Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Etkin Siber Savunma i̇çin Tehdit Avcılığı
1. ETKİN SİBER SAVUNMA
İÇİN TEHDİT AVCILIĞI
Mentör: Mehmet KILIÇ
Yazar: Samet SAZAK – Uygar KÖROĞLU
Baskı: 2017
2. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İÇİNDEKİLER
Cyber Threat Hunting (Siber Tehdit Avcılığı) Nedir? ............................................................ 3
Siber Tehdit Avcılığı Ne Değildir? ................................................................................................. 3
Siber Tehdit Avcılığı Nasıl Yapılır? ....................................................................................... 4
1. Hipotez Oluşturmak ................................................................................................................. 4
2. İncelemek/Bağlantı Kurmak .................................................................................................... 4
3. Teknik, Taktik ve Prosedürler Tespit Etmek .............................................................................. 5
4. Analizleri Geliştirmek .............................................................................................................. 5
3) Siber Tehdit Avcılığı Hangi Soruya Cevap Verir? .............................................................. 6
4) Siber Tehdit Avcılığı ile Sızma Testi (Penetration Testing) Arasındaki Fark Nedir? ........... 6
5) Siber Tehdit Avcılığı Otomasyon İle Sağlanabilir Mi? ....................................................... 6
6) Siber Tehdit Avcısının Sahip Olması Gereken Yetenekler Nelerdir? ................................. 7
7) Siber Tehdit Avcılığı ile Avlanılan Nedir? ......................................................................... 7
8) Siber Tehdit Avcılığı Önemli Midir? ................................................................................. 8
9) Siber Tehdit Avcılığı Neden Gereklidir? ........................................................................... 8
10) Tehdit Avcılığında Kullanılan Platform ve Araçlar Nelerdir? .......................................... 9
Bir Tehdit Avcılığı Platformu: Security Onion! .............................................................................. 9
Elasticsearch & Logstash & Kibana ............................................................................................. 10
Windows Platformu için Sysmon! .............................................................................................. 10
SELKS ........................................................................................................................................ 10
Referanslar ................................................................................................................................ 11
3. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Threat Hunting (Siber Tehdit Avcılığı) Nedir?
Geleneksel siber güvenlik çözümlerinin kullanıldığı bir kurum ağı içerisinde siber güvenlik
amaçlı alarm değerlendirme sistemleri, sorgu tabanlı log yönetim sistemleri, ağ güvenliği için
IDS/IPS (Intrusion Detection System) sistemleri, merkezi log toplama ve korelasyon işlemleri
için SIEM (Security Information and Event Management) çözümleri ve bunların dışında farklı
yazılım ve teknikler kullanılmaktadır. Her ne kadar bu çözümler sistem güvenliğini artırmak
amacıyla kullanılsa da siber saldırılar gün geçtikçe artmaya devam etmektedir. Bu saldırıların
büyük bir kısmı otomatize araçlar kullanılarak gerçekleştirilen ve risk seviyesi yüksek olmayan
saldırılar olsa dahi, kurumların hassas verileri için büyük tehlike arz etmekte ve risk seviyesini
yükseltmektedir. Tüm bu çözüm ve teknikler, siber tehdit avcılığının basit birer tekniğini
kullanmaktadır; fakat gelişmiş saldırıları tespit etmek için bu tekniklerden çok daha karmaşık
ve güçlü avlanma yaklaşımlarına ihtiyaç duyulmaktadır. M-Trends 2015 raporunda bir
saldırganın sisteme sızdıktan sonra keşfedilme süresi ortalama 146 gün olarak belirtilmişken
2016 yılında bu ortalama 99 gün olarak belirlenmiştir. [1]
Bu ortalama sürenin düşürülmesi için
siber tehdit avcılığı bir ihtiyaç olarak ortaya çıkmaktadır.
Siber Tehdit Avcılığı, bir ağ (network) ya da veri seti (data set) içerisinde var olan güvenlik
çözümlerinden kaçan tehditleri proaktif ve tekrarlı olarak; arama, tespit etme ve izole etme
sürecidir. Siber tehdit avcılığının proaktif bir yaklaşım ile uygulanması, sisteme zarar verecek
herhangi bir olay gerçekleşmeden “önlem alma süreci” haline getirmektedir.
Siber Tehdit Avcılığı Ne Değildir?
Siber Tehdit avcılığı aşağıdaki birkaç farklı kavram ile karıştırılmaktadır:
● Siber tehdit avcılığı, siber istihbarat toplamak ve bu istihbaratı analiz etmek değildir;
fakat tehdit avcılığına başlamak için iyi bir noktadır.
● Tehdit avcılığı, herhangi bir ürün değildir, otomatik bir sistem değildir, herhangi bir
betik (script) ile halledilecek bir süreç değildir.
● Siber tehdit avcılığı, araç (tool) kurup bir uyarı beklemek değildir.
● Siber tehdit avcılığı, olayları ve saldırıları raporlamak değildir. Çünkü henüz ortada
bilinen bir saldırı yoktur ve çoktan sistemin ele geçirildiği düşünülerek yola çıkılır.
● Siber tehdit avcılığı, adli bilişim (digital forensics) değildir, adli bilişim geçmişte
yaşanmış olay ile ilgili bir süreçtir.
4. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Tehdit Avcılığı Nasıl Yapılır?
Siber tehdit avcılığı, avlanma eyleminin siber güvenlik alanına uyarlanmış halidir. Avlanma
sürecinde avcı daha iyi bir netice alabilmek için çeşitli ekipmanlar kullanarak hem kendi
etkinliğini hem de avın görünürlüğünü artırmaktadır. Bu sayede avlanma sürecini
kolaylaştırmaktadır. Tehdit avcılığı kural tabanlı tespit yöntemleri yerine “davranış analizleri”
tarafından desteklenen hipotez tabanlı bir yaklaşım sunmaktadır.
Referans: (https://sqrrl.com/threat-hunting-reference-guide/)
Hipotez: Varsayım veya hipotez, bilimsel yöntemde olaylar arasında ilişkiler kurmak ve olayları bir nedene
bağlamak üzere tasarlanan ve geçerli sayılan bir önermedir.
Hipotez Oluşturmak
a) Hipotez Oluşturmak
Bir ava ilk önce hipotez üreterek başlanmalıdır. Bu hipotez bilişim teknolojisi ekipmanları ile
ilgili herhangi bir aktiviteye bağlı bir tahmin olabilir. Örneğin, bir firma bünyesinde son
zamanlarda yurt dışına gönderilen çalışanların devlet destekli siber saldırıların hedefi
olabileceği tahminiyle hesaplarını ve kullandıkları ekipmanları incelemek bir başlangıç olabilir.
b) İncelemek/Bağlantı Kurmak
Oluşturulan tüm hipotezler çeşitli teknikler ve araçlar ile incelenmelidir. İlgili verilerin birbiriyle
olan bağlantısını tespit etmek, görselleştirmek gibi yöntemler kullanılmalıdır. Bu yöntemler
seçilirken verinin hangi yöntemle daha iyi analiz edilebileceği, hangi platform üzerinde
yapılması gerektiği belirlenmelidir.
İstatistiksel analiz (statistical analysis), görselleştirme teknikleri (visualization), makine
öğrenmesi (machine-learning) tekniklerini kullanmak oluşturulan hipotezi destekleyecek ve
5. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
aranılanı adreslemeye yardımcı olacaktır. Bu yöntemlerin sadece bir tanesi doğru yöntem
değildir. Birlikte kullanım ve bağlantı kurmak çok önemlidir.
c) Teknik, Taktik ve Prosedürler Tespit Etmek
Bu süreç, araç ve teknikler kullanılarak zararlı bir davranışa ait dizaynların belirlenmesi ve
saldırganların teknik, taktik ve prosedürlerini ortaya (TTPs) çıkartmaktır. Bu tehdit avcılığının
en önemli kısmıdır. Örneğin, bir firma içerisinde daha önce yurt dışına çıkmış kullanıcılar
incelendiğinde dışarıya yönelik bir trafik artışı olduğu tespit edilsin. Kullanıcıyla ilgili veriler
incelendikten ve bu verilerle ilgili bağlantılar sağlandıktan sonra kullanıcının üçüncü parti bir
servis sağlayıcı ya da bir organizasyon tarafından hedef alındığı ve ele geçirildiği tespit
edilebilir. Bu süreç, yeni hipotezler ve analizler geliştirilmesine, bir sonraki av için spesifik
olarak yeni hedefler belirlenmesini sağlamaktadır.
d) Analizleri Geliştirmek
Son olarak bu kısımda başarılı bir avlanma sürecinin ardından elde edilen verileri geliştirmek
ve otomatize etmek fayda sağlayacaktır. Aynı av için sürekli olarak aynı yolu izleyerek tekrar
etmek doğru bir yaklaşım olmayacaktır. Tehdidi yakalayacak bir yöntem belirleyip otomatize
ettikten sonra tehdit avı takımı başka tehditlere yönelebilir. Önceki avcılıklardan kazanılmış
tecrübe, var olan tespit yöntemlerini geliştirmekte kullanılır. Kendi ağınızı ne kadar iyi
bilirseniz, o kadar iyi savunursunuz.
6. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
3) Siber Tehdit Avcılığı Hangi Soruya Cevap Verir?
Ya avla ya da avlan! Tehdit avcılığı, siber güvenliğin uzun bir süredir en temel sorularından
birisi olan “Olası bir saldırı altında mıyım?” sorusuna cevap arar. Bu durum reaktif yaklaşımla
çözülmeye çalışıldığında bir belirtiye ihtiyaç duyar. Bu ihtiyaç kullanılan siber güvenlik
çözümlerinden gelen herhangi bir uyarı olabilir. Tehdit avcılığı yaparken bunların olmasına
gerek yoktur. Sistemin saldırı altında olduğu düşünülerek yola çıkılmalı ve sisteme zarar
verebilecek herhangi bir şey bulmak adına çalışmalar yapılmalıdır.
4) Siber Tehdit Avcılığı ile Sızma Testi (Penetration Testing)
Arasındaki Fark Nedir?
Sızma Testi, “Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek
sızılması” şeklinde tanımlanır. Sızma Testi için amaç güvenlik açıklığını bulmaktan öte bulunan
açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir. Kısacası dışarıdan içeriye doğru
sızmaya çalışmaktır.
Ağ içerisinde neyin normal gözüktüğünü bilmek, savunmanın iyi bir avantajıdır. Sisteminizin
içerisinde neler olup bittiğine dair derin bir fikir sahibi olmak tehdit avcılığında çok önemli
olmaktadır. Tehditler görünmez değildir, arkalarında bir davranış şekli bırakırlar. Bilgi güvenliği
alanında bir saldırı ile karşılaşıldığında en büyük avantaj bilgi olmaktadır. Tehdit avcılığı,
karşılaşılan davranışların hangisinin şüpheli, hangisinin zararlı olduğunu süzme sürecidir.
Örnek olarak ağ taramaları ele alınsın, sistem yöneticileri genellikle ağ taraması yapmazlar;
çünkü sistemde nelerin kullanıldığına dair bilgileri vardır. Fakat içeriden güvenlik ekipleri
dışında bir ağ taraması yapılmış ise bu oldukça şüphelidir. Sızma testinin ve tehdit avcılığının
siber güvenlik alanında olgun birer yerleri vardır. Çünkü, saldırganlar her geçen gün geleneksel
tespit sistemlerini aşmak adına yeni yöntemler geliştirmektedir. Sızma testi ve tehdit avcılığını
aynı zamanda ve dengeli olarak uygulamak oldukça proaktif bir yaklaşım olmaktadır.
5) Siber Tehdit Avcılığı Otomasyon İle Sağlanabilir Mi?
Bu soruyu “Her avcının bir avlanma yöntemi vardır.” ifadesiyle açıklamak mümkündür. Tehdit
avcılığı sürecinde, ortaya bir hipotez koymak ya da son kararı vermek gibi noktalarda tam
anlamıyla bir “avcı” gerekmektedir. Fakat tehdit avcılığı döngüsünde tamamlanmış bir av
süreci için tekrar tekrar aynı işlemleri yapmanın bir anlamı yoktur. Bu durumda aynı tehditleri
tespit etmek için otomatize edilmiş araçlar kullanılır. Tamamlanmış olan avdan edinilen
tecrübe yeni oluşturulacak hipotezler için kullanılır. Bu durumda “Tehdit avcılığı otomatize
edilebilir.” demek tam anlamıyla doğru olmamaktadır. “Tehdit avcılığının bazı süreçleri
otomatize edilebilir.” şeklinde kullanmak daha doğru olacaktır. Tehdit avcılığını insan
faktöründen uzaklaştırmak yani otomatize etmek için makine öğrenmesi (machine learning)
gibi yöntemler geliştiriliyor olsa da bu konuda “avcı” olarak insan faktörünün yerini tutması
pek mümkün değildir.
7. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
6) Siber Tehdit Avcısının Sahip Olması Gereken Yetenekler
Nelerdir?
Siber tehdit avcılığı yapan kişi ağ ve sistem güvenlik açıklarını test edip bunların sürekliliğini
sağlayabilmelidir. Siber güvenlik istihbaratı toplayabilmeli, SIEM (Security Information and
Event Management) korelasyonları uygulayabilmeli, olay müdahalesi yapıp bunu
raporlayabilmelidir.
NIDS (Network Intrusion Detection Systems), HIDS (Host Intrusion Detection Systems) ve dosya
bütünlüğü takibi ile algılanan tehditleri yorumlayabilmelidir. Aktif ve pasif ağ taramaları,
sistemlerin envanter takipleri ile varlık keşifleri gerçekleştirebilmelidir. Ayrıca log analizi,
netflow analizi, hizmet takibi ve tam paket kaydı (full packet capture) gibi işlemleri
gerçekleştirerek davranışsal izleme yapabilmelidir. Nitekim bu yetkinlikler ile kısıtlı kalmayıp
avlanma kabiliyetini geliştireceği becerileri arttırması her zaman faydalı olacaktır.
7) Siber Tehdit Avcılığı ile Avlanılan Nedir?
Tehdit avcılığı sistematik bir olaydır, tehdit avcıları sürekli olarak herhangi bir saldırının kanıtı
olacak bulguları araştırmaya ihtiyaç duyar. Tehdit avcılığı bir süreçtir ve bu süreç güvenlik
ekipleri tarafından planlanmış bir şekilde ilerleyebilir. Tehdit avcılığı sadece sisteminizdeki
“kötü” olanı bulmak değildir. “Indicator of Compromise (IOC)” olarak nitelendirilen; örneğin
bir zararlı yazılım imzası, hash değerleri, dosya isimleri, malware domain, zararlı URL, IP
adresleri, phishing alan isimleri birçok yöntem ile tespit edilebilir. IOC tabanlı tespit sistemleri
bu tehditleri yakalayabilirler. Tehdit avcısı ise yakalanmayanın peşindedir.
● Prosesler: Avcılar özellikle belirledikleri bazı proseslerin peşine düşerler. Proses
isimlerini, dosya adreslerini, özetleri ve ağ aktivitesini incelerler. Örneğin, Sistem Kayıt
Defteri’ni (System Registry) değiştirecek prosesleri takip eder ve onlara ait alt
prosesleri incelerler. Bu proseslere ait özetleri elde edip, gerekirse bazı düzenlemeler
yapıp daha fazla bilgiye ulaşabilirler.
● Binaryler: Binary dosyalar avcıların dikkatle inceledikleri dosyalardır. Özetler, dosya
isimleri, dosya yolları, metadata, özel sistem kayıtları, tersine kod analizi,
modifikasyonlar, çalıştırılabilir dosyaların bağlantı kurdukları kütüphaneler, sistem
çağrıları ve diğer birçok karakteristik.
● Ağ Aktiviteleri: Tehdit avcıları, ağ aktivitelerini incelerler. Herhangi spesifik bir domain
ya da IP adresine ait bazı bilgiler edinirler.
● Sistem Kayıtları ve Loglar: Tehdit avcılığında en önemli konulardan bir tanesi sistem
kayıtları ve loglardır. Geleneksel güvenlik çözümleri bu logları analiz etmede bir
noktaya kadar yeterli olsa da tehdidin arkasında en temel faktörün insan olduğu
unutulmamalıdır. Tehdit bir zararlı yazılım olsa da yazarının bir insan olduğunu
8. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
düşünerek yine bu tehditlerin tespit edilmesi için insan tabanlı (human-driven) bir
çalışma yapmak gerekmektedir.
8) Siber Tehdit Avcılığı Önemli Midir?
Evet. Çünkü geleneksel güvenlik çözümleri belli bir seviyeye kadar koruma sağlasa da gelişen
saldırı vektörleri göz önüne alındığında bu çözümler yeterli olmamaktadır. Bunun yanında
hedef odaklı gerçekleştirilen gelişmiş siber saldırılar da düşünüldüğünde, saldırının başarılı
olduğunun tespitini yapmakta yetersiz kaldığı görülmektedir. Bu durumda tehdit avcısı, tehdit
avını gerçekleştireceği yapıya zaten başarılı olarak gerçekleştirilmiş bir saldırı olduğunu
varsayarak tespit etmeye çalışır.
Bunun için de eldeki bulguları kullanarak ortaya koyacağı bir hipotez üzerinden ilerler. Bu
durumun sebebi ise gerçekleştirilen siber saldırıların farkına varılmasının çok uzun zamanlara
ulaşmasıdır. Bu süre M-Trends 2015 raporunda ortalama 146 gün iken 2016 raporunda
ortalama 99 gün olarak belirlenmiştir. Siber tehdit avcılığı bu süreyi daha da düşürmeyi
sağlamaktadır.
9) Siber Tehdit Avcılığı Neden Gereklidir?
Gerçekleştirilen siber saldırıların fark edilme sürelerinin uzunluğundan ve bu durumun sebebi
olarak yapılan saldırıların gelişmişliği ile geleneksel güvenlik çözümlerinin kısıtlı kalmasından
yukarıdaki başlıklarda bahsedilmişti.
Bu durumda hedef odaklı gelişmiş bir siber saldırı göz önüne alındığında saldırının gizlenmesi,
sistemlerdeki anormal davranış oluşturacak bulguların minimize edilmesi, örnek bir saldırı
amacı olarak veri sızdırılması gibi durumların tespitinin olay sonrasında, tabir yerindeyse iş
işten geçtikten sonra farkına varılmasını önlemek ya da en aza indirmek amacıyla tehdit avcılığı
yapmak gerekir.
Bu sayede saldırıların daha çabuk farkına varılarak olay müdahalesi gerçekleştirilebilir. Bu
durumda, gerçekleştirilen siber saldırıların etkisini önlemek ya da en aza indirmek için siber
tehdit avcılığı gereklilik göstermektedir.
9. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
10) Tehdit Avcılığında Kullanılan Platform ve Araçlar Nelerdir?
Bir Tehdit Avcılığı Platformu: Security Onion!
Tehdit avcılığında başarılı olabilmek için tıpkı bir silah ya da yay gibi birçok araca ihtiyaç
duyulmaktadır. Bu araçlar çoğunlukla durum farkındalığı (situational awareness) ve ağ
güvenlik izleme (Network Security Monitoring-NSM) araçlarından oluşmaktadır. Tehdit avcılığı
perspektifinden bakıldığında Security Onion, içerisinde bu amaçla hazır halde kurulu birçok
araçla birlikte gelmektedir. BRO, Snort/Suricata gibi Network-IDS yazılımları, OSSEC gibi Host-
IDS yazılımı, log yönetimi için ELSA, Elasticsearch, Kibana gibi platformları bulunduran bir
dağıtımdır.
● Bro, Security Onion içerisinde bulunan bir IDS yazılımıdır. Ağ trafiğini belirli
protokollere göre ayırıp farklı log dosyalarında toplar.
● Suricata/Snort, BRO ile benzer çalışan IDS yazılımlarıdır.
● OSSEC, HIDS (Host-based Intrusion Detection System) olarak adlandırılan bir saldırı
(sızma) tespit sistemidir. Log analizi, dosya bütünlük kontrolü, sistem kontrolü, rootkit
tespiti yapar. Gerçek zamanlı ve yapılandırılabilir alarmlar üretir. Aktif cevap (Active
Response) özelliği ile otomatik aksiyonlar alabilir.
● Security Onion üzerinde tam paket kaydı (full packet capture) için netsniff-ng aracı
kullanılır, PF_RING aracılığıyla ağ paketlerini kaydeder.
● ELSA & Elastic Stack, Security Onion ilk çıktığında log yönetimi için ELSA ortamını
kullansa da son sürümünde Elastic Stack'e geçmiştir.
Security Onion, hemen hemen log üreten her şeyi merkezi olarak bir yerde toplamak ve bunu
Elasticsearch ve Kibana gibi yazılımlarla analiz etmek için ideal bir ortam sağlamaktadır. Bunun
yanı sıra, ağ paketlerini daha iyi inceleyebilmek için tam paket kaydı (full packet capture)
yapma imkanı sağlayan, Tcpdump, Wireshark, NetworkMiner gibi araçları da içerisinde
bulundurur. Ayrıca açık kaynak kodlu bir dağıtımdır ve ücretsizdir.
10. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Elasticsearch & Logstash & Kibana
Elastic Stack, günde 500.000’den daha fazla indirildiği söylenen Elasticsearch, Logstash, Kibana
ve Beats gibi açık kaynak kodlu yazılımların bulunduğu bir gruptur. Herhangi bir kaynaktan
herhangi bir formatta veri alınması, bu verinin ayrıştırma (parsing) işleminden geçirilerek
kırılması ve daha sonra bu veriyi kaydedebilmesi gibi işlemleri yapmayı sağlayan bir ortamdır.
Tehdit avcılığı perspektifinden bakıldığında, sistemde bulunan bir web sunucusu logları,
Logstash yazılımı yardımıyla ayrıştırılabilir, bu loglar Elasticsearch veritabanına kaydedilebilir
ve oradan da Kibana yazılımı aracılığıyla görselleştirilerek analiz edilebilir. Bu durum
milyonlarca satırın bulunduğu log dosyalarını elle incelemekten çok daha etkili bir yöntem
olmaktadır.
Windows Platformu için Sysmon!
Sysmon (System Monitor), Microsoft Sysinternals araçları içerisinde bulunan bir araçtır.
Windows işletim sistemi üzerinde gerçekleşen aktiviteleri hali hazırda kullanılan loglara göre
daha detaylı loglayabilmektedir. Hangi uygulamanın hangi proseste çalıştığı, özetleri, alt
prosesleri, bir prosesin ne zaman oluştuğu, ağ bağlantıları, hataları görebilmek ve daha birçok
detayı analiz etmek için kullanılabilir. Sysmon, Elastic Stack ile birlikte kullanılabilir.
SELKS
SELKS, Stamus Networks tarafından geliştirilen Debian tabanlı bir dağıtımdır. Suricata tabanlı
IDS/IPS dağıtımı olarak bilinmektedir. İsminin açılımı şu şekildedir:
● S-Suricata IDPS - http://suricata-ids.org/
● E-Elasticsearch - https://www.elastic.co/products/elasticsearch
● L-Logstash - https://www.elastic.co/products/kibana
● K-Kibana - https://www.elastic.co/products/logstash
● S-Scirius - https://github.com/StamusNetworks/scirius
● EveBox - https://evebox.org/
Security Onion benzeri olan bu dağıtım içerisinde Elastic Stack bulundurmaktadır. Aynı
zamanda Evebox adlı yazılım ile Suricata alarmlarının yönetilebilmesini, Suricata kurallarının
11. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
web arayüzü üzerinden güncellenebilmesini sağladığından tehdit avcıları için kullanışlı
olmaktadır.
Referanslar
[1] https://www.fireeye.com/blog/threat-research/2017/03/m-trends-2017.html
[2] https://www.sans.org/reading-room/whitepapers/analyst/who-what-where-when-
effective-threat-hunting-36785
[3] https://secure.carbonblack.com/rs/756-DAV-
307/images/EB_Threat_Hunting_%20For_Dummies.pdf
[4] https://sqrrl.com/threat-hunting-reference-guide/
12. [ETKİN SİBER SAVUNMA İÇİN TEHDİT AVCILIĞI]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, ”Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.