Bir saldırıyı durdurabilmek için önce onu görebilmeniz gerekir. Ancak birçok kurumun SIEM ve EDR yatırımı, aslında ne yakaladığını kimsenin tam bilmediği bir kara kutuya dönüşür: bir yandan binlerce gereksiz alarm üretilirken, öte yandan kritik saldırı teknikleri sessizce gözden kaçar.
SAVKOR’un detection engineering hizmeti, MITRE ATT&CK çerçevesini temel alır. Mevcut tespit kurallarınızı ATT&CK matrisiyle eşleştirerek “neyi yakalıyoruz, neyi kaçırıyoruz” sorusunu nesnel biçimde yanıtlar. Bilinen teknikleri kontrollü biçimde çalıştırıp hangilerinin alarm ürettiğini doğrular, log kaynağındaki kör noktaları ortaya çıkarır ve tespit kabiliyetinizi somut kural önerileriyle geliştirir.
Test Kapsamı
- SIEM use-case ve korelasyon kural testi
- EDR/XDR alarm doğrulama
- Log kaynağı ve görünürlük analizi
- MITRE ATT&CK tespit kapsamı (coverage)
- False negative / false positive analizi
- Tespit kuralı geliştirme önerileri
Metodoloji
- 01
Mevcut Durum Analizi
Mevcut SIEM/EDR yapılandırması, log kaynakları ve tespit kuralları incelenir.
- 02
Kapsam Haritalaması
Tespit kuralları MITRE ATT&CK matrisiyle eşleştirilerek kapsam çıkarılır.
- 03
Tespit Testi
Bilinen teknikler kontrollü çalıştırılarak hangilerinin alarm ürettiği doğrulanır.
- 04
Boşluk Analizi
Log eksiklikleri, kaçırılan teknikler ve gürültülü alarmlar belirlenir.
- 05
Raporlama & Kural Önerisi
Kapsam haritası ve somut tespit kuralı önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve tespit olgunluğu görünümü
- MITRE ATT&CK tespit kapsam haritası
- Log kaynağı boşluk analizi
- Somut tespit kuralı (detection) önerileri
- False positive azaltma önerileri
Sık Sorulan Sorular
SIEM'imiz var ve alarm üretiyor, yine de gerekli mi?
Evet. Alarm üretmek, doğru şeyleri yakalamak anlamına gelmez. Birçok SIEM, kritik saldırı tekniklerini kaçırırken gereksiz gürültü üretir. Detection engineering, 'neyi yakalıyoruz, neyi kaçırıyoruz' sorusunu ATT&CK matrisi üzerinde nesnel biçimde yanıtlar.
Log kaynağı boşluğu ne demek?
Bir saldırıyı tespit edebilmek için önce ilgili logun toplanıyor olması gerekir. Örneğin PowerShell logları toplanmıyorsa, PowerShell tabanlı saldırıları asla göremezsiniz. Analiz, bu kör noktaları ortaya çıkarır.
False positive azaltmak neden önemli?
Çok fazla yanlış alarm, güvenlik ekibini yorar ve gerçek tehditlerin gözden kaçmasına yol açar (alarm yorgunluğu). Tespit kalitesini artırmak, hem gerçek tehditleri yakalamak hem de gürültüyü azaltmak demektir.