Tehdit istihbaratı, mevcutta olan veya ortaya çıkmakta olan bir tehdit veya varlıklara yönelik tehlike hakkında, kanıta dayalı bilgi, panolar, etkiler ve uygulanabilir tavsiyeler sunar.
Logsign Tehdit İstihbaratı ile aşağıda detaylarını göreceğiniz süreç sürekli bir şekilde işletilmektedir. Risklerin azaltılması ve belirsizliklerin ortadan kaldırılması için istihbarat verileri üzerinde sürekli analiz çalışmaları yapılmaktadır.
Gereksinimler: Bu kısımda öncelikler belirlenir. Ortaya çıkarılan gereksinimlere göre tehdit istihbaratı verilerinin neleri içermesi ve hangi amaçla kullanılacağı belirlenmiş olur. Toplama: İkinci aşamada gerekliliklerin analizlerinin yapılması ve toplanması aşamasıdır. Analizler yapıldıktan sonra tüm analiz verileri isterleri karşılayacak biçimde depolanır. Analiz: Her bir tehdit verisi farklı zeka ile yorumlanır. Bazı durumlarda bir IP’nin güvenlik duvarından engellenmesi gibi basit analiz çalışmaları yeterliyken, farklı vakalarda detaylı analiz çalışmaları gerekebilir. Üretim: Bu aşamada tehdit istihbaratı verileri üretilir ve dağıtılır. Ürün, müşterinin tehdit zekasını karşılayacak seviyede bilgileri içerimelidir. Değerlendirme: Tehdit istihbaratının bir diğer zorluğu, istihbarat ürününün gereklilikleri karşıladığını değerlendirmektir. İhtiyaçlar geliştikçe istihbarat ürünü yeni ve daha derin gereksinimleri karşılayan geliştirme altyapısına aracılık etmelidir.
Şimdi, Logsign SIEM web arayüzünden Search modülünü açalım ve Intelligence.IP:* sorgusunu kullanarak tehdit istihbaratı ile verilerin nasıl zenginleştiğini görelim.
Search Filter dan Intelligence.Type seçip açılan boşluğa tıkladığımızda, istihbarat tipleri ile eşleşen olay sayıları gözükecektir. Herhangi birini seçtikten sonra Search butonuna basalım.
Herhangi bir log u seçip More Details i tıklayarak log u inceleyelim.
Intelligence kolonunda, tehdit istihbarat verilerini görebilirsiniz.