Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020

1. @DefenseIN
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi
SOAR & IRM
Webinar - 2020

2. @DefenseIN
Musab YARDIM
Senior Security Solutions Engineer
https://musabyardim.com
LinkedIN: musabyardim
Twitter: musabyardim
Hakkımda

3. @DefenseIN
Ajanda DefenseIN | Webinar
SOAR & IRM kavramları
TheHive Project
TheHive Cortex
TheHive Demo
TheHive4py
Kaynaklar

4. @DefenseIN
SOAR & IRM Kavramları

5. @DefenseIN
SOAR nedir, ne işe yarar?
Security Orchestration, Automation and Response nedir ve ne işe yarar?
ØMerkezi olay yönetimi sağlar
ØSOC, SOME, IRM personelleri için ortak çalışma ortamı sunar
ØTriyaj sürelerini kısaltır
ØOlay ve vakalar ile ilgili elde edilen verileri zenginleştirir
ØManuel operasyonları otomatikleştirebilir
ØÖzet olay raporları oluşturabilir
DefenseIN | Webinar

6. @DefenseIN
SOAR Kimler İçin Gerekli
SOAR gerekliliği
DefenseIN | Webinar
SOAR Kullanmak İsteyen Kurumlar
ØSOC, SOME ve IR gibi ekiplere sahip olmalıdır
ØSOAR ‘ı besleyecek kaynakların envanterde yer almalıdır
ØAyrıca bu kaynaklar F/P azaltılmış alarmlar üretmelidir
ØSOAR ile ilgilenebilecek yetkinlikte personele sahip olmalıdır

7. @DefenseIN
SOAR Neden Gerekli
SOAR faydaları
DefenseIN | Webinar
ØSOC, SOME, IR ekiplerinin temel 2 sorunu
ØToplanan verileri tek seferde yüzlerce kaynakta arayabilmek, sorgulamak
ØTehditlere aktif olarak yanıt verebilme ve diğer ekiplerle iletişim
Ø…

8. @DefenseIN
SOAR ve IRM ilişkisi
Incident Response Management
DefenseIN | Webinar
ØSOAR, IRM sürecine katkı sağlar
ØOlaylar daha hızlı çözülebilir
ØIR ekibinin işini kolaylaştırır
ØIR ve diğer ekipler arası iletişim hızlanır

9. @DefenseIN
Open Source SOAR ?
Open Source SOAR avantaj/dezavantaj
DefenseIN | Webinar
ØLisans maliyetleri
ØCommunity desteği
ØEsneklik
ØVendor olmaması
ØKur, kullan şeklinde kolay olmayabiliyor

10. @DefenseIN
TheHive Project
A 4-IN-1 SECURITY INCIDENT RESPONSE PLATFORM

11. @DefenseIN
Open Source SOAR – TheHive Project
Open Source SOAR - TheHive Project
DefenseIN | Webinar

12. @DefenseIN
TheHive ile neler yapılabilir?
TheHive özellikleri
DefenseIN | Webinar
ØAlert Generation
ØCollaborate
ØIoC Enrichment
ØCase Management / Task Management
ØAnalyze & Response
ØReport & Dashboard

13. @DefenseIN
TheHive Örnek Mimari Yapısı
TheHive mimari yapısı
DefenseIN | Webinar

14. @DefenseIN
Olay Akışı
TheHive Olay Akışı (Alert-Case-Task-Analyze&Response)
Alert Source
DefenseIN | Webinar
TheHive Alarm
TheHive Case
TheHive Task
Cortex Action
(Analyze & Response)
MISP, Virus Total
Yara, Cuckoo vs.
Mail, Ticket
SIEM Actions vs.

15. @DefenseIN
TLP & PAP & TTP
TLP ve PAP ve TTP Kavramları
DefenseIN | Webinar
TLP: Traffic Light Protocol
PAP: Permissible Actions Protocol
TTP: Tactics, Techniques and Procedures
o TLP ve PAP case tanımlarında kullanılıyor
o Analyzer ve Reponse operasyonlarında TLP ve PAP kontrolü yaptırılıyor

16. @DefenseIN
TheHive Cortex
POWERFUL OBSERVABLE ANALYSIS AND ACTIVE RESPONSE ENGINE

17. @DefenseIN
TheHive Cortex
TheHive Cortex Özellikleri
DefenseIN | Webinar
ØCortext, TheHive’in tamamlayıcısı
ØAnalyze and Response Module
ØAynı anda yüzlerce kaynakta veri analizi yapma imkanı sunar
ØIP, Domain, Files, Hash, E-mail
Ø https://thehive-project.github.io/Cortex-Analyzers/

18. @DefenseIN
TheHive Cortex - Analyzer
TheHive Cortex - Analyzer Modülü
DefenseIN | Webinar
ØDefault olarak entegre yüzlerce analyzer modülü bulunur

19. @DefenseIN
TheHive Cortex - Responder
TheHive Cortex – Responder Modülü
DefenseIN | Webinar
Ø https://thehive-project.github.io/Cortex-Analyzers/
ØAdresinde hazır olarak sunulan response modülleri bulunmaktadır
ØÖrneğin bir case içerisinde yer alan;
Ø Domaini Umbrella Blacklist’e ekleyebilirsiniz.
Ø IP adresini Wazuh Active-Response ile ilgili sunucu firewallunda block liste alabillirsiniz.
Ø Mailer modülü ile case’i mail olarak gönderebilirsiniz.

20. @DefenseIN
TheHive4py
A Python API client for TheHive

21. @DefenseIN
TheHive4py
TheHive4py API
DefenseIN | Webinar
ØPython Client
ØFarklı kaynaklardan TheHive ile entegrasyon sağlamak için oluşturulmuş API
Ø https://github.com/TheHive-Project/TheHive4py

22. @DefenseIN
TheHive4py ile Wazuh Entegrasyonu
TheHive4py API
DefenseIN | Webinar
ØWazuh integration modülü
ØTheHive API key
ØHangi eventlerin gönderileceğinin belirlenmesi
ØObservable data

23. @DefenseIN
TheHive4py Entegrasyonda Dikkat Edilmesi Gerekenler
TheHive4py API
DefenseIN | Webinar
ØHangi eventlerin SOAR’a gönderilmesi gerektiğinin belirlenmesi
ØGönderilen eventlerin içerisinde ki gerekli alanlar doğru parse edilmesi

24. @DefenseIN
Kaynaklar

25. @DefenseIN
Training VM DefenseIN | Webinar
Ø https://github.com/TheHive-Project/TheHiveDocs/blob/master/training-material.md
Ø Hazır kurulu sistem (ova file) ile hızlıca denemek için

26. @DefenseIN
Kaynaklar
Øhttps://thehive-project.org/
Øhttps://github.com/TheHive-Project/TheHiveDocs
Øhttps://github.com/TheHive-Project/TheHive
Øhttps://thehive-project.github.io/Cortex-Analyzers/
Øhttps://groups.google.com/u/1/a/thehive-project.org/g/users
DefenseIN | Webinar

27. @DefenseIN
-Teşekkürler-
defensein.com