1. GİRİŞ

Security monitoring (güvenlik izleme), bir organizasyonun dijital altyapısı üzerinde gerçekleşen olayları, anormallikleri ve tehditleri gerçek zamanlı veya yakın gerçek zamanlı olarak tespit etmek için yürütülen sürekli aktivitelerdir. Bulutlaşma, mikroservisler, gelişmiş kalıcı tehditler (APT) ve otomatik saldırı araçları çağında izleme, güvenlik stratejisinin merkezine yerleşmiştir. Sadece saldırı sonrası adli analiz için değil, proaktif tespit, hızlı müdahale ve risk azaltma için tasarlanır.

Neden bugün önemli?

• Dağıtık mimariler, görünürlüğü zorlaştırır; kaynaklar çok sayıda hizmet, bölge ve bulut sağlayıcısına yayıldı.
• Saldırılar daha sofistike ve otomatik; dwell time (saldırganın sistemde kalma süresi) azaltılmadıkça maliyetler artıyor.
• Regülasyonlar ve uyumluluk gereksinimleri (PCI, GDPR, KVKK) loglama ve izleme kanıtı istiyor.

Kimler için önemli?

• SRE ve DevOps ekipleri — sistem health ve anormallik izleme
• Güvenlik operasyon (SOC) ekipleri — tehdit tespiti ve olay müdahalesi
• Uygulama geliştiriciler — uygulama telemetrisinin toplanması ve signal üretimi
• Yöneticiler ve uyum ekipleri — raporlama ve SLA uyumu

2. KAVRAMSAL TEMELLER

2.1 Temel tanımlar

• Log: Sistem, uygulama veya ağ cihazı tarafından üretilen olay kaydı.
• Telemetry: Metrik, trace ve log dahil olmak üzere izleme verilerinin tamamı.
• SIEM (Security Information and Event Management): Logları toplayan, korele eden, kural tabanlı alarm üreten ve uzun süreli saklayan platform.
• EDR (Endpoint Detection & Response): End‑point üzerinde davranış analizleri yapan ve müdahale yeteneği sunan ajan tabanlı çözüm.
• NDR (Network Detection & Response): Ağ trafiğini analiz ederek lateral hareketleri ve data exfiltration denemelerini tespit eden çözümler.
• SOAR (Security Orchestration, Automation and Response): Olay yönetimini otomatikleştiren playbook'lar ve orkestrasyon platformu.

2.2 İzleme telemetri tipleri

• Logs: auth attempts, application errors, server events
• Metrics: CPU, memory, request latency, error rates
• Traces: distributed tracing spans for request flows
• Network flows: NetFlow/IPFIX veya paket düzeyi veriler
• Alerts: upstream security tools'ün ürettiği uyarılar (vulnerability scanners, IDS)

3. NASIL ÇALIŞIR? — TEKNİK MİMARİ

3.1 Güvenlik izleme mimarisi

Modern bir güvenlik izleme mimarisi tipik olarak aşağıdaki bileşenleri içerir: veri toplama (agents, sidecars, syslog, collectors), veri taşıma (event bus, Kafka, message queues), veri işleme (parsing, enrichment, normalization), depolama (hot/warm/cold tiers), korelasyon & detection (SIEM, analytics, ML modelleri) ve müdahale (SOAR, ticketing, playbooks). Bu katmanların her biri ölçek, güvenlik ve maliyet açısından tasarlanmalıdır.

3.2 Veri akışı

1. Data sources (app logs, OS logs, network sensors, cloud audit logs) →
2. Collectors/Agents (Fluentd, Filebeat, Vector) →
3. Message bus / stream (Kafka, Kinesis) →
4. Processing (parsers, enrichers, threat intel lookup) →
5. Detect & Store (SIEM, data lake) →
6. Alerting & Response (SOAR, ticketing, paging)

3.3 Detection yöntemleri

• Rule‑based detection: Known signatures, IOC (Indicator of Compromise) ve kural tabanlı eşleştirme.
• Statistical anomaly detection: Normal davranış profillerine göre sapma tespiti.
• ML/behavioral models: Kullanıcı veya süreç davranışlarını öğrenen modeller (UEBA — User and Entity Behavior Analytics).
• Threat‑intel enrichment: IOC'leri bağlamak için harici feed'ler (CVE, malicious IP lists, domains).

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Netflix / Observability at scale

Netflix, telemetry ve observability kültürünü güvenlikle birleştirerek operational ve security monitoring'ini entegre eder. Distributed tracing, anomaly detection ve incident playbooks ile hem performans hem de tehditlere karşı hazırlıklıdırlar.

4.2 AWS / Cloud provider best practices

AWS CloudTrail, GuardDuty, VPC Flow Logs gibi hizmetlerle birincil telemetri kaynaklarını sağlar. Büyük müşteriler bu verileri merkezi SIEM'lere gönderip kendi detection kurallarını ve SOAR playbooks'larını uygular.

4.3 Finansal kurum örneği

Bankacılık sektöründe transaction monitoring, fraud detection ve real‑time alerting kritik. Burada hem uygulama katmanı hem de finansal işlem analitiği bir arada izlenir; anomaly detection modelleri iş kuralları ile harmanlanır.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

• Erken tespit: Saldırganın ağda kalma süresini (dwell time) azaltır.
• Operational visibility: performans sorunları ve güvenlik olayları tek platformda görülebilir.
• Uyumluluk ve adli takip için merkezi kanıt sağlar.

Sınırlamalar

• Yüksek maliyet: SIEM, EDR ve uzun dönem log saklama pahalı olabilir.
• False positives: Kural bazlı sistemlerde uyarıların triage edilmesi maliyetli.
• Data volume and privacy: Hacim ve kişisel veri içeren logların yönetimi zordur.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

Production kullanımı

• Centralized logging: tüm logları normalize edip merkezi bir veri katmanına gönderin (structured logging, JSON).
• Log retention policy: yasal ve operasyonel gereksinimlere göre hot/warm/cold katmanları belirleyin.
• Signal design: SIEM kuralları ve ML modelleri için doğru signal ve feature engineering yapın; geliştiricilerle iş birliği şarttır.
• Threat intel integration: internal ve external IOC feed'leri ile enrichment sağlayın.
• SOAR playbooks: tekrarlayan vaka tipleri için otomasyon ile triage ve containment hızlandırın.

Performans ve maliyet

• Ingest filtering: gereksiz yüksek hacimli logları agent seviyesinde filtreleyin (debug log volümleri).
• Sampling & aggregation: yüksek frekanslı metriklerde örnekleme stratejileri kullanın.
• Cold storage for compliance: uzun süreli saklama için maliyet etkin object storage kullanın.

Güvenlik operasyonları

• Runbooks & playbooks: her detection için net containment ve eradication adımlarını tanımlayın.
• Red team & purple team exercises: detection capability'lerinizi gerçekçi saldırılarla sınayın.
• Continuous improvement: SIEM rule tuning, feedback loop ile false positive azaltma döngüsü uygulayın.

8. SIK YAPILAN HATALAR

• Yetersiz telemetry: kritik uygulama ve servislerden log alınmaması.
• Kuralların kopya‑yapıştır yaklaşımıyla dağıtılması; bağlam göz ardı edilir.
• Uyarı yorgunluğu (alert fatigue): çok sayıda false positive ile SOC verimsizleşir.
• Olay müdahale süreçlerinin belgelenmemiş olması ve eskalasyon eksikliği.

9. GELECEK TRENDLER

AI/ML destekli detection ve otomasyon

Yapay zekâ, anomali tespiti, signal fusion ve olay sınıflandırma için daha fazla kullanılacak. ML modelleri beslendikçe daha sofistike saldırıları tespit edebilecek, ancak model doğrulanması ve explainability (açıklanabilirlik) kritik olacak.

Telemetry ubiquity ve observability convergence

Uygulama ve güvenlik telemetrisi birleşecek; dev ve sec ekipleri ortak telemetri platformları üzerinden iş birliği yapacak. Observability (traces/metrics/logs) ve security monitoring birbirine entegre olacak.

Privacy preserving monitoring

Kişisel veri içeren loglar için privacy preserving teknikleri (masking, tokenization, differential privacy) entegre edilecek; regülasyon uyumu önem kazanacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. SIEM mi yoksa EDR mi önce alınmalı?

   İdeal olarak ikisi birlikte çalışmalıdır. Öncelik, organizasyonun risk profilinde: endpoint‑centric riskler yüksekse EDR, log‑centric uyumluluk ve korelasyon öncelikliyse SIEM öne çıkar.

2. 2. Hangi loglar mutlaka toplanmalı?

   Authentication logs, privilege changes, admin actions, network flow logs, application errors, and cloud audit trails en kritik kaynaklardır.

3. 3. False positive'leri nasıl azaltırım?

   Rule tuning, contextual enrichment ve ML tabanlı sınıflandırma ile; ayrıca SOC operatörlerinden gelen feedback'in detection kurallarına entegre edilmesi gerekir.

4. 4. Log retention politikası nasıl belirlenir?

   Yasal gereksinimler, compliance ve incident investigation ihtiyaçlarına göre. Sık erişilen veriler hot tier, nadiren kullanılanlar cold tier'da saklanmalıdır.

5. 5. SOAR ile hangi işleri otomatikleştirmeliyim?

   Alert enrichment, IOC blocking, user notification, initial containment steps ve ticket creation gibi tekrar eden operasyonları otomatikleştirin.

6. 6. Telemetry maliyetlerini nasıl düşürürüm?

   Agent‑side filtering, log sampling, aggregation ve cold storage stratejileri ile maliyetleri düşürün; ayrıca retention politikalarını gözden geçirin.

7. 7. Cloud ortamında monitoring özel bir şey gerektirir mi?

   Evet. Cloud provider native audit logs (CloudTrail, Azure Monitor), identity logs, and VPC Flow logs mutlaka toplanmalı; servis hesap etkinlikleri ve metadata erişimleri izlenmelidir.

8. 8. Küçük ekipler nasıl başlar?

   Öncelikle critical assets ve authentication logs ile başlayın; managed SIEM veya MSSP kullanımı ile erken görünürlük sağlayın ve zamanla in‑house yetenekleri artırın.

Anahtar Kavramlar

• SIEM: Log korelasyon ve olay yönetimi platformu.
• EDR: Endpoint üzerinde davranış analizi ve müdahale.
• NDR: Network tabanlı tespit ve yanıt.
• SOAR: Olay yanıt otomasyonu ve orkestrasyon.
• Telemetry: Logs, metrics ve traces'in toplamı.

Öğrenme Yol Haritası

1. 0–1 ay: Temel loglama, syslog, JSON logging, HTTP access logs ve temel SIEM kavramlarını öğrenin.
2. 1–3 ay: SIEM kuralları yazma, EDR/NDR araçlarını değerlendirme ve threat‑intel entegrasyonu pratiği yapın.
3. 3–6 ay: SOAR playbook'ları oluşturma, ML tabanlı anomaly detection ve detection engineering becerileri geliştirin.
4. 6–12 ay: Purple team pratikleri, model explainability, privacy preserving monitoring ve enterprise scale observability projelerinde yer alın.