SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
1. Güvenlik İzleme ve Operasyon Merkezi (SOC)
Hakkında Merak Edilen Sorular ve Cevapları
Huzeyfe ÖNAL <huzeyfe.onal@bgasecurity.com>
Bu yazı, ÇözümPark Teknoloji Sohbetleri (Tech Talks) Live kapsamında gerçekleştirilen Açık
Kaynak Kodlu Yazılımlarla SOC Kurulum ve Yönetimi oturumunda bahsettiğim konulara dair
detayları ve kullandığımız açık kaynak kodlu projelere ait linkleri içermektedir.
2. Bu döküman 14 Haziran 2020 09:09 tarihinde güncellenmiştir.
Etkinlik boyuna aşağıda yer alan sorulara kendi bakış açım ve tecrübemle cevap vermeye
çalıştım.
1. SOC konusunda doğru kaynaklardan bilgi öğrenme adına hangi kaynakları takip
edebilirsiniz?
2. İdeal bir SOC altyapısı için hangi temel bileşenlere ihtiyaç olacaktır.
3. Bir meslek olarak SOC Analisti’ne ihtiyaç ne seviyededir, ve bu konuda kendini
yetiştirmek isteyenleri ne gibi bir gelecek bekliyor?
4. Dünyada SOC altyapıları nasıl kuruluyor ve başarısı nasıl ölçülüyor.
5. Ticari ürünler kullanarak gerçekleştirilecek orta ölçekli bir SOC için ihtiyaçlar ve yaklaşık
maliyetler nelerdir? - SOC maliyet hesaplaması
6. SOC altyapısını kendi şirketimizde kurmak mı daha verimli olur dışardan hizmet almak
mı?
7. SOC altyapısı kurmak için açık kaynak kodlu çözümler yeterli olur mu, önerileriniz?
8. SOC alt yapısında kullanılacak açık kaynak kodlu bileşenler nelerdir?
9. Açık kaynak kodlu hangi siem projeleri kullanıma uygundur?
10.SOC Altyapısında Kullanabileceğim Hazır SIEM kuralları var mıdır?
11. Ağ trafiği izleme ve alarm üretme amaçlı IDS çözümü
12. Açık kaynak kodlu EDR çözümleri var mıdır, iş ortamlarında kullanılacak olgunlukta
hangi çözümleri önerirsiniz?
13. SOC ortamlarının olmazsa olması SOAR nedir hangi açık kaynak kodlu bileşenlerle
SOAR altyapısı kurabiliriz?
14. SOC altyapısında kullanıma hazır açık kaynak kodlu siber istihbarat çözümleri var mıdır?
Hangilerini nasıl sistemime entegre edebilirim?
15. Tehdit istihbaratı paylaşımı amaçlı kullanılan MISP ve OpenCTI projelerini hangi
aşamalarda kullanmalıyım?
16. NASA, CERN gibi yerlerde aktif kullanılan açık kaynak kod SOC OpenSOC(->Metron)
projesi nedir
17. Herkesin konuştuğu Mitre ATT&CK Frameworkü açık kaynak kodlu çözümlerle nasıl
uygulayabiliriz?
18. Bahsedilen Açık Kaynak Kodlu çözümleri deneyebileceğim hazır dağıtımlar var mıdır?
3. 1. SOC konusunda doğru kaynaklardan bilgi öğrenme adına hangi kaynakları
takip edebilirim?
SOC konusu için takip edeceğiniz, doğru ağızdan nedir, ne değildir, nasıl kurulmalıdır, hangi
bileşenlere sahip olmalıdır gibi soruların cevabını bulmak için 6 yıl önce Mitre tarafından
desteklenen ve Carson Zimmerman tarafından hazırlanan ‘’Ten Strategies of a World-Class
Cybersecurity Operations Center’’ kitabını öneririm.
Aşağıdaki linkten ücretsiz olarak indirilebilir.
https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-ce
nter.pdf
Buna ek olarak aşağıdaki kaynakların da takip edilmesini öneririm.
● Definitive Guide to SOC-as-a-Service
(https://stratsolutions.com/wp-content/uploads/2018/06/AWN_Definitive-Guide-to-SOCaa
S-ebook-final.pdf )
● How to build a Security Operations Center (on a budget ) (
https://cybersecurity.att.com/resource-center/ebook/how-to-build-a-security-operations-c
enter )
● SANS SOC Summit Video ve pdfleri
(https://www.sans.org/cyber-security-summit/archives/ )
● Common and Best Practices for Security Operations Centers: Results of the 2019 SOC
Survey
4. 2. İdeal bir SOC altyapısı için hangi temel bileşenlere ihtiyaç duyulur?
Güvenlik konusunda bir çok bileşende olduğu gibi SOC konusunda da temelde üç bileşene
ihtiyaç duyulur.
● İnsan (People)
● Süreç (Process)
● Teknoloji (Technology)
Genellikle insan kaynağı SOC altyapısı için olay inceleme, gerekli altyapının kurulumu ve
düzenli izleme için kullanılır.
Süreç kısmı, SOC’un nasıl işleyeceği, hangi playbook ların nasıl konumlandırıldığı, hangi olay
karşısında ne yapılacağı gibi konuları içerecek politika, prosedür gibi kaynakların oluşturulması
için kullanılır.
Teknoloji kısmını da kuracağımız güvenlik çözümleri(yazılım ve donanım olarak düşünebiliriz)
Bu üç bileşen eşit ölçüde önemli gibi gözükse de SOC için ağırlıklı olarak firmalar teknoloji
bileşenine daha fazla önem vermektedirler.
Bunun temel sebebi, insan kaynağı yetersizliği ve insan kaynağının görece olarak daha maliyetli
olmasıdır. Son yıllarda yapay zeka destekli otomasyon projelerinin SOC ekiplerinin yerlerini
almaya başladığına şahit oluyoruz. Tabiki de tam manasıyla insanı değiştirme şeklinde değil de
insanlar tarafından sıkıcı gelen ve rutin işlerin makinelere devredilmesi gibi düşünebiliriz bunu.
Tüm detay bileşenleriyle birlikte SOC altyapısı için nelere ihtiyaç duyarsınız gözünüzün önünde
olsun isterseniz aşağıdaki zihin haritası işinize yarayacaktır.
6. 3. Bir meslek olarak SOC Analisti’ne ihtiyaç ne seviyededir, ve bu konuda
kendini yetiştirmek isteyenleri ne gibi bir gelecek bekliyor?
Çok yeni bir meslek dalı, iş alanı olmasına rağmen üzerinden en fazla konuşulan konulardan biri
SOC analistliğidir. Burada SOC analisti dediğimizde aklınızda 7/24 izleme yapan ekiplerden
(Level-I, Tier-I) tutun da arka tarafta daha kıdemli işlere bakan ekipler gelebilir. Ama çoğunlukla
problem Level-I ekiplerden çıkmaktadır. Bunun temel sebebi de bu pozisyon için alınan
junior/acemi seviyesi personellerin kısa süre içinde mesleki tatminsizliğe uğraması ve alternatif
iş bakması gözüküyor. Bu konuda detay okumak isteyenler için Siemplify’ın araştırma raporunu
buraya ekliyorum.
https://www.siemplify.co/wp-content/uploads/2019/08/The-Art-of-Recognizing-and-Surviving-SO
C-Burnout.pdf
Eğitimler:
ENISA eğitimleri
https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-materia
l/technical-operational
SOC, SOME ve CSIRt ekiplerinin kutsal metinleri diyebileceğimiz aşağıdaki dökümanın da
mutlaka bu işe girmek isteyenler tarafından okunmasını öneririm.
Computer Security Incident Handling Guide
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Ek olarak bu konuda Societe CERT ekibinin hazırladığı temel dökümanlar pratik çıktılar için yol
gösterici olacaktır.
https://github.com/certsocietegenerale/IRM/tree/master/EN
7. 4. Dünyada SOC altyapıları nasıl kuruluyor ve başarısı nasıl ölçülüyor.
Dünyada SOC kavramı uzun yıllardır güvenlik dünyasının ana konularından biri olmasına
rağmen son 5-6 yılda siber saldırıların ciddi biçimde artması ve doğrudan finansal altyapıları
hedef almasıyla birlikte önemini arttırmıştır. Bugün güvenlik ekibini kuran büyük ölçekli yapıların
ilk aşamada aklına gelecek bileşen SOC olmaktadır.
SOC ekiplerinin nasıl kurulduğu ve yönetildiği konusunda çok fazla iç bilgiye sahip değiliz.
Ağırlıklı olarak SOC bileşenleri için yazılım geliştiren firmaların yönlü bakış açılarıyla yayınladığı
raporlar ön plana çıkmaktadır. Bununla birlikte SANS gibi doğrudan bu konuda ticari çıkar
gütmeyen güvenilir kurumların her yıl yayınladığı SOC anketleri sektörü dışardan izleyenler
veya bu konuda dünyada ne oluyor diyenler için oldukça faydalı olacaktır.
Ek olarak NASA’ya SOC altyapısını kuran firmanın internetten bulabileceğiniz denetim raporu
da bu konuda en iyisi olması gereken altyapılarda ne gibi problemler olabilyior görmek
açısından önemlidir.
NASA SOC denetim raporuna buradan ulaşabilirsiniz. (https://oig.nasa.gov/docs/IG-18-020.pdf )
Ek olarak bir SOC altyapısının başarısını nasıl ölçerim ve iyileştiririm diyorsanız bu iş için
hazırlanmış aşağıdaki siteyi ziyaret edip güncel soru setini indirebilirsiniz.
SOC-CMM https://www.soc-cmm.com/downloads/latest/
8. 5. Ticari ürünler kullanarak gerçekleştirilecek orta ölçekli bir SOC için
ihtiyaçlar ve yaklaşık maliyetler nelerdir? - SOC maliyet hesaplaması
SOC konusunda en önemli kısımlardan biri maliyet hesaplamasıdır. Zira her konuda olduğu gibi
bu konuda da envai çeşit ürün/çözüm bulunmaktadır. İyi bir hesaplama yapmazsanız ihtiyacınız
olan iki tekerlekli bir bisiklet iken size çözüm olarak 8-10 tekerlekli otobüs gelebilir.
SOC maliyet hesaplaması için aşağıda bıraktığım adresteki Excel dosyasını kendi ihtiyaçlarınıza
göre düzenleyerek yaklaşık bir rakam çıkarabilirsiniz.
http://rafeeqrehman.com/2017/02/05/soc_budget_calculator/
Burada yine insan kaynağı, dışarıdan alınacak danışmanlık ve SOC altyapısı için yapılacak
güvenlik yazılım/donanım yatırımı hesaplandığını unutmayalım. Her sene aynı rakam çıkmasa
da büyük oranla yıllık giderleri hesaba katmak gerekir. Bir çok yazılım artık yıllık kiralama modeli
lisanslamaya dönmüş durumda.
9. 6. SOC altyapısını kendi şirketimizde kurmak mı daha verimli olur dışarıdan
hizmet almak mı?
Her ortam ve ihtiyaç için farklılık gösterse de ideal bir SOC altyapısının ülkemiz için Hibrid SOC
olduğunu düşünüyorum. Ne tam manası ile dışarı outsource edilmiş ne de yetersiz insan
kaynağıyla boğuşurken içerde yapılmaya çalışılmış.
Orta ölçekli ve küçük ölçekli kurumlar için ilk senelerde dışarıdan hizmet almak daha uygun
maliyetli olmaktadır.
Burada unutulmaması gereken en önemli kısım SOC hizmeti aldığınız yeri mutlaka daha farklı
bir yere denettirmek olacaktır. Yani 5/8, 7/24 izlendiğini düşündüğünüz altyapılar gerçek bir
saldırı karşısında size ne kadar yardımcı olacak, ne kadar görünürlük sağlayacaktır bunu
görmeden yapılacak her şey nazar boncuğu kıvamında güvenlik sağlayacaktır.
10. 7. SOC altyapısı kurmak için açık kaynak kodlu çözümler yeterli olur mu,
önerileriniz?
Bu sorunun tek kelimelik cevabı hem evet hem de hayırdır.
Ne yaptığınızı biliyorsanız ve neyi nasıl yapacağınızı bilen ekip arkadaşlarınız varsa açık
kaynak kodlu çözümlerle ticari olarak aldığınız ürünlerle kuracağınız SOC’dan daha iyisini
kurgulayabilir, kurabilir ve yönetebilirsiniz.
Ama, bu çoğu firma için hayali bir senaryodur. Kısıtlı insan kaynağıyla birden fazla iş yapan
güvenlik ekiplerinden bu ortamda açık kaynak kodlu bir SOC altyapısını kurup işletmelerini
beklemek doğru bir yaklaşım olmaz.
Peki açık kaynak kodlu çözümler hangi aşamada, nasıl işe yarar?
SOC alt yapısında bulunması gereken birden çok bileşen vardır, mesela tehdit istihbaratı
paylaşım platformu bunların başında gelmektedir, ve ticari çözümler burada oldukça yetersiz
kalmaktadır. Bunun yerine MISP gibi olgunluk seviyesi yüksek , binlerce firma tarafından aktif
kullanılan açık kaynak kodlu çözümleri tercih edebilirsiniz.
Doğrudan tüm altyapıyı açık kaynak kodlu çözümlerle kurabilir miyim?
Evet, işini iyi bilen, bu konuda tecrübeli ekiplerle yapabilirsiniz. Bu konuda uzun yıllardır aktif
olarak danışmanlık yapıyoruz, dinlemek isterseniz size örnek bir firma üzerinden anlatabiliriz.
11. 8. SOC alt yapısında kullanılacak açık kaynak kodlu bileşenler nelerdir?
Öncelikle bir SOC altyapısında min olması gereken bileşenleri çıkaralım sonra bu bileşenlerle
ilgili detaylara değinelim.
Temel SOC Teknik Altyapı Bileşenleri:
● SIEM, Log Yönetimi çözümü
● Threat Hunting amaçlı büyük verileri saklayacağımız ve hızlıca sorgulama
yapabileceğimiz ek çözüm
● EDR - Endpoint Detection & Response
● NIDS - Network IDS
● SOAR - Security Orchestration, Automation and Response
● TISP - Threat Intelligence Sharing Platform
● VM - Vulnerability Management
● BAS- Breach & Attack Simulation
● ….
İhtiyaç duyulduğunda bu adresten hangi güvenlik çözümleri için alternatif açık kaynak kodlu
projelerin olduğunu karşılaştırmalı olarak inceleyebilirsiniz.
http://www.eventid.net/downloads/open_source_security_controls_v1.pdf
12. 9. Açık kaynak kodlu/ücretsiz hangi siem projeleri kullanıma uygundur?
https://grafana.com/
Elasti.co
Grafana daha cok servis monitoring ve görselleştirme amaçlı, ELK ise SIEM amaçlı kullanılır.
Hatta Elastic firmasının ELK üzerine bina ettiği kendi SIEM çözümü de bulunmaktadır.
13. 10.SOC Altyapısında Kullanabileceğim Hazır SIEM kuralları var mıdır?
Bu konuda üründen bağımsız herkesin Sigma kurallarını incelemelerini öneririm.
https://github.com/Neo23x0/sigma
Bir SIEM’den başka SIEM’e kural çevrimi için https://uncoder.io/ adresini kullanabilirsiniz.
14. 11.Ağ trafiği izleme ve alarm üretme amaçlı IDS çözümü
Snort, Suricata ve BroIDS yeni ismiyle Zeek kullanılabilir. Özellikle Suricata ve Zeek bu konuda
doğru konumlandırıldığında ve kuralları doğru yapılandırıldığında güvenlik görünürlüğünü çok
ciddi oranda arttıracaktır.
15. 12.Açık kaynak kodlu / ücretsiz EDR çözümleri var mıdır, iş ortamlarında
kullanılacak olgunlukta hangi çözümleri önerirsiniz?
Bu konuda kullanılacak çözümleri OSQuery, Wazuh ve Sysmon olarak sıralayabiliriz. Bu konuda
özellikle osquery ve sysmon oldukça başarılıdır. Sysmon, Microsoft tarafından geliştirilmekte ve
desteklenmektedir. Osquery ise tüm işletim sistemlerinde çalışabilecek türden gelişmiş bir EDR
ve sistem inceleme çözümüdür. Her 3 ürünü de yoğun bir şekilde projelerimizde kullanıyoruz.
Github’da her 3 çözüm için de fazlasıyla örnek yapılandırma ve kural dosyası bulabilirsiniz.
16. 13.SOC ortamlarının olmazsa olması SOAR nedir hangi açık kaynak kodlu
bileşenlerle SOAR altyapısı kurabiliriz?
SOAR, henüz yeni bir alan ve tanım olmasına rağmen son yıllarda herkesin dilinde olan bu
kavram için de açık kaynak kodlu birden fazla proje bulunmaktadır. Benim yakından izlediğim ve
güncel olarak takip ettiğim SOAR benzeri açık kaynak kodlu proje TheHive projesidir. Cortex
bileşeni ile birlikte
17. 14.SOC altyapısında kullanıma hazır açık kaynak kodlu siber istihbarat
çözümleri var mıdır? Hangilerini sistemime entegre edebilirim?
Siber istihbarat kelimesi kullanan ve anlayan açısından ciddi farklı anlamlara gelebilen nadide
kavramlardan biridir. Herkes farklı amaçla kullanmakta ve kavramdan farklı şeyler anlamaktadır.
Basitleştirmek için yazacak olursak,
Eğer amacınız Türkiye’de ve dünyada yayınlanan istihbarat raporlarındaki tehditlerden anlık
haberdar olmak ve IOC/Feed almak (ip-domain-hash) ise OTX kullanabilirsiniz. Bu konuda en
güncel verileri buradan sisteminize indirebilirsiniz.
Amacınız, sizinle aynı/farklı sektördeki kurumlarla istihbarat paylaşmak, onlardan gelen istihbartı
kendi sistemlerinize otomatik aktarmak ve yeri geldiğinde sorgulamak isterseniz MISP
kullanabilirsiniz.
Amacınız, sosyal medya, Github, pastebin gibi ortamlarda firmanıza ait assetlerle ilgili neler
konulusuyor, neler dönüyor görmek ise AIL framework kullabilirsiniz
(https://github.com/CIRCL/AIL-framework)
18. 15.Tehdit istihbaratı paylaşımı amaçlı kullanılan MISP ve OpenCTI projelerini
hangi aşamalarda kullanmalıyım?
MISP, sektördeki en olgun projelerden biridir. Desteklediği entegrasyonların sayısı ticari
çözümlerden daha fazladır. Ücretsiz eğitimleri ve destek amaçlı kullanılacak e-posta listesiyle
birlikte bu konuda geleceği parlak projelerden biri olacağını söyleyebiliriz.
MISP’in eksik kaldığı konularda OpenCTI projesini de inceleyebilirsiniz. Henüz kullanım oranı
MISP kadar yaygın olmasa da iyi bir ekip tarafından düzenli güncellendiğini söyleyebilirim.
19. 16.NASA, CERN gibi yerlerde aktif kullanılan açık kaynak kod SOC
OpenSOC(-> Apache Metron) projesi nedir?
2014 yılında Cisco tarafından OpenSOC olarak başlatılan projenin son durakta ismi ve lisans
hakları Apache Metron olarak güncellenmiştir. Saniyede milyonlarca paketi işleyecek ve bunu
yönetecek bir SOC altyapısına ihtiyaç duyarsanız Apache Metron projesine göz atabilirsiniz.
Proje hakkında detay bilgilere ulaşmak için https://metron.apache.org/about/
20. 19.Herkesin konuştuğu Mitre ATT&CK Framework açık kaynak kodlu
çözümlerle nasıl uygulayabiliriz?
Mitre ATT&CK, siber güvenlik dünyasındaki uzmanların tehditleri, aktörleri ve benzeri bileşenleri
ortak bir dille tanımlayabilmek amacıyla geliştirilmiş bir kütüphanedir.
Şahsi olarak son 3 yılda üzerinden en fazla zaman harcadığım projelerden biri. Bu konuyla ilgili
daha detay bilgi almak isteyenleri 2 yıl önce yaptığım sunumla başbaşa bırakayım . Başlıktaki
soru ve daha fazlası sunum içerisinde yer almaktadır.
https://www.slideshare.net/bgasecurity/mitre-attck-kullanarak-etkin-saldr-tespiti
21. 20.Bahsedilen Açık Kaynak Kodlu çözümleri deneyebileceğim hazır dağıtımlar
var mıdır?
Bu konuda SEcurityOnion önerebilirim, ihtiyaç duyabileceğiniz bir çok bileşen hazır kurulu ve
yapılandırılmış halde gelmektedir.
https://blog.securityonion.net
Ek olarak Threat Hunting amaçlı olarak HELK projesini de önerebilirim.
https://github.com/Cyb3rWard0g/HELK