçmekten kaçınabiliriz. Ne kadar fazla bilgiye sahip olursak o kadar fazla bilgi sahibi oluruz. biz ilgiliyiz” diye açıklıyor Louka Tanguy.
Nomios, analistlerin çalışmalarını kolaylaştırmak amacıyla “seviye 1” analistlere olan ihtiyaçlarını azaltmak amacıyla otomasyon araçlarına da güveniyor; yani uyarıların ilk sıralanmasından sorumlu olanlar.
SOC işlevi için gerekli ekiplerin boyutunu azaltırken analistlerin çalışmasını kolaylaştırmayı amaçlayan otomasyon. Açıkçası, yanlış pozitif veya yanlış negatif riski hala endişe verici olmaya devam ediyor: “Bu tür teknolojiler konusunda dikkatliyiz. Ancak otomasyon bizim için yalnızca bariz şeyler için kullanılıyor. Ve sürecin sonunda her zaman bir insan vardır.” ” diye açıklıyor Luis Delabarre.
