SOC Ekipleri İçin Daha Anlaşılır DNS Loglarına Sahip Olun

SOC Ekipleri için DNSEye kullanmanın faydaları nelerdir?
‍

1) Zenginleştirilmiş Veriler Sayesinde Zaman Tasarrufu Sağlar

SOC operasyonlarının farklı kademeleri için DNS logları DNSEye sayesinde SOC ekiplerine özel olarak filtrelenir, zenginleştirilir ve anlaşılır hale getirilir. Böylece SOC ekipleri, güvenliğin birincil alanlarında çok daha hızlı bir şekilde daha hassas kritik eylemler gerçekleştirebilir.

Varsayılan durumda, SOC ekipleri herhangi bir kötü niyetli trafikten şüphelenir ve DNS katmanında bir trafik analizi yapmaya çalışırlarsa, Microsoft DNS günlüklerinden elde edecekleri tek bilgi Kaynak IP ve ana bilgisayar adları olacaktır.  DNS günlükleri yalnızca istemcinin IP adresini/kaynak IP'sini ve sorgulanan alan adını ve IP adresini içerir. Ancak tüm istemcilerin IP adresleri değişkendir; bu da geçmiş faaliyetlere yönelik herhangi bir araştırma türü için uygun olmadıkları anlamına gelir. DNSEye, cihazların isimleri, kullanıcı bilgileri, MAC adresleri gibi kalıcı bilgileri günlüğe kaydederek inceleme sürecini kolaylaştırır.

DNSEye sayesinde Kaynak IP, gerçek zamanlı trafik bilgileri, kullanıcı ve hostname bilgileri eşleştirilerek SOC ekiplerine iletilir. SOC ekipleri bu verileri üretmek için hiç zaman kaybetmezler.

‍

2) Yalnızca Riskli DNS Trafiği Sunulur

Talep edilen tüm DNS sorguları, her bir alan adının 850'den fazla özelliği gerçek zamanlı olarak dikkate alınarak yapay zeka tabanlı dinamik tehdit veri tabanı sonrasında kategorize edilecektir. Böylece sadece zararlı yazılım, virüs, botnet, ransomware, phishing gibi son kullanıcı/ağ güvenliği açısından tehdit oluşturan trafikler sunulacaktır. Diğer yandan haber, teknoloji, iş alanları gibi herhangi bir tehdit oluşturmayan trafikler SOC ekiplerine iletilmeyecektir.

Bir ağın trafiğinin %90'ı güvenli trafikten oluştuğu için, SOC ekiplerinin çok sayıda log arasından kötü niyetli trafiği analiz etmesine, karşılaştırmasına ve ayırt etmesine gerek yoktur. Böylece SOC ekipleri için zaman kaybettiren bu süreç DNSEye filtrelemesi sayesinde ortadan kalkacaktır.

‍

3) Aciliyet Derecesi Belirtilir

DNSEye'ın Security Gap modülü hangi trafiğe öncelik verilmesi gerektiğini belirleyecektir. Bu durumda, ağda var olan mevcut güvenlik varlıkları tarafından tespit edilemeyen alan adı istek trafiğine öncelik verilecektir. Başka bir deyişle, işletmenizin güvenlik varlıkları tarafından yakalanamayan ancak Roksit tarafından tespit edilen kötü niyetli trafik öncelikli olarak SOC ekiplerine sunulacaktır.

DNSEye, SOC ekiplerinin aciliyet seviyelerine bağlı olarak incelemeleri gereken logları düzenler. Şirketin CEO'sunun bir kimlik avı bağlantısına tıkladığını ve CEO'ya ait şifrelerin, önemli dosyaların kaybolma riski olduğunu varsayalım. Dahası, bu faaliyet ağdaki mevcut tüm güvenlik varlıklarından geçmiştir (güvenlik varlıkları bu oltalama faaliyetini tespit etmeyi başaramamıştır). Bu, SOC ekiplerinin araştırması gereken ön durum olarak kabul edilecek ve DNSEye tarafından oluşturulan bir raporda belirtilecektir.

SOC ekipleri neden DNS kayıtlarını analiz etme ihtiyacı duyar?

Kötü amaçlı yazılım trafiği gerçekleştiren IP adreslerinin %83'ü herhangi bir IP adresine sahip olmadıkları için anlık olarak çözümlenememektedir. Aynı zamanda, Botnet, DNS tünelleme (kripto madenciliği, veri hırsızlığı için kullanılabilir) gibi virüslü cihazlar tarafından üretilen kötü amaçlı trafik, bir IP adresi içermedikleri için uygulama katmanında görülemez. Dolayısıyla, bu tür kötü niyetli trafikler güvenlik duvarları veya proxy'ler gibi güvenlik varlıkları tarafından tespit edilemez. Bu nedenle, bu kötü niyetli faaliyetleri tespit etmenin tek yolu DNS günlüklerini analiz etmektir. Bu durumda, DNS günlük analizi, tam zamanında harekete geçmek için hayati bilgiler sağlaması açısından çok önemli bir rol oynar.

‍