Icerik

  1. Syslog Trigger Nedir?
  2. Neden Erken Uyari Sistemi Onemli?
  3. Calisma Mantigi: Log Flow, Filter, Match, Notify
  4. Trigger Kural Ornekleri
  5. E-posta ve SMS Bildirim Entegrasyonu
  6. Hazir Sablon Marketi
  7. AES-256 Sifreleme ile Guvenli Iletisim
  8. Ozel Kural Olusturma
  9. Subgate Network ile Trigger Kurulumu

Syslog Trigger Nedir?

Syslog trigger, ag cihazlarindan toplanan log verilerini gercek zamanli olarak analiz eden ve onceden tanimlanmis kosullar saglandiginda otomatik alarm ureten bir mekanizmadir. Firewall, switch, access point ve sunucu gibi cihazlardan gelen syslog mesajlari surekli izlenir; belirlenen kurallara uyan bir log satirina rastlandiginda sistem aninda bildirim gonderir.

Geleneksel log yonetimi, kayitlarin toplanmasi ve saklanmasi uzerine odaklanir. Trigger mekanizmasi ise bu yaklasimi bir adim oteye tasiyarak reaktif izlemeyi proaktif korumaya donusturur. Boylece tehditler gerceklesmeden once veya gerceklestigi anda mudahale sansi olusur.

Bilgi: Syslog trigger, SIEM (Security Information and Event Management) sistemlerinin temel yapilarindan biridir. Ancak bagimsiz bir ozellik olarak da calisabilir ve karmasik SIEM yapilandirmasina gerek kalmadan etkin sonuclar uretir.

Neden Erken Uyari Sistemi Onemli?

Siber saldirilarin buyuk cogunlugu, gerceklestikten saatler hatta gunler sonra fark edilir. Bu gecikme, saldirganlarin ag icinde yatay hareket etmesine, veri sizdirilmasina ve kalici hasar birakilmasina zemin hazirlar. Erken uyari sistemi bu gecikmeyi saniyeler mertebesine indirir.

Log tabanli erken uyari sisteminin sagligi avantajlari sunlardir:

  • Anlik tespit: Brute force saldirilari, yetkisiz erisim girisimleri ve anormal trafik oruntuleri olusan an belirlenir.
  • Hizli mudahale: Alarm alan ekip, tehdidin kaynagini saniyeler icinde inceleyerek onlem alabilir.
  • Hasar sinirlamasi: Erken tespit, saldirilarin yayilmasini engelleyerek potansiyel zarari en aza indirir.
  • Uyumluluk: 5651 sayili kanun ve KVKK gibi duzenlemeler, guvenlik olaylarinin izlenmesini ve raporlanmasini zorunlu kilar.
  • Operasyonel verimlilik: Sistem yoneticileri tum loglari elle incelemek yerine yalnizca kritik alarmlara odaklanir.
Onemli: Bir agin ortalama gunluk log hacmi milyonlarca satira ulasabilir. Insan gozuyle bu veriyi izlemek fiziksel olarak mumkun degildir. Trigger mekanizmasi, bu devasa veri akisini otomatik olarak filtreler ve yalnizca kritik olaylari one cikarir.

Calisma Mantigi: Log Flow, Filter, Match, Notify

Syslog trigger sistemi dort temel asamada calisir. Her asama bir oncekinin ciktisini alarak isler ve sonucta yalnizca gercekten onemli olaylar bildirime donusur:

Log Flow
Filter
Match
Notify

Log Flow: Firewall, switch, access point ve sunuculardan syslog protokolu (UDP 514 veya TCP 514) uzerinden log mesajlari merkezi sisteme akar. Bu asamada ham veri toplanir ve zaman damgasi ile etiketlenir.

Filter: Toplanan loglar, kaynak IP, cihaz turu, severity seviyesi ve mesaj icerigi gibi parametrelere gore on filtrelemeden gecirilir. Ornegin yalnizca "severity: critical" veya "severity: alert" seviyesindeki loglar degerlendirilmeye alinabilir.

Match: Filtrelenen loglar, onceden tanimlanmis trigger kurallarina karsi eslestirilir. Eslesme kosullari tek bir olay olabilecegi gibi belirli bir zaman araliginda tekrar eden olaylar da olabilir. Ornegin "5 dakika icinde ayni IP'den 10 basarisiz giris denemesi" gibi karmasik kosullar tanimlanabilir.

Notify: Eslesme gerceklestiginde sistem, tanimlanan kanallara bildirim gonderir: e-posta, SMS, webhook veya dashboard alarmi. Bildirim icerigi, tetiklenen kuralin adi, kaynak bilgisi ve olay detaylarini icerir.

Trigger Kural Ornekleri

Asagidaki tablo, en sik kullanilan trigger kurallarini ve bunlarin hangi tehditlere karsi koruma sagladigini gostermektedir:

Kural AdiKosulTespit Ettigi Tehdit
Brute Force Tespiti5 dk icinde 10+ basarisiz girisParola kirma saldirilari
Bandwidth AsimiKullanici basina 500 MB/saat ustuVeri sizdirma, torrent kullanimi
Yetkisiz ErisimKara listedeki IP'den baglantiBilinen zararli kaynaklardan erisim
VPN AnomaliFarkli ulkelerden eszamanli VPN oturumHesap ele gecirme
Firewall Kural DegisikligiMesai saati disinda kural ekleme/silmeIc tehdit, yetkisiz yapilandirma
DNS TunellemeAnormal uzunlukta DNS sorgu tekrariVeri sizdirma ve gizli kanal

Brute Force Tespiti Detayi

En yaygin kullanilan trigger kurallarindan biri olan brute force tespiti, belirli bir zaman araliginda esik degerini asan basarisiz kimlik dogrulama girisimlerini yakalar. Sistem, ayni kaynak IP adresinden gelen "authentication failed" icerikli log mesajlarini sayar. Belirlenen esik degerine ulasildiginda alarm tetiklenir ve ilgili IP adresi otomatik olarak gecici engelleme listesine alinabilir.

Bandwidth Asimi Kontrolu

Ag kaynaklarinin adil kullanimi ve veri sizdirma girisimlerinin onlenmesi icin bandwidth trigger'lari kritik oneme sahiptir. Kullanici basina veya cihaz basina tanimlanan trafik esik degerleri asildiginda sistem alarm uretir. Bu sayede hem operasyonel sorunlar (ag tikanimasi) hem de guvenlik tehditleri (buyuk hacimli veri transferi) erken asamada tespit edilir.

E-posta ve SMS Bildirim Entegrasyonu

Trigger mekanizmasinin etkinligi, dogru zamanda dogru kisiye ulasabilmesine baglidir. Bu nedenle coklu bildirim kanali destegi vazgecilmezdir:

  • E-posta bildirimi: SMTP entegrasyonu ile detayli alarm raporlari, olay ozeti ve log kesitleri dogrudan sistem yoneticisinin posta kutusuna iletilir. HTML formatinda duzenlenmis bildirimler, hizli degerlendirme yapilmasini saglar.
  • SMS bildirimi: Kritik seviyeli alarmlar icin SMS kanali kullanilir. Internet erisimi olmayan ortamlarda bile yoneticiye ulasilmasini garantiler. Mesai saatleri disinda ozellikle degerli bir kanalidir.
  • Webhook entegrasyonu: Otomasyon platformlari, mesajlasma uygulamalari veya ITSM araclarina otomatik bildirim gondermek icin webhook destegi bulunur.
  • Dashboard alarmi: Yonetim panelinde gercek zamanli alarm gostergesi, sesli uyari ve renk kodlamasi ile anlik gorunurluk saglanir.
Tavsiye: Bildirim kanallarini onem derecesine gore kademelendirin. Dusuk oncelikli alarmlar yalnizca dashboard'a dusurken, kritik alarmlar hem e-posta hem SMS ile iletilmelidir. Bu yaklasim alarm yorgunlugunu onler.

Hazir Sablon Marketi

Her kurumun sifirdan trigger kurali olusturmasi zaman alici ve uzmanllik gerektiren bir surectir. Hazir sablon marketi, sektore ve cihaz turune ozel onceden yapilandirilmis kural setleri sunar. Bu sablonlar, en yaygin guvenlik senaryolarina karsi aninda koruma saglar.

Sablon marketinde bulunan kural kategorileri:

  • Firewall sablonlari: FortiGate, Palo Alto, Sophos ve diger yaygin markalar icin hazir kural setleri. Brute force, port tarama, DDoS belirtileri ve yapilandirma degisiklikleri icin optimize edilmistir.
  • Wi-Fi guvenlik sablonlari: Rogue AP tespiti, deauthentication saldirilari ve yetkisiz cihaz baglantilari icin hazir kurallar.
  • Sunucu izleme sablonlari: SSH brute force, basarisiz sudo girisimleri, disk doluluqu alarmlari ve servis durmasi bildirimleri.
  • Uyumluluk sablonlari: 5651, KVKK ve ISO 27001 gereksinimlerine yonelik hazir kural ve raporlama sablonlari.

Sablonlar tek tikla aktive edilebilir, kuruma ozel parametrelerle (esik degerleri, zaman araliklari, bildirim kanallari) kisisellestirilebilir. Yeni sablonlar duzenli olarak eklenir ve mevcut sablonlar tehdit ortamindaki gelismelere gore guncellenir.

AES-256 Sifreleme ile Guvenli Iletisim

Trigger bildirimleri hassas guvenlik bilgileri icerir: tetiklenen kural, kaynak IP adresi, hedef sistem, zaman bilgisi ve olay detaylari. Bu bilgilerin iletim sirasinda ele gecirilmesi veya degistirilmesi ciddi guvenlik riskleri dogurabilir.

Bu nedenle tum bildirim kanallari AES-256 sifreleme ile korunur. AES-256, askeri duzeyde kabul edilen ve gunumuzde kirilamaz olarak nitelendirilen bir sifreleme standardidir. Trigger sistemindeki guvenlik katmanlari sunlardir:

  • Aktarim sifrelemesi: E-posta bildirimleri TLS 1.3 uzerinden, SMS bildirimleri sifrelenmis API kanallari uzerinden iletilir.
  • Veri tabaninda sifreleme: Trigger kurallari, alarm gecmisi ve bildirim kayitlari AES-256 ile sifrelenerek saklanir.
  • Log butunlugu: Trigger olaylarinin kendisi de imzalanarak sonradan degistirilmesinin onune gecilir.
  • Erisim kontrolu: Trigger yapilandirmasi ve alarm gecmisine yalnizca yetkili yoneticiler erisebilir; tum erisimler denetim izine kaydedilir.
Pratik Bilgi: AES-256 sifreleme, log verilerinin toplanmasindan saklanmasina, tetiklenmesinden bildirime kadar tum yasam dongusunu kapsar. Bu uctan uca yaklasim, sifir guvene dayali (zero trust) guvenlik mimarisinin temel ilkesiyle uyumludur.

Ozel Kural Olusturma

Hazir sablonlar yaygin senaryolari kapsasa da her kurumun kendine ozgu ag yapisi, kullanici davranisi ve guvenlik politikasi vardir. Ozel kural olusturma modulu, teknik bilgi seviyesinden bagimsiz olarak herkesin kendi trigger kurallarini tanimlamasina olanak tanir.

Ozel kural olusturma surecinde kullanilabilecek parametreler:

  • Kaynak filtresi: Belirli bir cihaz, IP araligi veya VLAN'dan gelen loglarla sinirlandirma.
  • Anahtar kelime eslestirme: Log mesaji icinde gecen belirli ifadeleri arama (ornegin "denied", "failed", "critical").
  • Esik degeri ve zaman penceresi: Belirli bir olayin kac kez tekrar ettigini ve hangi zaman araliginda sayilacagini belirleme.
  • Severity filtresi: Yalnizca belirli oncelik seviyesindeki (emergency, alert, critical, error) loglari degerlendirme.
  • Korelasyon kurallari: Birden fazla kosulin ayni anda veya belirli bir siralamayla gerceklesmesini gerektiren karmasik kurallar tanimlama.

Olusturulan kurallar test modunda calistirilerek gercek ortama alinmadan once dogrulanabilir. Test modu, kuralin gecmis log verilerine uygulanmasiyla olasi sonuclarin onizlemesini saglar; boylece yanlis alarm oranlari minimuma indirilir.

Subgate Network ile Trigger Kurulumu

Subgate Network, syslog trigger mekanizmasini yerlesik bir ozellik olarak sunar. Ek yazilim veya lisans gerektirmeden, merkezi yonetim paneli uzerinden tum trigger islemlerini gerceklestirebilirsiniz.

Subgate Network'un trigger ozellikleri:

  1. 1Hizli Baslangic: Sablon marketinden sektorunuze uygun kural setini secin ve tek tikla aktive edin. Dakikalar icinde koruma baslar.
  2. 2Coklu Cihaz Destegi: FortiGate, Palo Alto, Sophos, MikroTik ve diger populer marka cihazlarindan gelen loglari destekler.
  3. 3Bildirim Yapilandirmasi: E-posta, SMS ve webhook kanallarini tanimlarin, alarm oncelik seviyelerine gore kademelendirin.
  4. 4Kural Editoru: Gorsel arayuz ile ozel kurallar olusturun, test modunda dogrulayin ve uretim ortamina alin.
  5. 5Alarm Paneli: Tum tetiklenen alarmlari tarih, kaynak, kural ve oncelik bazinda filtreleyin, gecmis olaylari raporlayin.
  6. 6AES-256 Koruma: Tum trigger verileri ve bildirimler uctan uca sifreleme ile korunur; guvenliginiz guvenlik altindadir.

Ag Guvenliginizi Guclendirelim

Subgate Network ile 5651 uyumlu loglama, hotspot, 802.1X RADIUS ve MFA cozumlerini kesfet.

Iletisime Gecin