THREAT DETECTION MARKETPLACE VERSİYON 3.5 YAYINDA!

SOC PRIME, tehdit tespit etmede ve yakalamada en ileri imkanlara sahip kodu “Threat Detection Marketplace 3.5” uzun süren çalışmaların neticesinde piyasaya sundu.

SOC PRIME, TDM 3.5 ürününü ve bu ürünle gelen yenilikleri aşağıdaki şekilde özetledi.

TDM 3.5

116 Yeni Özellik22964 Yeni Kural81 Bug Düzenlemesi

YARA, Snort ve Red Testlerini destekliyor

Hepimiz, Sigma kurallarını ve SIEM kural paketlerini kayıt-merkezli (log-based) tehdit tespitini ve avcılığını seviyoruz. Bütünsel güvenlik görünürlüğünü belirleme görevimizi devam ettiriyoruz ve dosya-merkezli (file-based) tespit, ağ-merkezli (network-based) tespitlerde ve saldırı simülasyon testlerinde vereceğimiz destek sistemini açıklamaktan gurur duyuyoruz.

“YARA” ile başlayacak olursak;
NEXTRON Systems LOKI & SPARK’ın imza temelli kamu deposunu ekledik. Nextron ile olan yakın ortaklığımızı büyütürken, Nextron’un üstün kaliteli kuralları “Valhalla”, markette premium içerik olarak mevcut olacak.

Nextron takımı, YARA kurallarını 8000’den fazla kalite testine ve 6 farklı kategoride değerlendirmektedir. Bu kategoriler: APT, Hack Tools, Malware, Web Shells, Threat Hunting and Exploits. “Valhalla” veritabanı her yıl 1500 YARA kuralıyla büyüyor.

https://www.nextron-systems.com/yara-rule-feed/

“SNORT” için “Emergency Threat OPEN” (Acil Durum Tehditleri AÇIK) deposunu ekledik. Acil Durum Tehditleri PRO üyeliği ise yakın zamanda ücretli olarak TDM’de sunulacak.

https://rules.emergingthreats.net

Red Canary’nin, Atomic Red Team Saldırı Simülasyon Testleri Deposu da eklendi. Bu deponun eklenmesi ise TDM’i Red, Blue ve Purple takımları için emsalsiz bir gereç durumuna getirdi.

https://github.com/redcanaryco/atomic-red-team

SOC içeriklerinin %95’i MITRE ATT&CK™ ile eşleştirildi

SOC’u yakından takip edenler ATT&CK’ın “siber’in blok zincirine” dönüştüğünü  biliyordur. Temmuz 2016 yılından beri bu metodolojiyi pratikte kullanıyoruz. SOC Prime takımı, Sandworm grubuna yapılan kötü şöhretli NotPetya saldırısını, Cisco Talos ve ESET ile aynı günde ilk defa 2 Temmuz 2017 tarihinde dünyaya açıklayan takımdı. O zamandan beri, bütünsel siber savunma denetimini ve saldırganları anında karşılama yetenekleri dünyaya sunmak hayalimiz oldu. Bugün, bu hedefimizi başarmaya bir adım daha yaklaştık. TDM fiilen dünyanın en büyük güvenlik içeriği deposu olduğu için bu alandaki bilgimizi “ATT&CK” etiketleme teknolojimizi geliştirmek için kullandık. Bu durum bizlere aşağıdaki gibi bir gerçek-zamanlı çevrimiçi işlevsellik sağlıyor;

– Tehdit bulma stratejik planlaması için TDM’in bilgisini kullanın.

– Sizin “Log Source” (Kayıt Kaynağı)’nız ile çalışan içeriği bulun.

– Doğrudan Atomic Red Team testleri ile bağlantılı savunmanızdaki açıkları bulmak için tehdit modellemesi yapın.

– Kayıt, Dosya ve Ağ seviyelerinde algılama yeneklerini gösterin.

– Şirketinizle ilgili tehditlere en uygun veri kaynaklarını ve SOC içeriğini bulun.

Peki ATT&CK’ın %95’i ne anlama geliyor?

Teknikler 174/223Araçlar 276/283Aktörler 64/66

Çapraz platform yetenekleri

TDM’de en çok kullanılan SIEM platformları: Elastic, ArcSight, Splunk, QRadar, Qualys. “TAM” ve Profesyonel servislerimiz sayesinde bu platformların yeteneklerini en üst düzeye çıkarmaya yardımcı olabiliriz.

Böylece içerik uygulanabilirliği SIEM’in ötesine geçerek;

– Sigma destekleyen tüm EDR & SIEM

– Yara destekleyen tüm EDR & Endpoint Protection

– Snort destekleyen tüm IDS/IPS

mümkün hale geliyor.

Yenilenmiş lisanslama ve daha iyi performans

Artık her abonelik sisteminde daha fazla ürün anahtarı bulunduğundan lisans sekmenizi kontrol etmeyi unutmayın. Bununla birlikte birçok TDM parçasını daha iyi performans vermesi için tekrardan düzenledik. Platforma kaydolmak, firma mailini girip aktivasyon linkine tıklamak kadar basitleştirildi. Gerçekten, kayıt sürecinde artık form doldurmak yok, yani eğer bir iş arkadaşınızı davet etmek istiyorsanız yaşadıkları deneyimden zevk alacaklar.