IBM QRadar SIEM: Başlangıçtan İleri Düzeye Eğitimi

Modül 1: SIEM/Temel Kavramlar, Mimari ve Ekosistem Genel Bakışı

SIM (Güvenlik Bilgisi ve Olay Yönetimi) temellerini, IBM QRadar platform mimarisini, ekosistem entegrasyonunu ve XDR, SOAR ve tehdit zekası platformlarını içleyen daha geniş güvenlik analitik manzarasını kapsayan kapsamlı bir anlayış oluşturur.

1.1 Güvenlik Analitiği ve SIEM Temelleri

• SIEM manzarası: log yönetimi iletiminden güvenlik analizine evrim
• SIEM vs. SOAR vs. XDR: güvenlik araçlarının birleşimini anlama
• Temel SIEM bileşenleri: toplanan veriler, normalleştirme, korelasyon ve uyarılar
• SOC analisti iş akışı: tespit, tahlil, soruşturma ve yanıt
• MITRE ATT&CK çerçevesi genel bakış ve SIEM eşleme rolü

1.2 IBM QRadar Platform Mimari Yapısı

• Yerel altyapı mimarisi: Olay İşlemci, Log Yöneticisi, Konsol ve Akış İşlemci
• Bulut tabanlı QRadar: çok kiracılı mimari, veri içme modelleri ve ölçeklenebilirlik
• Hibrit Bulut dağıtımı: yerel altyapı ve bulut yeteneklerinin birleştirilmesi
• Dağıtım seçenekleri: Sanal Appliance'ler, Donanım Appliance'ler ve SaaS
• Yüksek Erişilebilirlik (HA) ve Aktif-Pasif vs. Aktif-Aktif yapılandırmaları

1.3 QRadar Bileşenleri ve Konsol Gezinme

• IBM QRadar Konsolu: Arayüz genel bakışı, çalışma alanları, panolar ve gezinme
• Tamamlayıcı Uygulamalar, QRadar Uygulama Çerçevesi ve IBM App Exchange
• Bağlam Gezgini, Risk Analizör ve tehdit zekası entegrasyonu
• Veri modeli: QRadar'daki Ana Bilgisayarlar, Cihazlar, Protokoller ve Kategoriler

1.4 QRadar Ekosistemi

• IBM QRadar SOAR: Güvenlik orkestrasyonu ve otomatik yanıt entegrasyonu
• IBM QRadar EDR: Uç nokta tespit ve yanıt entegrasyonu
• Tehdit Zekası entegrasyonu (VTI beslemeleri, özel tehdit beslemeleri)
• SIEM araçlarıyla entegrasyon: Splunk, Elastic SIEM, IBM QRadar (log kaynak yönetimi)

1.5 IBM Güvenlik Paketi ile Entegrasyon

• Otomasyon ve playbook orkestrasyonu için IBM QRadar SOAR entegrasyonu
• Uç nokta verimliliği için IBM QRadar EDR entegrasyonu
• IBM QRadar VTI (Zafiyet ve Tehdit Zekası) entegrasyonu
• IBM QRadar App Exchange uygulamaları ve eklentileri
• IBM QRadar Ağ Entegrasyon Platformu (NFI) entegrasyonu

Pazarla Uygun Yeterlilikler: SIEM Temelleri, Güvenlik Bilgisi ve Olay Yönetimi, IBM QRadar Platform Mimari Yapısı, Yerel QRadar Dağıtımı, QRadar Bulut Mimarisi, Hibrit Bulut Güvenliği, SOC İşlemleri ve SIEM, Güvenlik Analitiği, XDR Entegrasyonu, SOAR Platformu Entegrasyonu, Tehdit Zekası Platformu (TIP), MITRE ATT&CK Çerçevesi Eşleme, Güvenlik Aracı Birleşimi, Kurumsal Güvenlik Mimarisi, Log Yönetimi ve Analitiği, SIEM Ölçeklenebilirliği ve Kapasite Planlaması, Yüksek-Erişilebilirlik (HA) Yapılandırma, QRadar Konsol Gezinme ve Yapılandırma

Modül 2: Log Kaynağı Yönetimi, Veri İnceleme ve Normalleştirme

Yerel altyapı, bulut ve hibrit ortamlarda kurum genelinde güvenlik görünürlüğü sağlamak için gerekli olan log kaynak yapılandırması, veri toplama stratejileri, log normalizasyonu ve protokollerine derinlemesine dalış.

2.1 Log Kaynağı Yapılandırma ve Protokoller

• Log toplama yöntemleri: Syslog (RSYSLOG), Ağ Bağlantıları (CEF), Ortay Olay Biçimi (CEF) ve QRadar Ortay Olay Biçimi (CEF)
• CEF protokolü: başlık, uzantı adları, özel uzantılar ve CEF-e-CEF eşleme
• Ağ tabanlı log toplama: NetFlow v5/v9, IPFIX (sFlow)
• Ajan tabanlı toplama (IBM QRadar Ajan) uç nokta görünürlüğü için
• Active Directory, DNS, DHCP, HTTP, SMTP ve veritabanı log kaynağı yapılandırma
• Log kaynak dağıtımı en iyi uygulamalar: yüksek kapasiteli kaynaklar, sıkıştırma ve şifreleme

2.2 Veri İnceleme ve Kapasite Planlaması

• Günlük log dosyası hacmini (GLP) ve günlük olay verisi içme kapasitesini anlama
• Veri saklama politikaları ve uyum odaklı saklama yönetimi
• Maliyeti kontrol etmek için log kaynak önceliği ve olay filtreleme
• Kurumsal ölçekli SIEM dağıtımları için kapasite planlaması
• Büyük ölçekli ortamlar için boyutlandırma hesaplamaları ve performans optimizasyonu

2.3 Log Normalleştirme ve Sınıflandırma

• QRadar Normalleştirme Motoru: yerel log formatlarını QRadar protokollerine eşleme
• Log Kaynak Özellik Yöneticisi ve protokol eşleme
• Kişiselleştirilmiş kayıtlar için özel log kaynağı oluşturma
• Olay, akış ve log kaynak eşleme
• Normalleştirme kuralları ve ayrıştırma sorunlarının giderilmesi

Pazarla Uygun Yeterlilikler: Log Kaynak Yönetimi, Syslog Yapılandırma, CEF Protokolü, Ağ Bağlantıları (CEF), QRadar Ajan Dağıtımı, Active Directory Log Toplama, DNS ve DHCP Log Toplama, HTTP/S ve SMTP Log Toplama, Veritabanı Log Toplama (CEF) Entegrasyonu, NetFlow ve IPFIX Toplama, Agent-less SIEM Dağıtımı, Kurumsal Log Toplama Stratejisi, Log Normalleştirme, Protokol Eşleme, Özel Log Kaynak Yapılandırma, Olay Ayrıştırma ve Sınıflandırma, Günlük Log Hacmi (DLV) Tahmini, SIEM Kapasite Planlaması, Büyük Ölçekli SIEM için Performans Ayarlama, Uyum Odanlı Veri Saklama

Modül 3: Tespit, Korelasyon ve Kural Geliştirme

SIEM işlemlerinin temelini oluşturan; saldırıları, anormallikleri ve politika ihlallerini belirleyen basit olay kurallarından karmaşık bileşik korelasyon kurallarına kadar tespit kurallarını oluşturma, test etme ve yönetme.

SIEM işlemlerinin temelini oluşturan; saldırıları, anormallikleri ve politika ihlallerini belirleyen basit olay kurallarından karmaşık bileşik korelasyon kurallarına kadar tespit kurallarını oluşturma, test etme ve yönetme.

3.1 Olay Kuralları ve Toplama Kuralları

• Olay Kuralları: filtreleme, alanların çıkarılması ve ham olaylardan özel özellikler oluşturma
• Toplama Kuralları: IP, protokol, kullanıcı vb. ile olayları sayma ve gruplama
• Toplama kuralı eylemleri: bildirimler, sayaç eşikleri ve özel özellikler
• Kural etkinleştirme, kural sıralama ve kural yürütme mantığı

3.2 Bileşik Korelasyon Kuralları

• Bileşik korelasyon kuralları oluşturma: birden fazla kaynaktan veri birleştirme
• Kural türleri: Olay, Toplama ve Bileşik Korelasyon
• Bileşik kural bileşenleri: tetikleyiciler, toplamlar, korelasyonlar ve eylemler
• Korelasyon mantığı: zamansal korelasyon, eşik korelasyonu ve bağlamsal korelasyon
• Tahmin ve korelasyon kuralı özellikleri: güven seviyeleri, ciddiyet ve yükseltme
• Etkili korelasyon kuralları yazma: uyarı yorgunluğundan kaçınma ve sinyal kalitesini sağlama

3.3 MITRE ATT&CK Teknikleri İçin Tespit Kuralları

• MITRE ATT&CK tekniklerine eşlenen kurallar: Başlangıç Erişimi, Yürütme, Kalıcılık, Yetki Yükseltme, Savunma Aşımı, Kimlik Bilgisi Erişimi, Keşif, Yanal Hareket, Koleksiyon, Komut ve Kontrol (C2), Dışa Aktarım
• Özgün saldırı kategorileri için özel tespitler:
• Aşağıdaki kurallar: Kaba Kuvvet, Port Taraması, Malware İletişimi, İçeriden Gelen Tehlike, Yanal Hareket, Yetki Yükseltme, Veri Dışı Aktarımı, Komut ve Kontrol (C2)
• Aşağıdaki kurallar: Kaba Kuvvet Kimlik Doğrulama Başarısızlıkları, Port Taraması, SQL Enjeksiyonu, DNS Tunneling, Yetki Yükseltme, Pass-the-Hash ile Yanal Hareket

3.4 QRadar Kurallarıyla Tehdit Avı

• QRadar kullanarak proaktif tehdit av metodolojisi
• Bilinmeyen/sıfır gün tehdit tespit kuralları oluşturma
• Davranış analizi ve taban sapması tespit kuralları

Pazarla Uygun Yeterlilikler: Olay Kural Geliştirme, Toplama Kuralı Oluşturma, Bileşik Korelasyon Kuralı Geliştirme, Özel Korelasyon Kural Tasarımı, MITRE ATT&CK Eşleme, Tehdit Tespit Mühendisliği, Saldırı Teknik Eşleme (Başlangıç Erişimi, Yürütme, Kalıcılık, Yetki Yükseltme, Savunma Aşımı, Kimlik Bilgisi Erişimi, Keşif, Yanal Hareket, Koleksiyon, Komut ve Kontrol, Dışı Aktarma), Malware İletişim Tespiti, SQL Enjeksiyonu Tespiti, DNS Tunneling Tespiti, Yetki Yükseltme Kuralı, Kaba Kuvvet Tespiti, Yanal Hareket Tespiti, İçeriden Gelen Tehlike Tespiti, Veri Dışı Aktarımı Tespiti, Komut ve Kontrol (C2) Tespiti, Uyarı Yorgunluğu Yönetimi, Kural Ayarlama ve Optimizasyon, SOC Tespit Kuralı Mühendisliği, Proaktif Tehdit Avı

Modül 4: QRadar Offense Motoru ve Olay Soruşturması

QRadar offense motorunu derinlemesine kapsar: olay oluşturma, soruşturma iş akışı, bağlam analizi, yanlış pozitif yönetimi, tahlil ve olay ele alımı.

4.1 Offense Motoru

• Olay oluşturma, toplama ve yaşam döngüsü yönetimi
• Olay özellikleri: ciddiyet, güven, durum ve atıf
• Olay toparlama mantığı: alakalı olayları anlamlı olaylarda gruplandırma
• Olay yükseltme, görevlendirme ve iş akışı yönetimi

4.2 Olay Soruşturması ve Bağlam Analizi

• Derin olay analizi ve zaman çizelgesi yeniden oluşturması için Context Explorer
• Olay zaman çizelgesi analizi: güvenlik olaylarının kronolojik yeniden oluşturulması
• IP adresi analizi ve itibar (Tehdit Zekası) zenginleştirme
• Kullanıcı ve varlık bağlamı: kullanıcı aktivitesi, ana bilgisayar envanteri ve varlık risk analizi
• Olay ve olay ayrıntıları görünümlerinde korelasyon olayları
• Olay korelasyonu, olay gruplandırma ve kanıt toplama

4.3 Tehdit Zekası Entegrasyonu

• Zafiyet ve Tehdit Zekası (VTI) beslemelerini entegre etme
• IBM QRadar VTI ile otomatik tehdit zekası zenginleştirme
• Özel tehdit besleme yükleme ve saldırgan profilleri
• Olaylarda ve risk analizinde tehdit zekası bağlamı

4.4 Yanlış Pozitif Yönetimi ve Kural Ayarı

• Offense Motorunda yanlış pozitifleri tanımlama ve sınıflandırma
• Yanlış pozitif bastırma kuralları ve bastırma iş akışları
• Kural ayarlama: tespitin hassasiyetini korurken gürültüyü azaltma
• Sürekli iyileştirme için yanlış pozitif olayların dokumantasyonu

Pazarla Uygun Yeterlilikler: QRadar Offense Motoru Yönetimi, Olay Soruşturması ve Analizi, Tehdit Soruşturması, Context Explorer Kullanımı, Olay Zaman Çizelgesi Analizi, IP İtibar Analizi, Varlık Risk Analizi, Tehdit Zekası Zenginleştirme, VTI Besleme Entegrasyonu, Yanlış Pozitif Yönetimi, Uyarı Ayarlama ve Gürültü Azaltma, SOC Olay Yanıt İş Akışı, Güvenlik Olay Yaşam Döngüsü, Kompromize Göstergesi Analizi, Siber Tehdit Atfı

Modül 5: QRadar Zafiyet Yönetimi (QVM) ve Risk Yöneticisi (QRM)

IBM QVM'a derinlemesine dalış: zafiyet tarama entegrasyonu, risk temelli zafiyet önceliği, risk yönetimi yapılandırmaları ve risk odaklı güvenlik pozisyonu değerlendirme.

5.1 IBM QRadar Zafiyet Yöneticisi (QVM)

• QVM mimarisi: Nessus, Qualys ve Rapid7 tarayıcılarıyla entegrasyon
• Zafiyet tarama iş akışları ve tarama zamanlaması
• Zafiyet değerlendirme sonuçlarının ayrıştırılması ve QRadar entegrasyonu
• CVSS skorunun korelasyonu ve zafiyet ciddiyet sınıflandırması
• Zafiyet eğilim analizi ve düzeltme önceliği

5.2 IBM QRadar Risk Yöneticisi (QRM)

• QRM mimarisi: risk hesaplama motoru ve puanlama metodolojisi
• Risk kural yapılandırma: varlık kritikliği, zafiyet istismarı olasılığı, varlık risk profilleri
• Risk skoru hesaplama: zafiyet verisi, tehdit zekası, olay verisi ve varlık değerinin birleştirilmesi
• Risk temelli varlık sıralama ve risk panel yapılandırması
• Risk odaklı varlık önceliği ve risk odaklı düzeltme önceliği

Pazarla Uygun Yeterlilikler: Zafiyet Değerlendirme ve Yönetimi, IBM QRadar Zafiyet Yöneticisi (QVM), CVE Skoru Korelasyonu, Zafiyet Tarama Entegrasyonu, Qualys/Nessus Entegrasyonu, Risk Temelli Zafiyet Önceliği, IBM QRadar Risk Yöneticisi (QRM), Risk Skoru Hesaplama, Varlık Kritikliği Değerlendirme, Risk Odanlı Düzeltme, Risk Panel Yapılandırma, Zafiyet Eğilim Analizi, Kurumsal Zafiyet Yönetimi, Kurumsal Risk Değerlendirme ve Yönetimi

Modül 6: QRadar SOAR, Otomasyon ve Olay Yanıtı

IBM QRadar SOAR (Güvenlik Orkestrasyonu, Otomasyonu ve Yanıtı), playbook orkestrasyonu, çalışma kitabı otomasyonu ve modern SOC operasyonları için gerekli olan olay yanıtı otomasyonunu kapsar.

6.1 IBM QRadar SOAR Genel Bakış

• Güvenlik orkestrasyonu ve otomatik yanıt: tanımı ve değeri
• QRadar SOAR mimarisi ve bileşenleri: playbooklar, olaylar, otomasyon eylemleri ve veri eylemleri
• QRadar SOAR entegrasyonu: SIEM, EDR, tehdit zekası ve bilet sistemlerini bağlama (ServiceNow, Jira)
• SOAR vs. geleneksel otomasyon: playbook-driven workflow orchestration

6.2 Playbook Tasarımı ve Yürütme

• Playbook oluşturma: otomatik soruşturma ve yanıt iş akışlarını oluşturma
• Playbook tetikleyicileri: olay oluşturma, kural tetikleyicileri ve manuel aktivasyon
• Playbook eylemleri: IP adreslerini zenginleştirme, IP'leri engelleme, bilet oluşturma, tehdit beslemelerini sorgulama
• Playbook koşulları ve dallanma mantığı

6.3 Olay Yanıtı Otomasyonu

• Otomatik olay yanıtı: dakikalar içinde uyarıdan izolasyona
• Otomatik tehdit avı: playbook-driven tehdit soruşturması
• Otomatik olay izolasyonu: IP engelleme, uç nokta yalıtımı ve hesap askıya alma
• Enişte, fidye yazılımı, kaba kuvvet saldırıları ve içeriden gelen tehditler için otomatik olay yanıtı iş akışları

6.4 Harici Sistemlerle Entegrasyon

• QRadar SOAR ServiceNow, Jira, Slack, e-posta ve webhook-tabanlı sistemlerle entegrasyonları
• Tehdit Zekası platformlarıyla özel API entegrasyonu
• Otomatik uç nokta eylemleri için EDR entegrasyonu
• Veri paketi analizi (dosya, URL, alan) otomasyonu

Pazarla Uygun Yeterlilikler: Güvenlik Orkestrasyonu, AI Otomasyon ve Yanıtı (SOAR), IBM QRadar SOAR, Playbook Otomasyonu, Çalışma Kitabı Tasarımı, Otomatik Olay Yanıtı İş Akışı Orkestrasyonu, API Odanlı Güvenlik Otomasyonu, Tehdit Zekası Entegrasyonu, Olay İzolasyonu Otomasyonu, Otomatik Tehdit Analizi, Güvenlik için ServiceNow Entegrasyonu, Bilet Sistemi Otomasyonu, Uç Nokta Yanıtı Otomasyonu, Otomatik IP Kara Listesileme, Fidye Yazılımı Yanıtı Otomasyonu

Modül 7: QRadar Adli İnceleme, Ağ Adli İnceleme ve Veri Analizi

QRadar Olay Adli İncelemesini (QRIF) ve adli soruşturma yeteneklerini, paket yakalama analizi için ağ adli incelemeyi (NFI) ve olay soruşturmasında kullanılan adli analiz tekniklerini kapsar.

7.1 IBM QRadar Adli İnceleme (QRIF)

• QRIF: araştırmalar için adli veri toplama ve depolama
• Adli veri kaynakları: paket yakalamaları, olay logları ve uç nokta adli incelemesi
• Adli analiz: zaman çizelgesi yeniden oluşturması, dosya analizi ve ağ adli analizi
• Adli kanıt korunması ve sahiplik zinciri
• QRIF içindeki adli analiz araçları ve teknikleri

7.2 Ağ Adli İnceleme ve Denetim (NFI)

• Ağ adli incelemesi: paket yakalama analizi ve ağ trafiği denetimi
• Akış verisi analizi: QRadar Network Forensics'te NetFlow, sFlow ve IPFIX
• Protokol analizi: HTTP, DNS, SMTP, SSH, FTP ve özel protokol denetimi
• Ağ adli incelemesi yoluyla tehdit tespiti: C2 beaconing, veri dışa aktarımı ve yanal hareket algılama
• Şüpheli trafik kalıplarının tanımlanması

7.3 Kullanıcı ve Varlık Davranış Analitikleri (UEBA)

• UEBA: kullanıcı davranışı tabanı anlama ve anormallik tespiti
• UEBA veri kaynakları: Active Directory, proxy logları, uç nokta logları, DLP logları, kimlik doğrulama logları, bulut logları
• UEBA puanlama: kullanıcı risk skorları ve varlık risk skorları
• UEBA'ya dayalı tehdit tespit: komprome olmuş hesaplar, içeriden gelen tehditler ve veri dışa aktarımı

Pazarla Uygun Yeterlilikler: QRadar Olay Adli İncelemesi (QRIF), Adli Veri Toplama, Adli Soruşturma ve Analiz, Ağ Adli İnceleme, Paket Yakalama Analizi, Akış Verisi Analizi, Ağ Adli İnceleme ile Tehdit Tespiti, Kullanıcı ve Varlık Davranış Analitikleri (UEBA), Kullanıcı Anormallik Tespiti, İçeriden Gelen Tehlike Tespiti, Komprome Oluş Hesap Tespiti, Kullanıcı Davranışı Üzerinden Veri Dışı Aktarımı, C2 Beaconing Tespiti, Ağ Adli İnceleme ile Yanal Hareket Tespiti, Dijital Adli İnceleme ve Olay Yanıtı (DFIR), Kanıt Korunumu ve Sahiplik Zinciri, Protokol Analizi, Güvenlik Log Adli İncelemesi, Ağ Analitiği Üzerinden Tehdit Avı

Modül 8: Bulut SIEM, SIEM-as-Code, Uyumluluk ve SIEM Operasyonları

IBM QRadar operasyonlarını, ölçeklendirmeyi, uyum raporlamasını, bulut SIEM entegrasyonunu, code-detected practices'yi ve kurumsal ölçekli SIEM dağıtımı için gerekli olan SOC yönetimini değerlendirir.

8.1 QRadar Operasyonları ve Yönetimi

• QRadar yönetimi: kullanıcı rolleri, izinler ve güvenlik politikaları
• QRadar yapılandırmalarını ve erişim loglarını denetleme
• Yönetim ve uyum için zamanlanmış raporlar ve özel rapor tasarımı
• Zamanlanmış görevler: yedekleme/geri yükleme, veritabanı temizleme ve bakım
• SIEM log yönlendirmesi için Syslog sunucusu yapılandırma
• QRadar aygıtları için yazılım güncellemeleri ve yama yönetimi

8.2 Uyumluluk Raporlaması ve Mevzuat Eşleme

• PCI DSS SIEM gereksinimleri ve QRadar uyum raporlaması
• HIPAA, GDPR, SOX, NIST CSF ve ISO 27001 uyum eşlemeleri ile QRadar raporları
• Düzenleyici denetim raporlaması: PCI DSS ve HIPAA denetçileri için özel rapor şablonları
• Gerçek zamanlı uyum izleme ve sürekli uyum panoları

8.3 SIEM-as-Code ve Altyapı Olarak Kod

• Sürüm kontrollü SIEM kural yönetimi: Git-tabanlı kural dağıtımı
• Terraform ve Ansible QRadar appliance tedarik etme ve yapılandırma için
• SIEM kuralları ve playbooklar için CI/CD pipelineı
• Kural dağıtımı ve yönetimi için QRadar API-drive otomasyonu

8.4 Bulut SIEM ve Hibrit Bulut Güvenliği

• Bulut log kaynak entegrasyonu: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
• Yerli bulut SIEM stratejileri: SaaS ortamları için SIEM (AWS, Azure, GCP, Office 365, AWS)
• microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs, Google Cloud Logging SIEM entegrasyonları
• Bulut kimlik ve erişim izleme: IAM, Active Directory, Entra ID
• Bulut iş yükü koruması ve SIEM entegrasyonu

8.5 Kimlik Tehdit Tespiti

• Yeni tehdit sınırı olarak kimlik: hesap kompromi tespiti
• Active Directory tehdit tespiti: Kerberoasting, AS-REP roasting, Golden/Sid bilet saldırıları
• Çok faktörlü kimlik doğrulama (MFA) atlama tespiti
• Ayrıcalıklı Kimlik Yönetimi (PIM) izleme

8.6 Sıfır Güvenlik İzleme

• Sıfır Güvenlik mimari izleme: kimlik, cihaz ve ağ kontrolleri
• Mikrosegmentasyon izleme ve politika doğrulama
• SIEM entegrasyonu aracılığıyla Sıfır Güvenlik uyum raporlaması

8.7 SOC Operasyonları ve SIEM Yönetişimi

• SOC metrikleri ve KPI'lar: MTTR (Ortalama Yanıt Süresi), SIEM izleme için MTTD
• SOC olgunluk değerlendirme ve SIEM-driven SOC iyileştirme
• SIEM yönetişimi: kural yönetimi, yanlış pozitif takibi ve sürekli iyileştirme
• SIEM operasyonel en iyi uygulamalar: izleme, uyarı ve yükseltme prosedürleri

Pazarla Uygun Yeterlilikler: QRadar Yönetimi, SIAM Operasyonları ve Yönetimi, SIAM Uyum Yönetimi, PCI D SIAM Uyumu Raporlaması, HIPAA ve GDPR SIAM Uyumu, SOX ve ISO 27001 SIAM Uyumu, NIST CSF SIAM Eşleme, Sürekli Uyum İzleme, Özel Uyumluk Raporlama, SIAM-as-Code ve Altyapı Olarak Kod, Terraform for SIAM, Ansible for SIAM Dağıtım, CI/CD for SIAM Rules, QRadar API Otomasyonu, Bulut SIAM Entegrasyonu, AWS CloudTrail SIAM, Microsoft Sentinel Entegrasyonu, GCP Cloud Logging SIAM, Azure Monitor SIAM, Office 365 SIAM Entegrasyonu, Yerli Bulut SIAM, Sıfır Güvenlik İzleme, IAM Tehdit Tespiti, Kimlik Tehdit Tespiti, Active Directory Threat Detection, Kerberos Attack Detection, Ayrıcalıklı Kimlik İzleme, Çok Faktörlü Kimlik Doğrulama (MFA) Güvenliği, SOC KPI ve Metrik Yönetimi, SOC Olgunluk Değerlendirme, SIAM Operasyonel En İyi Uygulamalar, Olay Yanıtı Yönetişimi, SIAM Kural Yaşam Döngüsü Yönetimi, Kurumsal SIAM Yönetişimi

Modül 9: Bitirme Projesi ve Gerçek Dünya Tehdit Senaryoları

Tespit, soruşturma ve IBM QRadar kullanarak olay yanıtını içeren kurumsal güvenlik senaryolarını simüle eden kapsamlı uygulamalı bitirme projesi.

9.1 Bitirme Projesi: Kurumsal Güvenlik Senaryosu

• Gerçekçi log kaynakları ve saldırı senaryolarıyla simüle kurumsal ortamın kurulumu
• Log kaynaklarının dağıtımı ve log toplama politikalarının yapılandırılması
• MITRE ATT&CK'ye eşlenen tespit kurallarının oluşturulması
• QRadar'da gerçek dünya olay verisinin araştırılması ve adli analiz yapılması
• Otomatik yanıt için SOAR playbooklarının tasarlanması ve dağıtılması
• PCI DSS, HIPAA ve GDPR için uyum raporlarının oluşturulması
• Kapasite planlamasının yapılması ve SIAM dağıtımının ölçeklendirilmesi

9.2 Gerçek Dünya Tehdit Senaryoları

• Simüle saldırılar: fidye yazılımı yayılımı, içeriden gelen tehlike, yanal hareket, kaba kuvvet saldırıları, tedarik zinciri saldırıları ve zehirleme
• Fidye yazılımı tespiti: yanal hareket, veri depolama ve yanal hareket tespiti
• İçeriden gelen tehlike: veri dışa aktarma girişimleri ve anormallik tespiti
• Tedarik zinciri saldırı tespiti: komprome olmuş tedarikçi erişimi tespiti
• Zehirleme yanıtı: otomatik URL engelleme ve e-posta soruşturma iş akışları
• Sıfır gün tehdit avı: kural-less av teknikleri kullanarak bilinmeyen tehdit tespiti
• UEBA ve adli analiz kullanarak Gelişmiş Sürekli Tehdit (APT) tespiti

Pazarla Uygun Yeterlilikler: Bitirme Güvenlik Projesi Teslimi, Kurumsal SIAM Simülasyonu, Gerçek Dünya Tehdit Senaryo Tasarımı, MITRE ATT&CK Tespit Kural Dağıtımı, SOC Olay Soruşturması, QRadar SOAR Playbook Tasarımı, Fidye Yazılımı Yanıtı Simülasyonu, İçeriden Gelen Tehlike Tespiti, Zehirleme Yanıtı Otomasyonu, Tedarik Zinciri Saldırısı Tespiti, Sıfır Gün Tehdit Avı, Gelişmiş Sürekli Tehdit (APT) Tespiti, SIAM Kapasite Planlaması ve Ölçeklendirme, Çoklu Uyum Raporlama (PCI DSS, HIPAA, GDPR), Kurumsal Tehdit Yanıtı, Adli Tehdit Soruşturması, Tehdit Zekası Zenginleştirme, Otomatik Olay İzolasyonu, SOC Operasyon Simülasyonu, Tam Ölçekli SIAM Mühendisliği Uygulaması