SOC ANALİSTİ

SOC analistleri , yönetilen güvenlik hizmetleri ekibinin üyeleri olarak çalışarak üç katmanı bulunmaktadır ;

• SOC düzey 1 ( kademe 1 ) analistleri ; Ağlar ve sistemler üzerindeki olası anormal etkinlikleri belirlemek için genelde uç nokta algılama ve
yanıt ( EDR ) , güvenlik bilgileri ve olay yönetimi ( SIEM ) araçları gibi güvenlik araçlarını izler. Anormal aktivite tespit edilirse , bunu 2. seviye
analistlere iletirler.

• SOC seviye 2 ( kademe 2 ) analistleri ; Anormal davranışları araştırır. Bazı durumlarda , olay yanıt ( IR ) görevlerini ve ilk kötü amaçlı yazılım
analizini gerçekleştirebilirler. IR çalışma kitapları oluşturabilir ve rutin görevleri otomatikleştirmek için komut dosyası oluşturabilirsiniz. 2.
seviye SOC analisti atlama kutularına erişim ayarlayabilir ve hafif adli soruşturma çalışmaları yapabilir.

• SOC seviye 3 ( kademe 3 ) analistleri ; IR gerçekleştirerek tipik olarak tehdit avı ve tehdit profili çıkarır. Kuruluşlarına bağlı olarak tersine
mühendislik kötü amaçlı yazılımları ve dijital adli tıpta bazı işler yapabilirler.

SOC analist maaşları , konuma , şirkete ve diğer faktörlere göre önemli ölçüde değişebilir. Amerika Birleşik Devletleri'nde , giriş seviyesi SOC
seviye 1 rolü için 65.000 ile 90.000 $ arasında kazanç bekleyebilirsiniz. SOC analisti olarak kariyer , sağlam temel beceri seti oluşturur ve birçok
siber güvenlik kariyerine hazırlanmanıza yardımcı olabilir. Bazı örnekler adli araştırmacı , tersine mühendislik , penetrasyon test cihazı , GRC
analisti ve CISO'dur.

SOC analist kariyeri için ortak mülakat soruları ; SOC analisti pozisyonu için yapılan görüşmelerde karşılaşabileceğiniz genel bilgiler , saldırı
türleri ve araçlar dahil olmak üzere genel görüşme sorularını göreceğiz. Sorular cevaplarıyla birlikte listelenmiştir. Cevaplarınızı olabildiğince
kısa tutup akabinde görüşmeciye konuyu genişletmeniz gerekip gerekmediğini sormanızdır.

Genel SOC bilgi soruları ;

• Bilgi güvenliği nedir ve nasıl sağlanır? ; Bilgi güvenliği sadece bilginin gizliliğini , bütünlüğünü ve kullanılabilirliğini korumak anlamına gelir.
Değerli bilgileri belirlediğiniz , bu bilgilerle ilgili tüm varlıkları belirlediğiniz , güvenlik açıklarını belirlediğiniz , bilgilerin CIA'ya yönelik
tehditlerini belirlediğiniz ve olay meydana gelirse bilgi ve kuruluş üzerindeki etkisini belirlediğiniz risk yönetimi yoluyla gerçekleştirilir.

• Risk , güvenlik açığı ve tehdidi açıklayınız ; Güvenlik açığı , bir sistemdeki zayıflık diyebiliriz. Zafiyetler zayıflıklardır. Bir sistemin korunmasında
boşluk olduğu anlamına gelir. Tehdit , güvenlik açığından kendi çıkarları için yararlanmaya çalışan saldırgandır. Risk , güvenlik açığından tehdit
aktörü tarafından yararlanıldığında potansiyel kaybın ölçüsüdür.

• Asimetrik ve simetrik şifreleme arasındaki fark nedir ve hangisi daha iyidir? ; Simetrik şifreleme , şifreleme ve şifresini çözmek için aynı
anahtarı kullanır. Asimetrik şifreleme , şifreleme ve şifresini çözmek için farklı anahtarlar kullanır. Her ikisinin de yararları ve sakıncaları vardır.
Simetrik şifreleme normalde asimetrikten daha hızlıdır fakat anahtarın şifrelenmemiş kanal üzerinden aktarılması gerekir. Asimetrik daha
yavaş ama daha güvenlidir. İkisinin karışımını kullanmak en iyisidir.

• IPS nedir ve IDS'den farkı nedir? ; İzinsiz giriş tespit sistemi ( IDS ) izinsiz girişi tespit ederek daha fazla işlem yapmaları için yöneticiyi uyarır.
İzinsiz giriş koruma sistemi ( IPS ) izinsiz girişi tespit ederek izinsiz girişi önlemek için harekete geçecektir.

• Şifreleme ve hash oluşturma arasındaki fark nedir? ; Şifreleme tersine çevrilebilirken hash tek yönlüdür. Bazı durumlarda , gökkuşağı
tabloları ve çarpışma saldırıları kullanılarak hashing kırılabilir fakat geri döndürülemezler. Hashing , verilerin bütünlüğünü sağlayarak şifreleme
ve verilerin gizliliğini sağlar. İkisi arasındaki farkı hatırlamanın basit yolu ise hash'in verilerin bütünlüğünü koruduğu ve tek yönlü olduğu iken
şifrelemenin verilerin kendisini korumak için kullanıldığı ve iki yönlü olduğu yani bir şeyi bir kez şifrelediğinizde şifresini çözebileceğiniz
anlamına gelir.
• Güvenlik yanlış yapılandırması nedir? ; Güvenlik yanlış yapılandırması , ağın , uygulamanın veya cihazın , saldırganın onu kolayca
kullanmasına izin verecek şekilde yapılandırıldığı yerdir. Hem tüketici hem de B2B alanındaki en yaygın güvenlik yanlış yapılandırmalarından
biri de varsayılan oturum açma kimlik bilgilerinin kullanılmasıdır. Diğer bir yaygın güvenlik yanlış yapılandırması , hassas verilere erişimin
kısıtlanmadığı bulut ortamlarını içerir.

• Siyah şapka, beyaz şapka ve gri şapka korsanları nelerdir? ; Siyah şapka , sistemlere veya verilere erişme yetkisi olmayan ancak yine de bunu
yapmaya çalışan birini tanımlamak için kullanılır. Beyaz şapkalı hacker , sahibinden izin alır. Gri şapkalı bilgisayar korsanı izinsiz saldırır ama
bunu daha iyiye yönelik yapar. Gri şapkaya örnek , donanım yazılımını güncellemek için ev kablosuz erişim noktalarını ( WAP ) hackleyen
bilgisayar korsanlarııdır. Böylece kullanıcılar kritik güvenlik açığına karşı korunmuş olacaktır.

• Güvenlik duvarı nedir? ; Güvenlik duvarı , kapı koruması gibidir. Bir dizi önceden tanımlanmış kurala dayanarak , trafiğe izin verir veya
vermezler. Modern ağlarda güvenlik duvarları hala kullanılmaktadır fakat kendi cihazını getir ( BYOD ) gibi şeyler nedeniyle artık gerçekten
çevre denen bir olay yoktur.

• Bilgi güvenliği haberleriyle kendinizi nasıl güncel tutuyorsunuz? ; Siber güvenlik haberlerini incelemek üzere tek yerden toplamak için Feedly
kullanabilir veya Threatpost , The CyberWire , The Hacker News gibi siteleri takip edebilirsiniz.

• Güvenlik uzmanı olarak kuruluşunuzu korumak için ne yapardınız? Sizin ilk siber rolünüzse , NIST SP 800-61'de listelenen IR adımlarına
odaklanınız.

• CIA üçlüsü nedir? ;

Gizlilik sadece doğru kişilerin , sistemlerin veya uygulamaların verilere erişebilmesini sağlamaktır. Gizliliği , verilerinizi kasaya kilitlemek ve
sadece güvendiğiniz kişilere erişim vermek olarak düşünebilirsiniz.

Bütünlük, verilerin değiştirilmediğinden emin olmaktır.

Kullanılabilirlik , doğru kullanıcıların ihtiyaç duyduklarında doğru bilgilere erişebilmelerini sağlamaktır. Kritik altyapı gibi bazı sektörlerde
kullanılabilirlik , öncelik listesinde gizlilik ve bütünlükten önce gelir.

• HIDS ve NIDS – hangisi daha iyi ve neden? ; Host bilgisayar saldırı tespit sistemi ( HIDS ) , sadece bir host makinede yaşayan IDS'dir. Host
bilgisayar tabanlı algılamanın dezavantajı ; ağa izinsiz giriş algılama sisteminden ( NIDS ) çok daha fazla işlem gücü tüketebilmesidir. Hem
HIDS'ler hem de NIDS'ler benzer eylemler gerçekleştirir fakat HIDS , uç noktada şüpheli etkinliklere ilişkin daha fazla görünürlük sağlar.

• Güvenlik politikası nedir? ; Kuruluşun tehditlerden nasıl korunacağını ve olaylara yanıt verme prosedürlerini özetleyen belgedir.

• Bilgi güvenliğinin temel ilkeleri nelerdir? ; Gizlilik , Bütünlük , Kullanılabilirlik.

• İnkar edilemezlik nedir? ; Bbilgiyi ne gönderen ne de alan kişinin bilgiyi işlediğini inkar edemeyeceği anlamına gelir. Gönderici veya alıcı ,
insandan insana iletişim , insandan makineye veya makineden makineye olabilir.

• Bilgi güvenliği ve veri kullanılabilirliği arasındaki ilişki nedir? Bilgi güvenliği , verilerin korunmasını ve verilere sadece yetkili kişilerin
erişebilmesini sağlamayı gerektirir. Veri kullanılabilirliği , sadece yetkili varlıkların ihtiyaç duyduklarında verilere erişebilecekleri anlamına
gelir.

• Mantıksal ve fiziksel güvenlik arasındaki fark nedir? ; Fiziksel güvenlik , yetkisiz varlıkların erişmemeleri gereken şeylere fiziksel olarak
erişmelerini engellemektir. Mantıksal güvenlik , yetkisiz erişimi engellemenin elektronik biçimini kapsar. Bunu , aktarılan ve dinlenen veriler
için şifreleme kullanmak gibi bir şeyle yapabilirsiniz , böylece başka hiç kimse verileri okuyamaz.

• Kabul edilebilir bir risk seviyesi nedir? ; Organizasyonun risk iştahına bağlıdır.

• Bana yaygın güvenlik açıklarına bir örnek verebilir misiniz? ; Yanlış güvenlik yapılandırmaları , üçüncü tarafların kimlik ve erişim yönetimi (
IAM ) , kimlik bilgilerinin yeniden kullanımı diyebiliriz.

• ISO/IEC 27002 gibi herhangi güvenlik yönetimi çerçevesine aşina mısınız? ISO 27002 , kuruluşların güvenlik duruşlarını iyileştirmeye yardımcı
olmak için kullanabilecekleri güvenlik kontrolleri çerçevesidir.

• Güvenlik kontrolü nedir? ; Güvenlik kontrolleri , verileri , hizmetleri ve iş operasyonlarını korumak için kullanılan önlemler , parametreler
ve karşı önlemlerdir.

• Güvenlik kontrollerinin farklı türleri nelerdir? Üç ana güvenlik denetimi türü vardır ;

Teknik kontroller , mantıksal kontroller olarak da bilinir. Teknik kontrol örnekleri arasında şifreleme , ACL'ler , güvenlik duvarları , IDS / IPS ,
SIEM araçları ve anti-virüs yazılımı kullanma bulunur.

İdari kontroller , kuruluşun riskini yönetmesine yardımcı olan politikalar , prosedürler veya yönergelerdir. İdari kontrollerin uygulanması
insanlar tarafından yürütülür ve operasyonel kontroller olarak adlandırılır.

Fiziksel güvenlik kontrolleri , CCTV kameraları , alarm sistemleri , güvenlik görevlileri , kimlik tarayıcıları , kilitler ve biyometri gibi şeyleri içerir.

• Bilgi güvenliği yönetişimi nedir? ; Bilgi güvenliği yönetişimi , bir kuruluştaki güvenlik için hesap verebilirlik çerçevesidir. Çoğu durumda , C
düzeyindeki yöneticiler kuruluş için risk iştahını belirleyerek uyum ve performans hedeflerini tanımlayacaktır. Siber güvenlik yöneticisi daha
sonra güvenliğin nasıl uygulanacağını belirleyerek kuruluşun risk iştahını aşmaması için risk toleransı belirleyecektir.
• Açık kaynak projeleri, tescilli projelerden daha fazla mı yoksa daha az mı güvenli? ; Projenin boyutuna , geliştiricilerin geçmişine ve yerinde
kalite kontrollerine bağlıdır. Birçok işe alım yöneticisi , her ikisi için de birkaç artı ve eksiyi listelemenizi isterler. Bu onlara , birini veya diğerini
kullanabilecek projeler üzerinde düşünebildiğinizi gösterecektir.

• Bilgi güvenliği alanında kimi örnek alırsınız? ; Sosyal medyada takip ettiğiniz kıdemli siber güvenlik uzmanınız yoksa , işe alım müdürüne
belirtebilirsiniz ama genede gitmeden birkaç isim ezberlemek işimize yarayacaktır.

• POST kodunun ne anlama geldiğini nasıl anlarsınız? ; Açılışta kendi kendine sınama ( POST ) , önyükleme işlemi sırasında bilgisayarınızın
çalıştırdığı tanılama denetimidir.

Bir bip: Yenileme hatasıdır. Bellek kartınızı veya ana kartınızı kontrol etmeniz gerekebilir. İki bip: Eşlik hatasıdır. Üç bip: Hafıza hatasıdır. Dört
bip: Zamanlayıcı hatasıdır. Beş bip: İşlemci arızasıdır. Altı bip: Klavye denetleyici hatasıdır. Yedi bip: Sanal mod istisna hatasıdır. Sekiz bip:
Ekran belleği hatasıdır.

• Gözaltı zinciri “ Chain Of Custody “ nedir? ; Delillerin toplandığı andan mahkemeye sunulduğu zamana kadar delilleri kimin ele aldığını
gösteren kağıt izidir.

• Güvenlik duvarınızda filtrelenmiş bağlantı noktalarını mı yoksa kapalı bağlantı noktalarını mı tercih edersiniz? Kapalı portları belirtebiliriz.
Bağlantı noktalarını kapatarak saldırı yüzeyini sınırlandırabiliriz.

• Bal küpü “ Honeypot “ nedir? Yüksek düzeyde , bal küpü, düşmanları çekmek için tasarlanmıştır. Böylelikle sistemlere nasıl saldırdıklarını
görebilirsiniz. Saldırganın saldırılarında başarılı olması için Siber Öldürme Zincirinin her aşamasında tehdit aktörünün hangi eylemleri
gerçekleştirmesi gerektiğini anlamanıza yardımcı olarak tespit yeteneklerinize yardımcı olabilir. Daha sonra bu eylemler için algılama
oluşturabilir ve saldırıları durdurabilirsiniz.

• Bulut bilişim ortamında hangi bilgi güvenliği sorunlarıyla karşılaşılır? Birçok zorluk bulunmaktadır. IAM , yanlış güvenlik yapılandırmaları ,
bulut altyapınıza ve varlıklarınıza ilişkin görünürlük ve içeriden gelen tehditler yanıtlamanız gereken birkaçıdır.

• IPv4 alt ağ maskesi için kaç bite ihtiyacınız var? ; Alt ağ maskeleri IPv4 için 32 bittir.

• OSI modelinin katmanları nelerdir?

1. Katman – Ham veri akışının fiziksel ortam ( fiber optik kablo , bakır kablolar ve elektromanyetik dalgalar ) üzerinden aktarıldığı fiziksel
katmandır.

2. Katman – Aynı LAN segmentindeki düğümler arasında veri aktarımını kontrol eden ve medya erişim denetimi ( MAC ) ile mantıksal bağlantı
denetiminin ( LLC ) alt katmanlarını içeren veri bağlantı katmanıdır. Bu katman , MAC adresini gördüğünüz yerdir ve bu katmandaki bilgiler
çerçeveler “ frame “ olarak etiketlenir.

3. Katman – Verilerin hangi yolu izleyeceğine karar veren ağ katmanıdır. Paketleri ağ sınırları boyunca taşıyarak yönlendirir. Bu katmandaki
bilgiler paket olarak etiketlenerek IP yönlendirmenin yaşadığı yer burasıdır. Bu katmandaki İnternet Protokolü sürüm 4 ( IPv4 ) ve İnternet
Protokolü sürüm 6 ( IPv6 ) adresi olacaktır. Bu katmandaki protokollerden bazıları Adres Çözümleme Protokolü ( ARP ) , Ters Adres
Çözümleme Protokolü ( RARP ) , Etki Alanı Adı Sistemi ( DNS ) , İnternet Kontrol Mesaj Protokolü ( ICMP ) , Dinamik Ana Bilgisayar Yapılandırma
Protokolü ( DHCP ).

4. Katman – İletim Kontrol Protokolü ( TCP ) ve Kullanıcı Datagram Protokolü ( UDP ) gibi protokolleri kullanarak verileri ileten taşıma
katmanıdır. Taşıma katmanı , uygulamalardan gelen verileri yönetilebilir boyuta bölmekten sorumludur ve bilgiler bu katmanda segment
olarak etiketlenir. UDP protokolü TCP'den daha hızlıdır fakat sadece verileri gönderir ve verilerin diğer uçtan alınıp alınmadığını umursamaz.
TCP ile göndericinin verilerin hedeflenen alıcı tarafından alındığını bilmesini sağlayan üç yönlü el sıkışma kurulur.

5. Katman – Bağlantıları koruyan ve bağlantı noktaları ile oturumları kontrol eden oturum katmanıdır. Oturum katmanı , oturumun
oluşturulmasını , kullanılmasını ve parçalanmasını yönetir. Oturum için belirteç yönetimini de yönetir.

6. Katman – Verilerin kullanılabilir biçimde sunulduğu ve verilerin şifrelendiği sunum katmandır. İletilen verilerin sözdizimini koruyarak
verilerin sıkıştırılmasını ve açılmasını sağlar.

7. Katman – Uygulamalarla etkileşimin gerçekleştiği uygulama katmanıdır. 7. katmandaki protokollerin bazı örnekleri ; Köprü Metni Aktarım
Protokolü ( HTTP ) , Güvenli Kabuk (SSH ) , Dosya Aktarım Protokolü ( FTP ) , Basit Posta Aktarım Protokolü'dür ( SMTP ).

• Kapsülleme nedir? ; Veriler , OSI modelinin katmanları arasında hareket ettikçe , her katman , verilere başlık ve bazen fragman ekleyerek
verileri kapsüller. Veri kapsülleme sadece verilerin şifrelenmesi değildir. Verilerin şifrelenmesi sunum katmanında gerçekleşebilir fakat bu her
zaman gerçekleşmez.

Bir kişinin kimliğini doğrulamanın üç yolu nedir? Parolanız gibi bildiğiniz bir şeyi kullanmak. Akıllı kimlik kartı gibi sahip olduğunuz bir şeyi
kullanmak. Parmak izi gibi olduğun bir şeyi kullanma.

• Güvenlik duvarı algılamasında hangisi daha kötü , yanlış negatif mi yanlış pozitif mi? ; Saldırının meydana geldiğini bilmediğiniz için yanlış
negatif daha kötüdür.

• Çoğu şirketin zafiyetlerini giderememiş olmasının başlıca nedeni nedir? ; Birçok kuruluş , güvenlik açıklarını düzeltmenin maliyetinin , şirket
için veri ihlali maliyetinden daha fazla olduğunu belirtecektir. Bu birçok durumda doğrudur. Kuruluş için önemli risk oluşturmayan , yama
uygulanamayan güvenlik açıkları sorunu da vardır.
• Üçlü el sıkışma nedir? DOS saldırısı oluşturmak için nasıl kullanılabilir? ; TCP üç yönlü el sıkışma , istemci ve sunucu arasında iletişim kurmanın
bir yoludur. İstemciden sunucuya SYN paketi gönderilir. Sunucu iletişimi ( ACK ) kabul ederek kendi SYN paketini geri gönderir. İstemci daha
sonra ACK paketi ile alındığını onaylar. Basitçe olay budur ama bazı görüşmeciler detaya inmenizi isteyebilir. Saldırgan , sunucuya SYN paketi
göndererek bunu hizmet reddi ( DoS ) saldırısı için kullanabilir. Sunucu daha sonra SYN / ACK ile yanıt verecek ve saldırgandan ACK yanıtı
bekleyecektir. Bunun yerine , saldırgan SYN paketleri göndermeye devam ederek sunucunun bant genişliği , SYN paketlerine verdiği yanıtlarla
tüketilir.

• 1. ve 2. seviye SOC analistlerinin sorumluluklarından bazıları nelerdir? ; Seviye 1 ( kademe 1 ) SOC analistinin bazı sorumlulukları arasında
SIEM'ler ve IDS'ler gibi araçlar aracılığıyla ağ ve sistem trafiğindeki kötü niyetli ve anormal davranışların izlenmesi , biletleme sistemleri
kullanılması ve bulunan şüpheli etkinliğin gözden geçirilmek üzere seviye 2 analistlerine iletilmesi yer alır. Seviye 2 ( katman 2 ) SOC analistleri
, çalışma kitaplarını kullanarak uyarıların triyajını gerçekleştirir. Düzey 2 analistler yanlış pozitifleri azaltmaya yardımcı olmak için toplama
araçlarını ayarlayabilir ve kuruluşun savunma duruşundaki güvenlik boşluklarını belirlemek için MITRE ATT&CK çerçevesini kullanabilir. Bu
seviyede kötü amaçlı yazılımları son kullanıcı sistemlerinden kaldırarak gelecekteki saldırıları tespit etmek ve durdurmak için YARA kuralları
yazacaksınız.

• SOC oluşturma adımları nelerdir? ; Üst 2. Ve 3. düzey SOC analistlerine sorulan sorudur. Buradaki amaç ; bilgi ve deneyiminizi sıfırdan SOC
oluşturmak için nasıl kullanacağınızı görmektir. SOC oluşturma adımları şunları içerir ;

1. SOC stratejinizi geliştirin ; Stratejinizi geliştirmenin anahtarı , kuruluşunuzun mevcut durumunu anlamak için şunları gerçekleştirmektir ;
Mevcut yeteneklerinizi değerlendiriniz. Temel işlevleriniz yeterince olgunlaşana kadar temel olmayan işlevleri geciktiriniz. Paydaşlardan iş
hedeflerini belirleyerek tanımlayınız.

2. SOC çözümünüzü tasarlayınız ; İş açısından kritik birkaç kullanım örneği seçiniz ( kimlik avı saldırısı gibi ). Kullanım durumlarına dayalı olarak
ilk çözümünüzü tanımlayınız. Çözümünüzün organizasyonun gelecekteki ihtiyaçlarını karşılayabilmesi gerektiğini düşününüz. Dar kapsam , ilk
uygulamaya kadar geçen süreyi azaltmaya yardımcı olacak ve bu da sonuçlara daha hızlı ulaşmanıza yardımcı olacaktır.

3. Süreçler , prosedürler ve eğitim oluşturunuz ; Kuruluşa yönelik riskin niteliğini ve kapsamını belirlemek için tehditleri belirleyerek analiz
ediniz. Tehdit aktörlerini ve ilişkili riski azaltmak için karşı önlemleri uygulayınız.

4. SOC'yi dağıtmadan önce ortamınızı hazırlayınız ; SOC personelinin masaüstü bilgisayarlarının , dizüstü bilgisayarlarının , mobil cihazlarının
güvenliğinin sağlandığından emin olunuz. SOC personeli için uzaktan erişimi sınırlayınız. Tüm hesaplar için MFA gerektir.

5. Çözümünüzü uygulayın ve uygun olduğunda teknolojiden yararlanınız ; Günlük yönetimi altyapınızı devreye alın. Kritik veri kaynaklarından
oluşan minimum koleksiyonunuzu ekleyin. Güvenlik analizi yeteneklerinizi devreye alın. Güvenlik düzenleme , otomasyon ve yanıt ( SOAR )
çözümünüzü devreye alın. Uçtan uca tehdit algılama ve müdahaleye odaklanmak için kullanım senaryolarını dağıtmaya başlayın. Tehdit
istihbaratı beslemelerini dahil edin. Algılama mühendisliğini kullanın. Otomasyonu dahil edin.

6. Kullanım senaryolarınızı uygulayın ve test ediniz ; Kullanım durumlarınızı test edin. Güvenlik çözümünüzün güvenliğini ve güvenilirliğini
analiz edin.

7. SOC'nizi koruyup geliştiriniz ; Algılama doğruluğunu artırmak için ayarlayın. Diğer sistemleri girdi veya çıktı olarak ekleyin. SOC , SOC rolleri
ve personel sayılarını gözden geçirin.

• Hareket halindeki veri korumasına karşı hareketsiz veri koruması nedir? Her ikisinde de verilerin korunması demek verileri şifrelemektir.
Aktarım halindeki veri koruması , sadece aktarılırken verileri uçtan uca koruduğunuz anlamına gelir. Duran veriler , sadece verilerin
depolanırken korunduğu anlamına gelir.

• Tüm kullanıcılara yönetici düzeyinde erişim vermek sorun mudur? Evet sorundur ve IAM'nin bir parçası olarak en az ayrıcalık ilkesini
uygulamak isteyeceksiniz.

• Ev WAP'ınızı nasıl korumaktasınız ? ; SSID'nizin yayınını kapatarak bellenimi “ firmware “ güncelleyiniz. Varsayılan kimlik bilgilerini değiştirip
güçlü ve benzersiz parolalar ve MFA kullanın.

• Uzak sunucunun IIS veya Apache çalıştırdığını nasıl anlarsınız? Neyin çalıştığını ve sürümünü görmek için Nmap gibi araçla basit tarama
çalıştırabilirsiniz. Banner kapma işlemi de yapabilirsiniz.

• Yama yönetimini ne sıklıkla yapmalısınız? ; Bu bir dizi faktöre bağlıdır. Bazı yamaların hemen uygulanması gerekebilirken , diğerlerini belirli
tarihte değiştirebilirsiniz. Microsoft'un ünlü Salı Günü Yaması bulunmaktadır fakat tüm kuruluşlar bu gün yamaları uygulamamaktadır.
Yamaları üretim dışı sistemlerde ve ağlarda test etmek genellikle en iyisidir. Böylelikle yamanın başka bir şeyi bozup bozmadığını
anlayabilirsiniz.

• Docker nedir? ; İşletim sistemi düzeyinde sanallaştırma kullanarak altyapıyı kapsayıcılar aracılığıyla kod olarak sunar. Ne anlama geliyor?
Sahip olduğunuz hemen hemen her bilgisayarda sanallaştırılmış altyapıyı düşük maliyetle veya ücretsiz olarak çalıştırabileceğiniz anlamına
gelir. Şirket için önemli altyapı tasarrufları anlamına gelir.

• VXLAN'lar ölçeklenebilir mi? ; Evet , VXLAN'lar , ağ segmentasyonu için geleneksel VLAN kullanımına kıyasla ölçeklenebilirlikleri için kullanılır.

• TCP ve UDP arasındaki fark nedir? TCP bağlantı yönelimlidir ve UDP bağlantısız protokoldür. TCP'nin üç yönlü el sıkışma oluşturmaya
çalışacağı anlamına gelir. UDP genelde TCP iletişiminden daha hızlıdır.
• SOC'de başucu kitabı “ playbook “ / çalışma “ runbook “ kitabı nedir? ; Standart işletim prosedürü ( SOP ) olarak da bilinen çalışma kitabı ,
SOC'deki güvenlik olaylarını ve uyarıları ele almak için bir dizi yönergeden oluşur. Kimlik bilgilerinin ele geçirilmesi durumunda , oyun kitabı
1. seviye SOC analistinin hangi eylemleri gerçekleştirmeleri gerektiğini bilmesine yardımcı olacaktır.

• Güvenlik duvarı reddetme ve bırakma arasındaki fark nedir? ; Güvenlik duvarı reddetme kuralına ayarlanmışsa , bağlantıyı engelleyerek
gönderene sıfırlama paketi gönderir. Göndericiyi kullanılmakta olan güvenlik duvarı olduğu konusunda uyarır. Güvenlik duvarı bırakma
kuralına ayarlanmışsa , gönderene haber vermeden bağlantı isteğini engeller. Güvenlik duvarını , çıkış ( giden ) trafiğini reddedecek şekilde
yapılandırmanız ve gelen trafiği yalnızca düşecek şekilde ayarlamanız önerilir. Böylece saldırgan , trafiği güvenlik duvarı ile filtrelediğinizi
bilmeyecektir.

• Farklı SOC modellerini açıklayınız ;

SOC'de üç tür model vardır ; Tüm kaynakların , teknolojinin , süreçlerin ve SOC çalışan eğitiminin kuruluş içinde yönetildiği kurum içi model.
Üçüncü taraf güvenlik hizmeti sağlayıcısının tüm kaynakları , teknolojiyi , süreçleri ve SOC personelinin eğitimini yönettiği yönetilen güvenlik
hizmeti sağlayıcısı ( MSSP ). 1. Düzeyin MSSP'ye dış kaynak olarak sağlandığı ve organizasyonun kurum içinde 2. Düzey ve üzeri olduğu hibrit
SOC modeli. Birçok büyük şirket bu modeli kullanmaktadır.

• DNS nedir? ; İnternetin telefon rehberi diyebiliriz. Tarayıcınıza yandex.com yazdığınızı ve alan adının daha sonra Google sunucuları için IP
adresine çevrildiğini , böylece sunucularındaki bilgileri görebileceğinizi varsayalım. Yandex’in her sunucu IP adresini ezberleme ihtiyacınızı
ortadan kaldırır.

Google'ın web sayfasına erişim isteğinize dahil olan dört DNS sunucusu var ;

DNS yineleyicisi , istemcilerden sorgular alarak istemcinin DNS sorgusunu karşılamak için ek isteklerde bulunur.

Kök ad sunucusu , insan tarafından okunabilen bilgileri IP adresine çevirmenin ilk adımıdır.

Üst düzey alan ( TLD ) ad sunucusu sonraki adımdır ve host bilgisayar adının son bölümünü barındırır.

Yetkili ad sunucusu , size özellikle kitabın kütüphanede nerede olduğunu söyleyen ana dizin kartı olarak düşünülebilir.

Akılda tutulması gereken şey , DNS'nin tek bir sunucu değil , birden çok sunucu kullanmasıdır.

• Bir arkadaşınız size e-posta yoluyla e-kart gönderir. E-kartı görüntülemek için tıklamanız gerekir. Ne yaparsınız ? ; Hiçbir şeyi tıklamıyorsunuz.
Arkadaşınızın e-posta adresi sahte olabilir veya eke virüs bulaşmış olabilir.

• Yeni 1. seviye SOC analistisiniz ve tüm sistemlere erişebildiğinizden emin olmak için BT yardım masasından çağrı alıyorsunuz. BT yardım
masası personeli size karşı arkadaş canlısıdır ve minimum karmaşıklık gereksinimlerini karşıladığınızı doğrulayabilmeleri için parolanızı
onaylamanızı ister. Ne yaparsınız? ; Vishing ( telefon yoluyla phishing ) saldırısıdır. Telefonu kapatmakta bir yoldur fakat bunu yapmadan önce
, kişiden mümkün olduğunca fazla bilgi almaya çalışabilirsiniz.

• Bilişsel siber güvenlik nedir? ; Tehditleri tespit ederek fiziksel ve dijital sistemleri korumak için insan düşünce süreçlerine dayanan yapay
zekanın ( AI ) uygulamasıdır. İnsan beynini simüle etmek için veri madenciliği , örüntü tanıma ve doğal dil işlemeyi kullanır.

• SIEM ve IDS sistemleri arasındaki fark nedir? ; SIEM ve IDS sistemleri günlük verilerini toplar. SIEM araçları , saldırının gerçekleştiğini
gösterebilecek kalıpları belirlemek için olay korelasyonunu kolaylaştırarak günlük verilerini merkezileştirir. IDS araçları günlük verilerini de
yakalar ancak olay korelasyonunu kolaylaştırmaz. IDS'nin amacı ; izinsiz girişi tespit etmek ve izinsiz girişle ilgili uyarıda bulunmaktır.

• Bağlantı noktası engelleme nedir? ; Saldırı yüzeyini azaltabilmeniz için gereksiz bağlantı noktalarını engellemek yararlıdır. Yine de akılda
tutulması gereken şey , birçok tehdit aktörünün her zaman açık olacağını bildikleri bağlantı noktalarını kullanmasıdır ( 443 numaralı bağlantı
noktasındaki HTTPS örnek verebiliriz ).

• ARP nedir ve nasıl çalışır? ; Adres Çözümleme Protokolü ( ARP ) , İnternet Protokolü adresini ( IP adresi ) yerel ağda tanınan fiziksel makine
adresiyle eşleştirmek için kullanılan bir protokoldür.

Çalışması ; Ağ geçidindeki LAN üzerindeki host makine için gelen paket hedeflendiğinde , ağ geçidi ARP programından IP adresiyle eşleşen
fiziksel host bilgisayarı veya MAC adresini bulmasını ister. ARP programı , ARP önbelleğine bakarak adresi bulursa , paketin doğru paket
uzunluğuna ve biçimine dönüştürülebilmesi , host makineye gönderilebilmesi için sağlar. IP adresi için giriş bulunamazsa , ARP , bir makinenin
kendisiyle ilişkili IP adresine sahip olduğunu bilip bilmediğini görmek için LAN üzerindeki tüm makinelere özel biçimde istek paketi yayınlar.

• Bağlantı noktası taraması nedir? ; Host bilgisayarda bulunan açık bağlantı noktalarını ve hizmetleri belirlemek için kullanılan tekniktir. Bir
tehdit aktörü , çalışan hizmetleri belirlemek ve istismar edilebilecek güvenlik açıklarını belirlemek için bağlantı noktası taramasını kullanabilir.
Ağ yöneticisi , ağda ayarlanan güvenlik ilkelerini doğrulamak için bağlantı noktası taramayı kullanabilir. Nmap , port taraması için
kullanılabilecek popüle araçtır.

• Sosyal medya web sitesine erişmesine izin vermek için güvenlik politikasını ihlal etmenizi istenirse ne yaparsınız? Böyle bir durum da neden
erişime ihtiyaç duyduklarını sorarak akabinde bunun güvenlik politikasına aykırı olduğunu açıklamanız gereklidir. Yönetici devam ederse ,
liderlik ekibinizi dahil etmenizi öneririm. Birçok şirketin , bunun gibi bir kerelik taleplerin incelenmesi ve onaylanması için resmi süreci vardır.

• Bir kuruluş neden sızma testi yapmak için dışarıdan danışmanlık firması getirmektedir? ; Uyum için gereklilik olabilir. Tam dahili pentest
ekibine ihtiyaç duymadan danışmanlık firmasının geniş beceri setinden ve uzmanlığından yararlanabilirsiniz.
• İçeriden tehdit nedir? ; İçeriden öğrenilen tehditler , kuruluş içinden kaynaklanan güvenlik riskleridir. Kuruluşun altyapısına veya içeriden
öğrenilen bilgilere veya kuruluş için hassas verilere erişimi olan herkestir. İçeriden öğrenilen tehditler , üçüncü taraf yüklenici , yönetici veya
başka pozisyon da biri olabiliir. Bu nedenle korunmaları zordur.

Her içeriden tehdit , doğası gereği kötü niyetli değildir. Genelde iki ana tür içeriden tehditle karşılaşırız ;

Turncloak'lar muhtemelen aklınıza gelenlerdir. Veriyi çalanlar veya kuruluşa zarar vermek için kötü niyetli eylemler gerçekleştirenlerdir.

Piyonlar , tehdit aktörü tarafından istismar edilen veya hata yapan gündelik çalışanlarınızdır. İş dizüstü bilgisayarını kafede bırakıp veri
hırsızlığına yol açan çalışan veyahut vishing saldırısına düşen çalışanın oturum açma kimlik bilgilerini telefonda BT yardım masası görevlisine
ifşa etmesidir.

İş görüşmesinde DBIR'den veya Veri İhlal Raporunun Ponemon Maliyetinden bazı istatistiklerden alıntı yapmak da iyidir. Bunlar , görüşmeciye
sektör raporlaması ve trendlerinden haberdar olduğunuzu gösterecektir.

• Artık risk nedir? ; Güvenlik kontrollerini uyguladıktan sonra kalan risktir.

• Veri kaybı önleme (DLP) nedir? ; DLP araçları , kullanıcıların dahili ağın dışına hassas veriler göndermediğinden emin olmak için kullanılır.
DLP için en iyi uygulamalar ; verileri tanımlamayı , sınıflandırmayı , önceliklendirmeyi , verilere yönelik riskleri anlama , aktarım halindeki
verileri izleme ve verileri korumak için kontroller oluşturmayı içerir.

• Olay müdahale planı nedir? ; IR planları , tehditlerle başa çıkmak için doğru kişilerin ve prosedürlerin mevcut olmasını sağlar. IR ekibinizin ,
tehlike göstergesini ( IOC ) ve tehdit aktörlerinin taktiklerini , tekniklerini ve prosedürlerini ( TTP ) belirlemek için olaylara yönelik
yapılandırılmış araştırma yapmasına olanak tanır. IR planı , bir olay meydana geldiğinde izlenecek adım adım kılavuza benzetebiliriz fakat
olaya bağlı olarak Kill Chain'in farklı aşamalarından geçebilirsiniz. NIST 800-61 , olay ele almanın farklı aşamaları hakkında bilgi edinmeniz için
iyi bir kaynaktır ve muhtemelen 800-61'de iş görüşmeleri için bazı sorular sorulacaktır.

Aşamaları şu şekildedir ; Hazırlık , Tespit ve analiz , Muhafaza etme, yok etme ve kurtarma , Olay sonrası aktivite.

Genel saldırı bilgisi soruları ;

• Botnet nedir? ; DDoS gibi saldırılar da dahil olmak üzere bir dizi görevi gerçekleştirmek için kullanılan ele geçirilmiş bilgisayarlardan oluşur.
Bazı dikkate değer botnet altyapıları , IoT cihazlarını ele geçiren Mirai ve Emotet'tir.

• Kurumsal veri güvenliğini tehdit eden en yaygın saldırı türleri nelerdir? ; Zaman geçtikçe ve yeni tehditler ortaya çıktıkça değişecek bir
cevaptır fakat şuan kötü amaçlı yazılım / fidye yazılımı , DdoS / DoS saldırıları , kimlik avı / iş e-postası güvenliği ( BEC ) , kimlik bilgileri doldurma
ve web uygulaması saldırıları içermektedir.

• XSS nedir ve onu nasıl azaltabilirsiniz? ; Siteler arası komut dosyası çalıştırma ( XSS ) , farklı web uygulamalarındaki JavaScript güvenlik
açığıdır. Yansıtılan ve depolanan XSS dahil olmak üzere farklı XSS türleri vardır. Yansıtılan XSS için kullanıcı istemci tarafında komut dosyası
girerek onaylanmadan işlenir. Bu da güvenilmeyen girdinin istemci tarafında , genelde tarayıcı aracılığıyla yürütüldüğü anlamına gelir.
Depolanan XSS için doğrudan savunmasız web uygulamasına kötü amaçlı komut dosyası enjekte edilerek yürütülür. Web uygulama
sunucusunu ziyaret eden herhangi bir kullanıcının , tarayıcı önbelleğini temizleseler bile virüs bulaşacağı anlamına gelir.

• CSRF nedir? ; Siteler arası istek sahteciliği ( CSRF ) , sunucunun isteği güvenilir istemciden geldiğini doğrulamadığı web uygulamalarında ki
güvenlik açığıdır. Bankanın sitesinde CSRF koruması yoksa , saldırgan oturumunuzu ele geçirebilir ve bankaya , hesabınızdan bankanın
hesabına para transferi gibi istekler gönderebilir.

SOC aracı soruları ;

• Splunk nedir? ; Verileri aramak , görselleştirmek , izlemek ve raporlamak için kullanılan SIEM aracı olup verileriniz hakkında gerçek zamanlı
bilgiler sunar. Herhangi bir araç sorusu için hatırlanması gereken en önemli şey , bu tür bir aracın yüksek düzeyde ne yaptığını bilmeniz
gerektiğidir.

• Verileri analiz etmek için neden Splunk kullanılıyor? ; İş içgörüleri sunarak verilerin içinde saklı kalıpları anladığı ve bunları bilinçli iş kararları
vermek için kullanılabilecek gerçek zamanlı iş içgörülerine dönüştürdüğü anlamına gelir. Bu çok önemlidir çünkü tipik kuruluşlarda elenecek
çok fazla veri vardır ve verilere ilişkin eyleme geçirilebilir içgörüler elde etmek önemlidir. Operasyonlarınıza görünürlük ve proaktif izleme
sağlar.

• SOAR çözümleri , SIEM araçlarının genellikle sağlayamadığı neyi sağlar? ; SOAR araçları düzenleme , otomasyon , yanıtlar ve işbirliği sağlar.
Şirketin birden fazla kaynağı tek konuma entegre etmesine olanak tanır. Birçok büyük şirket , ortamları için optimize edilmiş kendi özel SOAR
araçlarını oluşturur.

• Hangisi , ağdaki anormal davranışı belirlemek için sürecinin bir parçası olarak bir kullanıcının davranışını kullanır? ; EDR araçları , SIEM
araçları , SOAR araçları , UEBA araçları.

Cevap ; UEBA araçlarıdır. UEBA , kullanıcı ve varlık davranışı analitiği anlamına gelir. Bu araçlar , saldırgan yanal harekete geçtiğinde ağ
üzerinde görülebilecek anormal davranışları tespit etmek için şirket içi ve bulut ile birden çok cihazdan gelen verileri bir araya getirerek
saldırıları daha hızlı tespit etmek için kullanılır.

• Listelenen bileşenler, birçok yeni nesil SIEM çözümünde görülüyor ancak geleneksel SIEM'lerde görülmüyor? Tehdit istihbaratı beslemesi.
EDR. SOAR. UEBA.
Cevap ; UEBA ve SOAR , genelde yeni nesil SIEM çözümlerinde görülür.

• Tüm SIEM araçlarını seçin ; Splunk , Qradar , Cisco ASA , Microsoft Sentinel.

Cevap ; SIEM aracı olmayan tek yazılım güvenlik duvarı olan Cisco ASA'dır.

Birçok şirket sadece saldırılar ve tehdit aktörlerinin kuruluşa 1. kademe SOC analisti ( giriş seviyesi ) olarak nasıl saldırabileceği konusunda
bilgi sahibi olmanızı istiyor. Kuruluşların SIEM araçlarında algılama mantığı oluşturmak için bunu operasyonel olarak nasıl kullanabileceğini ve
güvenlik duruşlarındaki boşlukları belirlemek için kuruluş tarafından stratejik olarak nasıl kullanılabileceğini düşünmek için MITRE ATT&CK
çerçevesini araştırmanız mantıklı adım olacaktır.