
Siber güvenlik alanında kendimi geliştirirken dikkatimi çeken konulardan biri şu oldu:
SIEM (Security Information and Event Management – Güvenlik Bilgisi ve Olay Yönetimi) üzerinde üretilen alarmlar çoğu zaman sadece teknik bir uyarı olarak ele alınıyor. İnceleniyor, kapatılıyor ve süreç orada bitiyor.
Oysa biraz farklı bir açıdan baktığımızda, bu alarmların çok daha anlamlı bir role sahip olduğunu görüyoruz.
Doğru analiz edildiğinde bir SIEM alarmı, BGYS (Bilgi Güvenliği Yönetim Sistemi) kapsamında kontrol kanıtına dönüşebiliyor.
Senaryo
Aynı kullanıcı hesabı için kısa bir zaman aralığında birden fazla 4625 (failed logon – başarısız giriş) kaydı ve hemen ardından bir 4624 (successful logon – başarılı giriş) event’i (olayı) olduğunu düşünelim.
Bu tarz bir pattern (davranış deseni) gördüğümde aklıma ilk gelen ihtimaller:
- Brute force (kaba kuvvet saldırısı)
- Password spraying (parola püskürtme saldırısı)
- Hesap ele geçirilmesi (account compromise)
- Zayıf kimlik doğrulama mekanizması
SIEM tarafında bu durum genellikle belirli eşik değerlerine (threshold – eşik değeri) göre yazılmış kurallarla yakalanır.
Örneğin: X dakika içinde Y adet başarısız giriş + ardından başarılı giriş.
Alarmın Ötesine Geçmek
Bu noktaya kadar yaklaşım genelde operasyonel kalır:
Alarm oluşur, analiz edilir ve bir incident olarak kapatılır.
Ancak burada kritik bir bakış açısı değişimi gerekiyor.
Bu alarmı yalnızca bir incident olarak değerlendirmek yerine, aynı zamanda:
- Bir security event
- Bir risk göstergesi
- Ve doğru şekilde ele alındığında bir denetim kanıtı
olarak görmek gerekir.
BGYS Perspektifi
AyBGYS açısından bakıldığında bu tek bir alarm bile önemli çıktılar sunar.
Örneğin bu senaryoda aslında şu kontrollerin aktif olduğu kanıtlanır:
- Erişim kontrol mekanizmaları
- Kimlik doğrulama süreçleri
- Loglama ve izleme (monitoring) altyapısı
Bu da ISO 27001 kapsamında tanımlanan kontrollerin yalnızca dokümante edilmediğini, aynı zamanda aktif olarak çalıştığını ve izlendiğini gösterir.
Sonuç
SIEM alarmları yalnızca tehdit tespiti için üretilen teknik çıktılar değildir.
Doğru yorumlandıklarında, organizasyonun güvenlik kontrollerinin etkinliğini gösteren somut kanıtlara dönüşürler.
Bu bakış açısı, teknik log’ları operasyonel veriden çıkarıp yönetişim seviyesinde anlamlı hale getirir.
📌 Konunun detaylı teknik analizi, Splunk sorguları ve ISO 27001 eşleştirmesi için yazının tamamına buradan ulaşabilirsiniz:
🔗 Bir SIEM Alarmı Kontrol Kanıtına Nasıl Dönüşür?
Kontrol Kanıtı Nedir?
Kontrol kanıtı, bir güvenlik kontrolünün (örneğin; şifre politikası veya erişim izleme) sadece kağıt üzerinde kalmadığını, gerçek zamanlı olarak çalıştığını ve işlevini yerine getirdiğini denetçilere ispatlayan somut veridir.





