Bir SIEM Alarmı Kontrol Kanıtına Nasıl Dönüşür?

Siber güvenlik alanında kendimi geliştirirken dikkatimi çeken konulardan biri şu oldu:
SIEM (Security Information and Event Management – Güvenlik Bilgisi ve Olay Yönetimi) üzerinde üretilen alarmlar çoğu zaman sadece teknik bir uyarı olarak ele alınıyor. İnceleniyor, kapatılıyor ve süreç orada bitiyor.

Oysa biraz farklı bir açıdan baktığımızda, bu alarmların çok daha anlamlı bir role sahip olduğunu görüyoruz.
Doğru analiz edildiğinde bir SIEM alarmı, BGYS (Bilgi Güvenliği Yönetim Sistemi) kapsamında kontrol kanıtına dönüşebiliyor.


Senaryo

Aynı kullanıcı hesabı için kısa bir zaman aralığında birden fazla 4625 (failed logon – başarısız giriş) kaydı ve hemen ardından bir 4624 (successful logon – başarılı giriş) event’i (olayı) olduğunu düşünelim.

Bu tarz bir pattern (davranış deseni) gördüğümde aklıma ilk gelen ihtimaller:

  • Brute force (kaba kuvvet saldırısı)
  • Password spraying (parola püskürtme saldırısı)
  • Hesap ele geçirilmesi (account compromise)
  • Zayıf kimlik doğrulama mekanizması

SIEM tarafında bu durum genellikle belirli eşik değerlerine (threshold – eşik değeri) göre yazılmış kurallarla yakalanır.
Örneğin: X dakika içinde Y adet başarısız giriş + ardından başarılı giriş.

Alarmın Ötesine Geçmek

Bu noktaya kadar yaklaşım genelde operasyonel kalır:
Alarm oluşur, analiz edilir ve bir incident olarak kapatılır.

Ancak burada kritik bir bakış açısı değişimi gerekiyor.

Bu alarmı yalnızca bir incident olarak değerlendirmek yerine, aynı zamanda:

  • Bir security event
  • Bir risk göstergesi
  • Ve doğru şekilde ele alındığında bir denetim kanıtı

olarak görmek gerekir.

BGYS Perspektifi

AyBGYS açısından bakıldığında bu tek bir alarm bile önemli çıktılar sunar.

Örneğin bu senaryoda aslında şu kontrollerin aktif olduğu kanıtlanır:

  • Erişim kontrol mekanizmaları
  • Kimlik doğrulama süreçleri
  • Loglama ve izleme (monitoring) altyapısı

Bu da ISO 27001 kapsamında tanımlanan kontrollerin yalnızca dokümante edilmediğini, aynı zamanda aktif olarak çalıştığını ve izlendiğini gösterir.

Sonuç

SIEM alarmları yalnızca tehdit tespiti için üretilen teknik çıktılar değildir.
Doğru yorumlandıklarında, organizasyonun güvenlik kontrollerinin etkinliğini gösteren somut kanıtlara dönüşürler.

Bu bakış açısı, teknik log’ları operasyonel veriden çıkarıp yönetişim seviyesinde anlamlı hale getirir.

📌 Konunun detaylı teknik analizi, Splunk sorguları ve ISO 27001 eşleştirmesi için yazının tamamına buradan ulaşabilirsiniz:
🔗 Bir SIEM Alarmı Kontrol Kanıtına Nasıl Dönüşür?

Kontrol Kanıtı Nedir?

Kontrol kanıtı, bir güvenlik kontrolünün (örneğin; şifre politikası veya erişim izleme) sadece kağıt üzerinde kalmadığını, gerçek zamanlı olarak çalıştığını ve işlevini yerine getirdiğini denetçilere ispatlayan somut veridir.

Related Posts

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı. Saldırı…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir