MODÜL 2 — Network Tehditleri: Mekanizma, Etki, Tespit Sinyalleri

Bu modül, tehditleri “isim isim ezberleme” yerine, ağ üzerinde hangi mekanizma ne tür iz (sinyal) bırakır? sorusuna odaklanır. MitM/eavesdropping, spoofing, DoS/DDoS, AI-destekli tehdit eğilimleri ve kablosuz tehditleri savunma perspektifinden ele alır: amaç saldırı öğretmek değil; belirti → hipotez → kanıt → karar döngüsüyle hızlı ve güvenli triage yapabilmektir. Her başlıkta “ne anlama gelir, etkisi nedir, nerede sinyal bırakır, hangi kontrolle azaltılır” sorularını aynı disiplinle yürütürsün. Modül sonunda elinde, “hangi tehdit için hangi veri kaynağına bakarım ve ilk ne yaparım?” sorusunu yanıtlayan Sinyal Haritası bulunur; bu çıktı sonraki modüllerde kontrol tasarımı ve tuning çalışmalarına doğrudan girdi olur.

2.1 MitM / Eavesdropping (savunma odaklı)

Kavram	Tanım (savunma odağı)
Eavesdropping (dinleme)	Trafiğin içeriğinin yetkisiz biçimde okunması/izlenmesi. Şifrelenmemiş protokoller veya yanlış/zayıf şifreleme nedeniyle mümkün hâle gelebilir.
MitM / AiTM	İki uç arasındaki iletişime araya girilerek müdahale; her zaman “içerik değiştirme” şart değildir. Savunmada kritik nokta, trafik yolunu, DNS çözümlemesini veya L2/L3 eşleşmelerini etkilerken iz bırakmasıdır. (ATT&CK’ta “Adversary-in-the-Middle” bu sınıfı kapsar.)

Etki / risk

Boyut	Olası sonuç
Gizlilik	Oturum belirteçleri, kimlik bilgileri, iş verisi açığa çıkabilir.
Bütünlük	Trafik manipülasyonu, yanlış yönlendirme ve hatalı iş kararları.
Erişilebilirlik	Hatalı araya girme veya yanlış yapılandırma nedeniyle bağlantı kopmaları.
Operasyonel	“Sertifika uyarısı” gibi belirtiler meşru değişikliklerle (yenileme, CDN rotasyonu) karışabilir; yanlış containment kesintiyi büyütür.

Tespit sinyali / kanıt

Sinyal grubu	Ne tararsın? (özet)
TLS	Kullanıcı şikâyetleri (“sertifika uyarısı”, “sertifika değişti” — tek başına kanıt değil; korelasyon gerekir). PCAP’te el sıkışması hataları, SNI ile sertifika zinciri tutarsızlığı (yalnızca izinli, kısa pencere, veri minimizasyonuyla).
DNS	Aynı alan adının kısa aralıklarla farklı IP’lere çözülmesi (meşru sebepler olabilir; karşı kanıt şart). Beklenmedik resolver değişimi; NXDOMAIN oranında anomali.
L2 / L3	ARP/neighbor tablolarında gateway eşleşmesinin hızlı değişimi; gratuitous ARP yoğunluğu. Switch tarafında MAC hareketliliği / CAM “flapping” benzeri işaretler (ortama göre).

Dikkat: MitM şüphesinde “kim yaptı?” yerine “ne gördük?” diye başla. Etiket, kanıt değildir.

İpucu: En hızlı triage: belirti tek kullanıcıda mı, bir segmentte mi, tüm kurumda mı? Kapsam sinyali kök neden sınıfını hızla daraltır.

Savunma kontrolü / düzeltme yaklaşımı

Kontrol çizgisi	Operasyonel hedef
Şifreleme hijyeni	Şifresiz protokolleri kaldırmak; TLS duruşunu doğru kurmak (bu modülde neden/sinyal düzeyinde).
Görünürlük	DNS loglama; kritik segmentlerde flow; olay anında kısa süreli PCAP üretebilme.
L2 tutarlılık	IP/MAC eşleşmesi ve anomali alarmlarıyla tutarsız eşleşmeleri zorlaştırmak.
Karşı kanıt	Sertifika değişiminde önce planlı yenileme, rota/CDN değişimi gibi meşru nedenleri elemek.

2.2 Spoofing (IP/MAC/ARP/DNS)

Spoofing; IP, MAC, ARP veya DNS gibi kimlik/yer bilgisinin sahte gösterilmesidir. Savunmada hedef “nasıl yapılır?” öğrenmek değil; tutarsızlıkları kanıtla yakalamaktır.

Tür	Özet
IP spoofing	Kaynak IP’nin sahte gösterilmesi.
MAC spoofing	Cihazın L2 kimliğinin sahte gösterilmesi.
ARP spoofing / cache poisoning	IP↔MAC eşleşmelerinin yanıltılması (ATT&CK “ARP cache poisoning” bu davranışı kapsar).
DNS spoofing / redirect	Alan adı çözümlemesinin yanlış hedefe yönlendirilmesi.

Etki / risk

Başlık	Açıklama
İz sürmek	“Kim konuştu?” sorusu zorlaşır.
Yetkisiz erişim görünümü	Denemeler daha “meşru” görünebilir (zayıf segmentasyon/izlemede).
DNS	Yanlış yönlendirme; MitM/eavesdropping riskini büyütür.
Operasyonel	IP/MAC değişimi çoğu zaman meşrudur (DHCP, cihaz değişimi, sanallaştırma); alarm yorgunluğu tetiklenebilir.

Tespit sinyali / kanıt

Grup	Örnek gözlemler
IP/MAC tutarsızlığı	DHCP’de aynı IP’ye farklı MAC; aynı MAC’in beklenmedik segmentlerde görünmesi. ARP/neighbor’da hızlı değişim; gateway MAC’inin beklenmedik şekilde değişmesi (yüksek öncelikli süreç sinyali).
ARP	Kısa pencerede yoğun ARP trafiği. Wireshark’ta arp.duplicate-address-detected / arp.duplicate-address-frame ile duplicate IP işaretleri (hızlı tarama).
DNS	FQDN’in kısa TTL ile farklı hedeflere dönmesi (tek başına kanıt değil). Resolver veya upstream DNS değişimi. Proxy + DNS + flow ile yeni domain, yeni IP ve egress artışının birlikte görülmesi.
Ağ cihazı	IP conflict uyarıları; port bazlı MAC “zıplaması” (ortama göre).

Dikkat: “Gateway MAC değişti” tek başına spoofing değildir; failover, cihaz değişimi veya sanallaştırma da aynı görüntüyü verebilir.

İpucu: İddia üçlü korelasyon ister: L2 anomali, DNS/flow ile uyum ve (varsa) değişiklik kaydıyla çelişki.

Savunma kontrolü / düzeltme yaklaşımı

Önlem	Ne kazanırsın?
L2 tutarlılık	IP/MAC bağlama, ARP doğrulama, port güvenliği ile sahte eşleşme üretimini zorlaştırma.
DNS görünürlüğü	Standart resolver, log ve değişiklik disiplini.
Segmentasyon / egress	Spoofing olsa bile etki alanını daraltma.
Raporlama	“ARP değişti” yerine: hangi cihaz, hangi IP, ne zaman, hangi karşı kanıt.

2.3 DoS/DDoS (savunma perspektifi)

Savunmada “trafik arttı” cümlesini boğaz nerede? sorusuna çevir: hat mı, CPU mu, state tablosu mu, uygulama havuzu mu, upstream mi? ATT&CK’ta bu etki sınıfı “Network Denial of Service” ile ilişkilendirilir.

Etki / risk

Boyut	Sonuç
Erişilebilirlik	Kesinti, SLA riski, gelir ve itibar kaybı.
İkincil	Yük altında log azalması veya drop davranışı değişimi; görünürlük kaybı.
Panik	Geniş bloklar müşteri kesintisini büyütebilir.

Tespit sinyali / kanıt

Kaynak	Tipik işaretler
Ağ	Link doygunluğu, ani PPS, latency/jitter sıçraması.
Flow	Tek hedefe veya servise yoğunlaşma; belirli portlarda yığılma.
Cihaz	FW/LB CPU, state/connection doluluğu, SYN benzeri yarım bağlantı göstergeleri (gözlem düzeyinde).
Servis	Uzayan yanıt süreleri, 5xx, health check hatası.

İpucu (kanıt üçlüsü): İddia tek grafikle değil; flow yoğunluğu + cihaz metriği + servis etkisi ile sabitlenir.

Savunma kontrolü / düzeltme yaklaşımı

İlke	Uygulama
Katmanlı savunma	Upstream temizleme, rate limit, kapasite, kritik servis ayrıştırma.
Do not harm	İlk hamle geniş blok değil; kapsam ve kanıt.
Korelasyon	Flow, metrik ve health birlikte yoksa “DDoS kesin” deme.
Karşı kanıt	Kampanya, yedekleme veya iş trafiği artışı olabilir; plan kontrolü.

2.4 AI-destekli ağ tehditlerine giriş (kavramsal)

“Tamamen yeni bir tür”den çok, bilinen yöntemlerin hızlanması ve ölçeklenmesi görülür. Ağda sık karşılaşılan yansımalar üç ana grupta toplanabilir:

Etki / risk

Triage maliyeti artar; “AI yaptı” etiketi kanıt değildir. ML/NDR kullanılıyorsa veri kalitesi, log bütünlüğü ve model drift (bu modülde yalnızca kavramsal) kritikleşir.

Tespit sinyali / kanıt

Odak	Örüntü
Egress	Az hacimli ama hedefli bağlantılar; yeni veya seyrek domain’ler.
Zamanlama	Patlama yerine düşük yoğunlukta uzun süreli hareket.
Alarm tabanı	IDS/NDR dağılımında ani değişim: ya kalitesiz alarm seli ya da olağandışı sessizlik.

Savunma kontrolü / düzeltme yaklaşımı

Kanıt standardını DNS + proxy + flow ile yükselt; “ilk kez görülen” varlıkları envanterle eşle. Model varsa veri sürekliliği ve drift gözlemi hijyen ister. Rapor dilinde: “Davranış X gözlendi; Y ile uyumlu; Z belirsiz.”

Dikkat: AI konuşulurken en sık hata, kanıtı aşan genellemedir.

İpucu: “Davranış X, Y ile uyumlu; ancak Z karşı kanıtı dışlanmadan kesin atıf yapılmadı.” cümle yapısını kullan.

2.5 Kablosuz tehditler (cracking öğretmeden)

Kablosuz risk yalnızca “şifre kırma” değildir. Kurumsal sahnede sık görülen kökler: rogue AP (envanter dışı yayın), evil twin (meşru SSID’yi taklit), yanlış SSID ve segment tasarımı, zayıf misafir izolasyonu ve yönetim arayüzlerinin hatalı konumu.

Etki / risk

Konu	Risk
Lateral hareket	Kablosuzdan iç ağa yanlış köprüleme.
Kimlik / güven	Sahte SSID’ye bağlanma ve yönlendirme.
Operasyon	Kapsama veya RF kaynaklı sorunlar güvenlik sanılabilir; kanıt şart.

Tespit sinyali / kanıt

Kaynak	Ne ararsın?
Controller / WIDS	Yeni veya beklenmeyen BSSID; aynı SSID altında farklı BSSID; şifreleme profili uyumsuzluğu. Deauth/disassoc artışı (performans da neden olabilir).
RADIUS / kimlik	Auth başarısızlık artışı; beklenmedik cihaz türü veya konum.
İstemci	“Portal değişti”, “sertifika uyarısı” (tek başına kanıt değil).
Kanıt paketi	Controller olay kesiti, istemci bağlantı geçmişi, gerekirse kısa ve izinli gözlem çıktısı.

Savunma kontrolü / düzeltme yaklaşımı

Kurumsal ve konuk SSID ayrımı, segmentasyon, rogue süreçleri ve güçlü kimlik/duruş (detay sonraki modüllerde) sinyal düzeyinde hatırlanır. Kullanıcıya “güvenlik mi, kapsama mı?” ayrımı için kısa doğrulama ve kayıt disiplini uygulanır.

2.6 HOW-TO: “Sinyal Haritası” (Threat → Veri Kaynağı → İlk Aksiyon)

Sinyal Haritası, her tehdit için “hangi kaynağa bakarım, ilk ne yaparım?” sorusuna tek tip yanıt verir. Böylece rastgele veri toplamak yerine hedefli triage yapılır; örneğin DNS log yoksa DNS iddiasının gücü düşer ve bu görünürlük açığı kayda geçer. Harita aynı zamanda sonraki modüllerde kontrol tasarımına girdi verir, yeni konu açmadan köprü kurar.

2.7 Komut & Araç Okuryazarlığı (denetim / doğrulama / kanıt)

Aşağıdaki komutlar yalnızca izinli ve yerel kullanım içindir. Amaç saldırı üretmek değil; hipotezi doğrulamak veya çürütmek ve denetlenebilir kanıt üretmektir.

Örnek: tshark metin oturumu

GUI yerine dosya üzerinden okuduğunda çıkan özet metin; hipotezi destekleyen satırları rapora aktarmak için kullanılır (kavramsal örnek).

2.8 HOW-TO — “Sinyal Haritası” Üretimi (Threat → Veri Kaynağı → İlk Aksiyon)

Uygulama — yaşayan harita tablosu

Tehdit (özet)	Tipik sinyal	Birincil kaynak	İkincil	İlk güvenli aksiyon
MitM / eavesdropping	TLS hata artışı, sertifika şikâyeti, DNS tutarsızlığı	DNS log + kısa PCAP	Proxy / flow	Zaman penceresi; planlı değişiklik kontrolü; minimum PCAP + hash
ARP spoofing şüphesi	Gateway MAC değişimi, ARP yoğunluğu, duplicate IP	ARP/neigh + switch log	Kısa PCAP (arp)	Kapsam ölç; DHCP/cihaz karşı kanıtı
DNS şüphesi	FQDN→IP oynaklığı, resolver değişimi	İstemci resolver + DNS log	Proxy + flow	Resolver standardı; korelasyon; kesin atıftan kaçın
DoS/DDoS etkisi	PPS/latency, health düşüşü	Flow + cihaz	PCAP	Meşru trafik karşı kanıtı; üçlü sabitleme
AI eğilimi şüphesi	Düşük hacimli egress, alarm dağılımı	DNS+proxy+flow	NDR	Uyumlu sinyal dili; tuning notu
Rogue / evil twin	Yeni BSSID, auth hatası, roaming	Controller/WIDS	İstemci	Allowlist kıyası; log kesiti

Geri dönüş / rollback

Yanlış pozitifte haritadaki sinyal tanımını ve karşı kanıt alanını güncelle. Fazla veride minimizasyon ve güvenli silme notu. Şablon değiştiyse sürüm + değişiklik kaydı tut.

2.9 Operasyonel Senaryo — “Yavaşlık + Sertifika Uyarısı: MitM mi, Meşru Değişiklik mi?”

Hipotezler (önceliklendir)

#	Hipotez
1	Planlı değişiklik: gateway failover veya cihaz değişimi → meşru MAC hareketi.
2	L2 tutarsızlık: ARP/neighbor anomalisi (ARP cache poisoning ile uyumlu olabilir).
3	Meşru DNS/CDN rotasyonu: TTL ve yanıt değişimi.
4	Performans/kapsama + yanlış güvenlik yorumu.

Minimum kanıt seti (izinli)

Kaynak	Ne toplanır?
İstemci	ARP/neighbor çıktısı (hash’li); resolver yapılandırması (hash’li).
İstemci (gerekirse)	120 sn PCAP: arp + dns + 443, hash’li.
Altyapı	DNS log kesiti, zaman penceresi sınırlı, hash’li.
Karşı kanıt	Değişiklik kaydı / bakım penceresi (varsa).

Örnek adresler (uydurma): istemci 198.51.100.20, gateway 198.51.100.1, DNS 198.51.100.53.

Karar ve rapor

Güçlü planlı değişiklik kanıtı varsa olayı “operasyonel değişim + kullanıcı etkisi” olarak kaydet; Sinyal Haritası’na karşı kanıt örneği ekle. L2/DNS tutarsızlığı süer ve meşru açıklama zayıfsa kapsamı kontrollü genişlet; L2 tutarlılık, DNS standardı ve görünürlük önerilerini yaz. Her durumda manifest tamamla; belirsizlikleri dürüstçe belirt.

Terimler Sözlüğü

Terim	Açıklama
MitM / Adversary-in-the-Middle	İletişime araya girme; savunmada sinyal ve kanıt odağı.
Eavesdropping	Trafiğin yetkisiz izlenmesi.
Spoofing	Kimlik veya yer bilgisinin sahte gösterilmesi.
ARP cache poisoning	IP↔MAC eşlemesinin yanıltılması.
DNS spoofing / redirect	Yanlış IP’ye çözüm veya yönlendirme.
DoS / DDoS	Hizmeti kullanılamaz kılma etkisi; tekil veya dağıtık kaynak.
Network Denial of Service	Ağ seviyesinde kesinti etkisi (sınıf).
Flow (NetFlow/IPFIX)	Özet trafik kayıtları; kanıt kaynağı.
PCAP	Ham yakalama; kısa süre ve minimizasyon.
TTL	DNS’te yaşam süresi; rotasyonla karışabilir.
Rogue AP	Envanter dışı kablosuz erişim.
Evil Twin	Meşru SSID taklidi; sinyal odaklı ele alınır.
WIDS/WIPS	Kablosuz tespit/önleme (log kaynağı).
“Uyumlu sinyal”	Kesin hüküm yerine kanıtla uyumlu, temkinli ifade.

Kendini Değerlendir

Kapanış: bu modülde neler öğrendin?

MODÜL 6 — Bulut Network Güvenliği: AWS VPC, Azure VNet/NSG + Hibrit

Bulut ağ güvenliği, “veriyi korumak” kadar yanlış bağlantıyı imkânsız kılmak demektir: hangi segment kiminle konuşabilir, hangi çıkış (egress) serbest, bunu hangi kontrol katmanı kanıt ile gösterebilir? Bu modülde AWS VPC ve Azure VNet/NSG yapı taşlarını; ağ mimarisi + kontrol katmanları + görünürlük (flow/log) + misconfiguration yönetimi bakışıyla birleştiriyoruz. On-prem dünyasında birçok kontrol “cihaz üstünde” hissedilirken, bulutta kontrolün büyük kısmı policy-as-config ve denetlenebilir kayıt (auditability) ile yaşar. Bu yüzden hedef; ezber değil, kanıt üreten denetim disiplini kazandırmaktır: kuralı gör → etkisini anla → sinyalini bul → düzeltmeyi küçük kapsamla yap → geri dönüşü hazır tut. Hibrit bağlantılar (VPN/özel hat) resmi büyütür: rota/DNS/policy uyumu bozulursa ya kesinti ya da “fazla erişim” doğar. Tüm içerik yalnızca izinli ortam varsayımıyla ilerler; geniş tarama/istismar yok, sadece denetim–doğrulama–kanıt vardır.

6.1 Bulutta ağ yapı taşları

Bulutta ağ; kablo/switch yerine tanımlı bileşenler üzerinden kurulur. AWS’de VPC, Azure’da VNet; CIDR, subnet, route, gateway (internet/özel), peering/transit ve SG/NSG/NACL ile çalışır. “Public subnet” tek ayar değildir — route + public IP + gateway + kural seti birlikte tanımlar.

Etki / risk

Risk paterni	Sonuç
Envanter boşluğu	“Kaynak nerede?” yanıtsız; segmentler arası gereksiz erişim.
Geniş egress fark edilmez	Veri sızıntısı yüzeyi büyür.
Route drift	Erişim anında değişir veya kesilir; kayıtsız değişiklikte kronik sapma.

Tespit sinyali / kanıt

• Konfig: VPC/VNet, subnet, route, IGW/NAT, SG/NSG/NACL (JSON/CSV).
• Control plane: kim, neyi, ne zaman değiştirdi?
• Data plane: flow log’da beklenmeyen src/dst/port yönelimi.

Savunma / düzeltme

• Önce envanter: VPC/VNet → subnet → route → SG/NSG/NACL → egress.
• Public tanımı yazılı olsun: route + IP + gateway + policy (kurum standardı).
• Kademeli değişiklik: her adımda önce/sonra kanıt seti.

Örnek: AWS CLI — VPC envanteri (okuma, uydurma çıktı)

6.2 Güvenlik kontrol katmanları

Bulut ağ güvenliğinde tek kontrol her şeyi çözmez; katmanlar birlikte değerlendirilir. AWS’de Security Group ile NACL ayrımı (stateful/stateless, allow/deny) politika tasarımını doğrudan etkiler.

Katman özeti

#	Katman	Soru
1	Kimlik / yetki	Kim hangi ağ kaynağını veya kuralı değiştirebilir?
2	Segmentasyon	Hangi subnet/zone kiminle konuşur?
3	Kural setleri	SG/NSG (çoğunlukla stateful) + NACL (çoğunlukla stateless) uyumu
4	Egress	NAT/proxy/firewall/allowlist; kritik segmentte explicit allow disiplini
5	Merkezi politika	Golden rule, şablon, drift ölçümü
6	Görünürlük	Flow/log/alert, saklama, korelasyon

Etki / risk

• Tek katmana güven: ör. yalnız SG/NSG — kimlik ve policy drift riski artar.
• Egress boşluğu: veri çıkışı “normal trafik” içinde kaybolur.
• Merkezi politika yok: ekip başına farklı standart; denetim maliyeti yükselir.

Tespit sinyali / kanıt

• IAM/RBAC ve rol değişiklikleri (control plane).
• SG/NSG/NACL ve route değişimleri.
• Flow’da dış hedef çeşitliliği (egress drift); NSG/firewall’da beklenmedik allow ve öncelik çakışması.

Savunma / düzeltme

• Golden policy: olması gerekeni şablonla; sapmayı ölç.
• Egress: varsayılan geniş açık bırakma; gerekiyorsa gerekçe + süre.
• Kanıt bağla: kural var mı + tekil doğrulama + log/flow ile karar görünüyor mu?

6.3 East-west riskleri ve misconfiguration

East-west trafik, aynı bulut ağı içi yatay iletişimdir. Sorun çoğu zaman internet değil, içte fazla serbestliktir. Misconfiguration burada yalnızca “bug” değil; varsayılan + acele değişiklik + eksik görünürlük birleşimidir.

Etki / risk

Risk	Açıklama
Geniş iç izin	Yatay yayılım; bir segmentteki hata diğerine taşınır.
Geçici istisna kalıcılığı	Risk borcu birikir.
Öncelik / gölgeleme	Beklenen deny çalışmıyor gibi görünür.

Tespit sinyali / kanıt

• Flow’da segmentler arası beklenmedik port/hedef artışı.
• Geniş CIDR’lı kural değişimi; shadow/priority çakışması.
• Tekil servis doğrulaması + aynı pencerede log/flow’da karar satırı.

Savunma / düzeltme

• Dar kural, net kanıt: servis/port/kaynak bazlı daralt.
• Kritik zone’larda flow standardı.
• İstisna: owner + gerekçe + expiry + rollback tetikleyicisi.

Karşı kanıt disiplini: “Erişim yok” için DNS mi, route mu, NSG/SG mi? Her hipotez için hem doğrulayan hem çürüten kanıt planla.

6.4 Hibrit bağlantılar

Hibrit; on-prem ile bulutun VPN veya özel hat üzerinden bağlanmasıdır. Üçü birlikte doğru olmalıdır: rota, DNS, policy/segmentasyon. Hata ya kesinti ya da fazla erişim üretir.

Bileşen	Ne doğrulanır?
Rota	Hangi prefix nereye gider? Effective route tutarlı mı?
DNS	İsim çözümü doğru resolver zincirinde mi? (split DNS)
Policy	Hibritten gelen trafik hangi kaynaklara ulaşabilir?

Örnek: Linux — rota ve DNS (hibrit uç doğrulama)

Etki / risk

• Route leak / yanlış propagasyon: beklenmedik görünürlük.
• Split-DNS bozulması: aynı isim farklı IP; müdahale zorlaşır.
• Asimetrik routing: yarım bağlantı; stateful kontrol sürprizleri.
• CIDR çakışması: yanlış segment veya kalıcı çakışma.

Tespit sinyali / kanıt

• Gateway/VPN/BGP özet çıktıları; route table / effective route.
• DNS resolver davranışı; flow’da on-prem ↔ bulut CIDR konuşması.

Savunma / düzeltme

• Minimal prefix ilanı.
• DNS kuralı net: iç FQDN → iç resolver; dış → kontrollü çıkış.
• Kademeli değişiklik: pilot → genişleme; her adımda kanıt.

6.5 Bulut logları (görünürlük)

Görünürlük iki düzlemdedir: control plane (kim neyi değiştirdi?) ve data plane (trafik gerçekte nasıl aktı?). AWS VPC Flow Logs ve Azure NSG akış kayıtları ürün dokümantasyonunda alan setleri ve gecikme (gerçek zamanlı olmayan yayın) ile tanımlanır; platforma göre özellik evrimi (ör. NSG flow logs geçişi) takip edilmelidir.

Etki / risk

Risk	Sonuç
Log yok	Olay hissedilir; kanıtlanamaz; yanlış müdahale.
Saklama/etiket yok	Olay sonrası korelasyon zayıflar.
Amaçsız çok log	Gürültü; SOC yorulur, sinyal kaybolur.

Tespit — tipik alanlar

• Flow: src/dst, port, protokol, aksiyon, byte/packet, zaman penceresi.
• NSG/Firewall: kural/priority, karar, yön, hedef.
• Değişiklik: kural/route/gateway attach-detach.

Savunma — öncelikli sinyaller (örnek)

• İnternet egress drift (dış hedef çeşitliliği artışı).
• Beklenmeyen inbound allow.
• Route/gateway değişimi.
• Log boşluğu (kapalı veya eksik).

Flow log okuma (kısa akış)

Adım	Eylem
1	Zaman penceresini daralt (dakika).
2	src/dst/port sabitle.
3	allow/deny ve ilgili kuralı (NSG/FW/SG/NACL) bul.
4	Aynı pencerede control-plane değişiklik var mı?
5	Karşı kanıt: trafik gelmedi mi, geldi ama deny mı?

Örnek: VPC Flow Log satırı (kavramsal alanlar, uydurma)

Gecikme notu: Flow log gerçek zamanlı değildir; “şimdi denedim, log’da yok” tek başına yeterli değildir. Aynı pencereye tekil PCAP (kısıtlı hedef/port) veya değişiklik kaydı eklemek kanıtı güçlendirir.

6.6 Misconfiguration matrisi (zorunlu)

Misconfiguration matrisi basit hata listesi değildir; denetim ve olay müdahalesini aynı dilde birleştirir. Sütun zinciri: Misconfig → Etki → Sinyal → Kanıt kaynağı → Kontrol → Düzeltme → Rollback.

Her satır için	Tanım
Fark ediş	Hangi log/flow sinyali bu sınıfı gösterir?
Kanıt	Hangi çıktı dosyası veya kesit?
Düzeltme	Küçük kapsamlı, sahipli aksiyon.
Geri dönüş	Hangi metrik bozulursa rollback?

Etki / risk

• Matris yoksa tekrarlayan “tekil vaka” döngüsü.
• Öncelik yoksa gürültülü olaylar öne çıkar; en riskli boşluk kalır.
• Rollback tanımı yoksa düzeltme kesintiyi büyütür.

Kanıt standardı

• Anlatı değil; sistematik konfig + log + flow kesiti.
• Her satırda tekil doğrulama testi ve geri dönüş tetikleyicisi.

Savunma — her misconfig sınıfı için

• Segmentasyon / egress daraltma.
• Flow/log zorunluluğu (kritik segmentlerde).
• İstisnalarda owner + expiry.

6.7 HOW-TO: Bulut Misconfig Matrisi Üretimi

Bu runbook, kuruma özel yaşayan bir Misconfiguration Matrisi ve eşlik eden kanıt paketini üretir.

1. Hazırlık

Öğe	İçerik
Kapsam	Ortam (prod/stage), VPC/VNet listesi, hibrit var/yok.
Standart kriterler	Public subnet tanımı; egress prensibi (explicit allow / allowlist / proxy); flow/log zorunlu segmentler; hibrit prefix (minimal ilan, çakışma yok).
Kanıt dizini	YYYYMMDD_mod6_cloud_misconfig/evidence/, notes/, manifest.sha256

2. Uygulama — matrisi doldur

• Envanter (kanıtlı): VPC/VNet, subnet, route, gateway, SG/NSG/NACL, flow/log ayarları.
• Aday sınıflar: inbound geniş izin; kritik segmentte açık egress; route/gateway hatası; log boşluğu; hibrit rota/DNS uyumsuzluğu; east-west aşırı serbestlik.
• Her satır için sütunlar: misconfig sınıfı; etki/risk; beklenen sinyal; kanıt kaynağı; savunma kontrolü; düzeltme; rollback kriteri.

3. Doğrulama (güvenli, tekil)

• Tek hedef / tek servis ile “bu kural bu servisi gerçekten etkiliyor mu?”
• Allow/deny kararının log/flow’da görünmesi.
• Karşı kanıt: erişim yoksa DNS, route, NSG/SG hipotezleri için çürütücü kanıtı önceden yaz.

4. Kanıt paketleme

• CLI çıktıları + notes/; gerekirse dar PCAP (tek hedef/port).
• manifest.sha256; notlarda en riskli satırlar + gerekçe + aksiyon özeti.

5. Rollback

• Plan türleri: kural daraltma; route değişikliği; log açma/kota/maliyet.
• Tetikleyiciler: uygulama hata oranı, bağlantı hataları, tünel stabilitesi, kritik entegrasyon kırılması.

6.8 Komut & Araç Okuryazarlığı (Denetim / Doğrulama / Kanıt)

Komutlar yalnızca izinli ortamda konfig okuma, tekil doğrulama ve kanıt üretimi içindir. Geniş tarama/hedef keşfi yoktur. Örnek IP ve adlar uydurmadır.

Örnek terminal oturumları (kavramsal)

Aşağıdaki kutular, bu modüldeki kanıt toplama akışının ekranda nasıl görünebileceğini gösterir; IP ve kaynak adları uydurmadır.

macOS

Bulut CLI — okuma / denetim

Yalnız yetkili hesapta; çıktıları evidence/ altına kaydedip hash’leyin.

Platform	Örnek komut (özet)	Not
AWS	aws ec2 describe-vpcs --output json | tee evidence/aws_vpcs.json	VPC envanteri; etiket korelasyonu.
AWS	describe-subnets, describe-route-tables	Public/private route kanıtı.
AWS	describe-internet-gateways, describe-nat-gateways	Çıkış kapıları.
AWS	describe-security-groups, describe-network-acls	SG + NACL kapsamı.
AWS	describe-flow-logs	Etkinlik ve hedef; gecikme penceresini unutma.
Azure	az network vnet list -o json	VNet envanteri.
Azure	az network nsg list, nsg rule list --nsg-name <NSG> --resource-group <RG>	Öncelik ve geniş aralık sinyali.
Azure	az network route-table list	UDR görünümü.

Azure NSG akış logları için platform dokümantasyonunu takip edin; bazı ortamlarda yeni akış/gözlemlenebilirlik yaklaşımına geçiş planı gerekebilir.

tcpdump / Wireshark (tekil doğrulama)

Bulutta TAP her zaman yok; ana görünürlük flow log. Hibrit veya kritik serviste kısa PCAP kanıtı güçlendirir.

Örnek: tcpdump çıktısı (tekil hedef/port, uydurma)

Wireshark — kanıt odaklı

Konu	Ne bakılır?
Display filter	ip.addr == 198.51.100.10 && tcp.port == 443
Conversations / Endpoints	Beklenmeyen peer var mı?
Expert / stream	Retransmit, TLS vs HTTP katmanı
Çıktı	CSV/screenshot + PCAP hash → manifest

6.9 HOW-TO (çıktı): Misconfiguration Matrisi (örnek şablon + doldurulmuş örnek)

Aşağıdaki örnek uydurmadır. Çok sütunlu tablo yerine her satır ayrı kartta verilmiştir; aynı alanları kendi matrisinize aktarabilirsiniz.

6.10 Operasyonel Senaryo

Senaryo: Hibrit erişim kararsızlığı + unutulan yönetim kapısı — route/NSG drift ve geniş kural ayrıştırması.

Örnek: aynı pencerede DNS + tekil port testi (PowerShell)

Örnek: NSG kural listesinde 22 (Azure CLI, uydurma)

Hipotezler (önceliklendir)

#	Hipotez
1	Hibrit route drift / asimetrik routing (yanlış next-hop).
2	NSG/SG öncelik veya çakışma drift (443 kararları değişiyor).
3	Split DNS: app.example.org zamanla farklı IP.
4	Unutulan geniş yönetim kuralı (22 için geniş kaynak).
5	Karşı hipotez: sorun ağ değil, uygulama (5xx vb.).

Minimum kanıt seti

Taraf	Ne toplanır?
İstemci (on-prem)	Aynı pencerede DNS; route/effective route; tekil 443 testi; zaman damgası.
Bulut	Route/effective route; SG/NSG JSON; flow/NSG kesiti; control-plane değişiklik; manifest.sha256.

Analiz adımları (kanıtla ayrıştırma)

Adım	Eylem
1	DNS: Aynı isim aynı pencerede aynı IP’ye mi? Değişiyorsa DNS hipotezini güçlendir; değişmiyorsa zayıflat.
2	Route: Hedef için next-hop beklenen mi?
3	443 tekil test + korelasyon: Aynı dakikada test; flow/NSG’de allow/deny satırı.
4	22 (SSH) ayrı incele: Kural çıktısında geniş kaynak var mı? ACCEPT’ler yetkili kaynak mı? (Bkz. 6.11.)
5	Uygulama karşı kanıtı: Ağ “443 stabil” diyorsa uygulama logunda 5xx artışı var mı?

Karar özeti

• Route drift: minimal prefix; pilot; standarda çek.
• 443 çakışması: öncelik net; servis bazlı daralt; log zorunlu.
• 22 geniş kural: derhal daralt; owner + expiry.

6.11 Port 22 (SSH) ACCEPT — karşı kanıt kontrolü

Flow’da TCP/22 ACCEPT görüldüğünde bunu tek başına yorumlamayın; kural çıktısı ve kaynak aralığı ile çapraz doğrulama yapın.

Soru	Karşı kanıt / kanıt
Kural gerçekten geniş mi?	SG/NSG JSON’da kaynak CIDR ve priority; beklenen “jump box” aralığı mı?
ACCEPT kayıtları kimden?	VPN/bastion bloğu ile eşleşiyor mu; yoksa beklenmeyen coğrafya veya aralık mı?
Ağ mı uygulama mı?	443 kanıtı stabil ise 5xx veya app log ile uygulama hipotezini ayır.

• Geniş 22 kuralı kanıtlanırsa: hemen daralt (yalnız yetkili kaynak), istisna için owner + expiry.
• Raporu 6.10 senaryosu ile birlikte okuyun; tekrarlayan bulguları misconfiguration matrisine satır olarak ekleyin.

Terimler Sözlüğü

Terim Türkçe karşılığı / açıklama

VPC / VNet Bulutta sanal ağ; adres alanı ve segmentleri tanımlar.

Subnet VPC/VNet içindeki alt ağ; segmentasyonun temel birimi.

Route Table Trafiğin nereye gideceğini belirleyen yönlendirme kuralları.

IGW / NAT Gateway İnternet çıkışı ve kontrollü çıkış kapıları (kavramsal).

Security Group / NSG Kaynak düzeyinde giriş/çıkış kuralları; (çoğunlukla) stateful politika katmanı.

NACL Subnet seviyesinde erişim kontrol listesi; çoğunlukla stateless allow/deny mantığı.

East-west trafik Aynı bulut ağı içindeki servisler arası yatay trafik.

Egress Dışarı çıkış trafiği; veri sızıntısı riskinin kritik yüzeyi.

Control plane log Konfigürasyon/değişiklik kayıtları (kim neyi değiştirdi?).

Flow log Trafiğin alanlarını/meta verisini kaydeden akış kayıtları; gerçek zamanlı değildir.

Misconfiguration matrisi Hata sınıfı → etki → sinyal → kanıt → kontrol → düzeltme → rollback haritası.

Asimetrik routing Gidiş-dönüş yollarının farklı olması; stateful kontrolleri bozabilir.

Split DNS İç/dış isimlerin farklı resolver kurallarıyla çözülmesi yaklaşımı.

Kendini Değerlendir

Kapanış: Bu modülde neler öğrendik?

• Bulut ağ yapı taşlarının (VPC/VNet, subnet, route, gateway) doğrudan güvenlik sınırı oluşturduğunu; “public/private” gibi kavramların çoklu bileşenle belirlendiğini.
• Güvenliğin tek katmanla değil; kimlik → segmentasyon → kural seti → egress → merkezi politika → görünürlük zinciriyle kurulduğunu.
• East-west risklerinin çoğu zaman kritik olduğunu; misconfiguration’ın varsayılanlar ve drift ile büyüdüğünü; istisnaların owner+expiry ile yönetilmesi gerektiğini.
• Hibrit bağlantılarda rota + DNS + policy uyumu bozulursa kesinti veya fazla erişimin doğabileceğini ve bunu kanıtla ayrıştırma yöntemini.
• Flow/log ve kontrol-plane kayıtlarını birlikte okuyarak “ne oldu?” sorusunu denetlenebilir hale getirmeyi; flow logların gerçek zamanlı olmadığını.
• Kurumsal denetim ritmi için misconfiguration matrisinin nasıl üretileceğini; her satıra doğrulama ve rollback bağlamayı.

MODÜL 7 — SDN ve Modern Ağ Mimarileri

Bu modül, “ağı cihaz cihaz yönetmek” yerine “politikayı merkezden tanımlayıp tüm ağa tutarlı uygulatma” fikrinin güvenlik etkisini ele alır. SDN’de (Software-Defined Networking) kontrol düzlemi (control plane) ile veri düzlemi (data plane) ayrıldıkça, tutarlılık ve otomasyon kazanımları artar; fakat yanlış bir politika güncellemesinin hızla tüm ortama yayılması gibi “tek hatanın büyük etki” riskleri de büyür. Bu yüzden odak, ürün/vendör ezberi değil; politika yaşam döngüsü, değişiklik yönetimi, policy drift (beklenen politikadan sapma) ve kanıt üretimi disiplinidir. Modern yaklaşımlarda “niyet (intent) → politika → doğrulama” döngüsünün neden kritik olduğu; görünürlük, izlenebilirlik ve geri dönüş (rollback) mantığıyla birlikte ele alınır. Modül boyunca yaklaşım savunma odaklıdır: yalnızca denetim/okuma, güvenli doğrulama ve kanıt paketleme; geniş kapsamlı tarama/istismar/bypass “nasıl yapılır” yoktur.

7.1 Control plane vs data plane

SDN’de güvenliğin özü, karar katmanı ile taşıma katmanını birlikte okumaktır: control plane niyeti ve politikayı üretir; data plane bu kararı trafikte uygular.

Etki / risk matrisi

Boyut	Kazanım	Risk
Merkezileşme	Tutarlı politika	Tek hatanın hızlı yayılımı
Otomasyon	Daha hızlı değişiklik	Yanlış şablonla kitlesel drift
Görünürlük	Audit + telemetry korelasyonu	Eksik logda yanlış teşhis

Tespit sinyali / kanıt

• Control plane: policy publish, role değişimi, API token kullanımı, sıra dışı çağrı hacmi.
• Data plane: beklenmeyen allow/deny, flow davranış sıçraması, policy version uyumsuzluğu.
• Doğrulayıcı kombinasyon: aynı dakika içinde audit log + enforcement log + tekil servis testi.
• Karşı kanıt: aynı pencerede DNS/TLS/routing sorunu baskınsa drift hipotezi zayıflar.

Savunma / düzeltme

• Controller erişiminde least privilege + MFA/SSO + yönetim ağı izolasyonu.
• Değişikliklerde zorunlu kayıt, gözden geçirme, rollback kriteri.
• “Kim değiştirdi?” sorusu için audit kapsamı ve kimlik bağlamı tam olmalı.

7.2 Policy drift ve değişiklik yönetimi riskleri

Policy drift, golden baseline ile sahadaki mevcut politika arasındaki sapmadır. Hedef yalnızca “fark bulmak” değil; farkın etkisini sınıflandırıp güvenli düzeltme yapmaktır.

Drift kaynakları (en sık)

Etki ve önceliklendirme

Sınıf	Örnek drift	Öncelik
Over-permission	Yönetim erişimi veya segmentler arası geniş allow	Kritik
Over-restriction	Kritik servis akışının deny olması	Kritik/Orta
Operasyonel drift	Log kapatılması, kural sırası bozulması	Orta
Dokümantasyon drift	Etiket/açıklama farklılığı	Düşük

Tespit sinyali / kanıt

• Golden vs current diff (eklenen/çıkarılan/değişen kural).
• Ticket/CR ile sahadaki değişiklik eşleşmesi.
• Policy version ile enforcement version uyumu.
• Drift başlangıcı ve outage başlangıcı zaman korelasyonu.

Savunma / düzeltme

• Golden Policy versiyonlu ve değişmez referans olmalı.
• Rollback kriteri önceden tanımlı olmalı; kritik akış bozulursa anında geri dönüş.
• Güvenlik + NetOps + Platform ortak değişiklik dili kullanmalı.

7.3 SDN örnek ekosistem (kavramsal)

SDN’i ürün adıyla değil, bileşen akışıyla okumak daha etkilidir: politika nerede üretilir, nerede saklanır, nerede uygulanır, nerede kanıtlanır?

Bileşen	Görev	Kritik risk
Controller / Orchestrator	Politika üretimi ve dağıtımı	Yanlış publish ile yaygın etki
Policy Store	Onaylı politika sürümleri	Birden fazla “doğru kaynak” oluşması
Enforcement points	Kuralın sahada uygulanması	Sürüm uyumsuzluğu
Northbound API	Otomasyon ve üst sistem entegrasyonu	Yanlış script ile kitlesel drift
Southbound katman	Controller→cihaz dağıtım yolu	Kimlik/şifreleme zayıflığı

Sinyal ve kanıt

• API çağrı hacmi, service account kullanımı ve token davranışı.
• Controller telemetry’de ani rollout dalgaları.
• Enforcement üzerinde beklenmeyen policy version sıçraması.

Savunma yaklaşımı

• Read-only ve write rollerini net ayır; yazma yetkisini minimuma indir.
• Pipeline’da “önce doğrulama → dağıtım → dağıtım sonrası doğrulama” kapısı zorunlu olsun.
• Policy store için versiyonlama + immutable kayıt + audit izlenebilirliği uygula.

Not: RESTCONF için HTTPS (tipik 443), NETCONF over SSH için tipik 830 portu farkındalığı operasyonel teşhiste önemlidir.

7.4 AI/ML ile intent-based ağ yönetimine giriş (kavramsal)

Intent-based yaklaşımda sistem “nasıl yapacağını” değil “ne istediğini” alır. AI/ML burada karar verici değil, öneri motoru olarak ele alınmalıdır.

Tespit sinyali / kanıt

• Niyet→politika dönüşümünde kapsam genişlemesi (port/CIDR büyümesi).
• Auto-change olaylarının hata penceresiyle zaman çakışması.
• Dönüşüm öncesi/sonrası politika diff + tekil test + audit log korelasyonu.

Guardrail çerçevesi

Kontrol	Neden gerekli?
İnsan onayı	Öneri ile karar ayrımını korur
Immutable kısıtlar	Kritik akışların yanlışlıkla silinmesini engeller
Otomatik rollback	Hata oranı artışında etkili geri dönüş sağlar

7.5 HOW-TO: Policy Drift Tespiti (Golden Policy) — kavramsal çerçeve

Bu çerçeve, drift tespitini tekrarlanabilir bir iş akışına dönüştürür: snapshot → normalize → diff → korelasyon → doğrulama → karar.

Aşama	Ne yapılır?	Çıktı
1. Snapshot	Golden ve current state read-only alınır	Kaynak dosyalar
2. Bütünlük	Hash + zaman damgası üretilir	Kanıt izi
3. Normalleştirme	Format gürültüsü azaltılır	Canonical dosyalar
4. Diff	Gerçek kural farkları ayrıştırılır	Drift listesi
5. Korelasyon	Audit ve olay zamanı eşlenir	Kök neden hipotezi
6. Karar	Kritikse rollback, değilse kontrollü düzeltme	Aksiyon planı

Operasyonel farkındalık için iyi bilinen portlar: OpenFlow TCP 6633/6653, NETCONF over SSH tipik 830, RESTCONF tipik HTTPS 443.

7.6 Komut & Araç Okuryazarlığı (Windows / Linux / macOS + Wireshark)

Bu bölümün amacı komut ezberi değil, kanıt zinciri üretimi: snapshot, hash, diff, tekil doğrulama ve korelasyon.

Hızlı komut seti (özet)

Adım	Windows	Linux/macOS
Hash	Get-FileHash .\golden-policy.json -Algorithm SHA256	sha256sum golden-policy.json / shasum -a 256 golden-policy.json
Canonical	ConvertFrom-Json | ConvertTo-Json -Depth 99	jq -S . file.json > file.canon.json
Diff	Compare-Object ... | Out-File .\policy-diff.txt	diff -u golden.canon current.canon > policy-diff.patch
Tekil test	Test-NetConnection 203.0.113.30 -Port 443	curl -I https://203.0.113.30/

Örnek terminal oturumları (kavramsal)

Wireshark korelasyon notu

• Kısa süreli, ilgili arayüzde, ilgili zaman penceresinde yakala (do not harm).
• Display filter: tcp.port == 6653 || tcp.port == 6633 || tcp.port == 830
• Conversations ve Expert Information çıktısını audit log zamanıyla eşleştir.

7.7 HOW-TO: Golden Policy ile Policy Drift Tespiti (Runbook / Checklist)

Aşağıdaki runbook, ürün bağımsız bir drift süreci sunar: kısa, tekrar edilebilir ve kanıt odaklı.

Runbook (özet kontrol listesi)

Adım	Ne yapılır?	Başarı ölçütü
1. Hazırlık	Golden source, scope, canonical kuralı ve kanıt dizini netlenir.	Her artefaktın sahibi ve formatı bellidir.
2. Snapshot	Current state read-only alınır; golden ile birlikte hash’lenir.	Dosyalar değişmez, zaman damgası kayıtlıdır.
3. Diff	Canonical dönüşüm sonrası drift çıkarılır ve sınıflandırılır.	Kritik/Orta/Düşük listesi hazırdır.
4. Korelasyon	Audit log, outage zamanı ve policy version eşleştirilir.	Hipotez güçlenir veya elenir.
5. Doğrulama	Tek hedef/tek servis testleri ve karşı kanıt kontrolleri yapılır.	Neden-sonuç bağı doğrulanır.
6. Karar	Kritik driftte rollback; değilse kontrollü düzeltme ve yeniden test.	Etki yönetilir, kesinti büyümez.

Minimum kanıt paketi

• Golden hash + current hash
• Canonical diff çıktısı
• Audit log kesiti (actor, action, version, time)
• Tekil doğrulama test çıktısı
• Kısa zaman çizelgesi ve karar notu

Dikkat: Audit/log kapsamı eksikse önce görünürlük boşluğunu kapat; otomatik düzeltme refleksiyle ilerleme.

7.8 Operasyonel Senaryo (izinli/uydurma)

Belirti: API katmanı, DB katmanına tcp/443 erişemiyor; sorun planlı değişiklikten ~10 dakika sonra başladı.

Hipotezler

#	Hipotez
1	Segmentasyon politikası aşırı kısıtlandı (over-restriction).
2	Golden ile current arasında policy drift oluştu.
3	Otomasyon pipeline’ı yanlış şablon/parametre yayımladı.
4	Karşı hipotez: sorun DNS/TLS/routing katmanında.

Minimum kanıt seti

• Controller audit log (publish, actor, version, change ref).
• Data plane deny/flow kesiti.
• Golden + current snapshot ve canonical diff.
• Tekil servis doğrulama testi (443).

Analiz adımları

Adım	Eylem
1	Zaman korelasyonu: publish → deny → belirti zinciri doğrulanır.
2	Golden/current diff ile API→DB 443 akışının çıkarılıp çıkarılmadığı kontrol edilir.
3	Drift sınıfı belirlenir; kritik akış kesintisi varsa kritik etki.
4	Change ref içeriği ile gerçek fark karşılaştırılır (yanlış şablon olasılığı).
5	Karşı kanıt: DNS/TLS/routing bulguları kontrol edilerek yanlış teşhis engellenir.

Karar ve rapor

• Karar: Kritik kesinti + drift doğrulanırsa onaylı sürüme rollback.
• Öneri: Pipeline’a akış matrisi doğrulama kapısı ve kritik guardrail eklenir.
• Kanıt: Audit + deny + tekil test + hash + diff artefaktları birlikte raporlanır.

Terimler Sözlüğü

Terim Türkçe karşılığı / açıklama

SDN Yazılım Tanımlı Ağ; kontrol mantığının merkezileştiği yaklaşım

Control Plane Karar veren katman (politika/rota/flow kararları)

Data Plane Paketi ileten/engelleyen uygulayıcı katman

Controller Politikayı üreten/dağıtan merkezi bileşen (kavramsal)

Policy Drift Beklenen politika ile sahadaki politikanın sapması

Golden Policy Onaylı “tek doğru kaynak” baseline politika

Northbound API Üst sistemlerin controller ile konuştuğu arayüz

Southbound Arayüz Controller’ın sahadaki cihaz/enforcement noktalarıyla konuştuğu katman

RESTCONF HTTP tabanlı yapılandırma/ durum erişim yaklaşımı (genellikle HTTPS üzerinden)

NETCONF Yapılandırma protokolü; SSH üzerinden varsayılan port 830 kullanımıyla anılır

OpenFlow SDN’de akış/iletişim yaklaşımı; iyi bilinen TCP portları 6633/6653

Intent-Based Niyet tabanlı: “ne istiyorum” → politika → doğrulama döngüsü

Telemetry Sistem davranışını ölçen metrik/log/veri akışı

Rollback Hatalı değişikliği geri alma / önceki sürüme dönüş

Kendini Değerlendir

Bu modülde neler öğrendik?

• SDN’de control plane / data plane ayrımının güvenlikte neden “kritik varlık” kavramını güçlendirdiğini.
• Merkezi politikanın hem avantajlarını hem de “tek hatanın büyük etki” riskini.
• Policy drift’in tipik kaynaklarını ve drift’i snapshot + diff + audit log + tekil doğrulama ile kanıtlamayı.
• SDN ekosistemini ürün bağımsız bileşenlerle okuyabilmeyi; northbound/southbound risklerini doğru konumlandırmayı.
• Intent-based yönetimde AI/ML önerilerinin “kanıt değil hipotez” olduğunu; guardrail + insan onayı + doğrulama gerekliliğini.
• Golden Policy yaklaşımıyla drift tespiti için uygulanabilir runbook ve “Bulgu → Etki → Öneri → Kanıt (rapor formatı)” disiplinini.

MODÜL 8 — İzleme, Loglama, Trafik Analizi ve SIEM’e Hazırlık

Bu modül, ağ güvenliğinde “kontrol koydum” demenin yetmediği noktayı hedefler: görünürlük (visibility). Bir olay olduğunda (veya olay olmadan önce) doğru soruyu sorabilmek için; hangi cihazın hangi kaydı ürettiğini, bu kaydın nasıl standartlaştırılıp toplanacağını, PCAP/Flow gibi trafik verilerinin hangi durumda kanıt sayılacağını ve SIEM’e hazırlık için hangi disiplinlerin şart olduğunu öğrenirsin. Odak; geniş tarama/atak değil, izinli ortamda düşük riskli veri toplama, çıktı okuryazarlığı, karşı kanıt (bu belirtiyi ne doğrular, ne çürütür?) ve kanıt zinciridir. Wireshark ve tcpdump burada “yakalamak için değil, doğru yerde doğru kadar yakalayıp doğru okumak için” kullanılır. IDS/NDR çıktıları (Zeek/Suricata/Snort) “kesin hüküm” değil, hipotez üreten sensörler olarak ele alınır. Modülün sonunda, log kaynaklarını mantıklı bir haritaya oturtup, tek bir senaryoda PCAP ile Flow’un neyi kanıtlayıp neyi kanıtlayamadığını karşılaştırabilir ve Zeek/Suricata çıktılarından savunma kararı üretecek seviyeye gelirsin.

Ana içerik

8.1 Network log kaynakları

Hızlı özet: tek kaynakla karar verilmez; kimlik, erişim kararı, davranış ve ham paket kanıtı birlikte okunur.

Kaynak seçimi (hızlı karar)

Soru	İlk kaynak	İkinci kaynak
Kim yaptı?	VPN/DHCP	DNS
Neden engellendi?	FW/Proxy	Flow
Gerçekte ne oldu?	Flow	Seçici PCAP

Network görünürlüğü tek kaynaktan gelmez; her kaynak farklı bir “göz”dür ve farklı türde kanıt üretir:

• Perimetre/Segment FW/ACL: allow/deny, NAT, kural eşleşmesi, uygulama/URL kategorisi (varsa), kullanıcı/kimlik bağlamı (entegreyse)
• Router/Switch: interface durumları, route değişimleri, port up/down, error counters, (opsiyonel) NetFlow/IPFIX export
• DNS/DHCP: isim çözümleme ve IP atama zinciri (kim hangi IP’yi aldı? hangi isim çözüldü?)
• VPN: kim ne zaman bağlandı, hangi profille, hangi IP havuzuyla, hangi posture/cihaz kimliğiyle (varsa)
• Proxy/SWG: web istekleri, kategoriler, TLS inspection durumu (varsa), block nedenleri
• IDS/NDR (Zeek/Suricata/Snort): imza/heuristic/anomali sinyalleri, protokol meta verisi, akış ilişkileri
• Flow: “kim-kiminle-ne kadar-ne zaman?” görünürlüğü (ölçekli)
• PCAP: ham paket gerçekliği (derin), fakat maliyeti ve gizlilik etkisi yüksek

Örnek: çok kaynaklı kesit (uydurma)

Etki / risk

• Yanlış kaynak seçimi olayı görememeye (kör nokta) yol açar.
• Aşırı veri toplamak gizlilik/retention maliyetini büyütür, analiz kapasitesini boğar.
• Kimlik bağlamı yoksa (kullanıcı/cihaz) aksiyon gecikir; “kim yaptı?” sorusu havada kalır.

Tespit sinyali / kanıt

• Güçlü kanıt çoğu zaman en az 2–3 kaynağın korelasyonu ile oluşur: ör. FW deny + DNS sorgusu + Flow artışı.
• Kanıt niteliği: zaman damgası tutarlılığı, kaynak güvenilirliği, bütünlük (hash), tekrar üretilebilirlik.

Savunma kontrolü / düzeltme yaklaşımı

• Kaynakları “toplayacağım” diye değil, “hangi soruya cevap verecek?” diye seç.
• Olay türüne göre eşle: kimlik (VPN/DHCP), erişim kararı (FW), içerik/işlem (proxy), protokol davranışı (Zeek), ölçek (Flow), ham gerçek (PCAP).
• Zaman senkronu + etiketleme (env/site/device) + retention politikasını en başta standardize et.

Dikkat: Tek sensöre aşırı güven yanlış pozitif/negatif riskini artırır. Her sinyal için “ne doğrular, ne çürütür?” sorusu masada olmalı.

8.2 Syslog standardı ve disiplin

Hızlı özet: parse edilemeyen log, görünmeyen olay demektir. Şema, zaman ve severity disiplini bu bölümün çekirdeğidir.

Syslog kalite kontrol matrisi

Kontrol	Beklenen	Kırmızı bayrak
Zaman	UTC/tek standart	Kaynaklar arasında dakika sapması
Şema	Alan isimleri sabit	Cihaz bazlı dağınık format
Severity	Anlamlı sınıflama	Kritik olayların düşük önemde kalması

Syslog, cihazların olay kayıtlarını merkezi bir noktaya iletmek için kullanılan yaygın yaklaşımdır. Burada mesele “syslog kullanıyorum” değil; format tutarlılığı, severity disiplini, zaman doğruluğu ve ayrıştırılabilirliktir. Syslog mesajında “priority (PRI)” alanı facility ve severity bileşenlerini taşır; facility 0–23, severity 0–7 aralığındadır ve PRI = (facility × 8) + severity şeklinde ifade edilir.

Etki / risk

• Tutarsız format → SIEM parse edemez → olay görünmez olur.
• Yanlış severity → gürültü artar → kritik sinyal kaybolur.
• Zaman hatası → korelasyon bozulur → yanlış karar riski.

Tespit sinyali / kanıt

• Aynı olayın farklı cihazlarda farklı isimle/formatla görünmesi.
• Parse hataları, eksik alanlar, anormal timestamp sapmaları.

Savunma kontrolü / düzeltme yaklaşımı

• Zaman standardı: UTC veya kurum standardı; her yerde tutarlı.
• Alan standardı: en azından timestamp, host, app, action, src, dst, proto, port, rule/policy, reason, user(opsiyonel) gibi bir “minimum alan seti”.
• Taşıma güvenliği: “gerekliyse” daha güvenli taşıma tercihleri (örn. TLS) ve kayıp için kuyruk/buffer yaklaşımı. Syslog-over-TLS için IANA’nın atadığı port 6514 kullanımı yaygındır.
• “Gereksiz detay” değil, soru cevaplayan alanlar hedeflenir.

İpucu: Syslog’u “metin” gibi değil, “şema” gibi düşün. SIEM hazırlığı, bu şemayı kararlı hale getirmektir.

Uydurma syslog satırı (format okuryazarlığı)

8.3 Trafik verisi türleri (PCAP vs Flow)

Hızlı özet: varsayılan yaklaşım Flow ile geniş görünürlük, seçici PCAP ile derin kanıttır.

Kriter	Flow	PCAP
Ölçek	Yüksek	Düşük-Orta
Derinlik	Meta veri	Paket detayı
Maliyet/gizlilik	Daha düşük	Daha yüksek
Tipik kullanım	Triage ve trend	Kök neden kanıtı

• PCAP: Paket seviyesinde ham yakalama. “Ne konuşuldu?” sorusuna en yakın veri; ancak depolama, gizlilik ve işlem maliyeti yüksektir.
• Flow (NetFlow/IPFIX): Akış özeti. “Kim kiminle, ne kadar, ne zaman?” sorusuna ölçeklenebilir yanıt; içerik yoktur ya da sınırlıdır.

Etki / risk

• PCAP güçlü kanıt sunar; yanlış yakalama stratejisi gizlilik riskini ve operasyonel yükü artırır.
• Flow ölçekli görünürlük sağlar; ancak içerik kanıtı sınırlı olduğu için bazı olaylarda tek başına yeterli değildir.

Tespit sinyali / kanıt

• Flow: sıra dışı hedef çeşitliliği, beklenmeyen portlar, anormal byte/packet oranları, uzun süreli bağlantılar.
• PCAP: protokol hataları, TLS handshake sorunları, DNS davranışı, reset/retransmission örüntüleri.

Savunma kontrolü / düzeltme yaklaşımı

• Varsayılan strateji: Flow ile geniş görünürlük + seçici PCAP ile derin kanıt.
• PCAP yakalama: dar hedef + dar servis + kısa pencere + snaplen + ring buffer.
• Kanıt paketi: Flow özetleri + kısa PCAP kesiti + ilgili loglar birlikte.

Dikkat: PCAP “her şeyi yakalamak” değildir. Kanıt için doğru an ve doğru akış yakalanır.

Örnek: Flow triage vs PCAP özet (kavramsal)

8.4 Wireshark (orta/ileri kullanım)

Hızlı özet: önce konuşma özeti, sonra hata sinyali, en son paket detayı; ters sıra analiz maliyetini büyütür.

Wireshark okuma sırası

Adım	Eylem
1	Conversations/Endpoints ile kim-kiminle konuşuyor kontrol et.
2	Expert Information ile retransmission/reset gibi sinyalleri ayıkla.
3	Yalnız gerekli akışlarda paket detayına in.

Wireshark, “paket görmek” değil; doğru ekranlarda doğru soruyu sorarak protokol okuryazarlığı ve kanıt üretimi yapmaktır.

Etki / risk

• Yanlış filtre / yanlış zaman penceresi → alakasız veri yığını → analiz felci.
• Şifreli trafikte “içerik” beklentisi → yanlış varsayım.
• Üretimde kontrolsüz capture → gizlilik ve operasyon riski.

Tespit sinyali / kanıt

• Statistics → Conversations/Endpoints: kim kiminle konuşuyor, hacim ne?
• Analyze → Expert Information: retransmission, malformed packet, reset, zero window vb.
• Follow Stream: şifreli değilse veya sadece meta/akış okunacaksa faydalı.

Savunma kontrolü / düzeltme yaklaşımı

• Önce “kim-kiminle” (Conversations), sonra “ne oldu” (Expert Info), en son “detay” (paket alanları).
• Şifreli trafikte bile zaman/hacim/uç korelasyonu güçlü kanıttır.

Örnek display filter’lar (dar kapsam):

• ip.addr == 203.0.113.30
• tcp.port == 443
• dns
• tls.handshake.type == 1 (ClientHello korelasyonu)

İpucu: Büyük PCAP’lerde GUI zorlanıyorsa önce “özet çıkar”: Conversations/Endpoints, ardından gerekirse tshark ile istatistik üret; kanıt için çoğu zaman ham paketlere inmeden karar verilebilir.

8.5 tcpdump (operasyonel kullanım)

Hızlı özet: dar hedef + kısa pencere + limitli dosya yaklaşımı, “do not harm” için temel pratiktir.

Yakalama politikası (özet)

• Kapsam: tek hedef + tek servis.
• Süre: kısa pencere + ring buffer.
• Bütünlük: pcap dosyası + hash + komut notu birlikte saklanır.

tcpdump, düşük seviyede ama çok güçlü bir yakalama aracıdır. Operasyonel kullanım; dar kapsam, kısa pencere, ring buffer, minimal risk prensibiyle yürür.

Örnek: dar kapsam + ring buffer (izinli ortam)

Etki / risk

• Uzun süre/ geniş kapsam capture → disk dolması, gizlilik riski, analiz yükü.
• Yanlış arayüz seçimi → “hiçbir şey yakalamadım” yanılgısı.
• Snaplen yanlış seçilirse kritik alanlar kesilir veya gereksiz veri artar.

Tespit sinyali / kanıt

• Kısa PCAP kesiti + komut satırı çıktısı notu + hash ile bütünlük.
• BPF filtreleriyle hedef/servis daraltma (ör. tek hedef + tek port).

Savunma kontrolü / düzeltme yaklaşımı

• Ring buffer ile dosya boyutu/sayısı limitli yakalama.
• “Olay penceresi” etrafında daraltılmış zaman aralığı.
• Kanıt paketleme: pcap + özet + hash + kısa açıklama.

Dikkat: tcpdump “yakalamak” kadar “nerede ve ne kadar yakalayacağını bilmek” işidir.

8.6 IDS/NDR araçları: çıktı okuryazarlığı (Zeek/Suricata/Snort)

Hızlı özet: alarm sonuç değil hipotezdir; bağımsız log/flow/pcap ile doğrulanmadan karar verilmez.

Araç	Pivot alanı	İlk doğrulama
Suricata	signature, severity, flow_id	FW kararı + Flow zaman eşleşmesi
Zeek	uid, id.orig_h/id.resp_h, SNI	DNS/FW korelasyonu
Snort	alert sınıfı ve öncelik	Bağımsız log kesiti

IDS/NDR sensörleri “kesin hüküm” değil; sinyal üretir. Amaç: sinyali okuyup doğrulamak, bağlama oturtmak ve kanıta çevirmektir.

Etki / risk

• Körü körüne alarm → yanlış pozitiflerle ekip tükenir.
• Alarmı yok sayma → yanlış negatif riski.
• Sensör konumlandırması hatalıysa (yanlış TAP/SPAN) görünürlük eksik kalır.

Tespit sinyali / kanıt (kritik alanlar)

• Suricata (eve.json): timestamp, src_ip, dest_ip, proto, alert.signature, alert.severity, flow_id
• Zeek (conn.log/dns.log/ssl.log): süre, servis, yön, byte/packet, query/rcode, TLS SNI/cert meta
• Snort: alert metni, öncelik, sınıflandırma, akış bilgisi

Savunma kontrolü / düzeltme yaklaşımı

• Alarmı “hipotez” kabul et; en az bir bağımsız kaynakla doğrula (FW log, Flow, DNS, kısa PCAP).
• Tuning disiplini: gürültü kaynaklarını tanımla, istisna/eşik değişikliklerini kontrollü sürümle.
• Kanıta çevirme: ilgili log satırları + pivot anahtarları + zaman çizelgesi.

Dikkat: Bu alanlar “saldırı nasıl yapılır?” için değil; “ne oldu?” sorusunu yanıtlamak içindir.

Örnek çıktı kesitleri (uydurma)

8.7 PCAP arşivleme & arama (Arkime)

Hızlı özet: aranabilirlik ve retention yönetimi yoksa PCAP yalnızca maliyet üretir.

Operasyonel minimumlar

• Rol bazlı erişim (RBAC) olmadan PCAP erişimi açılmaz.
• Retention süresi risk/maliyet dengesine göre sabitlenir.
• Kanıt paylaşımında kısa kesit + hash standardı zorunludur.

PCAP değerli ama “aranabilir” değilse operasyonel yük olur. Arkime, PCAP’leri oturum (session) mantığıyla indeksleyip aramayı kolaylaştırır. Literatürde Arkime’nin “Moloch” adıyla da anıldığı kaynaklar bulunur.

Örnek: oturum araması (API / kavramsal)

Etki / risk

• İndeks yoksa: “PCAP var ama bulamıyorum.”
• Retention yönetilmezse maliyet ve gizlilik riski büyür.
• Erişim kontrolü zayıfsa kanıt verisi yanlış kişilere açılabilir.

Tespit sinyali / kanıt

• Zaman/host/port etrafında session aramasıyla ilgili kesite hızlı erişim.
• Kanıt: session özeti + kısa pcap kesiti + hash.

Savunma kontrolü / düzeltme yaklaşımı

• Retention: süre + disk bütçesi + kritik segment önceliği.
• Erişim: rol bazlı, “kanıt verisi” prensibi.
• “Kısa kesit” prensibi: olay için gereken minimum PCAP.

8.8 Flow & trafik görselleştirme (opsiyonel)

Hızlı özet: görselleştirme karar verdirmez; triage yönü verir. Ham flow satırıyla birlikte kullanılmalıdır.

Görsel çıktıyı doğrulama

Görsel bulgu	Doğrulama
Top destination artışı	Ham flow satırlarıyla zaman ve hacim kontrolü
Port dağılımında sıçrama	FW/IDS loguyla port bağlamı eşleştirme
Egress trend anomali	Baseline dönemiyle karşılaştırma

Flow verisi ham halde dağınıktır; görselleştirme anomaliyi ve trendi hızlı görmeyi sağlar (top talkers, top destinations, port dağılımı, zaman serisi artışları).

Etki / risk

• Görsel özet triage hızını artırır.
• Yanlış agregasyon yanlış sonuca götürebilir.

Tespit sinyali / kanıt

• Top talkers, top destinations, port dağılımı, beklenmeyen egress artışı.
• Kanıt: grafik/özet tablo + ham flow satırı örneği + zaman damgası.

Savunma kontrolü / düzeltme yaklaşımı

• Agregasyon kararını açık yaz: “5 dk bucket”, “src/dst+port”, “internal/external”.
• Görsel özet ham kaydı ikame etmez; sadece yön verir.
• Opsiyonel ekosistem örnekleri: ntopng, ElastiFlow, nfdump/NfSen (araç seçimi kurum ölçeğine göre).

Örnek: ham flow satırı (nfdump — uydurma)

8.9 Kurumsal izleme (opsiyonel)

Hızlı özet: güvenlik sinyali ile operasyon sağlığı aynı zaman çizelgesinde okunmadan doğru teşhis zorlaşır.

Kurumsal izleme; cihaz sağlığı (up/down), kapasite (CPU/mem/iface), servis duruşu ve güvenlik sinyallerinin tek operasyonel resimde birleşmesidir.

Etki / risk

• Sağlık metrikleri yoksa güvenlik olayı “performans sorunu” gibi görünür (yanlış teşhis).
• Aşırı alarm ve yanlış eşikler gerçek olayı maskeler.

Tespit sinyali / kanıt

• Interface error artışı + retransmission artışı + uygulama timeout → ağ sağlığı kaynaklı olabilir.
• Güvenlik ve operasyon metrikleri aynı zaman çizelgesinde okunmalıdır.

Savunma kontrolü / düzeltme yaklaşımı

• Alarm hijyeni: eşik + korelasyon + bakım penceresi.
• Opsiyonel ekosistem örnekleri: Zabbix, Grafana + Prometheus, PRTG, LibreNMS, Nagios.

Örnek: metrik sorgusu (Prometheus — kavramsal)

8.10 Komut & Araç Okuryazarlığı (Windows / Linux / macOS)

Hızlı özet: komutların amacı saldırı değil; zaman standardı, kanıt üretimi, tekil doğrulama ve bütünlüktür.

Hızlı komut seti (özet)

Adım	Windows	Linux/macOS
Zaman kontrolü	w32tm /query /status	timedatectl status / systemsetup -getusingnetworktime
Log dışa aktarma	Get-WinEvent ... | Export-Csv	journalctl --since ... / log show --last 2h
Tekil test	Test-NetConnection ... -Port 443	curl -I ... / nc -vz ... 443
Bütünlük	Get-FileHash ... -Algorithm SHA256	sha256sum ... / shasum -a 256 ...

Aşağıdaki komutlar yalnızca denetim/okuma, tekil hedef/tekil servis doğrulama ve kanıt üretimi/bütünlüğü içindir. Tüm örnekler uydurma ve dokümantasyon IP bloklarıyla verilmiştir.

1. Zaman standardı ve korelasyon ön şartı

Windows (PowerShell / CMD)

• Amaç: Saat kaynağı ve senkron durumunu denetlemek (korelasyon için ön koşul).
• Beklenen çıktı: Kaynak, offset, son senkron zamanı.
• Yorum ipucu: Büyük offset korelasyonu bozar; loglarda “olaydan önce log düşmüş” gibi görünür.
• Güvenli sınır: Okuma.

Linux

• Amaç: Sistem saati / NTP senkron durumu kontrolü.
• Beklenen çıktı: NTP aktif mi, saat dilimi, senkron bilgisi.
• Yorum ipucu: “System clock synchronized” alanı korelasyon için kritiktir.
• Güvenli sınır: Okuma.

macOS

• Amaç: Ağ zamanı kullanımı açık mı?
• Beklenen çıktı: On/Off.
• Yorum ipucu: Kapalıysa zaman sapması olasılığı yükselir.
• Güvenli sınır: Okuma (komut yönetici yetkisi isteyebilir).

2. Log okuma ve kanıta alma (zaman penceresiyle)

Windows (PowerShell)

• Amaç: Zaman penceresinde olayları kanıta almak.
• Beklenen çıktı: CSV kanıt dosyası.
• Yorum ipucu: TimeCreated + ProviderName + Id pivot için anahtar; saat sapması varsa korelasyon çöker.
• Güvenli sınır: Yerel, okuma.

Linux

• Amaç: Zaman penceresinde logları dışa aktarmak.
• Beklenen çıktı: Metin log dosyası.
• Yorum ipucu: Host/app alanlarını ayıkla; aynı olayı başka kaynakla eşleştirecek anahtarları not al.
• Güvenli sınır: Okuma.

macOS

• Amaç: Unified logging’den kanıt kesiti almak.
• Beklenen çıktı: Metin dosyası.
• Yorum ipucu: Saat sapması şüphesinde önce zaman standardını doğrula.
• Güvenli sınır: Okuma.

3. Tekil hedef / tekil servis doğrulaması (do not harm)

Windows (PowerShell)

• Amaç: Tek hedef + tek port bağlantı doğrulaması.
• Beklenen çıktı: TcpTestSucceeded True/False ve name resolution bilgisi.
• Yorum ipucu: NameResolutionSucceeded ile TCP başarısını ayır (DNS mi, yol mu, port mu?).
• Güvenli sınır: Tek hedef + tek port; izinli ortam.

Linux

• Amaç: Tek URL için hızlı erişilebilirlik doğrulaması (başlık al).
• Beklenen çıktı: HTTP durum kodu / TLS hatası.
• Yorum ipucu: TLS hatası “sertifika/handshake” hipotezini güçlendirir; ağ kesintisiyle karıştırma.
• Güvenli sınır: Tekil doğrulama; yoğunluk yok.

macOS

• Amaç: Tek hedef + tek port bağlantı kontrolü.
• Beklenen çıktı: succeeded/failed.
• Yorum ipucu: Başarısızsa PCAP/Flow ile “deneme var mı?” diye karşı kanıt ara.
• Güvenli sınır: Tek hedef + tek port.

4. Kontrollü PCAP üretimi ve bütünlük

Linux (tcpdump, dar kapsam + ring buffer)

• Amaç: Dar hedef + dar servis + ring buffer ile kontrollü kanıt üretmek.
• Beklenen çıktı: Birden fazla küçük pcap dosyası.
• Yorum ipucu: Snaplen çok küçükse kritik başlıklar kesilebilir; çok büyükse gereksiz veri artar.
• Güvenli sınır: İzinli ortam, dar kapsam, kısa pencere.

macOS (tcpdump, dar kapsam)

• Amaç / çıktı / ipucu / sınır: Linux ile aynı mantık.

Windows (Wireshark kuruluysa dumpcap ile dar kapsam)

• Amaç: 60 saniyelik, dar filtreli capture.
• Beklenen çıktı: pcapng dosyası.
• Yorum ipucu: Süreyi kısa tut; olay penceresine hizala.
• Güvenli sınır: Yerel/izinli, kısa süre, dar filtre.

Bütünlük (hash)

• Windows: Get-FileHash .\evidence\win_tls_203.0.113.30_443.pcapng -Algorithm SHA256
• Linux: sha256sum ./evidence/*.pcap > ./evidence/pcap_hashes.sha256
• macOS: shasum -a 256 ./evidence/macos_tls_203.0.113.30_443.pcap > ./evidence/macos_pcap.sha256

Kanıt notu (operasyon disiplini)

Hash tek başına yetmez; dosya adı + zaman penceresi + hangi filtreyle alındığı + kim topladı bilgisiyle birlikte rapora girer.

5. Wireshark: okuma → kanıta çevirme mini rehberi

Nereden başlarım?

• Capture stratejisi: tek hedef + tek servis + kısa pencere.
• İlk özet: Statistics → Conversations / Endpoints.
• Anomali sinyali: Analyze → Expert Information.
• Gerekirse akış: Follow Stream (şifreli değilse).

Nasıl okurum?

• Conversations: uç çiftleri, byte/packet, süre → “kim-kiminle-ne kadar”
• Expert Info: retransmission/dup ack/reset/zero window → “performans mı, kesinti mi?”
• TLS’de içerik yerine: handshake, SNI, zaman/hacim korelasyonu

Nasıl kanıta çeviririm?

• Conversations tablosu ekran görüntüsü + “hangi filtreyle?” notu
• İlgili paket numarası + timestamp + eşleşen syslog/flow satırı
• “Gözlem” (ne görüyorum) ve “yorum” (ne anlama geliyor) ayrımını raporda koru

6. tshark ile hızlı özet (GUI'siz kanıt çıktısı)

• Amaç: PCAP’ten konuşma özetini çıkarıp kanıta dönüştürmek.
• Beklenen çıktı: Metin özet.
• Yorum ipucu: En çok konuşan uçlar + süre/byte ilişkisi triage’da değerlidir.
• Güvenli sınır: Okuma; pcap üzerinde.

7. Zeek / Suricata: çıktı okuryazarlığı (pivot anahtarları)

Zeek (PCAP'ten log üretimi - izinli/yerel)

• Amaç: PCAP’ten yapılandırılmış meta loglar üretmek (conn/dns/ssl vb.).
• Beklenen çıktı: conn.log, dns.log, ssl.log gibi dosyalar.
• Yorum ipucu: Pivot için id.orig_h, id.resp_h, zaman, uid, server_name (SNI) alanlarını kullan.
• Güvenli sınır: Yerel analiz; saldırı/istismar yok.

Suricata (PCAP üzerinde offline inceleme - izinli/yerel)

• Amaç: PCAP’ten alert/meta çıktısı üretmek (ör. eve.json).
• Beklenen çıktı: eve.json ve ilgili loglar.
• Yorum ipucu: flow_id, alert.signature, alert.severity, src_ip/dest_ip ile korelasyon kur.
• Güvenli sınır: Yerel analiz; saldırı/istismar yok.

Alert kesitini daraltma (okuma/kanıt)

• Amaç: Kanıta girecek minimum alan setini çıkarmak.
• Beklenen çıktı: Özet JSON.
• Yorum ipucu: “Gereksiz detay” yerine korelasyon anahtarlarını sakla.
• Güvenli sınır: Okuma.

8. Kanıt paketleme (dosya + hash + paket hash)

Windows

Linux / macOS

• Amaç: Dağınık kanıtları tek pakette toplamak ve bütünlüğünü kanıtlamak.
• Yorum ipucu: Paket hash’i rapordaki “Kanıt” bölümünün omurgasıdır.
• Güvenli sınır: Yerel dosya işlemleri.

8.11 HOW-TO: Log Kaynakları Entegrasyon Haritası (Runbook / Şablon)

Runbook sonucu: her log kaynağı için sahiplik, alan seti, taşıma, retention ve kanıt notu tek tabloda sürümlenir.

Amaç: “Hangi log nereden geliyor, nasıl taşınıyor, SIEM’de hangi şemayla tutuluyor?” sorusunu tek bir haritaya indirgemek.

Hazırlık

• Kapsam (izinli): segmentler, cihaz tipleri, kritik uygulamalar.
• Zaman standardı: UTC mi kurum saati mi? (tek olmalı)
• Minimum alan seti: timestamp, device_id, src, dst, proto, port, action, rule/policy, reason, user(opsiyonel)
• Sahiplik: Her kaynak için “owner” (kim sorumlu) tanımla.

Uygulama (şablon)

Aşağıdaki tabloyu “tek doğru kaynak” yap (sürümle):

Kaynak	Ürettiği veri	Kritik alanlar	Taşıma / etiket	Retention	Owner
FW	Allow/Deny, NAT	action, rule, src/dst/port	syslog, type=fw	90 gün	NetSec
DNS	query/rcode	client_ip, query, rcode	syslog/agent, type=dns	30 gün	IT Ops
VPN	auth/session	user, profile, assigned_ip	api/syslog, type=vpn	180 gün	IAM
IDS/NDR	alert/meta	signature, severity, flow_id	file/agent, type=ids	30-90 gün	SOC
Flow	Akış özeti	bytes, packets, duration	exporter, type=flow	30 gün	NetOps
PCAP	Ham paket	pcap file + hash	arkime, type=pcap	7-30 gün	SOC

Örnek: normalize edilmiş olay (SIEM ingest — uydurma)

Doğrulama

• Her kaynak için 3 örnek kayıt al; SIEM’de doğru parse oluyor mu?
• Timestamp + host/app alanları tutarlı mı?
• Aynı olayı en az iki kaynaktan korele edebiliyor musun? (FW ↔ Flow gibi)

Kanıt paketleme

• Harita dokümanı + örnek log kesitleri + (varsa) parse ekran görüntüsü
• Paket hash’i üret ve rapora ekle

Geri dönüş / Rollback

• Haritayı sürümle (v1.0 → v1.1).
• Parse/etiket değişikliği sorun çıkarırsa önceki sürüme dön.

8.12 HOW-TO: PCAP vs Flow Tek Senaryo Karşılaştırması (Runbook)

Runbook sonucu: aynı olayda Flow triage, PCAP doğrulama kanıtı üretir; ikisi birlikte karar kalitesini artırır.

Senaryo tipi: “Bir sunucudan dışarıya beklenmeyen TLS bağlantıları” (izinli/uydurma).

Hazırlık

• İncelenecek varlık: srv-app01 (uydurma) → IP: 198.51.100.20
• Zaman penceresi: alarm etrafında ±15 dk
• Hedef: Flow ile geniş resim, PCAP ile seçici kanıt

Uygulama

Adım	Eylem
1	Flow ile triage: kim-kiminle-ne kadar-ne zaman sorusunu yanıtla.
2	Uydurma örnek: SRC=198.51.100.20 DST=203.0.113.30 DPT=443 BYTES=184320 DURATION=180s
3	Seçici PCAP yakala: yalnız hedef 203.0.113.30:443, kısa pencere, ring buffer.
4	PCAP’te TLS handshake, reset, hata paternlerini doğrula.
5	Şifreli trafikte içerik yerine protokol davranışı + zaman/hacim kanıtı üret.

Örnek terminal oturumları (aynı senaryo IP’leri)

Doğrulama

• Flow zamanı ile PCAP zamanı eşleşiyor mu?
• FW/proxy logu aynı bağlantıyı görüyor mu?

Kanıt paketleme

• Flow özet dosyası + kısa pcap + tshark/wireshark özet çıktısı + hash’ler

Geri dönüş / Rollback

• Yakalama kapsamını “refleksle” büyütme.
• Kanıt yetmiyorsa önce farklı kaynakla güçlendir (FW/DNS/Proxy), sonra kontrollü yeni pencereyle tekrar yakala.

8.13 HOW-TO: Zeek/Suricata Çıktı Okuma Runbook’u

Runbook sonucu: alarmdan rapora giden yol; pivot anahtarları ve karşı kanıt kontrolüyle standardize edilir.

Amaç: Bir alert/sinyal geldiğinde “okuyup karar üretebilmek”.

Hazırlık

• Sensör konumu/kapsam: hangi segmenti görüyor?
• Olay penceresi: ±10–15 dk
• Pivot anahtarları: src/dst, flow_id, timestamp, signature, (DNS ise) query

Uygulama

Adım	Eylem
1	Alarmı özetle: Suricata signature/severity + Zeek conn/dns/ssl bağlamını çıkar.
2	Pivot et: aynı src/dst için FW kararı, DNS çözümü, Flow hacmi ve süreyi eşleştir.
3	Gerekirse kısa PCAP kesiti ile protokol davranışını doğrula.
4	Karşı kanıt kontrolü: trafik baseline içinde mi, değişiklik penceresi etkisi var mı?

Örnek: offline üretim ve hızlı özet

Doğrulama

• En az iki bağımsız kaynaktan aynı olayı doğrula.
• Alarm tek başına “kesin” kabul edilmez.

Kanıt paketleme

• Alarm satırı + korelasyon logları + flow özeti + (varsa) kısa pcap
• Hash + 3–6 satırlık zaman çizelgesi

Geri dönüş / Rollback

• Yanlış pozitif: tuning kaydı aç (hangi koşulda yanlış üretti?)
• Şüphe artarsa: yetkili süreçlerle containment seçeneklerini tetikle (karar/rapor disipliniyle).

8.14 Operasyonel Senaryo (ileri seviye — izinli/uydurma)

Senaryo odağı: anomaliyi meşru trafikten ayırmak için baseline, korelasyon ve kontrollü kanıt seti birlikte değerlendirilir.

Belirti

198.51.100.20 (uydurma uygulama sunucusu) dışarıya 203.0.113.30:443 hedefinde kısa aralıklarla TLS bağlantıları kuruyor. İzleme ekranında “anomalous egress” benzeri bir uyarı görüldü.

Hipotezler

1.Meşru değişiklik / yeni entegrasyon: Uygulama güncellemesi yeni bir dış servise bağlanıyor.

2.Egress kontrol zayıflığı (farkındalık): Beklenmeyen hedeflere çıkış mümkün olduğu için risk artmış olabilir.

3.Yanlış pozitif: Baseline’da var; görselleştirme yalnızca “alışılmadık” göstermiş olabilir.

4.Ağ sağlığı etkisi: Retransmission/reset nedeniyle yeniden deniyor (güvenlik değil operasyon).

Toplanacak kanıt

• Flow özeti (zaman/hacim)
• FW logu (allow/deny + kural)
• Zeek ssl.log/conn.log veya Suricata alert (varsa)
• Kısa PCAP kesiti (tek hedef/tek servis) + Wireshark Conversations/Expert Info çıktısı
• Hash’ler (bütünlük)

Uydurma kanıt kesitleri

(A) Flow özeti

(B) FW log

(C) Zeek ssl.log benzeri

(D) Wireshark / tshark özeti

Analiz adımları

Adım	Soru / eylem	Örnek sonuç (bu senaryo)
1	Korelasyon: Flow ↔ FW ↔ Zeek aynı pencerede mi?	Evet (±1–2 sn)
2	Meşruiyet: server_name / hedef envanterde mi?	Envanter ile eşleştir
3	Karşı kanıt: geçmiş baseline’da da var mı?	Flow/Zeek geçmişi
4	Operasyon: Expert Info’da retransmit/reset?	Varsa performans hipotezi
5	Risk: hedef baseline dışı mı?	Egress kontrol kaydı (gerekirse)

Karar

• Meşru hedef (planlı entegrasyon) ise: Alarm yanlış pozitif; tuning + envanter güncellemesi önerilir.
• Meşru değil / baseline dışı ise: Olay kaydı açılır; egress politikası gözden geçirilir ve ilgili log kapsamı güçlendirilir (yetkili süreçle).

Rapor (Bulgu → Etki → Öneri → Kanıt)

• Bulgu: 198.51.100.20 sunucusunun 203.0.113.30:443 hedefine TLS bağlantıları kurduğu; Flow, FW ve Zeek kayıtlarıyla aynı zaman penceresinde doğrulandı.
• Etki: Hedef meşru değilse veri çıkışı/iletişim riski; meşru ise izleme sistemlerinde gürültü ve yanlış alarm maliyeti.
• Öneri:

İzinli dış hedef listesi/entegrasyon envanterini güncel tut; korelasyonda kullan.

Egress kural setini “minimum gerekli” yaklaşımıyla periyodik gözden geçir.

Sensör tuning: trafik meşruysa gürültüyü azalt; değilse korelasyon koşullarını güçlendir.

• Kanıt: Flow özeti, FW allow logu, Zeek TLS meta kaydı, Wireshark Conversations/Expert Info özeti ve dosya hash’leri.

Terimler Sözlüğü

Terim Türkçe karşılığı / açıklama

Syslog Cihazların olay kayıtlarını merkezi toplama sistemlerine iletme yaklaşımı; PRI içinde facility+severity taşır

Facility Syslog’ta mesaj kaynağı sınıfı (0–23)

Severity Syslog’ta önem derecesi (0–7)

SIEM Farklı kaynaklardan logları toplayıp korelasyon/alarm üreten merkezi sistem

PCAP Paket yakalama dosyası; ham trafik verisi

Flow (NetFlow/IPFIX) Akış özet kayıtları; kim-kiminle-ne kadar-ne-zaman görünürlüğü

Retention Log/PCAP verisini saklama süresi ve politikası

Triage Olayı hızlı sınıflandırma ve ilk aksiyonların belirlenmesi

Pivot Bir kayıttan yola çıkıp ilişkili kayıtlara genişleme

Zeek Protokol meta verisi üreten NDR yaklaşımı; conn/dns/ssl gibi loglarla çalışır

Suricata IDS/IPS motoru; olayları/alert’leri (örn. eve.json) üretir

Snort İmza tabanlı IDS yaklaşımı; alert üretir

Arkime PCAP arşivleme ve oturum bazlı arama/indeksleme yaklaşımı (Moloch adıyla da anılır)

Ring Buffer Yakalamayı dosya boyutu/sayısıyla sınırlayıp taşmayı önleyen döngüsel kayıt yöntemi

Snaplen Paketin ne kadarının yakalanacağını belirleyen uzunluk; gereksiz veri toplama riskini yönetir

Kendini Değerlendir

Bu modülde neler öğrendik?

• Network log kaynaklarını “hangi soruya cevap verir?” mantığıyla seçmeyi ve korelasyon kurmayı.
• Syslog’ta şema/alan standardı + severity disiplini + zaman doğruluğunun SIEM başarısını belirlediğini.
• PCAP ve Flow’un güçlü/zayıf yönlerini; ölçek–gizlilik–kanıt dengesinde doğru seçmeyi.
• Wireshark’ta Conversations/Endpoints, Expert Info ve filtrelerle “kanıt okuryazarlığı” üretmeyi.
• tcpdump ile dar kapsamlı, ring-buffer ve düşük riskli yakalama stratejisi kurmayı.
• Zeek/Suricata/Snort çıktılarında pivot anahtarlarıyla bağlam toplayıp karar üretebilmeyi.
• Arkime yaklaşımıyla PCAP’in aranabilir hale gelmesinde retention/erişim disiplininin önemini.