SentinelOne EDR-2 – CyberWebEyeOs

İçindekiler

Post Views: 256

INCIDENTS

Hesap altında tanımlı cihazlarda meydana gelen güvenlik olayları ve problemleri içermektedir. Bunlar:

Virüs ve siber saldırılar: Ransomware, virüsler, solucanlar, kötü amaçlı yazılımlar vb.

Kötü amaçlı uygulamalar: Phishing e-postaları, zararlı URL’ler, uygulama sahteciliği vb.

Şüpheli cihaz davranışları: Ani depolama artışları, ağ trafiğindeki anormal artışlar vb.

İzin kuralları ihlalleri: Yetkisiz kaynaklara erişim denemeleri, ağdan yasaklı uygulamalar vb.

Güvenlik zaafiyetleri: Zayıf parolalar, güncellenmemiş yazılımlar, sistem yapılandırması hataları vb.

Sertifika sorunları: Geçersiz, imzasız veya iptal edilmiş sertifikalar ya da sertifika uyarıları

İki kategori bulunmaktadır:

TEHDİTLER

Cihazlarda tespit edilen gerçek tehdit unsurlarını belirtir.

UYARILAR

Şüpheli ya da olası tehdit unsurlarını belirtir ancak acil önlem alınmasını gerektirecek bir tehdit olarak sınıflandırılmaz. Önleyici tedbir olarak değerlendirilebilir.

Özel kural oluşturduğumda, bazı kurallar için alarm verilmesini fakat tehdit politikasına dahil edilmemesini istemiştim.

Açıklamaya örnekler üzerinden devam etmek istiyorum. İki örnek üzerinden ilerleyeceğim. Önce özel kuraldan kaynaklanan bir alarmı, ardından otomatik olarak oluşan bir alarmı inceleyeceğiz. Aşağıda bir tehdit olarak tespit edilen bir alarm bulunmaktadır. Genel bir inceleme için kontrol edeceğimiz başlıklar:

-Tespit eden motor/algoritma: Tehditi tespit eden mekanizma

-Sınıflandırma: Tehditin sınıflandırılması (virüs, kötü amaçlı yazılım vb.)

-Gerçekleştirilen eylemler: Olaya müdahale edilip edilmediğini gösterir

-Kaynak süreç: Tehdit oluşturan sürecin kimliği

-Tehdit ayrıntıları: Tehdit hakkındaki ayrıntılar (IP adresi, dosya adı vb.)

-Karma değeri: Tehdit dosyasının karma değeri

-Tespit anındaki politika: Tehdit tespit edildiğinde uygulanan güvenlik politikası

-Güven seviyesi: Yapay zekanın tehdide verdiği güven skalası

-Analist kararı: Analistin tehdide ilişkin değerlendirmesi

–Bekleyen eylemler: Yapılması gereken ek eylemler

Bildirim almamızın ardından arayüze girerek inceleme yapıp gerekli önlemleri alıyoruz.

Tehdit ayrıntılarını görüntüle seçeneği ile alarmın içeriğini inceliyoruz. İnceleme için üç başlık üzerinden kontrol sağlayabiliriz:

-Ağ geçmişi: Alarm hakkında zaman, tarih ve alarmın etkilediği konum bilgilerini içerir.

-Tehdit adı: Tehdit hakkında ayrıntılı bilgiler içerir. Bu bilgiler:

Yol: Tehdit oluşturan programa veya dosyaya yönelik yol ve konumu gösterir.

Komut satırı argümanları: Programın başlatıldığı komut satırı argümanlarını içerir.

Süreç kullanıcısı: Süreci başlatan kullanıcıyı ifade eder.

Yayımcı adı: Yazılımın yazarını veya geliştiricisini belirtir.

İmza kimliği: Yazılım sertifikasını/imzasını atan tarafın kimliğini gösterir.

İmza doğrulaması: İmzanın doğrulanıp doğrulanmadığı bilgisini içerir.

Kaynak süreç: Tehdit oluşturan süreci belirtir.

SHA1: Dosyanın SHA1 karma değerini gösterir.

Başlatan: Tehdit başlatan kullanıcı veya süreci belirtir.

Sınıflandırma: Tehditin sınıflandırılmasını gösterir (virüs, kötü amaçlı yazılım vb.)

Dosya boyutu: Tehdit dosyasının boyutunu gösterir.

Hikaye: Tehdit hakkında açıklayıcı metin içerir.

Tehdit kimliği: Tehdit olayına verilen benzersiz tanımlayıcıyı belirtir.

Tehdit göstergeleri: SentinelOne davranışsal yapay zekası, MITRE ATT&CKTM ile bütünleşik bir şekilde tehdit hakkında analiz ve önerilerde bulunur. Bazı tehditler için olası durumlar hakkında da bilgilendirme sağlar.

İnceleme sonrasında alarm hakkında önlem almak için Azaltma eylemleri sekmesinden işlem yapabiliriz. Ayrıca, karma kontrolü için Bu karma değerini Derin Görünürlük’te Ara ile Şimdi Ara’yı kullanabiliriz. Süreç normal görünebilir ancak karma değeri tehlikeli olabilir.

Azaltma eylemleri sekmesi altında alabileceğimiz eylemler şunlardır:

Sonlandır: Tehdit olarak tanımlanan süreci sonlandırır.

Karantina: Tehditi izole eder ve karantinaya alır.

Düzeltme: Tehdit için önlem almak üzere “düzeltme” yapar (yama, güncelleme vb.).

Geri al: Tehdit öncesi duruma geri döndürür.

Çözüldü olarak işaretle: Tehditin çözüldüğünü belirtir.

Kara listeye ekle: Tehditi gelecekte engellenecek “kara liste”ye ekler.

Analist kararı: Analistin tehdide ilişkin kararını belirtir. Seçenekler Gerçek tehdit veya Şüphelidir.

-Gerçek pozitif: Gerçek bir tehdit tespit edildiyse bu seçilir.

-Şüpheli: Tehdit şüpheliyse bu seçenek seçilir.

Keşfet: Tehdit olduğu algılanan sürecin haritasını inceleyebilirsiniz. Bu haritada işlem sırasını ve birbirini tetikleyen işlemleri analiz edebilirsiniz.

Süreç içinde çalışan veya tetiklenen olay bilgilerini inceleyebilirsiniz. Bu olay bilgileri:

Sonlandır: Tehdit olarak tanımlanan süreci sonlandırmayı sağlar.

Nesne türü: Olayın türünü belirtir (dosya, işlem, istek vb.).

Olay türü: Olayın türünü belirtir (oluşturma, silme, değiştirme vb.).

Özellik: Nesnenin özelliklerini belirtir.

SHA1: Tehdit dosyasının SHA1 değerini gösterir.

Kaynak süreç adı: Tehdit oluşturan sürecin adı.

Kaynak süreç UID: Tehdit oluşturan sürecin kullanıcı kimliği.

Doğrulanmış durum: Tehditin doğrulanıp doğrulanmadığını gösterir.

Özetle bu başlıklar tespit edilen bir olayın ayrıntılarını ve niteliğini belirlemek için kullanılır. Tehditin kaynağını, içeriğini ve doğruluğunu anlamaya yardımcı olurlar.

Dosyalar

Süreç içinde etkileşimde bulunan dosya bilgilerini inceleyebilirsiniz.

Ağ eylemleri

Bu süreç içinde ağ alanında etkileşimde bulunan cihaz, hizmet ve IP bilgilerini inceleyebilirsiniz.

Süreçler

Süreç içinde etkileşimde bulunan işlemleri inceleyebilirsiniz.

Göstergeler

Süreç içinde oluşan veya benzer işlemler hakkında davranışsal yapay zeka tarafından yapılan notları inceleyebilirsiniz.

Sonraki inceleyeceğimiz örnek, SentinelOne yapay zekası ve davranışsal analiziyle birlikte oluşturduğu alarm olacaktır.

Önce bulunan karma bilgisi ile analiz yapıyoruz. Bu karma bilgisi birçok küresel cihaz tarafından kötü amaçlı olarak imzalanmıştır. Bu bilgi bizim için yeterli değil ancak ön analiz olacaktır.