Trend Micro Vision One Nedir ve Özellikleri Nelerdir ?
14.04.2022Nihat Altınmakas
Trend Micro Vision One, on-prem altyapı yönetiminin getirmiş olduğu ek yükü ortadan kaldırmak ve Cloud ortamının doğası gereği sağladığı teknoloji avantajlarından yararlanmak için bulutta barındırılır ve yönetilir.
Trend Micro Vision One, verileri birden çok güvenlik katmanında otomatik olarak toplayan ve ilişkilendiren geniş XDR yetenekleri üzerine kurulmuş, standart (XDR) çözümlerinin ötesinde katma değer ve faydalar sağlayan amaca yönelik oluşturulmuş bir tehdit algılama platformudur.
Trend Micro XDR
Trend Micro XDR, aşağıdakiler dahil olmak üzere güvenlik katmanlarında algılama ve yanıt için kapsamlı özellikler sunar:
- Correlated detection
- In-depth investigation
- Built-in response actions
- Search capability of telemetry and MITRE tactics and techniques
- Automatic sweeping for Indicators of Compromise (IoC)
- Integration with SIEM (Security Information and Event Management) platforms
Verilerin Güvenlik Katmanları Arasında İlişkilendirilmesi
Trend Micro XDR, bir kuruluşun ortamından toplanan tüm algılama ve etkinlik verilerini
tüm güvenlik katmanlarında ilişkilendirerek çalışır. Güvenlik katmanlarından toplanan etkinlik verileri, daha sonra analiz edilmek üzere datalake içinde depolanır.
Endpoint Bilgisayarlar üzerinde
Saldırılar genellikle son kullanıcıları hedef aldığından, XDR,
uç noktada ne olduğunu belirlemek ve bir tehditin yayılıp yayılmadığını ve
nasıl yayıldığını belirlemek için Windows ve Mac bilgisayarlardan
toplanan uç nokta telemetrisi arasında
gizlenmiş tehditleri bulmaya yardımcı olabilir.
E mail
Phishing mesajları yoluyla kullanıcıları hedef alan çok büyük miktarda
kötü amaçlı yazılım olduğundan, XDR, bu e-posta mesajını veya benzer tehditi
başka kimlerin aldığını belirlemeye yardımcı olabilir.
Ayrıca, dahili kimlik avı e-postaları gönderen güvenliği ihlal edilmiş
hesapları belirleyebilir.
Cloud/Server Workloads
Kurumsal uygulamalarımızı çalıştırdığımız Windows ve Linux sunucuları,
kritik öneme sahiptir.
Bu bulut, fiziksel ve sanal sunucularımız üzerindeki sensörler,
veri merkezinde neler olduğuna dair daha eksiksiz bir bilgi sunmakiçin
ek aktivite verileri toplar.
Network
Network üzerindeki sensörler, saldırganın kuruluş genelinde
nasıl hareket ettiğini belirlemek için kör noktaları ortaya çıkarır.
Trend Micro Vision One
Trend Micro Vision One, on-prem altyapı yönetiminin getirmiş olduğu ek yükü ortadan kaldırmak ve Cloud ortamının doğası gereği sağladığı teknoloji avantajlarından yararlanmak için bulutta barındırılır ve yönetilir.
- Telemetry Bilgisi Toplar: Endpointler, sunucular, bulut iş yükleri, ağ ve e-posta hesaplarındaki sensörler, raw etkinlik telemetrisini toplar ve depolama ve analiz için Trend Micro Data Lake'e iletir.
- Olayları ilişkilendirir: Filtreler, data stacking, Machine Learning ve uzman kuralları gibi çeşitli teknikleri kullanarak data lake içerisindeki etkinlik verileri içindeki olayları ilişkilendirir.
- Saldırı davranışlarını algılar: Trend Micro tehdit uzmanları tarafından yazılan algılama modelleri, saldırı davranışlarını belirlemek için bu filtreleri birleştirir. Bu otomatikleştirilmiş ve çapraz katman algılama modelleri, gizli saldırganları bulmak için düşük seviyeli olayları birbirine bağlar. Algılama modelleri Trend Micro tarafından sık sık güncellenir/eklenir.
- Olayları araştırır: Algılama modeli uyarıları, kendi dahili SOC'niz veya Trend Micro Managed XDR hizmetine abone olduğunuzda Trend Micro analistleri tarafından araştırılır ve yanıtlanır.
Trend Micro Vision One, diğer rekabetçi çözümlerde olduğu gibi yalnızca ek işlevselliğe sahip bir EDR çözümü değildir. Bunun yerine, Vision One aracılığıyla Trend Micro XDR çözümü, Güvenlik Operasyonları Merkezi (SOC) için eksiksiz bir tehdit savunma platformu sağlar.
API çözümlerinden mümkün olandan daha fazla telemetri ile ağ, uç noktalar, sunucu, bulut ve e-posta genelindeki veriler hakkında derinlemesine bir anlayışa sahiptir.
Farklı veri kaynakları, altyapı genelinde derinlemesine kapsam sağlar. Uygulama düzeyinde
e-posta entegrasyonu, posta kutusu görünürlüğü sağlar.
Bir mail gateway, yalnızca transport seviyesinde gelen e-postayı görür ve bir tehditin hâlâ gelen kutusunda mı yoksa gelen kutularındaki ilgili saldırılar mı yoksa compromise edilmiş bir hesaptan dahili olarak gönderilen bir e-posta mı olduğunu belirleyemez.
Vision One aracılığıyla sağlanan API entegrasyonu, ilgili e-postaları bulabilir ve karantinaya alabilir.
Trend Micro Vision One'ın sunucu iş yüklerine ve masaüstü işletim sistemlerine ilişkin görünürlüğü, uç noktalar, e-posta, ağlar, sunucular, sanal makineler, public veya private bulut iş yükleri ve container’lara yayılan en geniş platform desteğine sahiptir.
Vision One, Windows, Linux, Red Hat, CentOS, Oracle, SUSE, Ubuntu, CloudLinux, Amazon Linux ve daha fazlası dahil olmak üzere çok çeşitli mevcut ve eski işletim sistemleri için destek sağlar
Ayrıca, Kubernetes ve Docker ile container’ları kullanarak uygulamalar oluşturmak giderek daha popüler hale geliyor bu nedenden dolayı konteynerlerdeki aktivite verilerini anlamak çok önemlidir.
Bu, Trend Micro XDR'nin nerede veya hangi işletim sisteminde devreye girdiklerinden bağımsız olarak iş yükü verilerini algılayabilmesini ve ilişkilendirebilmesini sağlar.
Trend Micro Threat Research, Vision One için rekabet avantajı sağlar.
Deneyimli araştırmacılardan oluşan kapsamlı ağımız, Vision One'ın ortamınızı tehlike göstergeleri için otomatik olarak taramak için yararlanabileceği yeni algılama modelleri sağlar.
Trend Micro Vision One içerisinde yer alan başlıca özellikler aşağıdaki gibidir.
Correlated Detection
Trend Micro tehdit araştırmacıları tarafından yazılan gelişmiş algılama modelleri, keşfedilmemiş saldırıları bulmak için güvenlik katmanları içinde veya genelinde düşük seviyeli etkinlikleri ilişkilendirir.
Uyarı tetikleyicilerini oluşturan algılama modelleri, veri yığınlama ve machine learning dahil olmak üzere çeşitli analiz tekniklerini kullanarak birden çok kuralı ve filtreyi birleştirir.
Kurumun risk toleransı ve tercihleri doğrultusunda uygun olan modelleri tek tek açıp kapatabiliriz.
Workbench and Alert Triage
Sistem analistleri alarmların listesini görüntüleyebilirler ve daha fazla görünürlük için detaylara erişebilirler. Workbench’ler, bir tespit için araştırma sonuçlarıdır.
Buradan şunları yapabiliriz:
- Yürütme profilini görüntüleme (Execution Profile)
- Etki kapsamını belirleme
- Yanıt işlemlerini gerçekleştirme (Response Actions)
Burada yer alan uyarılar önceliklendirip işleme alınır ve yapılanları (new, in progress, closed) takip edilirler.
Attack Visualization
Olayların etkileşimli bir görsel temsili ile bir saldırının arkaplanını anlamaya yardımcı olabilir.
Execution Profile Analizi, bir uç nokta, server veya bulut iş yükü içindeki tehdit eylemlerini görüntüler.
Ağ Analizi, bir saldırganın komuta ve kontrol iletişimlerinin veya lateral movement ayrıntılarını vurgulamak için ağ iletişimlerini yeniden oynatabilir.
Search/Threat Hunting
Trend Micro Vision One üzerinde sistem analistleri aşağıdaki işlemleri gerçekleştirebilirler.
- Basit bir sorgu oluşturucu kullanarak uç nokta, e-posta, ağ ve bulut iş yükü etkinliği verilerini proaktif olarak arayabilir
- (IoC) taraması
- Birden çok parametre kullanarak özel aramalar oluşturabilir
- Ek arama kriterleri ekleyerek öğeleri filtreleyebilir
Bir arama sonucundan, bir yanıt başlatılabilir veya bir Execution Profile oluşturabilir.
Temel tehdit avcılığı için kullanılan sorgular kaydedilebilir ve yeniden kullanılabilir.
Watchlist özelliği, otomatik arama sürecini etkinleştirir ve eşleşen veriler bulunduğunda bildirimler gönderir.
Built-in Threat Intelligence
Analistler Trend Research tarafından yayınlanan güvenlik ihlali göstergelerini kullanarak ortamın otomatik olarak aranmasıyla tehditleri daha erken tespit edebilir.
Bir algılama olduğunda, yerleşik tehdit istihbaratı hedef platformu, ilişkili MITRE ATT&CK TTP'lerini tanımlamaya yardımcı olabilir ve hatta varsa ilgili istihbarat blog gönderilerine bağlantılar sağlayabilir.
MITRE ATT&CK Mapping
Tehdit tekniklerinin MITRE ATT&CK framework ile eşleştirilmesi, ortamımızda neler olduğunu hızla anlamamıza yardımcı olur.
MITRE ATT&CK, gerçek dünya gözlemlerine dayalı düşman taktikleri ve tekniklerine ilişkin küresel olarak erişilebilir bir bilgi tabanıdır ve siber güvenlik ürünleri ve hizmetlerinde belirli tehdit modelleri ve metodolojilerinin geliştirilmesi için bir temel olarak kullanılır.
Workbench içerisinde yer alan linkler, MITRE ATT&CK framework için belgelere bağlanır.
Integrated Response Actions
Context-aware response seçenekleri, platform içinden hızlı eylemler sağlar.
Bir Workbench'te, Observed Attack Techniquies’ten, bir Execution Profile’den veya uç nokta,
e-posta, sunucu ve ağ yanıtlarını başlatmak ve izlemek için tehdit avı arama sonuçlarındaki nesnelere sağ tıklayarak hızlı bir şekilde yanıt verilebilir.
Zero Trust Risk Insights
Zero Trust Risk Insights, kullanıcılar ve cihazlarla ilgili bulut erişim etkinliklerinin ve
güvenlik açıklarının hızlı bir şekilde değerlendirilmesini sağlar ve ağda bulunan riskleri nasıl azaltacağımıza belirlememize yardımcı olur.
Risk Index, risk göstergeleri ve zaman içinde erişilen riskli kullanıcı, cihaz ve uygulama sayısı gibi birçok faktöre göre belirlenir.
Zero Trust Risk Insights uygulaması, risk faktörlerini kategorilere ayırarak ve belirli göstergelerin ağınızı nasıl etkilediğini değerlendirerek kuruluşunuzun risk endeksini değerlendirir. Daha kapsamlı bir risk değerlendirmesi için daha fazla veri kaynağı yapılandırmamız gerekmektedir.
Zero Trust Secure Access
Zero Trust Secure Access, dahili ve bulut uygulamalarını ve ortamlarını herhangi bir zamanda güvenliği ihlal edilmiş herhangi bir kullanıcı, cihaz veya konumdan korur.
Risk ve güvenlik durumu, kullanıcı, cihaz, uygulama ve içeriğin sürekli olarak değerlendirilmesine dayanır.
Sistem durumu değişirse Trend Micro Vision One, dinamik risk tabanlı uygulama kontrol ilkeleri uygular.
Bir cihaz veya kullanıcı kurumsal bir kaynağa her erişmeye çalıştığında, sağlık değerlendirmesine dayalı olarak güvenli bir bağlantı kurulur.
Mobile Device Protection
Mobile Security, iş amaçlı kullanılan akıllı telefonlar ve tabletler gibi mobil cihazları yöneterek, izleyerek ve güvenlik altına alarak mobil cihaz güvenliğini artırmak için kuruluşun Mobil Cihaz Yönetimi (MDM) çözümlerini Trend Micro Vision One ile entegre etmesini sağlar.
Kuruluşumuz şu anda bir MDM çözümü kullanmıyorsa, Mobile Security, mobil cihazları kullanıcıya göre yönetmek için kuruluştaki kullanıcı bilgilerini almak için Azure Active Directory ile tümleştirme seçeneği sunar.
Targeted Attack Detection
Trend Micro Vision One, zamanında önlem alabilmemiz için devam eden saldırı kampanyalarının erken göstergeleri için Smart Protection Network verilerinizi
(Smart Feedback, Behavior Monitoring ve Predictive Machine Learning dahil) tarar.
Modern saldırılar genellikle birbiriyle alakasız gibi görünen birden çok tehdidi içerir.
Smart Protection Network verilerinin taranması, Trend Micro Vision One'ın karmaşık saldırı zincirlerinin parçası olması muhtemel önceden izole edilmiş algılamaları tanımlamasına olanak tanır.
Alert Notifications
Trend Micro Vision One, yeni uyarılar algılandığında e-posta bildirimleri sağlayabilir.
SIEM Integration
Trend Micro Vision One, çeşitli (SIEM) araçlarıyla native entegrasyon içerir.
Out of the box Trend Micro Vision One, uyarıların Splunk'a çekilmesi için SIEM konnektörleri sağlar.
Normal sistem günlüğü iletmenin aksine, bu Splunk eklentisi, Workbench'lerin ve Observed Attack Techniques listesini almak için Trend Micro Vision One API'sini kullanır.
Analistler, Splunk içinden uyarıya tıklayabilir ve ek görünürlük ve araştırma için
Trend Micro Vision One platformundaki ilgili Workbench'e götürülebilir.
Aşağıdaki ekran görüntüsü Trend Micro Vision One ile entegre edilmiş Splunk ürününe aittir.
Trend Micro Vision One ve Diğer Çözümlerin Karşılaştırılması
Trend Micro Vision One'ın (SIEM) veya (EDR) çözümlerine kıyasla değerini göstermek için SIEM, EDR ve XDR'ye giden veri türlerine ilişkin aşağıdaki örneği inceleyeceğiz.
Bu örnekte, bir kullanıcı bir phishing e-postası aracılığıyla bir Word ekini açıyor ve bu ek:
- PowerShell’i çalıştırıyor
- Command & Control server sunucusuna bağlanıyor
- AWS hesap bilgilerini çalıyor ve yeni bir container oluşturarak mevcut container’ı migrate ediyor
SIEM
Yukarıdaki örnek ile Command & Control erişimi, SIEM'e iletilen bir uyarı oluşturdu.
Bu uyarı, SIEM'e giden uyarılar çok fazla uyarı içinde kaybolabilirken aynı zamanda
olup bitenlerin tüm ayrıntılarını sağlamak için yeterli veriye sahip değildir.
EDR
EDR ile bu saldırıyla ilgili uç nokta etkinliği bilgisine sahip olabiliriz, ancak,
uç noktadan önce (Phishing e-posta ) ve sonra meydana gelen (AWS üzerindeki gerçekleştirilen işlemler ) bu hikayenin başlangıcı ve bitişi kısmı hala eksiktir.
XDR
Vision One aracılığıyla XDR, yalnızca uç noktalardan değil aynı zamanda e-posta, container’lar ve ağdan da etkinlik bilgileri topladığı için daha da ileriye gider.
SIEM'e, bu saldırının hikayesini baştan sona anlatan tek bir yüksek kaliteli uyarı gönderir.
Trend Micro Vision One Yöneticisinin Görevleri
Trend Micro Vision One yöneticisi Trend Micro Vision One konsolunda aşağıdaki görevlerden sorumludur:
Bu görevlerin detaylarını ilerleyen makalelerde detaylı olarak inceleyeceğiz.
Bu makalede Trend Micro Vision One ve özelliklerinden bahsettim.
Bir sonraki Vision One makalesinde görüşmek üzere.