ACSIA Yardım Merkezi

Ara

Siber Tehdit İstihbaratı (Cyber Threat Intelligence) Yönetmek

Federico Trotta
Federico Trotta
  • Güncellenme

Genel Bakış

Bu makalede ACSIA CRA'nın Cyber Threat Intelligence (CTI) bölümünün nasıl yönetileceği açıklanmaktadır.

Giriş

Şu anda CTI verileri yalnızca manuel olarak eklenen varlık alanlarına ilişkindir.

CTI bölümü şu anda aboneliğinize bağlı olarak etkinleştirilebilen ayrı bir modül olarak yönetilmektedir. CTI modülü etkinse sol kenar çubuğundan ona gidebilirsiniz:


left side bar ACSIA CRA by Federico Trotta

CTI modülü nasıl yönetilir


Şirketinizin CTI durumunu değerlendirmek için şirketinize gidin ve "Domain"na tıklayın:

Düşük puana sahip varlıkların olup olmadığını görebilirsiniz:

 

Bu assetin neden düşük puana sahip olduğunu görselleştirmek için "Go to asset"i tıklayın:

 

Dolayısıyla bu varlığın puanının düşük olmasının nedeni CTI'dır.

Ayrıntıları görselleştirmek için "Got to CTI module" seçeneğine tıklayın. İşte göreceksiniz:

 

Aşağı kaydırdığınızda yalnızca kısmi sonuçları bulacaksınız. Sızıntılar ve botnet'lerle ilgili tüm ayrıntıları görmek için "Request"e tıklayın ve modülü verilerinizle doldurun.

Veritabanımıza aşağıdaki bilgileri kaydediyoruz:

  • Oturum sırasında oturum açan kullanıcı.
  • DPO'nun adı.
  • DPO'nun e-postası.
mceclip0.png

Isteğinizi onaylayan bir e-posta alacaksınız ve bunu onaylamak için bir bağlantıya tıklamanız gerekecek. DPO'nun onayı, bir şirketin tüm kullanıcılarının onunla ilgili CTI verilerini görmesine olanak tanır.
Lütfen bu e-postayı kaydedin çünkü gelecekte ayrıcalıklarınızı iptal etmeniz gerekirse bunun bağlantısını da içerir.
Onay e-postasını kaybetmeniz durumunda, "Revoke" seçeneğine tıklayarak erişimi platformun kendisinden de iptal edebilirsiniz:

Artık CTI ile ilgili verilere tam erişime sahipsiniz.

 

Botnets ve Leaks

CTI bölümünde bulduğunuz veriler 3 yıllıktır.

Verileri şu şekilde sunuyoruz:

  • Zaman içindeki sızıntı ve botnet sayısını gösteren bir kabarcık grafiği.
  • Sızıntılar ve botnet ayrıntıları, verilerin ayrıntılarını burada bulacaksınız.

 

Kabarcık grafiği

Kabarcık grafiği şu şekilde görünür:

 

Bir balonun yarıçapı ne kadar büyük olursa, ACSIA CRA'nın belirli bir tarihte bulduğu sızıntı veya botnet sayısı da o kadar fazla olur.

 

Sızıntılar ve botnet ayrıntıları

Bu bölümde sızdırılan şifreler (3) ve e-postalar (1) ile sızdırılan verileri içeren dosyanın adı (2) gösterilir:

 

Veriler e-posta, şifre ve veriler için benzersizdir. Bu, aynı e-postaya, şifreye ve aynı tarihe sahip bir kullanıcı için sızıntı oluşabileceği ancak bu sızıntının birden fazla dosyada görünebileceği anlamına gelir. Bu durumda ACSIA CRA size verilerin bulunduğu tüm dosyaların bulunduğu tek bir satır sunar.

Aynı e-posta ancak farklı şifre veya tarihle sızıntı olması durumunda ACSIA CRA bu bölümde farklı satırlar sağlayacaktır.

 

Veriler aşağıdakilere göre filtrelenebilir:

  • Domain (birden fazla başvuru olması durumunda).
  • Status (onaylandı veya kontrol edildi).
  • Category (sızıntı veya botnet).

 

Sızıntılar ve botnet'ler bir CSV'ye veya parola korumalı bir CSV dosyasına aktarılabilir:

 

Bu bölümde ayrıca aşağıdaki özetler sunulmaktadır:

  • Number of leaks and botnets per period (sızıntı ve botnet sayısının zaman dilimine bölümü).
  • The top 5 users leaked (leaks en çok zarar gören 5 kullanıcı).

Bir sızıntı veya botnet nasıl onaylanır?

CTI bölümü bir sızıntıyı veya botnet'i onaylamanıza olanak tanır. Bu, belirli bir kullanıcının sızdırılan e-postayı ve şifreyi kullandığını ve bu kullanıcının şifreyi değiştirdiğini doğruladığınız anlamına gelir.

 

Bir botu veya sızıntıyı onaylamak için dört seçeneğiniz vardır:

  • This row. Bu, seçtiğiniz belirli satırdır. Buna tıklarsanız, yalnızca bunu kabul etmiş olursunuz.
  • This user with this password. Buna tıklarsanız, o kullanıcıya ait bulunan tüm sızıntıları bu şifreyle onaylamış olursunuz.
  • This user up to this date. Bunu tıklarsanız, o kullanıcıyı yalnızca o tarihe kadar kabul etmiş olursunuz.
  • This user does not exist. Bunu tıklarsanız, bu kullanıcının artık mevcut olmadığını kabul etmiş olursunuz (durum, iptal edilmiş bir hesapla ilgili olabilir). Yani bu kullanıcı gelecekteki sızıntılarda bulunursa, bu otomatik olarak onaylandı olarak işaretlenecektir.

Ayrıca tüm satırları (1) kontrol edip "Bulk edit"ye (2) tıklayarak da toplu onaylama yapabilirsiniz:

Her sızıntının onaylandığı şekilde kontrol edilmesinden sonra varlığın puanı birkaç dakika içinde değişir. Şirketin toplam puanı ise bir süre sonra değişiyor.
Ayrıca, tüm sızıntıları ve botnet'leri kabul etseniz bile varlığın puanının 100'e dönmeyeceğini unutmayın. İyi veya mükemmel olacak ancak 100 olmayacak çünkü bazı veriler yine de sızdırılmıştı, bu yüzden düzelttiniz ama puan olarak 100 veremeyiz.

 

Sızıntılar veya botnet'ler onaylandığında kabarcık grafiğinde mavi noktalar haline gelirler.

 

Bir varlığı yanlışlıkla kabul ettiyseniz "Go to manage acknowledged" seçeneğini tıklayın:

 

Sızıntıları seçin ve "Unacknowledged" seçeneğine tıklayın:

 

Birden fazla sızıntı, tam olarak daha önce açıklandığı gibi "Bulk edit" kullanılarak onaylanmayabilir.