SOC ekiplerine zaman kazandırma

1-SOC Ekiplerinin DNS Loglarını Neden Analiz Etmesi Gerekir?

SOC( Security Operation Center ), kurumsal firmalarda kurumun dijital güvenliğini devamlı olarak izleyen ve güvenlik olaylarının analizinden sorumlu merkezi güvenlik birimidir. 

Kritik bilişim sistemlerine ait logların, SOC ekiplerinin yönetiminde olan SIEM veya log yönetimi/analizi araçlarına gönderilmesi gerekir. Alınan tüm bu logların korelasyon kuralları ile analiz edilmesi sağlanır. DNS logları tüm loglar içerisinde en kritik olanlardan biridir. Bunun başlıca sebeplerden ilki DNS Loglarının tüm protokoller tarafından kullanılan ortak altyapı servisi olmasıdır. Bu yüzden DNS loglarının analiz edilmesi kurumsal ağlarda bütünsel bir güvenlik yaklaşımı sağlar.

DNS loglarını incelemenin bir diğer kritik olduğu nokta ise Botnet yada DGA (Domain Generation Algorithm) domainleri veya DNS tünelleme gibi veri kaçırma yöntemlerinde kullanılan domainlerin IP adreslerinin olmadığı durumlardır. Bu tarz domainlere yapılacak bağlantı taleplerinde ağ kaydı dönülmez. Bu sebeple uygulama katmanında (Application Layer/7th layer, Osi Model ) bağlantı gerçekleşmez.  Bu da firewall, proxy gibi ürünlerin bu aktiviteleri tespit edememesi anlamına gelir. Bu tarz risk taşıyan  faaliyetler yalnızca DNS katmanında tespit edilebilir.

Son olarak çeşitli yasal yükümlülüklerden dolayı DNS loglarının tutulması gerekebilir. DNS, kurumsal ağlardaki son kullanıcıların internet bağlantı geçmişi ile ilgili önemli bilgiler sağlar. İstemci cihazları tarafından domainlere yapılan her bağlantı DNS loglarına kayıt edilir. 

2- SOC ekiplerinin DNS loglarını analiz etmesi neden uzun sürer?

Network trafiğinin çok büyük bir kısmı microsoft.com, amazon.com, bbc.com gibi güvenli trafiklerden oluşur. Güvenlik açısından risksiz olan bu trafiğin arasından zararlı trafikleri bulup ayıklamak SOC ekiplerinin çok fazla vaktini alır. Bununla birlikte ham DNS logları okunaksızdır. DNS logu işlenmediği zaman anlamlandırılamayan büyük miktarda ham veriden ibarettir. Ayrıca bu ham veriler DNS sorgusu yapan son kullanıcının hostname, MAC adresi ve kullanıcı adı bilgilerini içermez. SOC ekipleri bu bilgileri ayrı log kaynaklarından toplamak durumundadır. Bu sebeplerle SOC ekiplerinin DNS loglarını analiz etmesi çok uzun sürer.

3- Roksit ile Zenginleştirilmiş DNS verileri sayesinde Zaman Tasarrufu

Client IP adresleri değişkenlik gösterdiğinden geçmişe yönelik inceleme için uygun değildir. Kalıcı olan makine ve kullanıcı bilgisi ile zenginleştirilmesi gerekir. Bu eksikliği gidermek için SIEM ürünündeki DNS logu, DHCP ve AD Security loglarının üçlü korelasyon kuralları ile zenginleştirilebilir. Fakat dağınık yapıdaki bu kaynaklardan log toplamak ve bunların korelasyonlarını yapmak kolay değildir. Ayrıca tüm bu logların doğruca SIEM ürününe alınması EPS sayısını ve korelasyon sayısını arttırmaktadır. Bu durum da ürün lisans maliyetine olumsuz yansımaktadır.

Roksit DNS Visibility ürünü ile network topolojinizde herhangi bir değişikliğe gerek kalmadan Microsoft DNS, Infoblox, BIND, Bluecat, EfficientIP, F5, Citrix gibi birçok farklı marka ve model DNS sunucusunun loglarını toplayabilirsiniz.  DNS Visibility host discovery özelliği ile ip adresine karşılık gelen gerçek aygıtı ve kullanıcıyı tespit eder. DHCP logu okuyarak, ip adresinin o anda hangi makine tarafından kullanıldığını bulur. Active Directory, security logunu okuyarak ip adresini hangi kullanıcının login olduğunu tespit eder. Bu özellikler ile zenginleştirilen log anlamlı hale getirilerek  SOC ekiplerine iletir. Roksit bu korelasyon işlemini otomatik olarak yapar. Sisteme bu log kaynaklarının tanıtılması yeterlidir.

4- Sadece Riskli DNS Trafiğini SIEM’e göndererek zamandan tasarruf sağlama

Roksit, gidilmek istenen her domainin 450'den fazla özelliğini yapay zeka ile inceler. Böylece domainler gerçek zamanlı olarak kategorize edilir. Bu sayede SOC ekiplerine sadece ağ güvenliği açısından risk oluşturan trafik (malware/trojan, botnet, ransomware, phishing, etc) sunulur, güvenlik açısından risksiz olan domainlerin DNS logları iletilmez.  SOC ekiplere incelemek için daha az veri gönderilerek zamanlarından tasarruf sağlanır.

5- Zararlı Trafiklerin Aciliyet Durumunun Belirtilmesi

DNS Visibility, aciliyet durumuna göre SOC ekiplerinin bakması gereken logları düzenler. Bu düzenlemede kullanıcıların rolleri de dikkate alınmaktadır. Mesela, bir phishing linkini tıklayan CEO’nun eğer şifresini veya önemli verilerini kaybetme riski var ise ve tüm güvenlik cihazlarını atlatmışsa, bu güvenlik açısından ilk bakılması gereken durumlardan biridir. İncelenmesi gereken öncelikli durumun bu olduğu ürünün sağladığı raporda belirtilir.

Roksit DNS Visibility ürününü kullanarak güvenlik olaylarının SOC ekiplerinizce daha hızlı tespit edilmesini ve aksiyon alınmasını sağlayın. 

Başlamaya hazır mısınız?

14 günlük ücretsiz denemenizi başlatın

Roksit'i ücretsiz deneyin. Kredi kartı bilgisi istenmemektedir.