🛡️ SOC (Security Operations Center) Modülü
7/24 güvenlik operasyonları yönetimi ve siber tehditlere karşı proaktif savunma
SOC: Siber Güvenliğin Komuta Merkezi
SOC (Security Operations Center), organizasyonların siber güvenlik operasyonlarının kalbi ve beynidir. 7/24 çalışan bu merkezler, siber tehditleri tespit etmek, analiz etmek ve müdahale etmek için kritik öneme sahiptir. Bu modülde, SOC operasyonlarının tüm yönlerini öğreneceksiniz.
SOC Neden Kritik?
Siber saldırıların sürekli artması ve karmaşıklaşması, organizasyonların 7/24 güvenlik izlemesi yapmasını zorunlu kılmaktadır. SOC, bu ihtiyacı karşılayan ve siber tehditlere karşı proaktif savunma sağlayan kritik bir bileşendir.
🎯 Öğrenme Hedefleri
Bu modülü tamamladığınızda:
SOC Operasyonları
7/24 SOC operasyonlarını yönetme ve koordine etme becerisi kazanacaksınız.
SIEM Yönetimi
SIEM sistemlerini kurma, yapılandırma ve yönetme becerisi.
Threat Intelligence
Tehdit istihbaratı toplama, analiz etme ve kullanma becerisi.
Security Monitoring
Güvenlik izleme sistemlerini kurma ve yönetme becerisi.
Incident Escalation
Güvenlik olaylarını eskalasyon süreçlerini yönetme becerisi.
SOC Metrikleri
SOC performansını ölçme ve iyileştirme süreçleri.
👥 Hedef Kitle
Bu modül kimler için uygun?
SOC analistleri, güvenlik operasyonları uzmanları, SIEM yöneticileri ve SOC operasyonlarını öğrenmek isteyen herkes için tasarlanmıştır.
SOC Analistleri
SOC operasyonlarında çalışan veya çalışmak isteyen güvenlik analistleri.
SIEM Yöneticileri
SIEM sistemlerini yöneten ve geliştiren teknik uzmanlar.
Güvenlik Operasyonları Uzmanları
Güvenlik operasyonları süreçlerini yöneten uzmanlar.
🛡️ Ders 1: SOC Temelleri
SOC operasyonlarının temellerini öğrenin ve 7/24 güvenlik izleme süreçlerini anlayın.
⭐ SOC Nedir?
🔹 Giriş
SOC: Siber Güvenliğin Komuta Merkezi
SOC (Security Operations Center), organizasyonların siber güvenlik operasyonlarının kalbi ve beynidir. 7/24 çalışan bu merkezler, siber tehditleri tespit etmek, analiz etmek ve müdahale etmek için kritik öneme sahiptir. SOC, sadece bir fiziksel mekan değil, aynı zamanda süreçler, teknolojiler ve insan kaynaklarının entegre olduğu bir ekosistemdir.
SOC Neden Kritik?
Siber saldırıların sürekli artması ve karmaşıklaşması, organizasyonların 7/24 güvenlik izlemesi yapmasını zorunlu kılmaktadır. SOC, bu ihtiyacı karşılayan ve siber tehditlere karşı proaktif savunma sağlayan kritik bir bileşendir.
🔹 SOC Türleri
1. Internal SOC
Organizasyonun kendi bünyesinde kurduğu SOC. Tam kontrol ve özelleştirme imkanı sağlar.
2. Managed SOC
Üçüncü taraf bir servis sağlayıcı tarafından yönetilen SOC. Maliyet etkin ve uzmanlık gerektirir.
3. Hybrid SOC
Internal ve managed SOC'un kombinasyonu. Kritik operasyonlar internal, rutin işler managed.
4. Virtual SOC
Bulut tabanlı SOC servisleri. Hızlı kurulum ve ölçeklenebilirlik sağlar.
🔹 SOC Ekibi Rolleri
| Rol | Sorumluluklar | Gerekli Beceriler | Deneyim Seviyesi |
|---|---|---|---|
| SOC Manager | Genel SOC operasyonları yönetimi | Liderlik, stratejik düşünme | Yüksek |
| Security Analyst | Güvenlik olaylarını analiz etme | SIEM, log analizi, forensics | Orta |
| Incident Responder | Güvenlik olaylarına müdahale | Incident response, forensics | Yüksek |
| Threat Hunter | Proaktif tehdit avcılığı | Threat intelligence, malware analizi | Kritik |
| SIEM Administrator | SIEM sistemlerini yönetme | SIEM teknolojileri, log yönetimi | Yüksek |
🔹 SOC Operasyon Süreçleri
Monitoring
7/24 güvenlik izleme ve tehdit tespiti. SIEM sistemleri ve güvenlik araçları kullanımı.
Detection
Güvenlik olaylarının tespit edilmesi ve sınıflandırılması. Otomatik ve manuel tespit yöntemleri.
Analysis
Güvenlik olaylarının analiz edilmesi ve risk değerlendirmesi. Correlation ve pattern analizi.
Response
Güvenlik olaylarına müdahale ve çözüm süreçleri. Incident response ve escalation.
🔹 SOC Teknolojileri
SIEM
Security Information and Event Management sistemleri. Log toplama, analiz ve correlation.
EDR/XDR
Endpoint Detection and Response, Extended Detection and Response araçları.
Network Monitoring
Ağ trafiği izleme ve analiz araçları. NDR (Network Detection and Response).
Threat Intelligence
Tehdit istihbaratı platformları ve feed'ler. IOCs ve TTPs analizi.
🔍 Ders 2: SIEM Sistemleri
SIEM teknolojilerini öğrenin ve güvenlik bilgi yönetimi sistemlerini yönetin.
⭐ SIEM Nedir?
🔹 Giriş
SIEM: Güvenlik Bilgi ve Olay Yönetimi
SIEM (Security Information and Event Management), organizasyonların güvenlik bilgilerini toplama, analiz etme ve yönetme süreçlerini otomatikleştiren kritik bir teknolojidir. SIEM sistemleri, SOC operasyonlarının kalbi ve beyni olarak işlev görür.
SIEM Neden Önemli?
Modern organizasyonlarda günde milyonlarca log kaydı üretilir. SIEM sistemleri, bu veri selini yönetir ve kritik güvenlik olaylarını tespit eder. SIEM olmadan SOC operasyonları mümkün değildir.
🔹 SIEM Bileşenleri
1. Data Collection
Log kaynaklarından veri toplama. Syslog, SNMP, API, agent-based collection yöntemleri.
2. Data Processing
Toplanan verilerin işlenmesi ve normalize edilmesi. Parsing, enrichment, deduplication.
3. Analysis Engine
Veri analizi ve correlation. Rule-based, statistical, machine learning algoritmaları.
4. Alerting
Güvenlik olaylarının tespit edilmesi ve bildirim gönderilmesi. Real-time alerting ve escalation.
🔹 SIEM Platformları
| Platform | Tür | Güçlü Yönler | Zorluk Seviyesi |
|---|---|---|---|
| Splunk | Commercial | Güçlü arama, ölçeklenebilirlik | Yüksek |
| IBM QRadar | Commercial | Correlation, compliance | Yüksek |
| ArcSight | Commercial | Enterprise features, scalability | Kritik |
| ELK Stack | Open Source | Maliyet etkin, esneklik | Yüksek |
| OSSEC | Open Source | HIDS, log analysis | Orta |
| Wazuh | Open Source | XDR, compliance | Orta |
🔹 SIEM Use Cases
Failed Login Attempts
Başarısız giriş denemelerinin tespit edilmesi ve brute force saldırılarının engellenmesi.
Network Anomalies
Ağ trafiğindeki anormalliklerin tespit edilmesi ve DDoS saldırılarının engellenmesi.
Malware Detection
Zararlı yazılım aktivitelerinin tespit edilmesi ve yayılmasının engellenmesi.
Insider Threats
İç tehditlerin tespit edilmesi ve yetkisiz erişim denemelerinin engellenmesi.
🔹 SIEM Implementation
Planning
SIEM implementasyon planının hazırlanması ve gereksinimlerin belirlenmesi.
Data Collection
Log kaynaklarının belirlenmesi ve veri toplama süreçlerinin kurulması.
Configuration
SIEM sisteminin yapılandırılması ve correlation kurallarının tanımlanması.
Monitoring
Sistemin izlenmesi ve performans metriklerinin takip edilmesi.
🧠 Ders 3: Threat Intelligence
Tehdit istihbaratı toplama, analiz etme ve SOC operasyonlarında kullanma tekniklerini öğrenin.
⭐ Threat Intelligence Nedir?
🔹 Giriş
Threat Intelligence: Proaktif Savunmanın Anahtarı
Threat Intelligence, siber tehditler hakkında toplanan, analiz edilen ve kullanıma hazır hale getirilen bilgilerdir. Bu bilgiler, SOC operasyonlarında proaktif savunma stratejileri geliştirmek için kritik öneme sahiptir.
Threat Intelligence Neden Kritik?
Siber tehditler sürekli evrim geçiriyor. Threat Intelligence, bu tehditleri önceden tanımlayarak proaktif savunma stratejileri geliştirmemizi sağlar. SOC operasyonlarında threat intelligence olmadan etkili savunma mümkün değildir.
🔹 Threat Intelligence Türleri
1. Strategic Intelligence
Yüksek seviyeli tehdit trendleri ve stratejik kararlar için kullanılan bilgiler. Uzun vadeli planlama ve risk değerlendirmesi.
2. Tactical Intelligence
Operasyonel seviyede kullanılan bilgiler. TTPs, saldırı teknikleri ve savunma stratejileri.
3. Operational Intelligence
Spesifik saldırılar ve tehditler hakkında detaylı bilgiler. IOCs, malware analizi ve saldırı kampanyaları.
4. Technical Intelligence
Teknik detaylar ve implementasyon bilgileri. Malware imzaları, network IOCs ve sistem açıkları.
🔹 Threat Intelligence Kaynakları
| Kaynak Türü | Örnekler | Veri Kalitesi | Maliyet |
|---|---|---|---|
| Commercial Feeds | Recorded Future, FireEye, CrowdStrike | Yüksek | Yüksek |
| Open Source | MISP, OpenCTI, YARA rules | Orta | Düşük |
| Government Sources | CISA, NCSC, ENISA | Yüksek | Düşük |
| Industry Sharing | ISACs, threat sharing groups | Yüksek | Orta |
| Internal Sources | SIEM logs, incident reports | Orta | Düşük |
🔹 Threat Intelligence Süreci
Collection
Tehdit verilerinin toplanması. Automated feeds, manual research, internal sources.
Processing
Toplanan verilerin işlenmesi ve normalize edilmesi. Deduplication, enrichment, validation.
Analysis
Verilerin analiz edilmesi ve anlamlı bilgilere dönüştürülmesi. Pattern analysis, correlation.
Dissemination
Analiz sonuçlarının ilgili taraflara paylaşılması. Reports, alerts, dashboards.
🔹 Threat Intelligence Araçları
MISP
Malware Information Sharing Platform. Open source threat intelligence platform.
OpenCTI
Open Cyber Threat Intelligence platform. Structured threat intelligence management.
YARA
Malware detection and classification tool. Pattern matching and rule creation.
ThreatConnect
Commercial threat intelligence platform. Comprehensive threat data management.
👁️ Ders 4: Security Monitoring
7/24 güvenlik izleme süreçlerini öğrenin ve etkili monitoring stratejileri geliştirin.
⭐ Security Monitoring Nedir?
🔹 Giriş
Security Monitoring: Sürekli Vigilance
Security Monitoring, organizasyonların güvenlik durumunu sürekli olarak izleme ve değerlendirme sürecidir. Bu süreç, siber tehditleri tespit etmek, güvenlik ihlallerini önlemek ve SOC operasyonlarının etkinliğini sağlamak için kritik öneme sahiptir.
Security Monitoring Neden Kritik?
Siber saldırılar 7/24 gerçekleşebilir ve hızla yayılabilir. Security Monitoring, bu saldırıları erken tespit ederek zararın minimize edilmesini sağlar. Monitoring olmadan SOC operasyonları etkisiz kalır.
🔹 Monitoring Türleri
1. Network Monitoring
Ağ trafiğinin izlenmesi ve analiz edilmesi. DDoS, port scanning, unusual traffic patterns.
2. Endpoint Monitoring
Endpoint cihazlarının izlenmesi. Malware, unauthorized access, system changes.
3. Server Monitoring
Sunucu sistemlerinin izlenmesi. Performance, security events, configuration changes.
4. User Behavior Monitoring
Kullanıcı davranışlarının izlenmesi. Insider threats, privilege abuse, unusual activities.
🔹 Monitoring Araçları
| Araç Türü | Örnekler | Kullanım Alanı | Zorluk Seviyesi |
|---|---|---|---|
| SIEM | Splunk, QRadar, ArcSight | Centralized monitoring | Yüksek |
| EDR/XDR | CrowdStrike, SentinelOne, Microsoft Defender | Endpoint monitoring | Yüksek |
| Network Monitoring | Wireshark, tcpdump, NetFlow | Network traffic analysis | Orta |
| Log Management | ELK Stack, Graylog, Fluentd | Log collection and analysis | Orta |
| APM | New Relic, AppDynamics, Dynatrace | Application performance | Orta |
🔹 Monitoring Metrikleri
MTTD (Mean Time to Detection)
Ortalama tespit süresi. Saldırının başlamasından tespit edilmesine kadar geçen süre.
Alert Volume
Alert sayısı ve dağılımı. False positive oranı ve alert kalitesi.
Coverage
İzlenen sistemlerin kapsamı. Monitoring coverage ve blind spots.
Detection Rate
Tespit oranı. Gerçek tehditlerin tespit edilme yüzdesi.
🔹 Monitoring Best Practices
Baseline Establishment
Normal sistem davranışlarının belirlenmesi ve baseline oluşturulması.
Rule Tuning
Monitoring kurallarının optimize edilmesi ve false positive'lerin azaltılması.
Continuous Improvement
Monitoring süreçlerinin sürekli iyileştirilmesi ve güncellenmesi.
Team Training
SOC ekibinin monitoring araçları konusunda eğitilmesi.
🚨 Ders 5: Incident Response
SOC içinde güvenlik olaylarına müdahale süreçlerini öğrenin ve etkili response stratejileri geliştirin.
⭐ SOC Incident Response
🔹 Giriş
SOC Incident Response: Hızlı ve Etkili Müdahale
SOC Incident Response, güvenlik olaylarına hızlı ve koordineli bir şekilde müdahale etme sürecidir. Bu süreç, olayın tespit edilmesinden başlayarak tamamen çözülmesine kadar olan tüm aşamaları kapsar.
SOC Incident Response Neden Kritik?
Güvenlik olaylarına hızlı müdahale, zararın minimize edilmesini sağlar. SOC'un temel görevi, olayları tespit etmek ve hızla müdahale etmektir. Etkili response süreçleri olmadan SOC operasyonları başarısız olur.
🔹 Incident Response Aşamaları
1. Detection & Analysis
Olayın tespit edilmesi ve analiz edilmesi. SIEM alertleri, anomali tespiti, kullanıcı şikayetleri.
2. Containment
Olayın yayılmasının önlenmesi. Network isolation, endpoint quarantine, access blocking.
3. Eradication
Tehdidin sistemden tamamen temizlenmesi. Malware removal, system cleanup, vulnerability patching.
4. Recovery
Sistemlerin normal operasyona döndürülmesi. Service restoration, monitoring, validation.
5. Lessons Learned
Süreçlerin gözden geçirilmesi ve iyileştirilmesi. Post-incident review, process updates.
🔹 Incident Severity Levels
| Severity Level | Tanım | Response Time | Örnekler |
|---|---|---|---|
| Critical | Sistemlerin tamamen çökmesi | 15 dakika | Ransomware, DDoS, Data breach |
| High | Önemli sistemlerin etkilenmesi | 1 saat | Malware, Unauthorized access |
| Medium | Orta seviye güvenlik ihlali | 4 saat | Policy violation, Suspicious activity |
| Low | Düşük riskli olaylar | 24 saat | False positive, Minor policy breach |
🔹 SOC Response Team
Incident Commander
Olayın genel yönetimi ve koordinasyonu. Karar verme ve kaynak yönetimi.
Technical Lead
Teknik müdahale ve sistem yönetimi. Containment ve eradication süreçleri.
Forensics Analyst
Olayın analizi ve kanıt toplama. Root cause analysis ve evidence collection.
Communications Lead
İletişim yönetimi ve stakeholder bilgilendirme. Internal ve external communication.
🔹 Response Tools
SIEM Platform
Olay tespiti ve analiz için merkezi platform. Splunk, QRadar, ArcSight.
EDR/XDR
Endpoint müdahale ve containment. CrowdStrike, SentinelOne, Microsoft Defender.
Network Tools
Network isolation ve traffic analysis. Firewall, IDS/IPS, Network monitoring.
Incident Management
Olay yönetimi ve dokümantasyon. ServiceNow, Jira, custom ticketing systems.
📊 Ders 6: SOC Metrics & KPIs
SOC performansını ölçmek ve iyileştirmek için kritik metrikleri öğrenin.
⭐ SOC Metrics & KPIs
🔹 Giriş
SOC Metrics: Performansın Ölçümü
SOC Metrics ve KPIs, Security Operations Center'ın etkinliğini ölçmek ve sürekli iyileştirme sağlamak için kritik öneme sahiptir. Bu metrikler, SOC'un ne kadar iyi çalıştığını ve hangi alanlarda iyileştirme yapılması gerektiğini gösterir.
SOC Metrics Neden Önemli?
Metrics olmadan SOC'un performansını değerlendirmek imkansızdır. Bu metrikler, SOC'un etkinliğini kanıtlar, iyileştirme alanlarını belirler ve yönetime SOC'un değerini gösterir.
🔹 Temel SOC Metrikleri
1. MTTD (Mean Time to Detection)
Ortalama tespit süresi. Saldırının başlamasından tespit edilmesine kadar geçen süre.
2. MTTR (Mean Time to Response)
Ortalama müdahale süresi. Olayın tespit edilmesinden müdahale edilmesine kadar geçen süre.
3. MTTC (Mean Time to Containment)
Ortalama containment süresi. Olayın tespit edilmesinden kontrol altına alınmasına kadar geçen süre.
4. Detection Rate
Tespit oranı. Gerçek tehditlerin tespit edilme yüzdesi.
🔹 SOC KPI Kategorileri
| KPI Kategorisi | Metrikler | Hedef Değer | Ölçüm Sıklığı |
|---|---|---|---|
| Detection | MTTD, Detection Rate, False Positive Rate | MTTD < 15 min | Günlük |
| Response | MTTR, MTTC, Escalation Time | MTTR < 1 hour | Günlük |
| Coverage | Asset Coverage, Log Coverage, Network Coverage | > 95% | Haftalık |
| Quality | Alert Quality, Analyst Productivity, Training Hours | > 80% | Aylık |
| Business | Incident Cost, Business Impact, Recovery Time | Minimize | Aylık |
🔹 Performance Metrics
Analyst Productivity
Analist başına düşen olay sayısı ve çözüm süresi. Efficiency ve workload distribution.
Alert Volume
Günlük alert sayısı ve dağılımı. False positive oranı ve alert kalitesi.
Shift Coverage
Vardiya kapsamı ve availability. 7/24 coverage ve response time.
Training Metrics
Eğitim saatleri ve sertifikasyon oranları. Skill development ve knowledge retention.
🔹 Metrics Collection
Data Collection
SIEM, EDR, Network tools'dan otomatik veri toplama. Real-time ve batch processing.
Data Processing
Ham verilerin işlenmesi ve metriklerin hesaplanması. Aggregation ve normalization.
Visualization
Metriklerin görselleştirilmesi ve dashboard'ların oluşturulması. Real-time monitoring.
Reporting
Düzenli raporların oluşturulması ve paylaşılması. Management ve stakeholder reporting.
🧪 Lab 1: SOC Setup
Basit bir SOC ortamı kurun ve temel monitoring süreçlerini öğrenin.
⭐ SOC Setup Lab
🔹 Lab Gereksinimleri
Lab Ortamı Kurulumu
Bu lab'da basit bir SOC ortamı kuracak ve temel monitoring süreçlerini öğreneceksiniz. Lab, gerçek SOC ortamının basitleştirilmiş bir versiyonudur.
🔹 Adım 1: VM Kurulumu
1. Ubuntu VM İndirme
Ubuntu 20.04 LTS ISO dosyasını indirin ve VirtualBox/VMware ile VM oluşturun.
2. VM Yapılandırması
VM'e en az 2GB RAM ve 20GB disk alanı ayırın. Network adapter'ı Bridge mode'a alın.
3. Ubuntu Kurulumu
Ubuntu'yu kurun ve temel güvenlik ayarlarını yapın. SSH servisini etkinleştirin.
🔹 Adım 2: Monitoring Araçları
1. Wireshark Kurulumu
Wireshark'ı kurun ve network monitoring için yapılandırın.
2. Command Line Tools
tcpdump, netstat, ss gibi temel network monitoring araçlarını kurun.
3. Log Monitoring
syslog ve journald loglarını yapılandırın ve monitoring için hazırlayın.
🔹 Adım 3: SOC Dashboard
1. Web Dashboard
Basit bir web dashboard oluşturun ve monitoring verilerini görselleştirin.
2. Metrics Collection
Temel metrikleri toplayın ve dashboard'da gösterin.
3. Alert System
Basit bir alert sistemi kurun ve test edin.
🔹 Adım 4: Test ve Doğrulama
1. Network Traffic Test
Wireshark ile network trafiğini yakalayın ve analiz edin.
2. Log Analysis
Sistem loglarını analiz edin ve anomali tespiti yapın.
3. Dashboard Verification
Dashboard'un doğru çalıştığını doğrulayın ve metrikleri kontrol edin.
🔹 Lab Başarı Kriterleri
VM Kurulumu
Ubuntu VM başarıyla kuruldu ve yapılandırıldı.
Monitoring Araçları
Wireshark ve command line araçları kuruldu ve çalışıyor.
Dashboard
Web dashboard oluşturuldu ve metrikler görüntüleniyor.
Alert System
Alert sistemi kuruldu ve test edildi.
🧪 Lab 2: SIEM Configuration
ELK Stack kullanarak basit bir SIEM sistemi kurun ve yapılandırın.
⭐ SIEM Configuration Lab
🔹 Lab Gereksinimleri
ELK Stack SIEM Kurulumu
Bu lab'da ELK Stack (Elasticsearch, Logstash, Kibana) kullanarak basit bir SIEM sistemi kuracak ve yapılandıracaksınız.
🔹 Adım 1: ELK Stack Kurulumu
1. Java Kurulumu
OpenJDK 11'i kurun ve JAVA_HOME environment variable'ını ayarlayın.
2. Elasticsearch Kurulumu
Elasticsearch'ü kurun ve yapılandırın. Cluster ve node ayarlarını yapın.
3. Logstash Kurulumu
Logstash'ü kurun ve log parsing için yapılandırın.
4. Kibana Kurulumu
Kibana'yı kurun ve dashboard'lar için yapılandırın.
🔹 Adım 2: Log Collection
1. System Logs
Sistem loglarını (syslog, auth.log) Logstash'e gönderin.
2. Network Logs
Network trafiği loglarını toplayın ve analiz edin.
3. Security Logs
Güvenlik olayları loglarını toplayın ve kategorize edin.
🔹 Adım 3: SIEM Rules
1. Detection Rules
Tehdit tespiti için kurallar oluşturun ve yapılandırın.
2. Correlation Rules
Log correlation kuralları oluşturun ve test edin.
3. Alert Rules
Alert kuralları oluşturun ve notification sistemi kurun.
🔹 Adım 4: Dashboard ve Visualization
1. Security Dashboard
Güvenlik olayları için dashboard oluşturun ve yapılandırın.
2. Network Dashboard
Network trafiği için dashboard oluşturun ve metrikleri görselleştirin.
3. Real-time Monitoring
Real-time monitoring dashboard'u oluşturun ve test edin.
🔹 Lab Başarı Kriterleri
ELK Stack
Elasticsearch, Logstash ve Kibana başarıyla kuruldu ve çalışıyor.
Log Collection
Loglar başarıyla toplanıyor ve Elasticsearch'e gönderiliyor.
SIEM Rules
Detection ve correlation kuralları oluşturuldu ve çalışıyor.
Dashboard
Dashboard'lar oluşturuldu ve metrikler görüntüleniyor.
🧪 Lab 3: Incident Response Simulation
Gerçekçi bir güvenlik olayı simülasyonu yapın ve response süreçlerini uygulayın.
⭐ Incident Response Simulation Lab
🔹 Lab Gereksinimleri
Incident Response Simülasyonu
Bu lab'da gerçekçi bir güvenlik olayı simülasyonu yapacak ve response süreçlerini uygulayacaksınız. Lab, gerçek SOC ortamındaki olay yönetimi süreçlerini simüle eder.
🔹 Senaryo 1: Malware Outbreak
1. Alert Tespiti
SIEM'den malware outbreak alerti geldi. Sistemde şüpheli dosyalar tespit edildi.
2. Initial Analysis
Olayı analiz edin, etkilenen sistemleri belirleyin ve severity level'ı tespit edin.
3. Containment
Etkilenen sistemleri izole edin ve malware'in yayılmasını önleyin.
4. Eradication
Malware'i sistemlerden temizleyin ve güvenlik açıklarını kapatın.
🔹 Senaryo 2: Data Breach
1. Breach Detection
Veritabanına yetkisiz erişim tespit edildi. Hassas verilerin çalındığından şüpheleniliyor.
2. Forensic Analysis
Olayı forensic olarak analiz edin, kanıtları toplayın ve saldırının kapsamını belirleyin.
3. Immediate Response
Acil müdahale yapın, sistemleri güvenli hale getirin ve veri sızıntısını durdurun.
4. Communication
Stakeholder'ları bilgilendirin ve gerekli raporları hazırlayın.
🔹 Senaryo 3: DDoS Attack
1. Traffic Anomaly
Network monitoring sisteminde anormal trafik artışı tespit edildi.
2. Attack Analysis
DDoS saldırısını analiz edin, saldırı türünü belirleyin ve kaynak IP'leri tespit edin.
3. Mitigation
Saldırıyı engellemek için gerekli önlemleri alın ve trafiği filtreleyin.
4. Recovery
Sistemleri normal operasyona döndürün ve monitoring'i artırın.
🔹 Response Tools ve Teknikler
1. SIEM Platform
Olay tespiti ve analiz için SIEM platformunu kullanın.
2. EDR/XDR
Endpoint müdahale ve containment için EDR/XDR araçlarını kullanın.
3. Network Tools
Network isolation ve traffic analysis için network araçlarını kullanın.
4. Documentation
Olay yönetimi ve dokümantasyon için ticketing sistemini kullanın.
🔹 Lab Başarı Kriterleri
Olay Tespiti
Güvenlik olayları başarıyla tespit edildi ve analiz edildi.
Hızlı Müdahale
Olaylara hızlı ve etkili müdahale yapıldı.
Ekip Koordinasyonu
Ekip üyeleri arasında etkili koordinasyon sağlandı.
Dokümantasyon
Olaylar düzgün şekilde dokümante edildi ve raporlandı.
📝 Ara Sınav
İlk 3 dersin bilgilerini test edin ve öğrendiklerinizi değerlendirin.
SOC Temelleri - Ara Sınav
Sınav Kuralları
- Sınav süresi 45 dakikadır
- 15 çoktan seçmeli soru bulunmaktadır
- Her soru 4 seçeneklidir
- Geçme notu %70'dir (11 doğru cevap)
- Sınav sırasında ders notlarına bakabilirsiniz
- Sınavı bitirdikten sonra sonuçları görebilirsiniz
Soru 1: SOC'un temel amacı nedir?
Soru 2: SIEM'in açılımı nedir?
Soru 3: Threat Intelligence'in temel bileşenleri nelerdir?
Soru 4: Security Monitoring'de MTTD ne anlama gelir?
Soru 5: SOC Incident Response'da ilk adım nedir?
Soru 6: ELK Stack'in bileşenleri nelerdir?
Soru 7: SOC Metrics'te MTTR ne anlama gelir?
Soru 8: Threat Intelligence türleri nelerdir?
Soru 9: SOC'da Incident Commander'ın görevi nedir?
Soru 10: Security Monitoring'de hangi metrik önemlidir?
Soru 11: SIEM'de log correlation neden önemlidir?
Soru 12: SOC'da Threat Hunter'ın görevi nedir?
Soru 13: Incident Response'da containment aşamasının amacı nedir?
Soru 14: SOC Metrics'te KPI kategorileri nelerdir?
Soru 15: Threat Intelligence kaynakları nelerdir?
🎓 Final Sınavı
Tüm modül konularını kapsayan kapsamlı final sınavı.
SOC Temelleri - Final Sınavı
Sınav Kuralları
- Sınav süresi 90 dakikadır
- 25 çoktan seçmeli soru bulunmaktadır
- Her soru 4 seçeneklidir
- Geçme notu %70'dir (18 doğru cevap)
- Sınav sırasında ders notlarına bakabilirsiniz
- Sınavı bitirdikten sonra sonuçları görebilirsiniz
- Final sınavını geçenler sertifika almaya hak kazanır