Olay Müdahale Planı Nasıl Oluşturulur?

Olay Müdahale Planı Nasıl Oluşturulur?

   Haziran 12, 2021       Muhammed AYGÜN

---

Siber tehdit aktörlerinin hedefinde olan her kuruluş yani günümüzde dijitalleşemeye adım atan her kuruluş gerçekleşebilecek bir saldırıda olay müdahalesi planına sahip olmalıdır. Siber saldırılarından %100 korunmak çok güzel olurdu ancak bunun pek mümkün olmadığını üzülerek söylemek durumundayız. Bundan dolayı her kuruluş bir siber saldırıya maruz kalacaktır. Bunun farkında olan ve belirli bir olgunluğa ulaşmış kuruluşların belirlemiş olduğu bir siber olay müdahale (Incident Response) planı bulunmaktadır çünkü ne tür bir önlem almış olsalar bile ciddi bir siber olay ile karşılaşacaklarını bilirler bundan dolayı siber saldırılarına ilişkin planlarını belirleyen belgelere sahiptirler.

Olay müdahale planın anlamak için Olay müdahalesinin ne olduğunu bilmek önemlidir. Olay müdahalesi, bir siber güvenlik ihlalini tespit edip ortadan kaldırmayı ve saldırıdan kurtarmayı amaçlayan bir dizi eylemlerdir. Olay müdahalesinde başarılı olmak için sistematik yani olaya planlı bir şekilde yaklaşmak gerekir.   

Olay müdahale planı yapan kuruluşların amacı, bir siber saldırıya maruz kaldığı andan itibaren saldırının etkisini en aza indirmek ve olaya olabildiğince hızlı bir şekilde cevap vermeyi hedefler yani kaçınılmaz bir siber saldırıda kuruluş üzerindeki olumsuz etkileri en aza indirmektir. Bir olayı bildirmek izleme olay müdahalesi ekibinin işi değildir, ancak ilgili uyarıların uygun şekilde incelenmesini ve analiz edilmesini sağlamak olay müdahalesi ekibinin görevidir. Sistemi izleme ister kurum içinde olsun ister dışarda isterse de hibrit bir yapı olsun olay müdahalesi planı doğrultusunda olay müdahalesi ekip liderine doğru ve hızlı bir şekilde hareket etmesini sağlamak için olayı ele alma, inceleme ve analiz sürecini tanımlamalıdır.  Olay müdahalesi (IR) planı iyi iletilen ve koordine edilen özlü, metodik eylemler, etkiyi azaltmanın anahtarıdır.

Kuruluşun bir olay müdahale planın olması önemlidir çünkü bir stres ve baskı altında durumu kontrol altına alarak doğru kararlar ve aksiyonlar almasını sağlar. 

 

Siber Olay müdahale planını tasarlamak için yapılması gereken aşamalar; 

 

1.      Hazırlık aşaması: Siber olay müdahale planındaki en önemli ilk adımdır. Bu adımı alt adımlara ayırmak daha doğru bir yaklaşım olacaktır.

i)       Ekip içerisinde kaliteli bir iletişim kurmak için planlı iletişim kanalını oluşturulmalıdır: Bir IR planının, hem planlı iletişimini hem de bir olaya yanıt vermek için gereken adımları gerçekleştirmesi gereken bir süreç akışı taslağına ihtiyacı vardır. Akış başlangıç izleme ekibinde ve resmi olay bildirim sürecinden gelen artıştır. Bir olay bildirilirse akış, tehdidi içerme ve kurtarma adımlarını an hatlarıyla belirtir.

ii)    Kim, ne, ne zaman, nerede, nereden ve nasıl sorularına cevap verebilen kontrol listeleri ve gerekli kılavuz oluşturulmalıdır.

iii)  Siber olaya müdahale edecek ekibin daha önceden sistem üzerinde gerekli izinlerin verilmiş olması kontrol edilmelidir.

iv)   Olay müdahalesi ekibinin kendi içerisinde kullanacağı araçları önceden test etmiş olması gerekmektedir.

v)      Süreç akış taslağı oluşturulmuş olmalıdır. Bir IR planının, hem planın iletişimini hem de bir olaya yanıt vermek için gereken adımları gerçekleştirmesi gereken bir süreç akışı taslağına ihtiyacı vardır. Akışın başlangıcı, izleme ekibinden ve resmi olay bildirim sürecinden gelen artıştır. Bir olay bildirilirse akış, tehdidi içerme ve kurtarma adımlarını ana hatlarıyla belirtir.

vi)   Bir olayı bir kişi üstlenmelidir: IR ekibi lideri, daha geniş siber güvenlik ekibiyle işbirliği içinde, olay bildiriminden sorumludur. Plan, IR ekibinin bunu yapması için gereken sürecin ana hatlarını verecektir. İlk olarak, IR sorumlusu, izleme ekibinden toplanan verileri gözden geçirerek ve gerektiğinde yeni bilgiler alarak olayı daha da doğrulamalıdır. Daha sonra lider, bir olayı ilan etmek amacıyla tanımlanmış paydaşlarla bir toplantı düzenleyebilir. Bu toplantı için sanal veya fiziksel bir savaş odası ve birincil yöntemler mevcut değilse geri dönüş iletişim yöntemlerini belirleyin.

vii) IR ekibinin kimlerin dahil olduğunu, sürece ne zaman dahil olduklarını ve hangi eylemlerin yapılması gerektiğini hızlı bir şekilde belirleyebilmesi için her olay türü için kilit paydaşların bir listesini oluşturun. Yalnızca rolleri değil, gerçek isimleri ve mevcut kişileri listelemek, hesap verebilirliği sağlamak ve IR planının güncel kalmasını sağlamak için en iyi uygulamadır. IR ekibi, plan belgesinin sahibi olmaktan ve sürdürmekten sorumludur.

2.      Olayı belirleme: Bu aşamada, çeşitli kaynaklardan ilgili tüm verileri toplayarak, anomali tespiti olup olmadığını tespitiyle ilgilidir. Belirli bir olayın bir olay olduğu belirlenirse, olay müdahale ekibi kanıt toplamak ve sonraki adımlara hazırlanmak için yeterli zaman tanımak için mümkün olan en kısa sürede rapor etmelidir. Bir olay ilan edildiğinde, IR liderinin ve ekibinin harekete geçme zamanı gelmiştir. Ekip etkilenen kullanıcıları, sistemleri, uygulamaları veya diğer kaynakları izole etmeye çalıştığından, kapsam öncelikli olmalıdır. IR planı, çevreleme stratejisini belirlemek için saldırının aşamasını ve ciddiyetini göz önünde bulundurmalı ve çevreleme stratejisinin nasıl uygulanacağını ve yetkinin kimde olduğunu tanımlamalıdır.

3.      Toplanan Delileri Muhafaza Etme: Bu aşamada çeşitli yöntemler ile elde edilen delillerin zarar görmesini engellemek, yok edilmesini önlemek ve gerçekliğini kaybetmeden gerekli mercilere sunmalıdır.

4.      Sisteme Sahip olan Saldırganları dışarı atma: Bu aşama, etkilenen tüm sistemlere bir malware bulaşmış ise bunu kaldırmak ve almış olduğu saldırın nedenini belirlemek ve güvenlik açığı var ise gerekli önlemleri alarak kapatmalıdır.

5.      Sistemi Eski Haline Getirme: Kurtarma aşaması olarak da adlandırılabilir bu aşamada zarar görmüş sistemleri dikkatli ve kontrollü bir şekilde eski haline getirmesi adımıdır. Sistemlere başka yollarla yeniden enfekte olmadıklarını doğrulamak için test etmek, izlemek ve doğrulamak önemlidir.

6.      Yaşanılan Olay İle İlgili Ders Çıkarmak: Bu aşamada siber olay yaşandı ve olaya müdahale edildikten sonra uygulanılan son adımdır. Bu kritik aşamanın amacı, olay sırasında yapılamayan ve gelecekteki olaylar için faydalı olabilecek her türlü dokümantasyonu tamamlamaktır.

                                i.            Devam eden bir olayın tüm yönlerini belgelemek mümkün olmayabilir ve kapsamlı belgelere ulaşmak, gelecek için dersleri belirlemek açısından çok önemlidir. Bir olay raporu yayınlamak: Belge, öğrenilen dersler toplantısı sırasında ortaya çıkabilecek soruları cevaplayabilecek bir rapor şeklinde yazılmalıdır.

                             ii.            Alınan dersler toplantısı oluşturulmalıdır: Olayı ve hemen uygulanabilecek öğrenilen dersleri tartışmak için Olay müdahalesi ekibi ve diğer paydaşlarla düzenli aralıklarda toplantı yapılmalıdır.

                           iii.            Geçiş bir IR planı, tekrarlama olasılığını azaltmayı amaçlayan resmi bir olay sonrası öğrenme sürecini içermelidir. Aynı olayı iki kez yaşamamaktan kaçınmaya çalışmanın yanı sıra, öğrenme, bir olayı bildirmek veya eyleme geçmek için koordinasyon ve karar verme konusunda ince ayar yapmanıza olanak tanıyan ekip hazırlığı için gözetim sağlar. IR sürecindeki herhangi bir değişikliğin plan belgesinde güncellendiğinden emin olun.

 

 

 

 

Öneriler

-         Oluşturmuş olduğunuz siber olay müdahale planını test edin.

-         Belirli aralıklarda siber tatbikatlar düzenleyin.

-         Manuel delil toplamak yerine tam ve doğru olarak otomasyon düzeni kullanılmalıdır.

-         Kurumunuzdaki varlıkların keşfi yapılması gerekmektedir. Varlık envanterleri veya veri sınıflandırması ve yönetimi gibi şeylerin üstesinden gelememek birçok hataya yol açabilir.

-         SOC analistlere çeşitli olayların nasıl önceliklendirileceği ve ilgili kanıtların nasıl toplanacağı konusunda yol gösterilmelidir.

-         Bir siber olay yaşandıktan sonra bu soruların cevaplanması kurum için önemlidir; mevcut olmayan ve etkinleştirilmesi gereken herhangi bir ek günlük var mı? Güvenlik ekibinin becerilerinde bir boşluk var mı?
Şirketin yama politikasının gözden geçirilmesi gerekiyor mu?

-         İzinsiz girişi önleme ve dosya bütünlüğü izleme sistemlerinizin ne kadar doğru sonuç verdiğini test edin.

-         Belirli periyotlarda yedek alın.

-         olay müdahalesi ekibinin sorumlulukları konusunda uygun ve düzenli bir şekilde eğitin.

-         Siber olay yaşandıktan sonra alınan dersler uygulandığını test edin.

-         Olay Müdahalesinden bulunacaksanız bu üç unsura önem vermelisiniz; Plan, Ekip ve Araçlar

 

 

 

Read More

Merkezi Güvenlik İzleme Ve Olay Yönetimi

Merkezi Güvenlik İzleme Ve Olay Yönetimi

   Mayıs 30, 2021       Muhammed AYGÜN

---

  

Merkezi Güvenlik İzleme Ve Olay Yönetimi

Bilgi ve iletişim teknolojilerinin yaygın kullanımı ile siber ortam tehditlerinin niteliğinde ve niceliğinde gelişmeler yaşanmaktadır. Siber tehditler bireyleri, kurum ve kuruluşları hatta devletleri hedef almaktadır. Ülkeler siber güvenliklerini sağlamak amacıyla idari yapılanmalar gerçekleştirmekte, teknik önemler almakta ve hukuki altyapılar hazırlamaktadır. Gerçekleşebilecek bir siber saldırıyı engellemek adına kurumlar kendi içerisinde bulunan bilgi sistemleri ve ağ bileşenleri günlük kayıt tutar yani log üretirler. Bu aktivite kayıtlarının yani log kayıtlarının izlenildiği gibi bir siber olay sırasında filtrelenerek saldırı tekniklerinin tespit edilmesi ve yaşanılabilecek siber olayları ortaya çıkartılması gereklidir. Bu aktivite kayıtları izlediği gibi bir siber olay sırasında gelen saldırıları engellemek ve siber olayların ortaya çıkartılmasını Merkezi güvenlik izleme ve olay yönetimi sistemler ile sağlamak mümkündür. Farklı sistemlerden gelen birçok olayın ilişkilendirilmesi ve anlamlı sonuçlar üretilebilmesi oldukça zor, aynı zamanda hayati bir önem taşımaktadır. Kritik Altyapı Sektörü (Enerji, Elektronik Haberleşme, Finans, Su yönetimi, Kritik Kamu Hizmetleri, Ulaştırma…) ve kendi üzerinde sistemlerini kontrol eden tüm kuruluşların Merkezi güvenlik izleme ve olay yönetimi sistemine ihtiyaç vardır.

Merkezi güvenlik izleme ve olay yönetiminde İz Kayıtlarının Merkezi Olarak Yönetilmesi avantajları bulunmaktadır bu avatajlara geçemden önce temel bilinmesi gerek LOG kayıtları hakkında kısaca bilgi verecek olursak;

Kayıt (Log) Nedir? Kayıtlı delil demektir. Yaşanılacak bir durumda üretilen log sayesinde elimizde bir delil niteliğine sahip veriler bulunur. Her türlü iç, dış, uluslar arası saldırıda hukuktan faydalanmak ve faillerin yakalanması, caydırıcılık için gereklidir. Üretilen loglar İç tetkik birimleri, ulusal veya uluslar arası mahkemeler tarafından değerlendirilir.

Üretilen loglar sayesinde 5 Ne 1 K sorularına cevap verebiliriz örneğin;

Ø  Ne?

Yetkisiz erişim, kayıtlar silindi, yetkili kullanıcı oluşturuldu...

Ø  Ne zaman?

Cum 28 15:44:28 2015, 10/08/2015, 2015-01-30 15:45:44

12350495043800345345, 12.01.2015 10:33:56

Ø  Nerede?

Dosya sunucu, e-posta, web servisiniz, aktif dizin?

Ø  Nereden?

Saldırı 99.214.77.13 adresinden Guanjou Internet Sağlayıcı, Beijing Çin

•         Ofisin 3.katından biri, rus hacker’lar

•         Çalınan veri 56.2.3.5 adresine Karachi, Pakistan’a gönderildi

 

Ø  Nasıl?

•         SQL enjeksiyonu, kaba kuvvet saldırısı, spam, sosyal mühendislik...

Ø  Kim?

•         10.2.2.4, mehmet, FF01::101, 01:23:45:67:89:AB

 

Kayıtlı LOG’lar sayesinde merkezi güvenlik izleme ve olay yönetiminde görev alan ekipler;

·        LOG’ları izleyebilir

·        İzlediği LOG’ları  analizi

·        Oluşan bir problemi LOG’lar sayesinde giderebilir

·        Eldeki LOG’lar sayesinde geçmişte ne olduğu hakkında bilgi verilebilir

·        Adli Delil inceleme yapılabilir

·        Bir siber olay müdahalesinde bulunulabilir

 

LOG Türleri;

·        Windows Eventlog

·        UNIX Syslog

·        Cisco Netflow

·        Performans Logları

·        Uygulama Logları

·        Firewall

o   Checkpoint

o   Juniper Netscreen

o   Cisco PIX/ASA/FWSM

·        IDS log formatları

o   Sourcefire Snort

o   McAfee Intrushield

o   Cisco IPS

o   Tippingpoint

·        Web sunucuları

o   Apache

o   Tomcat

·        Internet Information Systems (IIS)

 

 

LOG Toplanırken Karşılaşılan Problemler

·        İzlenecek çok sayıda envanter olduğundan hangi LOG güvenlik için değerli olduğu karşılaştırılabilir.

·        LOG’lar farklı yerlerde dağınık olarak durduğunda tek tek bakılması ve analiz edilmesi zorlaşmaktadır.

·        Kayıt inceleme yazılımları tek başlarına yetersiz kalmaktadır gelen alarmlara müdahale etmek adına ek sistemler kullanılmalıdır.  

·        Farklı biçim ve türde çok fazla LOG kaydı bulunmaktadır

·        LOG üreticilerinin farklı yapılandırma ayarları mevcuttur yani standart bir formatın yoktur.

·        Uygulama bazlı LOG’lar üretilmektedir.

 

Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekip temelde üstlenmiş olduğu görevler vardır bu görevler siber olay öncesi, esnası ve sonrasında olmak üzere 3 ana başlığa ayırabiliriz. Sırayla açıklamak gerekirse;

1-     Siber Olay Öncesi

Kurumda bir siber olayın yaşanmadığı veya gerçekleşmediği durumda Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekibin yapması gerekenler;

·         Kurum içi farkındalık çalışmalarının gerçekleştirilmesi.

·        Siber güvenlik ile ilgili periyodik olarak kurum içi bülten hazırlanması.

·        Kurumun bilgi güvenliği farkındalığını ölçecek anketlerin düzenli olarak yapılması.

·        Kurumsal bilişim sistemleri sızma testlerinin yapılması veya yaptırılması.

·        Kayıtların düzenli olarak incelenmesi yapılmalı var olan zafiyetler kapatılmalı.

·        Log kayıtlarının merkezi olarak yönetilmesi. merkezi olarak yönetilen olay sonrasında incelenmek üzere güvenilir delillerin elde edilmesi için tutulacak kayıtların asgari niteliklerini dokümanına uygun olarak, merkezi bir şekilde tutulmasını ve yönetilmesini sağlar.

·        Kurumsal SOME, siber olay öncesi, esnası ve sonrasındaki görev ve sorumlulukları ile kurumun diğer birimlerle ilişkilerini düzenler, siber olay yönetim talimatlarını (siber olay müdahale, siber olay bildirim süreci vb.) hazırlar.

·        Siber güvenlik tatbikatlarını gerçekleştirirler

 

 

2-     Siber Olay Esnası

Merkezi güvenlik izleme ve olay yönetiminde görev alan ekibin yapacağı müdahalenin koordine edilmesi, siber olay ile ilgili çalışmanın tamamlandığı bilgisinin verilmesi, Siber olay müdahalenin tamamlanması, sistemlerin çalışır hale gelmesi için gerekli teknik müdahaleyi yapması Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekip tarafından beklenmektedir.

 

3-     Siber Olay Sonrası

Kurumda bir siber olay gerçekleştikten ve olaya müdahale edildikten sonra Merkezi güvenlik izleme ve olay yönetiminde görev alan ekip aşağıdaki görevleri icra ederler:

a)      Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.

b)     Siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde Siber Olay Değerlendirme Formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel SOME’ye gönderir ve kayıt altına alır.

c)      Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.

d)     Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.

e)      Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.

 

 

 

 

Kurum bir merkezi güvenlik izleme ve olay yönetimi sistemi oluşturduktan sonra hemen ardından faaliyet raporu oluşturmalıdır. Faaliyet raporu sayesinde bir siber saldırıya maruz kalındığı andan itibaren planlı bir şekilde hareket etmesini sağlar. Tavsiye olarak faaliyet raporunda bulunması gereken başlıklar;

1.      İnsan Kaynağı

a.      Personel durumu

b.      Kurum içi farkındalık çalışmaları

c.      Alınan eğitimler, gidilen konferanslar

2.      Risk Analizi Süreci

a.      Bilişim sistemleri test faaliyetleri

b.      İz kayıtları inceleme faaliyetleri

c.      Müdahale ve koordine edilen siber olaylar

3.      Edinilen tecrübeler ve uygulanan düzeltici faaliyetler

4.      Kurum içi ve dışı paydaşlarla yapılan çalışmalar

5.      Diğer faaliyetler

 

 

 

Merkezi Kayıt Yönetiminin Yetenekleri

 – BT altyapısından olan olaylar hakkında bilgi sahibi olma

–  Sistemde olan kritik olaylar hakkında haber verme yetenekleri

–  Gelişmiş saldırıların tespiti

–  Olay ilişkilendirme

–  Risk hesaplama

–  Detaylı raporlama ve olay takibi

–  Aynı kayıtların birleştirilebilmesi

–  Uyarı, alarm mekanizmaları

–  Dashboard’lar yardımı ile görsel analiz

–  Mevzuata uyumluluk

–  Kayıtların uzun süreli saklanabilmesi

–  Adli analiz

–  Gerçek zamanlı veri ve kullanıcı izleme

–  Tehdit bilgisi

–  Uygulamaların izlenmesi

–  Tek merkezden yönetim

Merkezi Kayıt Yönetimi sistemlerin kurulum aşamaları;

 

1-     Planlama

– Kurum bilgi sistemlerinin varlık envanterinin çıkartılması

– Varlık envanterindeki varlıklara risk değeri ataması

– Kurum ağ topolojisinin çıkartılması

– Toplanacak kayıtların (logların) önceliklendirilmesi ve belirlenmesi

– Merkezi Kayıt Yönetimi ve Güvenlik İzleme Sistemi bileşenlerinin planlanması

 

2-     Bileşenlerin Kurulumu

– Kayıt (Log) sunucularının kurulumu

– Merkezi Güvenlik İzleme sunucusunu kurulumu

– Sensörlerin kurulumu

– Raporlama araçlarının kurulumu

– Depolama alanlarının kurulumu

 

3-     Kayıtların Toplanması

 

– Uygulamalar

– Web / Uygulama sunucuları

 – Veritabanları

– Yetkilendirme sunucuları

• LDAP

• AD

• Aruba Radius

– İşletim sistemleri

– Windows

– Linux

– Sanallaştırma Sistemi

– Yedekleme sistemi

– Güvenlik cihazları

• Güvenlik Duvarı

• Saldırı Tespit ve Önleme sistemi (IDS/IPS)

• Antivirus Sistemleri

• İçerik Filtreleyiciler

• Veri Kaçağı Önleme Sistemi

– Ağ ve aktif Cihazlar

• Yönlendiriciler ve Anahtarlama Cihazları

• Ağ Akış Kayıtları (Netflow)

 

4-     Saldırı Tespit Sistemlerin Entegre Edilmesi

Saldırı Tespit Sistemleri, ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da kurum içerisinde olan politik ihlalleri izlemeye yarayan cihaz ya da yazılımlardır. Tespit edilen herhangi bir zararlı aktivite bildirim olarak STS sistemleri sayesinde merkezi olarak toplanıp sunulduğunu gösteren dashborad üzerinden takibi yapılır. STS sistemleri, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır. En yaygın STS sistemlerine örnek olarak; Ağ saldırı tespit sistemleri (NIDS), Bilgisayar tabanlı saldırı tespit sistemleri (HIDS), SIEM, SOAR, IDS, IPS örnek verilebilir. Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.

– IDS kurulumu ve yapılandırılması

– IPS kurulumu ve yapılandırılması

– DMZ saldırı tespit ve önleme kurulumu ve yapılandırılması

– Kritik sunucularda denetim (loglarının açılması) kayıtlarının tutulması için     
   yapılandırmaların yapılması

– SIEM sistemleri kurulumu ve yapılandırılması

– Olay ilişkilendirme sistemleri (SIM) kurulumu ve yapılandırılması

      –  SOAR sistemlerini kurulumu ve yapılandırılması

 

 Ücretsiz Açık Kaynak Sistemleri

§  ACARM-ng

§  AIDE

§  Bro NIDS

§  Fail2ban

§  OSSEC HIDS

§  Prelude Hybrid IDS

§  Samhain

§  Snort

§  Suricata

 

5-     İlişkilendirme ve Saldırı Senaryoları

– Hazır ilişkilendirme kurallarının uyarlanması ve muhtemel saldırı senaryolarının belirlenip kuralların oluşturulması

– Brute force

– Port scan

– Pass the hash

– Simetrik bağlantılar

 – Mesai dışı hareketler

– Aşırı bandwith kullanımı

– Aynı hesabın birden çok makinada login olması

– Sistem yönetici makinalarına erişim denemeleri

– Kritik kullanıcılara erişim denemeleri

– Kritik sunuculara yetkisiz ağlardan erişim denemeleri

 

– Uyarı / önlem mekanizmalarının belirlenmesi

– E-posta uyarı mekanizmalarının oluşturulması

– Saldırı engelleme ya da saldırı tespit sistemi olarak çalışma modunun ayarlanması

 

 

6-     Dashboard Tasarımı

7-     Olay Müdahale ve Alarm Üretimi

 

– Üretilen alarmlar incelenir

– Gerekli durumlarda ilgili birimler harekete geçirilir

– Gerekli aksiyonlar alınarak sorun giderilir

– Sistem eski haline getirilir

– Sorunun kaynağı raporlanır

– Gerçekleştirilen tüm işlemler kayıt altına alınır

– Aynı sorunun tekrar yaşanmaması için ilgili önlemler alınır

 

 

8-     Raporlama

– Üretilecek raporların belirlenmesi

 

 

 

Read More