28 Kas, 2020

Kanıt Toplama ve Olay Müdahale’ye yeni soluk: Binalyze AIR Patrol ve TimelineIR

Kanıt Toplama ve Olay Müdahale’ye yeni soluk: Binalyze AIR Patrol ve TimelineIR

Son araştırmalar açıkça gösteriyor ki, bir APT grubunun sisteminizde bir açık bulduklarında ihtiyaç duydukları şeyi almaları sadece birkaç saat sürüyor. Bir güvenlik ihlali tespit ettiğinizde, zaman artık sizin tarafınızda değildir. Ne olduğunu anlamak için harcadığınız her saniye, para ve itibar kaybetmeye devam ediyorsunuz. Bu yüzden analistleriniz olabildiğince hızlı olmalı. Binalyze AIR, iş yükünü otomatikleştirecek ve süreci hızlandıracak yepyeni özellikler ile karşınızda. Binalyze AIR yeni 1.7.1 sürümü ile gelen Patrol ve Timeline IR özellikleri sayesinde global rekabette bir adım daha öne geçti. DFIR soruşturmaları artık yüz kata kadar daha hızlı.

Patrol: Deliller toplanıldığı andan itibaren False-Positive Free olarak anomali tespiti yapılarak proaktif ve otomatik raporlar oluşturuluyor. Evden çalışma kurgusunda, uç noktalar nerede olursa olsun ve hangi ağa bağlanırsa bağlansın, uç noktalardaki hakimiyetinizi korumanız gerekir. Binlerce uç noktada eş zamanlı otomatik delil araştırma raporlaması bunun için hızlı ve etkin bir yöntem ortaya koyuyor.

TimelineIR: Topladığınız tüm delilleri daha toplanma aşamasında bir zaman çizelgesi üzerine yerleştiren TimelineIR aynı zamanda birçok analistin aynı anda çalışmasına da olanak sağlıyor. Bu sayede delil toplama sürenizi zaten dakikalara indirmiş olan Binalyze AIR delil analiz sürenizi de büyük ölçüde kısaltıyor.

Bu heyecan verici sürümün; siber dünyadaki son gelişmeler ışığında KVKK ve ISO27001/BGYS sürdürülebilirlik açısından ne boyutta katkı sunduğunu ele alarak konunun uzmanlarına yönelttiğimiz ve aşağıdaki soruların cevaplarını verdiğimiz webinarımızı izleyebilirsiniz.

  • Binalyze AIR kanıt toplama sürecine katkıları nelerdir?
  • TimelineIR ve Patrol nedir?
  • TimelineIR ve Patrol’ün KVKK ve ISO 27001 açısından önemi nedir?
  • Birçok analist eş zamanlı bir vaka üzerinde çalışabilir mi?
  • Yeni sürümün olay müdahale çözümüne proaktif katkısı nedir?
  • SIEM, SOAR gibi cihazlar Binalyze AIR’ı tetikleyebiliyor mu?
  • Binalyze AIR SIEM ile konuşabiliyor mu?
  • Toplanılan deliller nereye kaydedilebiliyor?
  • Pasif ajan nedir ve kaynak kullanımı ne kadardır?
  • Evden çalışma kurgusunda Binalyze AIR’ın olay müdahaleye katkıları nelerdir?

[mnky_heading title=”SORU-CEVAP” line_color=”#dd1818″]

Deliller nerede toplanıyor?

Toplanan deliller lokal olarak tutuluyor fakat bir ağ depolama alanı oluşturabilir ve tüm delilleri orada toplayabilirsiniz.


Delilleri topladıktan sonra parse işlemi yapılmıyor mu?

Deliller daha toplanırken parse edilmesi nedeniyle ayrıca bir parse etme aşaması yürütülmüyor.

SIEM tarafından tetikleme yapılabiliyor peki AIR tarafından herhangi bir yere tetikleme yapılabiliyor mu?

Binalyze sadece SIEM’den tetik almıyor aynı zamanda SIEM ile de konuşmaktadır. Binalyze AIR SIEM’den tetik aldıktan sonra Audit Log’lar ile birlikte SIEM’e Syslog entegrasyonu ile göndermektedir.

Active Directory Deployment’ından bahsettiniz direkt AIR içerisinden tüm uç noktalara mı deploy ediliyor?

Uç nokta kurulumlarında ajanları el ile uç noktalara dağıtabilir, Active Directory üzerinden istediğiniz uç noktalara deploy edebilirsiniz. Uç nokta ajanları SCCM desteklidir.

Peki resource usage ajanda nasıl bu kadar az olabilir çünkü diğer ajanların hepsi belli bir resource kullanıyor?

Binalyze AIR pasif ajan metodunu kullanarak siz bir delil toplama süreci yapmadığınız sürece uç noktalarda hiçbir şeyi monitör etmeyerek kaynak kullanımı minimum seviyede tutuyor. Bunun yanında delil toplama işlemi yaptığınız sırada kaynak kullanımını yönetmek için Binalyze AIR Console üzerinden kaynak kullanımını sınırlandırabilirsiniz.

Active Directory bilgilerini AIR a girmek sorun yaratmaz mı?

Binalyze AIR Active Directory üzerinde herhangi bir Admin hesabı yetkisi istememektedir. Uç nokta görünürlüğü arttırmak açısından Active Directory üzerinde normal haklara sahip bir kullanıcı oluşturmanız yeterlidir.

Çıkarılan raporların TheHive gibi Case Management’lara entegrasyonu var mı?

Hive raporları entegrasyonu ilerleyen sürümlerde otomatik olarak gelecektir. Hali hazırda sunulan raporlar json formatında verildiği için şu an dahi el ile entegrasyon yapılabilmektedir.

Patrol nedir tam olarak nedir?

Patrol False-Positive arındırılmış olarak toplanılan deliller üzerindeki anomalileri tespit ederek inceleme aşamasında yüksek görünürlük sağlayan bir modüldür.

Patrol içerisindeki kuralları görebiliyor ve müdahale edebiliyor muyuz?

Bu kurallar yakın zamanda Cloud üzerinden yayınlanacak ve duyurulacaktır aynı zamanda Binalyze’ın Github hesabından görüntüleyebilirsiniz. Yakın zamanda bulut üzerinden bu kuralları görebilecek kural ekleyebileceksiniz.

Patrol’e toplu kural verilebiliyor mu?

Yakın zamanda bir “ZIP” dosyası halinde toplu kural verebilir daha sonrasında vakalarınız üzerinde uygulayabilirsiniz.

Kişisel olarak demo incelemesi yapabilir miyiz?

Binalyze AIR kişisel olarak deneyimlemeniz için buradan 1 aylık 100 uç nokta destekli lisansınızı alabilirsiniz.

Scheduled Acquisition görünüyor ama Scheduled Investigationda yapılabiliyor mu?

Halihazırda Scheduled Acquisition yapılmaktadır yakın zamanda da TimelineIR üzerine Scheduled Investigationda de eklenecektir.

Ürünün güvenlik önlemi nasıl alınıyor düzenli pentest ve kod analizi süreçleri var mı?

Düzenli pentest ve kod analizi süreçleri Binalyze AIR üzerinde yapılmaktadır.

[mnky_heading title=”KONUŞMACILAR” line_color=”#dd3333″]

Moderatör
Erdem Eriş
CyberArts
Kurucu & Genel Müdür

Emre Tınaztepe
Binalyze
Managing Director

Oğuzhan Kanar
CyberArts
Technical Account Manager

KVKK, ISO 270001, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram