Merhabalar,
Blog yazımda sizlere SOAR (Security Orchestration Automation and Responce) nedir? Kullanım amaçları vs. gibi kafamıza takılan kısımlardan bahsetmek istiyorum.
Türkçe anlamı Güvenlik düzenleme, otomasyon ve yanıt sistemi olarak çevrilmektedir. SOC verimliliğini, etkinliğini ve tutarlığını arttırmak için SIEM’den sonra gelen en gerekli olay yanıt sistemi diyebiliriz.
SOAR deyince, üç yapının birleşimi akla gelmektedir. Security Orchestration and Automation (SOA), Security Incident Resporce (SIR) ve Threat Intelligence Platforms (TIP). Bunlar nedir?
Security Orchestration and Automation (SOA): Bu yapı SOAR üzerindeki iş akışlarını düzenleyen, orkestrasyonu ve otomasyonunu yöneten ve raporlamayı mümkün kılan bir yapıdır.
Security Incident Resporce (SIR): Olay müdahale yeteneklerini sağlayan bir yapı olduğunu belirtmektedir. Burada olay incelenir ve olumlu-olumsuz yanıt döner.
Threat Intelligence Platforms (TIP): Threat Intelligence yapısında gelen alarm üzerinde gerekli incelemeler yapılarak, saldırganların teknik bilgileri hakkında yaklaşım sunmasını sağlamaktadır.
SOAR Neler Yapabilir?
- Güvenlik açıklarını yönetir.
- Olaylara otomatik yanıt verir.
- İşbirliğini kolaylaştırır.
- Yapılan işlemleri raporlar.
SOAR Kullanım Alanları
Görselden yola çıkarak ne kadar çok günlük kayıtları geliyorsa ve günlük kayıtlarının takibi zor bir durum alıyorsa, SOC analistlerin alarmları takip etmesi ve olayı çözümlerken çok vakit aldığından SOAR’a ihtiyaç duyulduğu anlaşılır diyebiliriz. SOAR ürünleri maddi olarak fazla miktarlarla lisanlandığı için, kullanım alanlarına ne yazık ki maddi olarak sahip olabilecek ve içerdeki günlüklerin takibi zor olan kurum ve kuruluşlar kullanması gerekmektedir. Genellikle Bankalar, havaalanları, telekomünikasyon gibi kuruluşlarının kullandığını bilmekteyiz.
SOAR Çeşitleri
SOAR ürünlerinde araştırmalarıma göre en çok kullanılan SOAR ürünlerinidir.
SIEM – SOAR Arasındaki Fark Nedir?
- Temel işlevler ve Yetenekleri: SIEM aracı veri depolar. Tehdit istihbaratı ve analiz içindir. SIEM’den manuel olarak müdahale edilir. SOAR araçları ile tüm araştırma iş akışını otomatikleştirerek müdahale edilir.
- İnsan Müdahalesi: SIEM’de her bir araç türünü çalıştırmak için SOC analistleri müdahale etmek zorundadır. SOAR araçlarında ise otomasyon sistemi ile insan müdahalesini azaltmaktır.
- Veri Kaynakları: SIEM araçları eklemiş olduğumuz kaynakların loglarını toplarken SOAR araçları otomasyona dayalı bir ürün olduğundan ağdaki ataklara ve konfigürasyonlar hakkında daha fazla bilgiye sahip olması gerekmektedir.
SIEM – SOAR İlişkisi
SOAR sistemi SIEM’den gelen verileri otomatik olarak yöneten bir sistemdir. SIEM olayları analiz ve değerlendirme yaparak sonuç bildirirken, SOAR entegre olduğu sistemlerle beraber karşı hamle yaparak olaya müdahale etmektedir.
Playbook Nedir?
Playbook, birçok işin tek bir çatı altında sorgulama yoluyla sırayla ilerleyen ve kesin sonuçlarla sonucu ortaya çıkaran harita diyebiliriz. Playbooklar SOC Analistlerin işlerini hızlandırmak için ve olayı hızlı çözümlemek için kullanılmaktadır. Playbook yazarken ilk olarak plan programla nelerin hangi sırayla nereden kontrol edileceğini ya da hangi kısımda olayla ilgili bir aksiyon alınacağını oluşturmak lazımdır. Sonrası playbook yazımıdır.
Playbook Çeşitleri
Playbook oluştumak için iki çeşit bulunmaktadır. Bunlar;
- Görsel bir araç/yöntem kullanarak Playbook geliştirme
- Metin Editörüyle Playbook geliştirme(YAML & JSON)
Örnek Playbook
Sol tarafta gördüğünüz kısımdaki adımlarla nasıl bir senaryoya göre ilerlememiz gerekiyorsa ona göre kullanacağımız adımlar diyebiliriz. Hepsinin farklı bir görevi bulunmaktadır. Adımlar sayesinde oluşturmuş olduğum bir playbooktan bahsetmek istiyorum. Görselde görünen playbook da senaryom” Herhangi bir IP adresi üzerinden daha önce alarm oluştu mu? Oluşmadı mı ? ” Senaryoya göre adımlarımız ilk olarak IP kendimiz mi? Gireceğiz. Yoksa Alarm üzerinden mi? Sorgulayacağız oluyor. Sonrasında daha önceki alarmların olduğu indexe IP için sorgu atmamız gerekmektedir. Sorgudan gelen yanıtı karar mekanızmasında eşleşip, eşleşmediğine bakarak alarm oluştu ya da oluşmadı diyebiliriz. Playbook yazmak yaratıcılık istemektedir. Anlattıklarım umarım faydalı olmuştur. Başka blog yazımda görüşmek üzere…