SIEM Çözümlerinde Retro Tehdit Avcılığı (Retro Hunting) Nedir?
Retro hunting ile ilgili Türkçe kaynak veya makale bulamadım. Sanırım ülkemizde bilinmeyen, tanınmayan, yapılmayan veya en azından adı konmayan bir yöntem.
Retro hunting (Retro Tehdit Avcılığı), tespit edilen, özellikle de yeni tespit edilen bir güvenlik olayının işaretlerini arayıp, bulmak için eski verilere geri gitme sürecidir. Bu, bir saldırganın sisteme nasıl girdiğini veya sisteme girdikten sonra ne yaptığını anlamaya çalışmak gibi çeşitli nedenlerle yapılabilir. Retro tehdit avcılığı çok zaman alıcı bir süreç olabilir, ancak bir olayın nasıl meydana geldiğini ve bir daha olmasını önlemek için neler yapılabileceğini anlamada çok yardımcı olabilir.
Bir tehdit aktörünün, bu tehdit aktörünü yakalamak için gerekli korelasyon kuralı yazılmadan önce oluşup oluşmadığı yani sistemde oluşup da gözden kaçınıp kaçınmadığının belirlenmesi, tehditlerin yakalanması ile ilgili kalıcı bir sorundur. Geçmişe dönük tehdit avcılığı, olgun (mature) kuruluşlar tarafından önceden kaydedilmiş verilere yeni bir tespit yöntemi uygulamak için kullanılan bir yöntemdir.
Bu tür bir tehdit avcılığı için logların geriye doğru birkaç yıl hızlıca aranabilir olmasını gerektirir. Bu tür avcılığın en zor tarafı budur.
Referanslar
1- https://assets.gov.ie/239834/8d5bd215-4a17-471d-a1be-2c7ae5ebabb6.pdf
