SIEM ve SOC Operasyonları

1. Giriş

Modern siber güvenlikte saldırıları tamamen engellemek çoğu zaman mümkün değildir. Bu nedenle kritik olan, saldırıları erken tespit etmek ve hızlı müdahale etmektir. İşte bu noktada SIEM (Security Information and Event Management) ve SOC (Security Operations Center) devreye girer. Bu yapı, kurumların güvenlik olaylarını merkezi olarak izleyip analiz etmesini sağlar.

---

2. SIEM Nedir?

SIEM, farklı kaynaklardan gelen logları toplayan, analiz eden ve anlamlı hale getiren sistemdir.

Temel işlevleri:

• Log toplama (Log Collection)

• Korelasyon (Correlation)

• Olay tespiti (Detection)

• Alarm üretimi (Alerting)

• Raporlama (Reporting)

---

3. SIEM Mimarisi

3.1 Veri Kaynakları

SIEM’e veri sağlayan sistemler:

• Firewall logları

• IDS/IPS sistemleri

• Endpoint (EDR) logları

• Windows Event Logs

• Linux syslog

• Web server logları

---

3.2 Log Toplama (Ingestion)

Loglar genellikle şu yöntemlerle toplanır:

• Agent tabanlı (örn: endpoint agent)

• Agentless (syslog, API)

Örnek syslog:

/var/log/syslog

---

3.3 Normalization (Standartlaştırma)

Farklı log formatları ortak bir formata çevrilir.

Örnek:

• Windows → EventID

• Linux → syslog severity

---

3.4 Korelasyon Motoru

SIEM’in en kritik kısmıdır.

Örnek kural:

• 5 başarısız login + 1 başarılı login → Brute force şüphesi

---

4. SOC (Security Operations Center)

SOC, güvenlik olaylarını izleyen ve müdahale eden ekip ve süreçtir.

SOC Seviyeleri:

L1 (Analyst Tier 1)

• Alarm inceleme

• False positive ayıklama

L2 (Analyst Tier 2)

• Derin analiz

• Incident doğrulama

L3 (Threat Hunter / Expert)

• İleri tehdit analizi

• Yeni saldırı tekniklerini keşfetme

---

5. Detection Engineering

Detection engineering, saldırıları yakalayacak kuralların yazılmasıdır.

Örnek senaryo:

• PowerShell üzerinden encoded komut çalıştırılması

Detection mantığı:

powershell.exe -enc

Bu tür pattern’ler SIEM’de alarm üretir.

---

6. Use Case Geliştirme

Her SIEM, “use case” mantığıyla çalışır.

Örnek use case:

• Aynı IP’den farklı kullanıcı hesaplarına login denemesi

• Gece saatlerinde admin login

• Normal dışı veri transferi

---

7. Log Analizi

Windows:

• Event ID 4624 → başarılı login

• Event ID 4625 → başarısız login

Linux:

/var/log/auth.log

Web log:

GET /admin HTTP/1.1

Şüpheli erişim tespit edilebilir.

---

8. Incident Response Süreci

1. Detection

SIEM alarm üretir

2. Triage

Olayın önemi belirlenir

3. Investigation

Detaylı analiz yapılır

4. Containment

Saldırı izole edilir

5. Eradication

Zararlı temizlenir

6. Recovery

Sistem normale döndürülür

7. Lessons Learned

Raporlama yapılır

---

9. SOAR (Security Orchestration Automation and Response)

SOAR, müdahale süreçlerini otomatikleştirir.

Örnek:

• Şüpheli IP → otomatik firewall blok

• Zararlı dosya → endpoint izolasyonu

---

10. Threat Hunting

Threat hunting, sistemde gizlenmiş tehditleri aktif olarak arama sürecidir.

Teknikler:

• Anomali analizi

• IOC tarama

• Behavioral analysis

---

11. MITRE ATT&CK Framework

Saldırı tekniklerini kategorize eder.

Örnek:

• T1059 → Command Execution

• T1003 → Credential Dumping

SOC ekipleri bu framework ile saldırıları sınıflandırır.

---

12. Gerçek Hayat Senaryosu

1. Kullanıcı zararlı linke tıklar

2. PowerShell üzerinden payload çalışır

3. SIEM anormal activity algılar

4. SOC alarmı inceler

5. Endpoint izole edilir

6. Saldırı durdurulur

---

13. Kullanılan Araçlar

• Splunk

• IBM QRadar

• Elastic SIEM

• Microsoft Sentinel

---

14. Zorluklar

• Çok fazla log (noise)

• False positive oranı

• Log eksikliği

• Karmaşık korelasyon

---

15. Sonuç

SIEM ve SOC, modern siber güvenliğin “gözleri ve kulaklarıdır”. Bu sistemler olmadan saldırıları fark etmek neredeyse imkansızdır. Başarılı bir savunma için yalnızca araçlar değil, iyi eğitilmiş analistler ve doğru yapılandırılmış süreçler gereklidir.