Statik Analizden Dinamik Yanıta: Geleneksel SOC Neden Başarısız Oluyor?
Müşteri ortamlarında bunu defalarca görüyoruz: 2026 yılında, imza tabanlı sızma tespiti bir güvenlik kontrolü değil, bir yüktür. Ortalama bir kurumsal SOC (Güvenlik Operasyon Merkezi) günde 10.000'den fazla uyarı üretir ve bunların %5'inden azı gerçek tehditleri temsil eder. Geri kalanı gürültüdür: davranışsal varyasyonlara, polimorfik yüklere veya ortama özgü bağlama uyum sağlayamayan katı kural setlerinden kaynaklanan yanlış pozitifler. Sonuç güvenlik değil, güvenlik operasyonları maskesi takmış "uyarı yorgunluğu"dur.
Polimorfik ve metamorfik zararlı yazılımlar: Modern saldırı araçları, her çalıştırmada kendi imzasını yeniden yazar. Statik bir hash veya bayt deseniyle eşleşen bir kural, ilk varyanttan sonrakilerin hepsini kaçıracaktır. MITRE ATT&CK, hiçbir imza eşleşmesi üretmeyen 400'den fazla teknik belgelemektedir.
Kural tabanlı yanlış pozitif patlaması: Tek bir aşırı geniş SIEM kuralı, saatte binlerce uyarı üretebilir. SOC analistleri, çalışma saatlerinin ortalama %68'ini yanlış pozitifleri incelemekle harcıyor ve bu durum gerçek tehditlerin yeterince incelenememesine neden oluyor.
Uyarı yorgunluğu ve MTTR: Analistler hacim içinde boğulduğunda, kritik uyarılara da gürültü muamelesi yapılır. IBM'in 2025 Veri İhlali Maliyeti Raporu, yalnızca kural tabanlı tespit için ortalama MTTD'nin (Tespit Etme Süresi) 207 gün olduğunu, yapay zeka destekli ortamlarda ise bu sürenin 112 gün olduğunu buldu.
Living-off-the-land (LotL) saldırıları: Saldırganlar, kötü amaçlı operasyonları yürütmek için giderek daha fazla meşru sistem araçlarını (PowerShell, WMI, certutil) kullanıyor. Bu araçların kendileri güvenli listede olduğu için imza üretmezler; anomaliyi ancak davranışsal analiz tespit edebilir.
Uyum tuzağı: Birçok kuruluş, gerçek tehditleri tespit etmekten ziyade denetimleri (ISO 27001, SOC 2, PCI DSS) geçmek için SOC yetenekleri inşa eder. Tehdit tespiti yerine denetim geçmeye odaklanmış bir SOC, operasyonel olarak hiç SOC olmamasıyla aynıdır.
Mimari Yaklaşım: Veri Toplama, Korelasyon Motoru ve Telemetri Füzyonu
Arekan güvenlik ekibi olarak mimarimizi üç ilke üzerine kurduk: her şeyi normalize et, bağlamsal olarak ilişkilendir ve otomatik olarak harekete geç. Uç noktalardan ve ağ cihazlarından gelen ham telemetri, normalizasyon ve zenginleştirme olmadan hiçbir anlam ifade etmez. İşte otonom tespiti mümkün kılan teknik yığın:
Veri toplama ve normalizasyon: Her uç noktadaki Wazuh ajanları, JSON formatındaki olayları (dosya bütünlüğü, süreç oluşturma, ağ bağlantıları, kimlik doğrulama girişimleri) bir Elasticsearch kümesine aktarır. FortiGate, anahtarlar ve uygulama sunucularından gelen Syslog verileri, ECS (Elastic Common Schema) normalizasyonu ile Logstash boru hatları üzerinden ayrıştırılır; her olay tipi, kaynağı ne olursa olsun aynı dili konuşur.
Korelasyon motoru: Kaba kuvvet (brute-force) tespiti sadece başarısız girişleri saymak değildir. Wazuh özel kural setimiz; kimlik doğrulama hatalarını gerçek zamanlı IP itibar sorguları (AbuseIPDB, GreyNoise), coğrafi anomali tespiti (kullanıcı için daha önce hiç görülmemiş bir ülkeden giriş) ve zamansal kümeleme (60 saniyede 100 hata ile 8 saatte 100 hatanın risk profilleri farklıdır) ile ilişkilendirir.
EDR/NDR Telemetri Füzyonu: Uç nokta telemetrisi (süreç ağaçları, bellek anomalileri, dosya sistemi yazımları) ve ağ telemetrisi (DNS sorguları, yanal hareket kalıpları, C2 sinyalleşme aralıkları) REDLINE Panelinde birleştirilir. Tek bir olay görünümü, manuel korelasyon gerektiren izole uyarılar yerine, ilk oltalama tıklamasından C2 geri dönüşüne kadar tüm saldırı zincirini gösterir.
MTTR azaltma: EDR ve NDR verilerinin birleştirilmesi, analistlerin bir olayı yeniden kurgulamak için 4-6 ayrı konsol arasında geçiş yaptığı "döner koltuk" problemini ortadan kaldırır. Karşılaştırmalı değerimiz: MTTR (Müdahale Süresi) 4,2 saatten (manuel çoklu konsol) 18 dakikanın altına (birleşik REDLINE görünümü) düşmüştür.
Elasticsearch EQL dizileri: Çok adımlı saldırı kalıplarını tespit etmek için EQL kullanıyoruz. Aynı ana makinede 30 saniye içinde gerçekleşen 'süreç oluşturma → ağ bağlantısı → kayıt defteri değişikliği' dizisi, eşleşen bir imza olmasa bile davranışsal bir tehlike göstergesi olarak işaretlenir.
"Siber Organizma" Modülü: Otomatik İyileştirme ve Öngörülü Risk Puanlaması
Yanıt içermeyen tespit, güvenlik değil sadece gözlemdir. Geleneksel bir SOC'tan kendi kendini iyileştiren bir altyapıya geçişteki mimari sıçrama, doğrulanmış bir tehdidin bir bilet değil, bir eylem tetiklediği otomatik iyileştirme katmanıdır.
FortiGate API aracılığıyla otomatik IP engelleme: Bir Wazuh kuralı seviye 12 veya üzerine ulaştığında, bir Python Aktif Yanıt betiği FortiGate REST API'sini çağırarak saldırgan IP'yi dinamik bir adres grubuna ekler. IP, uyarı üretiminden sonraki 800 ms içinde tüm güvenlik duvarı politikalarında engellenir; analist müdahalesi gerekmez.
Konteyner izolasyonu: Kubernetes ortamlarında, ele geçirilmiş bir konteyner otomatik olarak karantinaya alınır ve ağ politikası, adli bilişim yakalama hizmeti hariç tüm çıkışları reddedecek şekilde güncellenir. Pod, adli analiz için korunur, silinmez; çünkü kanıtlar en az kontrol altına alma kadar önemlidir.
ML ile öngörülü risk puanlaması: Bir anomali tespit modelini 90 günlük temel kullanıcı davranışı (giriş zamanları, erişilen kaynaklar, veri transfer hacimleri, coğrafi kalıplar) üzerinde eğitiyoruz. Temelden sapma bir risk puanı üretir. Bir kullanıcının aniden normal veri hacminin 10 katına alışılmadık bir IP'den gece saat 02:00'de erişmesi, herhangi bir sızıntı imzası tetiklenmeden önce kritik puan alır.
Geri bildirim döngüleri: Her analist eylemi (onaylanmış gerçek pozitif, reddedilmiş yanlış pozitif), modele etiketli bir eğitim örneği olarak geri beslenir. Model, her ortam için yanlış pozitif eşiklerini sürekli olarak yeniden kalibre eder; uyarı kalitesi zamanla otonom olarak artar.
SOAR entegrasyonu: Yüksek güvenilirliğe sahip otomatik yanıtlar (IP engelleme, konteyner izole etme) günlüklenir ve tam bağlamla Slack/Teams'e gönderilir. Orta güvenilirliğe sahip tespitler; saldırı zinciri görselleştirmesi, etkilenen varlık listesi ve önerilen iyileştirme ile yapılandırılmış JIRA biletleri oluşturur; analist bir ilk müdahaleci değil, bir incelemecidir.
Teknik Derinlik: SOC Mühendislerinin Gerçekten Önemsediği Metrikler
Yalnızca 'toplam uyarıları' gösteren bir SOC paneli bir araç değil, bir tiyatrodur. REDLINE Panelini, ekran görüntülerinde etkileyici görünen metrikler etrafında değil, kararları yönlendiren metrikler etrafında oluşturduk. İşte her kurulumda oluşturduğumuz metrik taksonomisi:
EPS (Saniye Başına Olay) takibi ve kapasite planlaması: Temel mimarimiz 3 düğümlü bir hot-warm kümesinde 15.000 EPS'yi işler. Kapasite %80'e ulaştığında uyarı veririz; bu, warm düğümleri hot seviyesine çıkaran otomatik dizin yaşam döngüsü yönetimini tetikler; böylece sorgu gecikmesi yoğun olaylarda bile 200 ms'nin altında kalır.
En Çok Saldıran Varlıklar vs. Yüksek Riskli Kullanıcılar (UBA): En Çok Saldıran Varlıklar, dışa doğru tehdit kalıplı trafik üreten iç ana makineleri tanımlar; bu, yanal hareketin veya botnet katılımının öncü göstergesidir. Yüksek Riskli Kullanıcılar, 90 günlük davranışsal temellerinden 2,5 standart sapma sapan hesapları yüzeye çıkarır; bu, hesap ele geçirme veya içeriden gelen tehditlerin öncü göstergesidir.
MITRE ATT&CK ısı haritası: Her uyarı, ATT&CK teknik kimliği ile etiketlenir. Isı haritası, 30 günlük bir pencerede ortamınızda en aktif olan taktikleri ortaya koyar. Kapsama boşlukları anında görünür hale gelir ve bir sonraki tespit mühendisliği sprintinin girdisi olur.
Otomatik denetim günlükleri ve uyum raporlaması: KVKK Madde 12 ve GDPR Madde 32, teknik güvenlik önlemlerinin belgelenmiş kanıtlarını gerektirir. Sistemimiz, Elasticsearch verilerinden aylık denetim PDF'lerini otomatik olarak oluşturur; kimlik doğrulama olaylarını, veri erişim kalıplarını, politika ihlallerini ve olay zaman çizelgelerini kapsar. Manuel denetim hazırlık süresi: sıfıra iner.
MTTD ve MTTR trendleri: Tespit ve müdahale süreleri olay kategorisi bazında (oltalama, kaba kuvvet, veri sızıntısı, yetki yükseltme) takip edilir. Diğer kategoriler sabitken 'yetki yükseltme'de yükselen bir MTTD, tespit açığınızın tam olarak nerede olduğunu söyler.
Güvenlik Bir Ürün Değil, Bir Yazılım Geliştirme Yaşam Döngüsüdür
"Güvenlik kutulu bir ürün değildir; sürekli geliştirilen bir yazılım yaşam döngüsüdür (SDLC)." Arekan güvenlik ekibi olarak, her tespit kuralına bir sürümü, bir test durumu ve bir dağıtım hattı olan bir kod birimi olarak yaklaşıyoruz. Uygulama koduna uyguladığımız mühendislik disiplininin aynısını güvenlik yığınına da uyguluyoruz: sprintleri, regresyon testleri ve sürüm kapıları vardır.
Kod-olarak-tespit (Detection-as-code): Her Wazuh kuralı, Sigma kuralı ve Kibana uyarısı bir Git deposunda saklanır. Pull request'ler, üretime ulaşmadan önce akran denetiminden ve bilinen kötü olayların yeniden oynatıldığı veri setlerine karşı otomatik testlerden geçer. 30 gün içinde sıfır gerçek pozitif üreten bir kural, kullanımdan kaldırma incelemesi için otomatik olarak işaretlenir.
Şeffaf, kara kutu değil: Her kural, her entegrasyon, her otomasyon betiği denetlenebilir, değiştirilebilir ve çalışma sonrasında müşteriye aittir; bunu bağımsız olarak geliştirme donanımına sahip olursunuz.
Sürekli iyileştirme ve katlanarak artan etki: Kurulumdan sonraki 12 ay içinde, müşterilerimiz uyarı hacminde ortalama %73 azalma ve aynı zamanda gerçek pozitif oranında %340 artış elde ederler; çalışan bir sistemin tanımı tam olarak budur.
Modüler otomasyon entegrasyonu: Otomatik iyileştirme modüllerimiz, modüler ve değiştirilebilir bileşenler olarak tasarlanmıştır. Altyapınız değiştiğinde —yeni bulut sağlayıcısı, farklı EDR satıcısı— otomasyon katmanı, tespit yığınını sıfırdan inşa etmeden uyum sağlar.
