SOC analist olarak hunting



İlk Adım: Hunting Mantığını Oturtmak

Öncelikle hunting, klasik "alarmları izleyip müdahale etmek"ten farklı.
Sen burada aktif bir şekilde şüpheli bir şey var mı diye avlanıyorsun.

🔹 Soru Sorarak Başla:
Örneğin: “Normalde hiç dış IP adresine SSH yapılmaz. Yapıldı mı?”
ya da “Çalışma saatleri dışında admin girişleri olmuş mu?”

🔹 Hipotez Kur:
Şu anda sistemde bir anormallik olduğunu düşün. Sonra onu doğrulamak için veri çek.


İkinci Adım: Teknik Beceriler

Hunting için şunlar lazım:

  • Log okuma ve korelasyon (özellikle firewall, EDR, Windows Event Log)

  • SIEM Query dili (mesela Splunk'da SPL, Sentinel'de KQL)

  • MITRE ATT&CK Framework bilgisi (hangi aşamada ne yapılır bilmek)

  • Normal davranışı bilmek (anormalliği anlayabilmek için)


Üçüncü Adım: Hunting Planları (Başlangıç için)

Başlangıçta şunlar üzerinden hunt yapabilirsin:

KonuSorular
Anormal loginAynı kullanıcı farklı ülkelerden kısa sürede giriş yapmış mı?
Powershell abusePowershell üzerinden base64 kodlu komutlar çalışmış mı?
DNS TünellemeÇok sayıda düşük TTL'li DNS sorgusu var mı?
Process TreeNormalden sapmış process ilişkileri var mı?
Command & ControlŞüpheli IP'lere outbound bağlantılar var mı?


Kaynak Önerilerim

1. Kitaplar:

  • 📘 The Threat Hunter Playbook (Github üzerinden ücretsiz erişebilirsin)

  • 📘 Practical Threat Hunting – Chris Sanders (çok iyi anlatıyor)

2. Ücretsiz Online Kaynaklar:

3. Pratik Yapabileceğin Ortamlar:

  • TryHackMe'de "Threat Hunting" odası var.

  • Security Blue Team sitesinde "Threat Hunting Labs" var (bazıları bedava).

  • Kendi SIEM ortamında (Sentinel, Splunk, Wazuh, vs.) test yapabilirsin.

4. Youtube ve Eğitimler:

  • John Strand’ın Threat Hunting anlatımları çok güzel (Black Hills InfoSec kanalında)

  • SANS Webcast'lerine bakabilirsin. Özellikle "Active Defense and Threat Hunting" yayınları.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Siber Tehdit İstihbaratı

Resim
  SİBER GÜVENLİK VE TEHDİT İSTİHBARATI  Siber tehdit, bağlantılar, sistemler ve veriler üzerine zarar verecek, bazen kullanılamaz hale getirecek hatta çalınabilecek tehditlerin tümünü kapsamaktadır. Teknolojiden faydalanırken kendimizi ve verilerimizi de korumamız gerektiğini bilerek bilinçli bir kullanıcı olmalıyız. Bazen özel sayfalarımızı, bazen iş hayatımızdaki bilgi ve belgelerimizi tehdit edebilecek unsurlar vardır. Bu unsurlara karşı alabileceğimiz önlemler üzerinde biraz duralım. Siber güvenlik önemli ölçüde tehdit istihbaratı bağlantılarından beslenmektedir. Burada karşımıza iki farklı terim çıkıyor ve bu terimler genellikle birbirine karıştırılabiliyor. Tehdit verileri : Olabilecek tehditlerin listesi. Tehdit istihbaratı : Olayların bütünlüğünü kapsamaktadır. Tehdit istihbaratı, bilgiye dayalı bir şekilde karar mekanizmalarını bilgilendirecek açıklayıcı veriler hatta daha geniş bağlamda sorgulamalar içermektedir. Tehdit istihbaratı günümüzde kuruluşların kendilerini ...
Devamı

XSS (Cross-Site Scripting) Saldırısı

Resim
XSS (Cross-Site Scripting) saldırısı XSS, web uygulamalarında yaygın bir güvenlik açığıdır. Saldırganlar, kullanıcının güvenilir bir web sitesine giriş yapmasıyla başlar. Ardından, saldırgan kötü niyetli bir kod parçasını, genellikle JavaScript şeklinde, web sitesinin güvenlik kontrollerini atlatarak sayfaya ekler. Bu kötü niyetli kod, son kullanıcıların tarayıcılarında çalışır ve saldırganın istediği işlemleri gerçekleştirebilir. XSS saldırıları genellikle iki ana kategoriye ayrılır: Depolama XSS (Stored XSS) : Bu tür saldırılar, saldırganın kötü niyetli kodu hedeflenen web uygulamasına yüklediği durumlarda gerçekleşir. Örneğin, saldırgan forumlara zararlı bir kod enjekte edebilir ve kullanıcılar tarafından görüntülenen mesajlarda bu kodu etkinleştirebilir. Böyle bir saldırı, birçok kullanıcının etkilenebileceği ve zarar görebileceği bir risk oluşturur. Yansıtma XSS (Reflected XSS) : Bu tür saldırılar, kullanıcının bir web sitesine gönderdiği verilerin doğrudan geri dönüş olarak sunul...
Devamı

Cyber Kill Chain

Resim
Cyber Kill Chain: Saldırıları Önlemede Kritik Bir Yaklaşım  Günümüzde dijital dünyada gerçekleşen siber saldırılar giderek artıyor. Bu saldırılar, hem bireyleri hem de kurumları hedef alabiliyor ve büyük maddi zararlara yol açabiliyor. Siber güvenlik alanında koruma sağlamanın etkili bir yolu, saldırı sürecini anlamak ve saldırganların eylemlerini engellemek için gerekli adımları atabilmektir. Bu noktada, Cyber Kill Chain (Siber Öldürme Zinciri) yaklaşımı önemli bir rol oynamaktadır. Cyber Kill Chain Nedir? Cyber Kill Chain, Lockheed Martin tarafından geliştirilen bir saldırı süreci modelidir. Bu model, bir saldırganın hedefe yönelik bir siber saldırıyı gerçekleştirirken izlediği adımları aşamalara ayırarak analiz eder. Temel olarak, saldırı sürecini anlamak ve saldırının her aşamasında önlemler almak için kullanılır. Aşamaları: a. Bilgi Toplama (Reconnaissance): Saldırganın hedef hakkında bilgi topladığı aşamadır. Hedefin sistemleri, çalışanları ve güvenlik zafiyetleri hakkında is...
Devamı