Siber tehditlerin hızla geliştiği günümüz dünyasında güvenlik ekiplerinin manuel süreçlerle başa çıkması neredeyse imkânsız hale gelmiştir. Artan alarm sayısı, sınırlı insan kaynağı ve zaman baskısı güvenlik operasyon merkezlerini (SOC) daha verimli, otomasyon odaklı çözümlere yöneltmiştir. İşte tam da bu noktada SOAR çözümleri güvenlik süreçlerinin hızını ve verimliliğini artırmak için devreye giriyor. Bu yazıda hem SOAR kavramını hem de Palo Alto Networks Cortex XSOAR çözümünü ele alacağız. Ardından Cortex XDR güvenlik çözümü ile entegrasyonunun pratik faydalarına da değineceğiz.
SOAR (Security Orchestration, Automation and Response) çözümleri, güvenlik operasyonlarının etkinliğini artırmak için geliştirilen çözümlerdir. Temelde üç ana bileşenden oluşurlar:
Orkestrasyon: Farklı güvenlik araçları ve sistemleri (SIEM, EDR, firewall, sandbox, e-posta ağ geçitleri vb.) tek bir platformdan entegre şekilde yönetilir.
Otomasyon: Belirlenen kurallar çerçevesinde tekrarlayan görevler otomatik olarak yürütülür.
Yanıt (Response): Tehditlere karşı müdahale süreçleri önceden tanımlanmış playbooklar aracılığıyla sistematik şekilde uygulanır.
Olay Müdahale Süresini Azaltır
SOAR platformları, güvenlik olaylarını otomatik analiz eder ve önceden tanımlı aksiyonları hızla başlatır. Bu sayede olaylara müdahale süresi dakikalardan saniyelere düşebilir.
Manuel İş Yükünü Azaltır
Güvenlik analistleri tekrarlayan ve zaman alıcı görevlerden kurtularak daha kritik olaylara odaklanabilir. Bu, iş gücünün daha verimli kullanılmasını sağlar.
Tutarlılık ve Standartlaştırma Sağlar
Her olay için önceden belirlenmiş playbookların uygulanması, tutarlı ve sistematik bir yanıt süreci oluşturur. Böylece insan hatası riski azalır.
Görünürlüğü ve İş Birliğini Artırır
SOAR, farklı güvenlik araçları ve sistemlerinden gelen verileri tek bir platformda toplar. Bu, analistlerin daha net bir resim görmesini sağlar ve ekipler arası iş birliğini kolaylaştırır.
Uyumluluk ve Raporlama Kolaylığı Sunar
Olaylara ilişkin tüm süreçler tek bir platformda kaydedilir. Bu da denetim süreçlerinde şeffaflık ve mevzuat uyumluluğu sağlar. Bütün verilerin tek bir platformda olması raporlamada da ciddi kolaylık sağlar.
Cortex XSOAR, Palo Alto Networks tarafından sunulan sektördeki en gelişmiş SOAR çözümlerinden biridir. İlk olarak Demisto adıyla tanıtılan platform, zaman içinde gelişerek güvenlik otomasyonu, vaka yönetimi, tehdit istihbaratı entegrasyonu ve analist iş birliğini tek bir arayüzde birleştiren kapsamlı bir yapıya dönüşmüştür.
Entegrasyonlar ve Marketplace
XSOAR üzerinde Palo Alto Networks ve diğer katkı sağlayan geliştiriciler tarafından yayınlanan 900’ü aşkın entegrasyon bulunmaktadır. Bu entegrasyonlar sayesinde güvenlik ekipleri EDR, SIEM, firewall, e-posta güvenliği, sandbox, tehdit istihbaratı, IAM ve ticketing sistemleri gibi birçok farklı güvenlik ürününü XSOAR ile entegre ederek tek bir merkezi platform üzerinden yönetebilirler.
Bu entegrasyonlar Marketplace adlı platformda bulunur. Marketplace, kullanıcıların ihtiyaç duydukları entegrasyon paketlerini, playbookları, scriptleri ve içerik modüllerini kolayca arayıp yükleyebileceği bir içerik mağazasıdır. Bu yapı organizasyonların yeni araçları hızlı bir şekilde XSOAR platformuna entegre etmesini mümkün kılar ve kod yazma ihtiyacını büyük oranda ortadan kaldırır.
Marketplace üzerindeki entegrasyonlara ek olarak ihtiyaç halinde Python, PowerShell, JavaScript dillerini kullanarak sıfırdan organizasyona özel entegrasyonlar geliştirilebilir veya mevcutta olan bir entegrasyon üzerinden geliştirme yapılabilir.
Dashboard ve Raporlama
XSOAR platformu merkezi bir yapı üzerinden dashboardlar ve raporlar oluşturma imkânı sunar. Platformda önceden tanımlı birçok dashboard, rapor ve widget yer almaktadır. Bu sayede incidentlar, playbooklar, troubleshooting süreçleri, SLA ve vardiya kontrolü, tehdit aktörleri ve IOC’ler, sistem sağlığı gibi birçok senaryo için hazır görselleştirme seçenekleri mevcuttur.
Ayrıca kullanıcılar ihtiyaçlarına özel dashboardlar, widgetlar ve raporlar da oluşturabilirler. Bu esneklik sayesinde hem teknik ekiplerin hem de yöneticilerin operasyonel görünürlük ve analiz ihtiyaçları karşılanabilir.
Tehdit İstihbaratı
XSOAR platformunun bir diğer önemli özelliği çok sayıda ücretli ve ücretsiz tehdit istihbaratı kaynağından gelen verileri merkezi olarak görüntüleyebilmesidir. Bu sayede IOC’lerin (Indicator of Compromise) ortamda hit alma oranları, kararları (örneğin malware, suspicious vb.), ait oldukları tehdit istihbaratı kaynakları, ilk ve son görüldüğü zamanlar ile ilişkilendirildikleri olaylara dair bilgiler detaylı biçimde incelenebilir.
İlgili indikatörlerin aktif olup olmadığı, zaman akışı, ilişkileri, bağlantılı olaylar, kaynakları gibi pek çok detay görülebilir.
Tüm bunlara ek olarak Palo Alto Networks’ün siber tehdit istihbarat birimi olan Unit 42 kaynaklarına da XSOAR üzerinden erişim sağlanabilir.
Aşağıdaki görselde Unit 42 tarafından analiz edilen bir IOC’ye ait detaylar yer almaktadır. İlgili dashboard üzerinden WildFire raporu indirilebilir, IOC’ye ilişkin dinamik ve statik analiz verileri, davranışsal gözlemler ve diğer birçok teknik detay görüntülenebilir.
Otomasyon: Playbooklar, Scriptler ve Joblar
Cortex XSOAR’ın en güçlü yönlerinden biri gelişmiş otomasyon yetenekleridir. Platform üzerinde birçok hazır playbook, script ve komut ön tanımlı olarak gelir. Bu içerikler olay zenginleştirme, otomatik yanıt, alarm kapatma veya bildirim gönderme gibi yaygın güvenlik operasyonlarını hızlandırmak için tasarlanmıştır.
Kullanıcılar ihtiyaçlarına göre özel playbooklar ve scriptler de oluşturabilir. Scriptler Python, PowerShell veya JavaScript dillerinde yazılabilir.
XSOAR’da ayrıca belirli zaman aralıklarında (time-triggered) veya feed verilerinde değişiklik olduğunda (feed-triggered) tetiklenecek şekilde joblar tanımlanabilir. Bu joblar belirli rutin görevlerin otomatikleştirilmesini sağlar.
Tüm bu otomasyon altyapısı sayesinde hem operasyonel süreçlerde bir standartlaşma sağlanır hem de manuel iş yükü büyük ölçüde azaltılır.
Olay İnceleme
XSOAR üzerinde olaylar detaylarıyla birlikte incelenebilir. Olayla ilişkili alarmlar, zenginleştirme çıktıları, IOC’ler ve geçmiş aksiyonlar tek bir arayüzde görüntülenebilir. Analistler olaylara manuel olarak kanıt ekleyebilir, benzer olayları karşılaştırabilir ve olay üzerindeki tüm süreci uçtan uca takip edebilir.
Alt bölümde yer alan komut paneli üzerinden doğrudan komutlar ve scriptler çalıştırılabilir. Bu olay müdahalesinde esneklik ve hız sağlar.
Ayrıca XSOAR’ın War Room özelliği ekipler arası iş birliği imkânı sunar. Tüm aksiyonlar, olayın akışı ve yorumlar burada toplanır. Böylece müdahale süreci hem şeffaf hem de koordineli yürütülebilir.
XSOAR ile daha önce de belirtildiği gibi pek çok güvenlik süreci otomatik hale getirilebilir. Bazı yaygın senaryolara örnek vermek gerekirse:
Cortex XDR ve XSOAR entegrasyonu üzerinden gerçekleştirilen bir demo ile XSOAR’ın otomasyon ve müdahale yetenekleri somut biçimde gözlemlenebilir.
Senaryoda, Cortex XDR üzerinde bir malware alarmı oluşması durumunda ilgili endpointin ağdan izole edilmesi ve ardından sistem yöneticisinin e-posta ile bilgilendirilmesi süreçleri ele alınmıştır. Aşağıda bu senaryoya ait playbook detaylarına yer verilmiştir:
Demo sırasında Palo Alto Networks tarafından sağlanan örnek bir zararlı dosya (sample malware) kullanılmıştır. Aşağıdaki görselde görüldüğü üzere zararlı dosya çalıştırılmak istendiğinde Cortex XDR tarafından engellenmiştir.
Bu alarm sonrasında XSOAR üzerinde otomatik olarak bir olay (incident) oluşturulmuştur.
Playbook devreye girerek ilgili endpointi ağdan izole etmiş ardından da sistem yöneticisine bilgilendirme e-postası gönderilmiştir.
Sonuç olarak, bahsedilen senaryo her ne kadar XSOAR platformunun yeteneklerini tam olarak yansıtmasa da Cortex XSOAR sunduğu entegrasyon kabiliyeti, otomasyon gücü ve kapsamlı görünürlük özellikleriyle güvenlik operasyon merkezlerinin verimliliğini önemli ölçüde artırır. Özellikle Cortex XDR gibi çözümlerle entegre çalıştığında tehditlere karşı hızlı ve tutarlı yanıt verme imkânı sunarak modern siber güvenlik ihtiyaçlarına etkili bir yanıt oluşturur.
Kaynakça
-
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.
