1. GİRİŞ

Güvenlik izleme araçları, kurumların siber tehditleri tespit etme, olaylara yanıt verme ve uyumluluk gereksinimlerini karşılamada kritik rol oynar. Bulut‑native uygulamalar, dağıtık altyapılar, microservice mimarileri ve hızla artan telemetri hacmi, izleme yaklaşımlarının yeniden değerlendirilmesini gerektiriyor. Bu makalede SIEM, EDR, NDR, UEBA, SOAR gibi temel bileşenlerin teknik temelleri, mimari yerleşimleri, entegrasyon stratejileri ve operasyonel uygulamalar açıklanacak.

Bu neden bugün konuşuluyor?

• Saldırılar daha sofistike hale geldi; tek kaynaktan gelen uyarılar yetersiz kalıyor.
• Regülasyonlar ve denetimler güvenlik telemetrisine dayalı raporlama istiyor.
• OT/IoT, bulut ve SaaS entegrasyonları ile görünürlük karmaşıklaşıyor; merkezi izleme gerekliliği artıyor.

Kimler için önemli?

• Güvenlik operasyon ekipleri (SOC)
• SRE/DevOps ve platform mühendisleri
• CTO/CISO ve uyumluluk ekipleri

2. KAVRAMSAL TEMELLER

2.1 Temel kavramlar

• SIEM (Security Information and Event Management): Log ve event toplama, korelasyon, arama ve raporlama platformu.
• EDR (Endpoint Detection and Response): Endpoint telemetrisi, davranış analizi, tehdit tespiti ve response yetenekleri.
• NDR (Network Detection and Response): Ağ trafiği analizine dayalı anomali tespiti ve saldırı görünürlüğü.
• UEBA (User and Entity Behavior Analytics): Kullanıcı/varlık davranışlarını modelleyerek anomali tespiti.
• SOAR (Security Orchestration, Automation and Response): Olay yanıtını otomatikleştiren playbook ve entegrasyon katmanı.

2.2 Terminoloji

• Telemetry: Log, metric, trace ve network flow verilerinin toplamı.
• TTP (Tactics, Techniques, Procedures): Saldırgan davranışları ve hareket kalıpları (MITRE ATT&CK gibi).
• Observable: Tespit edilebilen telemetrik göstergeler (file hash, process name, IP).

3. NASIL ÇALIŞIR? — TEKNİK MİMARİ VE VERİ AKIŞI

3.1 Güvenlik izleme mimarisinin katmanları

Temel mimari katmanları: kaynak katmanı (endpoints, network, cloud services), toplama katmanı (agents, collectors, cloud APIs), taşıma/ingestion (kafka, s3, streaming), normalizasyon/enrichment (parsing, asset tagging), analiz/korelasyon (SIEM, analytics), detection/response (EDR, NDR, SOAR) ve long‑term archive (immutable storage). Her katmanda veri güvenliği, gizlilik ve maliyet dengesi gözetilir.

3.2 Log pipeline ve normalization

Log pipeline: kaynaklardan alınan ham verinin standard bir şemaya (ör. ECS) dönüştürülmesi, IP/host/user enrichment, threat intelligence ile ilişkilendirme ve oluşturulan olayların korelasyon kurallarına sunulması. Normalizasyon, false positive azaltımı ve kural yazımında tutarlılık sağlar.

3.3 Telemetry çeşitleri ve stratejileri

• Loglar: uygulama, OS, cloud audit, DB audit
• Metrics: CPU, mem, latency, error rate gibi performans göstergeleri
• Traces: request/transaction korelasyonu için distributed tracing (OpenTelemetry)
• Network flows: NetFlow, IPFIX, PCAP (örnekleme ile)

3.4 Detection yöntemleri

Detection yaklaşımları kural‑tabanlı (signature, YARA), istatistiki (threshold, rate anomalies) ve davranış‑tabanlı (UEBA, ML) olarak sınıflanır. Modern SOC'larda bu yaklaşımlar kombinasyon halinde kullanılır; MITRE ATT&CK ile eşleme detection coverage'ı ölçülür.

3.5 Response ve otomasyon

SOAR ile örneklem: bir şüpheli IP tespiti → enrichment (whois, TI), karar (block veya investigate), otomatik containment (firewall rule), notify ve ticketing. Otomasyon, operatör yükünü azaltır fakat playbook'ların güvenli ve idempotent olması gerekir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Büyük teknoloji firmalarının uygulamaları (Netflix, Amazon, Google)

Büyük ölçekli organizasyonlar genelde özelleştirilmiş monitoring pipeline'ları kurar; low‑latency streaming, custom parsers ve ML tabanlı detection kümeleri kullanırlar. Edge→core mimaride CDN/edge event'ları ile origin logları korele edilerek daha hızlı tespit sağlanır.

4.2 Finans ve ödeme sistemleri (Stripe, PayPal)

Payment industry yüksek uyumluluk gereksinimleri (PCI‑DSS) nedeniyle transaction telemetry, fraud detection entegrasyonları ve hızlı response playbook'ları kullanır. Gerçek zamanlı analitik ve ayrıntılı audit kayıtları önemlidir.

4.3 Sağlık ve regüle sektörler

PHI içeren sistemlerde loglarda PII/PHI maskelenir ve erişim kayıtları sıkı şekilde denetlenir. Ayrıca log retansiyon ve izleme regülasyonları nedeniyle immutable archive ve detaylı raporlama zorunludur.

4.4 SMB ve SaaS sağlayıcıları

Küçük ve orta ölçekli sağlayıcılar genelde managed SIEM/EDR çözümlerini tercih ederek operasyonel maliyeti düşürür, ancak doğru fine‑tuning ve maliyet yönetimi gereklidir.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

• Erken saldırı tespiti, hızlı yanıt ve hasar sınırlama
• Uyumluluk için gerekli kanıt ve raporlama altyapısı
• Otomasyon ile SOC maliyetlerinin düşürülmesi

Sınırlamalar

• Yüksek maliyet: ingestion, storage ve lisans maliyetleri
• False positive/alert fatigue riski
• Veri gizliliği ve PII yönetimi konuları

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

7.1 Production kullanımı

• Telemetry everywhere: uygulama, infra, network ve identity loglarını tutun.
• Structured logging ve common schema (ECS/OpenTelemetry) kullanın.
• Asset inventory ve tagging ile enrichment veri kalitesini garanti edin.

7.2 Detection tuning ve playbook tasarımı

• Use‑case bazlı detection geliştirin; MITRE ATT&CK coverage ölçün.
• False positive oranlarını azaltmak için threshold, allowlist ve contextual enrichment uygulayın.
• SOAR playbook'larını idempotent ve güvenli yapın; insan onayı gerektiren adımları açıkça belirleyin.

7.3 Performans ve maliyet optimizasyonu

• Sampling, aggregation ve TTL (tiered storage) ile storage maliyetini yönetin.
• Hot path için selective ingestion; cold archive için sıkıştırma ve indexsiz saklama.
• Cloud cost visibility ve budget alert'leri kurun.

7.4 Güvenlik ve gizlilik

• PII/PHI içeriklerini ingestion öncesi maskalayın veya token'layın.
• Log pipeline erişimini RBAC ile sınırlayın ve tüm pipeline'ı şifreleyin (TLS/mTLS).
• Log integrity için imzalama veya append‑only storage kullanın.

8. SIK YAPILAN HATALAR

• Sadece hata loglarını toplamak — güvenlikle ilgili diğer telemetriyi göz ardı etmek.
• Over‑logging ve gereksiz veri ingest ederek maliyeti artırmak.
• SOAR playbook'larını test etmeden production'a almak; otomasyon hatalarının zarar vermesi.
• Gizlilik gereksinimlerini atlayarak PII'yı korunmasız loglamak.

9. GELECEK TRENDLER

9.1 AI/ML ile detection evrimi

ML tabanlı anomaly detection, davranış modelleri ve graph‑based analysis olay tespitini güçlendirecek. Ancak model doğrulanabilirliği ve adversarial robustness konuları kritik olacaktır.

9.2 Observability ve security konverjansı

Observability (logs, metrics, traces) ile güvenlik izleme arasındaki çizgi bulanıklaşacak; tek bir pipeline üzerinden hem performans hem de güvenlik analitiği yapılacak.

9.3 Edge ve IoT güvenlik izleme

Edge cihazlardan gelen telemetri, bandwidth ve gizlilik kısıtları nedeniyle daha sofistike preprocessing ve on‑device detection gerektirecek. Federated learning ile merkezi olmayan modellerin kullanımı artacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. Hangi telemetri türleri önceliklidir?

   Authentication/authorization events, network flows, endpoint process/behavior, cloud audit ve application errors başlangıç için öncelikli telemetrilerdir.

2. 2. SIEM mi yoksa EDR mi önce alınmalı?

   İdeal olarak her ikisi birlikte düşünülmeli. Küçük ekipler önce endpoint visibility (EDR) ile başlayabilir, geniş ölçekli operasyonlar için SIEM kritik hale gelir.

3. 3. SOAR'ın faydası nedir?

   SOAR, tekrarlayan operasyonları otomatikleştirerek TTR'yi azaltır ve SOC verimliliğini artırır; ancak playbook bakım maliyeti vardır.

4. 4. Open source çözümler yeterli mi?

   ELK/OpenSearch + Wazuh gibi open source çözümler maliyet avantajı sağlar; fakat ölçek ve 7x24 operasyonel destek gereksinimi değerlendirilmelidir.

5. 5. Loglarda PII nasıl yönetilir?

   Ingestion pipeline'da mask/ redact, tokenization veya hashing uygulayın; erişim kontrolleri ve retansiyon politikaları tanımlayın.

6. 6. False positive nasıl azaltılır?

   Contextual enrichment, asset age‑based allowlist, adaptive thresholds ve ML‑destekli baselining ile false positive'leri düşürebilirsiniz.

7. 7. Büyük veri volümlerinde maliyet nasıl kontrol edilir?

   Sampling, aggregation, tiered storage, ingest filtering ve retention politikaları ile maliyeti yönetin.

8. 8. Küçük ekipler nereden başlamalı?

   1) Kritik telemetriyi tanımlayıp ingestion'u kurun; 2) Basit detection kuralları ve alerting ile SOC playbook'ları oluşturun; 3) EDR ile endpoint visibility sağlayın ve zamanla SOAR/UEBA ekleyin.

Anahtar Kavramlar

• SIEM: Log korelasyon ve güvenlik analitiği platformu.
• EDR: Endpoint tespiti ve yanıtı.
• NDR: Ağ trafiği temelli tespit ve yanıt.
• SOAR: Güvenlik otomasyon ve orkestrasyon katmanı.
• UEBA: Davranış analitiği ile anomali tespiti.

Öğrenme Yol Haritası

1. 0–1 ay: Güvenlik telemetri temelleri: log, metric, trace öğrenin.
2. 1–3 ay: SIEM temelleri, log pipeline kurma, temel detection rule'ları geliştirme üzerinde pratik yapın.
3. 3–6 ay: EDR/NDR ürünlerini değerlendirin, SOAR playbook'ları yazın ve incident response tatbikatları yapın.
4. 6–12 ay: ML tabanlı detection, UEBA ve observability/security konverjans projeleri üzerinde çalışın.