1. Tehdit İstihbaratı ve IoC Kullanımı
Açık kaynak ve ticari istihbarat kaynakları (AlienVault OTX, MISP)
IoC: Hash, Domain, IP, URL kullanımı
Senaryo: IoC üzerinden sahte bir kurum sayfası ile phishing saldırısının analiz edilmesi
2. Log Analizi ve Olay Tespiti
SIEM (Wazuh/Graylog/ELK) üzerinden log analizi
Windows/Linux log’larında anormallik tespiti
Senaryo: RDP brute force ve başarısız giriş denemelerinin tespiti
3. Adli Bilişim ve Malware Analizi
Temel bellek ve disk analizi (Volatility, Autopsy)
Zararlı yazılım davranış analizi (Any.Run, Hybrid Analysis)
Senaryo: Çalışan bir kullanıcı bilgisayarında tespit edilen .exe dosyasının analizi
4. Ağ Tabanlı Olay Tespiti ve İzleme
Wireshark, Zeek (Bro), Suricata kullanımı
DNS Tunneling, ARP Spoofing, MITM saldırıları
Senaryo: Kurum içi ağda DNS tünelleme yoluyla veri sızdırma vakası
5. Etkili Müdahale ve İzolasyon Süreçleri
Olay sınıflandırması: Kritik/Orta/Düşük
Endpoint isolation, network segmentation
Senaryo: Cihazdan gelen zararlı trafik sonrası sistemin ağdan düşürülmesi
6. Raporlama, Delil Saklama ve Hukuki Süreç
Olay raporu formatı (CBDDO ve ISO/IEC 27035’e uygun)
Delil zinciri ve adli süreç bilgilendirmesi
Senaryo: Kurum dışına çıkarılmaya çalışılan verinin tespiti ve raporlanması
7. SOME Tatbikatı
Kapsamlı kurum içi siber saldırı simülasyonu
Tehdit analizi → log & sistem incelemesi → izolasyon → raporlama
Katılımcılardan bireysel ya da grup olarak vaka çözümü
