SOC Operasyonları İçin Temel Modüller ve Yönetim Alanları

IBM QRadar, Security Operations Center (SOC) ekiplerinin olay tespiti, analiz ve müdahale süreçlerini merkezi olarak yönetmesini sağlayan güçlü bir SIEM platformudur. Bu makalede QRadar’ın temel modülleri, operasyonel kullanım senaryoları ve pratik yönetim alanları detaylı olarak ele alınmıştır.

Dashboard Yönetimi

Dashboard Nedir?

Dashboard, QRadar üzerinde olayların, flow verilerinin, offense’lerin ve sistem metriklerinin görselleştirildiği izleme panelleridir. SOC analistleri için günlük operasyonların başlangıç noktasıdır.

SOC operasyonlarında genellikle farklı amaçlara yönelik birden fazla dashboard kullanılır:

• Threat & Security Monitoring
• System Monitoring
• Custom Customer Dashboard
• EPS & Performance Monitoring

Önemli Notlar:

• Varsayılan olarak System Monitoring dashboard’u gelir.
• Kullanıcılar kendilerine özel dashboard oluşturabilir.
• Yöneticiler paylaşımlı dashboard tanımlayabilir.

Dashboard değişimi yalnızca görünümü etkiler, veriyi etkilemez.

New Dashboard

Yeni bir dashboard oluşturmak için kullanılır.

Başlangıçta boş gelir ve aşağıdaki widget’lar eklenerek yapılandırılır:

• Offenses
• Event Count
• Flow Count
• Top Source IP
• Top Categories
• Custom Search Results

Kullanım Senaryoları:

• Müşteri bazlı SOC panelleri
• Günlük SOC health-check ekranı
• EPS takibi
• Saldırı trend analizi

Rename Dashboard

Dashboard adını değiştirmek için kullanılır.

SOC ortamında isimlendirme düzeni kritiktir. Örneğin:

•  System Monitoring
•  SOC Daily Health Check
•  Customer-A Authentication Monitoring

İsim değişikliği içerikte değişiklik yapmaz.

Delete Dashboard

Kullanılmayan veya test amaçlı oluşturulmuş dashboard’ların silinmesini sağlar.

Bu işlem:

• Dashboard listesini sadeleştirir
• Operasyonel karmaşayı azaltır
• Gereksiz görselleştirmeleri temizler

Add Item (Widget Ekleme)

Dashboard’un en önemli fonksiyonudur.

Eklenebilecek widget türleri:

• Event Count
• Flow Count
• Offenses
• Top Sources
• Top Categories
• Custom AQL Search

Widget’lar sürükle-bırak yöntemiyle düzenlenebilir, boyutlandırılabilir ve farklı görselleştirme tiplerinde (bar chart, pie chart, table) gösterilebilir.

Offense Yönetimi

Offense ekranı, korelasyon kuralları sonucunda oluşan güvenlik ihlallerinin merkezi yönetim alanıdır.

Her offense şunları içerir:

• Tetikleyen kural
• Kaynak / Hedef IP
• Magnitude skoru
• Event ve flow sayısı
• Log kaynakları
• Başlangıç zamanı

Sol Menü Yapısı

• My Offenses → Kullanıcıya atanmış olaylar
• All Offenses → Sistem genelindeki tüm açık offense’ler
• By Category → Authentication, Malware, Recon vb.
• By Source IP
• By Destination IP
• By Network

Magnitude Nedir?

Magnitude skoru şu üç parametrenin birleşimidir:

• Severity
• Credibility
• Relevance

Bu skor offense’in önceliğini belirler ve SOC triage sürecinin temelini oluşturur.

Üst Menü Fonksiyonları

• Search
• Save Criteria
• Assign
• Close
• Add Note
• Print
• Group View

SOC süreçlerinde offense’e not eklemek ve atama yapmak SLA takibi için kritik önemdedir.

Log Activity

Log Activity, QRadar’a gelen ham event’lerin analiz edildiği alandır.

Bu ekran:

• Korelasyon öncesi ham veriyi gösterir
• Incident investigation için kritik öneme sahiptir
• Rule tuning süreçlerinde yoğun kullanılır

Arama ve Filtreleme

• Quick Search
• Add Filter
• Save Criteria
• Save Results (CSV/Excel)
• Advanced Search (AQL)

AQL (Ariel Query Language) ileri seviye aramalar için kullanılır ve özellikle detection engineering çalışmalarında önemlidir.

Görüntüleme Seçenekleri

• Real-time events
• Historical time range
• Normalized view
• Raw log view

Normalized görünüm DSM tarafından parse edilmiş alanları gösterir.
Raw log görünümü ise cihazdan gelen ham log’dur.

Network Activity

Network Activity, flow verilerinin incelendiği alandır.

Flow verisi şunları içerir:

• Source IP
• Destination IP
• Port
• Protocol
• Byte count
• Session duration

Bu alan özellikle:

• Data exfiltration
• Lateral movement
• Suspicious outbound traffic
• Port scanning

tespitlerinde kullanılır.

Assets Modülü

Assets ekranı, QRadar’ın otomatik keşfettiği veya manuel eklenen varlıkları listeler.

SOC analistleri için bağlam sağlar:

• İşletim sistemi
• Domain bilgisi
• Açık servisler
• Zafiyet skorları (CVSS)
• Last Seen bilgisi

Reports

Reports modülü, olay ve ağ verilerinin raporlanmasını sağlar.

Kullanım alanları:

• Aylık SOC raporları
• SLA takibi
• Yönetim sunumları
• Müşteri bilgilendirme

Raporlar:

• Manuel; Günlük, Haftalık, Aylık

çalışacak şekilde zamanlanabilir. PDF, HTML ve CSV formatında çıktı alınabilir.

Use Case Manager (UCM)

Use Case Manager, QRadar’daki korelasyon kurallarının merkezi yönetim ekranıdır.

SOC ekipleri için şu soruya cevap verir:

“Hangi saldırı senaryolarına karşı aktif kuralımız var?”

Rule List

Gösterilen bilgiler:

• Rule Name
• Group
• Type (Event / Flow / Common)
• Origin (System / Custom)
• Enabled / Disabled
• Response
• Creation / Modification Date

MITRE ATT&CK Entegrasyonu

Kurallar:

• Tactic
• Technique
• Mapping confidence

bazında eşleştirilebilir.

Bu özellik, detection coverage analizlerinde büyük önem taşır.

IBM QRadar, yalnızca bir log toplama sistemi değil; olay korelasyonu, tehdit analizi, varlık bağlamı, ağ trafiği analizi ve raporlama yetenekleri ile uçtan uca bir SOC operasyon platformudur.

Vakkas AKYÜZ
Defensive Security Engineer