BN Tehditleri

BN nedir, nasıl tespit edilir?

Botnet kategorisi; ele geçirilmiş cihazların komuta-kontrol altyapısına bağlandığı düğüm noktalarını temsil eder. Saldırgan altyapıyı DDoS kiralama, kimlik bilgisi püskürtme, proxy hizmeti veya spam dağıtımı olarak monetize eder; IoT cihazları, eski Linux sunucular ve uzlaşılmış kurumsal cihazlar bot olarak kullanılır.

Tespit; NDR'de yüksek-volüm outbound bağlantılar, DGA (Domain Generation Algorithm) trafiği, IoT cihazlarının beklenmedik destinasyonlara bağlanması üzerinden sağlanır. Bu kayıtlara yönelik herhangi bir çıkış bağlantısı, ağdaki bir varlığın uzlaşmış olabileceğine ilişkin güçlü bir göstergedir.

Savunma; çevre güvenlik duvarında outbound ACL, IoT segmentasyonu, EDR'de bot davranış kuralları ve kurumsal proxy üzerinden tüm internet trafiğinin geçirilmesi ile sağlanır.

Kritiklik dağılımı

Toplam 0 BN göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

BN kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Olası uzlaşma (compromise) varsayımıyla hareket edin; bu IoC ile temas eden varlıkları izole edin ve IR (olay müdahale) sürecini tetikleyin.
• 6 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi