2026'da saldırıların çoğu malware ile başlamıyor. Geçerli bir oturum açma ile başlıyor: oltalanmış bir kimlik bilgisi, çalınmış bir session token'ı, kimsenin gözden geçirmediği bir OAuth izni. DBIR sınıfındaki ihlal raporları, kimlik bilgisi kötüye kullanımını yıllardır ilk erişim vektörlerinin en üstüne ya da en üstüne yakın bir yere koyuyor; içeri girdikten sonra saldırganlar ilk tutunma noktasından veri hazırlama aşamasına çoğu zaman saatler içinde geçiyor. Bu hareketi erken tespit etmek bir veri problemidir. Sinyaller mevcut — uç nokta telemetrisinde, kimlik sağlayıcı oturum açma loglarında, bulut denetim izlerinde, uygulama loglarında — ama birbirleriyle hiç konuşmayan sistemlere dağılmış durumdalar. Security Information and Event Management (SIEM) platformu, bunları bir araya getiren katmandır ve tespiti mümkün kılan şey korelasyondur.

Bir SIEM Aslında Ne Yapar?

Üretici dilini bir kenara bırakırsanız, her SIEM aynı beş işlevi yerine getirir:

  • Toplama: uç noktalardan (EDR üzerinden), ağ cihazlarından, kimlik sağlayıcılardan, SaaS platformlarından ve AWS CloudTrail veya Microsoft Entra ID gibi bulut kontrol düzlemlerinden log ve telemetri alma.
  • Normalizasyon: heterojen formatları ortak bir şemaya ayrıştırma; böylece Okta'dan gelen bir oturum açma olayı ile Active Directory'den geleni karşılaştırmak mümkün olur. Open Cybersecurity Schema Framework (OCSF) burada giderek ortak sözlük haline geliyor.
  • Korelasyon ve tespit: olayları kurallarla, davranışsal taban çizgileriyle ve tehdit istihbaratıyla eşleştirerek tek bir log satırının asla göstermeyeceği dizileri ortaya çıkarma.
  • Alarm ve müdahale: bulguları analistlere yönlendirme ve otomatik playbook'ları tetikleme.
  • Saklama: adli inceleme ve PCI DSS, SOC 2, ISO 27001 gibi uyumluluk rejimleri için aranabilir geçmiş tutma — çoğu zaman kurulumun hukuken taşıyıcı kısmı budur.

Büyük platformlar — Microsoft Sentinel, Splunk Enterprise Security, Elastic Security, Google SecOps, IBM QRadar — bu pipeline'dan çok sorgu dili, fiyatlandırma modeli ve bulut-yerlilik açısından birbirinden ayrılır. Ingest tabanlı fiyatlandırma özellikle dikkatli incelenmeyi hak ediyor: DNS veya VPC flow logları gibi konuşkan kaynaklar, tespit değerine çok az katkı sunarken faturaya hükmedebilir. Bunları ucuz nesne depolamaya yönlendirin ve SIEM'i gerçekten alarm ürettiğiniz veriler için saklayın.

Detection Engineering, Varsayılan Kuralları Yener

Bir üreticinin kutudan çıkan kural paketini açmak tam olarak beklediğiniz sonucu üretir: yüzlerce alarm, çoğu gürültü, hiçbiri sizin ortamınıza göre ayarlanmamış. Olgun ekipler bunun yerine detection engineering uygular. Tespit kuralları Sigma gibi taşınabilir bir formatta yazılır, versiyon kontrolüne alınır, akran incelemesinden geçirilir ve kimseyi uyandırmadan önce Atomic Red Team gibi araçlarla simüle edilmiş saldırgan davranışına karşı test edilir.

Her tespiti MITRE ATT&CK tekniklerine eşlemek, kapsamı bir histen bir matrise dönüştürür: ekipler sıklıkla ilk yürütme aşamasında yoğun, ama yanal harekete ve kalıcılığa karşı neredeyse kör olduklarını keşfeder. Bir tespit programının dürüst ölçüsü kural sayısı değil, işte bu boşluk analizidir.

ML ve AI Asistanları Gelecek Değil, Asgari Standart

SIEM'de makine öğrenmesi yıllar önce yol haritası maddesi olmaktan çıktı. User and entity behavior analytics (UEBA) normal aktivitenin taban çizgisini çıkarır ve sapmaları işaretler — imkânsız seyahat, aniden posta kutularını okumaya başlayan bir servis hesabı, kullanıcının geçmişiyle örtüşmeyen veri hacimleri. Microsoft Security Copilot ve Splunk AI Assistant gibi AI asistanları artık doğal dilden sorgu taslağı çıkarıyor, olayları özetliyor ve alarmları ön triyajdan geçiriyor. Pratikten gelen dürüst değerlendirme şu: bu araçlar triyaj süresini kayda değer biçimde kısaltıyor, ama mühendislik ürünü tespitlerin ve analist muhakemesinin yerini almıyor. Çıktılarını hüküm olarak değil, doğrulanacak ipuçları olarak ele alın.

Alarm Yorgunluğu Bir Tasarım Hatasıdır

Günde iki yüz alarm kapatan bir analist, bir süre sonra hiçbirini incelemeyi bırakır. Çözümler yapısaldır: agresif ayarlama ve bastırma, ve zayıf sinyalleri bir varlık risk skorunda biriktirerek on iki sayfa yerine tek bir alarmın çalmasını sağlayan risk tabanlı alarm üretimi. SOAR kendini işte burada amorti eder — her alarmı IP itibarı, kullanıcının normal davranışı ve varlık kritikliği ile otomatik zenginleştirir; hesap devre dışı bırakma veya EDR üzerinden host izole etme gibi geri alınabilir kontrol altına alma adımlarını otomatikleştirir; yıkıcı adımlar için insan onayını saklı tutar. Programı mean time to detect ve mean time to respond üzerinden ölçün; bu sayılar düşmüyorsa otomasyon süsten ibarettir.

SIEM'in Etrafındaki Yığın

SIEM korele eder; görmez. Tespit kalitesi girdileriyle sınırlıdır ve modern taban çizgisi nettir. Uç noktalar EDR veya XDR ister — sürekli, davranışsal koruma; imza tabanlı antivirüs ve zamanlanmış malware taramaları yıllar önce kabul edilebilir bir kontrol olmaktan çıktı. Kimlik tarafında MFA her yerde zorunlu tutulmalı ve MFA-yorgunluğu push bombalaması alarmları dahil, oturum açma telemetrisi SIEM'e akmalı. Bulut kontrol düzlemi logları pazarlık konusu değildir. Uygulama katmanı kaynakları ise hepsinin içinde en az kullanılanı: API gateway ve kimlik doğrulama logları, veri dışarı çıkmadan çok önce credential stuffing ve token kötüye kullanımını açığa çıkarır — bu konuyu API güvenliği rehberimizde ele alıyoruz. Son olarak, bir oltalama e-postasını dakikalar içinde bildiren eğitimli personel her türlü cihazdan daha iyi bir sensör olmayı sürdürüyor — güvenlik farkındalığı programını canlı tutun.

Kur, Satın Al veya Yönetilen SOC

Vardiyalar, izinler ve personel devri hesaba katıldığında 7/24 izleme en az beş analist ister; SIEM projelerinin kaderini teknolojiden çok bu kadro sorusunun belirlemesinin nedeni budur. Üç model gerçekçidir: kendiniz işletin (maksimum kontrol, maksimum bordro), ortak yönetin (tespit içeriğinin sahibi sizsiniz, konsolu bir sağlayıcı kadrolar) ya da işlevi bütünüyle bir MDR veya yönetilen SOC sağlayıcısına devredin. Hangisini seçerseniz seçin, iki şeyin sahipliğini elinizde tutun: tespit gereksinimleriniz — ortamınızda asla fark edilmeden geçmemesi gereken olayların kısa, yazılı listesi — ve açık formatlarda dışa aktarılabilir verileriniz. İkisinden birini kaybederseniz, sağlayıcı değiştirmek her şeye baştan başlamak demektir.

İlk SIEM kurulumunuzun kapsamını belirliyorsanız, pahalı bir kurulumu rasyonalize ediyorsanız ya da yönetilen SOC ile dahili ekip arasında tartıyorsanız, güvenlik operasyonları pratiğimiz lisans imzalanmadan önce tespit yığınını tasarlamanıza yardımcı olur; mühendislik hizmetlerimiz ise sonrasındaki entegrasyon işini üstlenir.

Bunun hesaplarınıza karşı kontrol edilmesini ister misiniz? AWS güvenlik değerlendirmemiz ISO 27001, SOC 2, NIS2 ve DORA'ya eşlenmiş 98 maddeyi kapsar — sabit fiyat, kanıtlar dahil.