ML Tehditleri
Malware/zararlı yazılım kategorisi; truva atı, fidye yazılımı, casus yazılım veya bot ailesi ile ilişkilendirilmiş kayıtları kapsar. Bu IoC tipi sıklıkla komuta-kontrol (C2) altyapısı veya stage-2 indirme sunucusu olarak işlev görür; saldırgan motivasyonu kalıcılık ve fırsata göre fidye, casusluk veya botnet kiralamadır. Savunma odağı uç noktada EDR davranış kuralları ve ağ kenarında DNS/proxy sinkhole olmalıdır. Etkilenmiş varlık tespiti için 30–90 günlük geriye dönük log korelasyonu önerilir.
- Toplam kayıt
- 0
- Kritik (1–3)
- 0
- Yüksek (4–5)
- 0
- Filtre sonucu
- 0
ML nedir, nasıl tespit edilir?
Malware/zararlı yazılım kategorisi; truva atı, fidye yazılımı, casus yazılım veya bot ailesi ile ilişkilendirilmiş IoC kayıtlarını kapsar. Bu kategoride yer alan adresler sıklıkla komuta-kontrol (C2) altyapısı veya stage-2 indirme sunucusu olarak işlev görür; saldırgan motivasyonu kalıcılık, casusluk, fidye veya botnet kiralamadır.
Tespit; EDR davranış kuralları (process injection, persistence yerleşimi, credential dump araçları), NDR/NTA telemetrisinde C2 beaconing tespiti (uzun-süreli, düşük-hacimli, periyodik bağlantılar), YARA/Sigma kuralları ile bellek ve dosya sistemi taraması üzerinden sağlanır. MITRE ATT&CK çerçevesinde TA0002 (Execution), TA0003 (Persistence), TA0011 (C2) taktikleri ile eşleştirilebilir.
Savunma; uç noktada EDR davranış kuralları, ağ kenarında DNS/proxy sinkhole, segmentasyon (özellikle yedek altyapısı için isolated VLAN) ve düzenli backup bütünlük doğrulaması ile sağlanır. Etkilenmiş varlık tespiti için en az 90 günlük geriye dönük log korelasyonu önerilir; bu kategorideki bir IoC ile temas eden uç noktanın derhal izolasyona alınması ve forensic image alınması ilk müdahale adımlarıdır.
Kritiklik dağılımı
Toplam 0 ML göstergesinin operasyonel risk bandlarına dağılımı.
Önerilen Aksiyonlar
ML kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.
- 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
- 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
- 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
- 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
- 5 Tüm uç noktalarda EDR tam taraması (full scan) başlatın; bu IoC ile temas eden cihazları geçici karantinaya alın.
- 6 Backup bütünlüğünü doğrulayın ve fidye yazılımı kurtarma prosedürlerinizi gözden geçirin.
- 7 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —