Beyaz Şapka Şubat 2018 - Page 8

Osman KARAN osman.karan@nebulabilisim.com.tr 8 Orkestra Güvenlik ve IT araçlarına entegre olarak otomasyon görevlerinin ilgili araçlarda bir playbook ile işletilmesidir. Birçok SOA aracı, OOB entegras- yonları, çift yönlü push-pull entegrasyonları, API desteği ile zengin içerik entegrasyonları, script yazabilme ve programlama diline özgü entegras- yon özelliklerine sahiptir. Otomasyon Bir kullanıcıya ihtiyaç duymadan güvenlik akış diyagramına bağlı ka- larak görevlerin işletilmesidir. Otomasyon, orkestranın bir alt kümesidir. Otomasyonun en temel parçası playbook olarak isimlendirilen görev parçalarıdır. Örneğin, SIEM de alarm olarak gelen bir IP adresinin FW veya IPS üzerinde otomatik bloke edilmesi veya URL in SWG de bloke edil- mesi akabinde servis yönetiminde açılan ticket sistemi ile Windows AD üzerinde kullanıcının hesabının kilitlenmesi ve şifresinin reset edilmesi ile otomasyon sisteminin çalışma mimarisidir. Tüm bu görev silsilesini (play- book) SOA aracı otomasyon sistemiyle otomatik veya kullanıcı tetikli ya- rı-otomatik olarak işletebilir. Case Yönetimi Tüm otomasyonun orkestra içinde işletilmesi süresince alınan otoma- tik veya manüel karar ve süreçlerin belirlenmesidir. Playbook içinde veri- len görevlerin bir case altında dinamik veya statik yönetilmesidir. Dosya analizi yap, repütasyon sorgusu yap, dosya avla, register kaydı çek, URL- IP blokla, cihazı karantinaya al gibi birçok kararı playbooklar ile otomatik verilmesi sağlanabilir. Otomatik kararlar olay müdahale süresini olabildi- ğince aşağı çekecek ve en kısa zamanda alarmları kapatmayı sağlayacak- tır. Playbook yönetimi yapılırken özellikle NIST 800-61 Incident Handling adımlarına göre uyarlanabilir.