X.exe ‘nin Ürün Yolculuğu

SOC

Bu yazımızda bir örnek exe dosyasına güvenlik ürünleri tarafından alınabilecek aksiyonlara yani ürünlerin genel hatlarıyla neler yapabileceğine değineceğiz ve böylelikle özet olarak güvenlik ürünlerinin yeteneklerini öğrenmiş olacağız. Exe dosyamızın şüpheli işlemler gerçekleştirdiğini varsayalım ve ürünlerin özelliklerini açıklamaya başlayalım.

NOT: Farklı ürünlerin özellikleri değişiklik gösterebilir,,genel hatlarına değinilmiştir.

Güvenlik ÜrünüÖzellikGözlem
Firewall(Güvenlik Duvarı)Gelen ve giden trafiği kontrol eder,uygulama bazlı kurallar oluşturulabilir.
Gelen ve giden ağ trafiğini kontrol ederek X.exe’nin bilinmeyen bir IP adresine bağlantısını engelleyebilir.X.exe’nin bir veri aktarımı yapmasını engelleyebilir
IPS/IDSAğdaki aktiviteyi izler şüpheli ve anormali davranışı saldırı imzalarına göre tespit eder ve uyarı üretir.X.exe’nin bir fidye yazılım saldırısı başlatmasını , kimlik avı saldırısını başlatmasını tespit edebilir.
Endpoint SecurityDosya ve sistem değişiklilerini izler ,virüs ve casus yazılımları tespit eder ve karantinaya alır.Dosya ve bellek taramaları davranış analizi ve uygulama kontrolü gibi teknikler kullanır.X.exe’nin bilinmeyen bir kaynaktan indirilmesini ,sistem dosyalarında değişiklik yapmasını ve bellekte şüpheli işlemler göstermesini tespit edebilir.
EDRUç noktalardaki tüm faaliyetleri detaylı bir şekilde izler ve analiz eder.Tehdit avı ve olaylara hızlı yanıt verme imkanını sağlar.X.exe’nin diğer tüm sistemlerle anormal bir şekilde etkileşime girmesini tespit edebilir ve aynı zamanda daha önce tespit edilememiş bir zararlı olduğunu belirleyebilir.X.exe’nin sistemde gerçekleştirdiği diğer şüpheli işlemleri tespit edebilir.
MDRTehditleri proaktif ve reaktif şekilde tespit edip yanıt verir.Uzman ekibin rehberliği ve tehdit istihbaratı ve yapay zeka ,makine öğrenmesi gibi tekniklerden yararlanır.X.exe’nin tehlikeli olup olmadığını hızlı bir şekilde belirleyebilir ve bu dosyanın yayılma riskini ,etkisini değerlendirir.X.exe’ye karşı otomatik ve manuel yanıt eylemleri gerçekleştirebilir.
DLP Hassas verilerin izinsiz bir şekilde aktarılmasını veya silinmesini engeller.Veri Sınıflandırma ve koruma politikaları uygular.E-posta , dosya paylaşımı ve web taraması gibi kanalları izler.X.exe’nin bir dosyayı şifresiz olarak göndermesini engeller.X.exe’nin önemli bir veriyi harici bir depolama cihazına aktarmasının önler.
SIEMFarklı güvenlik ürünlerinden gelen logları bir merkezde toplayarak korele ve analiz eder.X.exe ile ilgili olan tüm güvenlik olaylarını tek bir yerden izleyerek tespit edilmesini sağlayabilir.
SOARGüvenlik olaylarına otomatik bir şekilde yanıt verme özelliğine sahiptir.Güvenlik ekiplerinin iş yükünü azaltarak yanıt hızını arttırır. X.exe ile ilgili bir şüpheli işlem tespit edilirse otomatik olarak yanıt verme , karantinaya alma veya diğer yanıt işlemlerini gerçekleştirebilir.
Mail SecurityE-postalara eklenmiş virüsleri ve diğer kötü amaçlı dosyaları tespit eder ve karantinaya alır.X.exe bir e-posta aracılığı ile indirilmişse tespit eder ve engelleme işlemi gerçekleştirebilir.
WAFWeb uygulamalarına karşı yapılan ortak saldırı türlerini belirlenmiş kurallar ile tespit ederek engelleyebilir.X.exe bir web sitesi üzerinden indirildeyse tespit edebilir ve engeller.X.exe tarafından bulunan web uygulamalarına bir saldırı başlatılırsa bunu engelleyebilir.
DDos KorumasıSunucuya gelen trafiği izler ve anormal akışları tespit eder ve trafiği engeller.X.exe’nin bir DDOS saldırısının bir parçası olarak kullanılmasını engeller
SysmonSistemimize kurarak daha geniş çaplı bir log üretimi sağlamamıza yarar.Böylelikle yapılan işlemleri tespit edilmesini kolaylaştırır.Eğer Sysmon kurulu ve konfigürasyonu yapılmış ise X.exe’nin hangi dosyaları kullanarak indirilmesi ve çalıştırılmasını tespit edebilir.(Sysmon 1,8)
Kayıt defterinde oluşan değişikleri tespit edebilir.(Sysmon 12)
X.exe’nin ağ bağlantısı üzerinden gönderdiği verileri tespit edebilir.(Sysmon 3)
Güvenlik Ürünleri

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir