Uygulamalı SOME (Siber Olaylara Müdahale Ekibi) eğitimi, katılımcılara gerçek dünyaya yakın siber güvenlik olay senaryoları üzerinden analiz, müdahale ve raporlama yetkinlikleri kazandırmayı amaçlayan yoğun bir teknik programdır. Eğitim kapsamında katılımcılar, özel olarak hazırlanmış lab ortamında log analizi, zararlı yazılım tespiti, olay sınıflandırması, ağ trafiği izleme ve olay sonrası aksiyon planlama gibi konularda birebir pratik yaparlar. Gerçekleşen bir siber saldırı senaryosu çerçevesinde, saldırının tespiti, kaynağının analiz edilmesi, sistem izolasyonu ve delil toplama adımları uygulamalı olarak yürütülür. Ayrıca Wazuh gibi SIEM sistemlerinin kullanımı, olay raporu hazırlama teknikleri ve kurumsal SOME prosedürlerinin uygulanması da bu eğitimin temel parçalarındandır. Katılımcılar eğitimin sonunda bir siber olay tatbikatına katılarak teorik bilgilerini sahada uygulama imkânı bulur. Bu sayede kurum içi SOME ekiplerinin olası siber tehditlere karşı daha hazırlıklı ve koordineli hareket etmesi hedeflenir.
Açık kaynak ve ticari istihbarat kaynakları (AlienVault OTX, MISP)
IoC: Hash, Domain, IP, URL kullanımı
Senaryo: IoC üzerinden sahte bir kurum sayfası ile phishing saldırısının analiz edilmesi
SIEM (Wazuh/Graylog/ELK) üzerinden log analizi
Windows/Linux log’larında anormallik tespiti
Senaryo: RDP brute force ve başarısız giriş denemelerinin tespiti
Temel bellek ve disk analizi (Volatility, Autopsy)
Zararlı yazılım davranış analizi (Any.Run, Hybrid Analysis)
Senaryo: Çalışan bir kullanıcı bilgisayarında tespit edilen .exe dosyasının analizi
Wireshark, Zeek (Bro), Suricata kullanımı
DNS Tunneling, ARP Spoofing, MITM saldırıları
Senaryo: Kurum içi ağda DNS tünelleme yoluyla veri sızdırma vakası
Olay sınıflandırması: Kritik/Orta/Düşük
Endpoint isolation, network segmentation
Senaryo: Cihazdan gelen zararlı trafik sonrası sistemin ağdan düşürülmesi
Olay raporu formatı (CBDDO ve ISO/IEC 27035’e uygun)
Delil zinciri ve adli süreç bilgilendirmesi
Senaryo: Kurum dışına çıkarılmaya çalışılan verinin tespiti ve raporlanması
Kapsamlı kurum içi siber saldırı simülasyonu
Tehdit analizi → log & sistem incelemesi → izolasyon → raporlama
Katılımcılardan bireysel ya da grup olarak vaka çözümü