Müşteri sayısı: 1 IT yöneticisi, 300 cihaz, 60 sunucu, 1 fortigate HA pair, 1 vCenter, 1 SQL Server, M365 Business Premium. SIEM ihtiyacı net ama Splunk ya da QRadar fiyatları altı haneli — kurum için lüks. Aynı sonucu light-SIEM ile alabilirsiniz; ama hangi sırayla?
Bu yazı pilot müşterilerimizden öğrendiğimiz 30 günlük kurulum takvimini anlatıyor.
Gün 1-2: Discovery + temel envanter
Yapılacak
- ShamashAi installer'ı tek host'a yükle (Windows Server 2019+, 4 vCPU, 8 GB RAM)
- SQL Server bağlantısı (Express yeterli — sonra Standard'a geçilir)
- License key paste
- Site (HQ) oluştur
Connector aktivasyonu sırası
1. SyslogConnector — UDP 514 dinler. Hemen aktif. 2. DeviceHealthConnector — TCP probe + ICMP. Cihaz envanteri için. 3. WebsiteSurfaceConnector — public domain'lerinizi monitör eder.Sonuç
- 300 cihaz envanteri tabloya
- VLAN'ler bulundu
- Fortigate'ten gelen log akmaya başladı (eğer syslog forwarding aktifse)
Gün 3-5: Firewall + perimeter
Fortigate setup
config log syslogd setting
set status enable
set server <SHAMASHAI_IP>
set port 514
set facility local7
set format default
set source-ip <FORTIGATE_LAN_IP>
end
Anlamlı seviyede log için log severity minimum notification olsun (emergency-only çok az; debug çok fazla).
SOAR hazırlığı (henüz aktif değil)
- API user oluştur (
shamashai, super_admin profile) - Trusted host = ShamashAi server IP
- Placeholder address + Shamashai-Blocked address group
- Transit DENY policy ve local-in DENY policy (admin UI brute-force için)
Sonuç
- 24 saat içinde ortalama 5-10 bin event/gün gelir
- Top event_type'lar: AUTH_SUCCESS, IPS_DETECT, INTERFACE_DOWN, traffic logs
- Risk engine puanlamayı başlattı
Gün 6-10: Identity (AD + M365)
Active Directory
- WinRM 5985/86 açık olmalı (DC'lerde)
- ShamashAi agent makinesinden Test-WSMan ile kontrol
- Connector aktif et — AD Event Log subscription
- 4624/4625/4720/4728/4768 event'leri gelmeli
M365 / Entra ID
- Azure Portal → App registrations → New
- Permission:
Mail.Send,Directory.Read.All,AuditLog.Read.All - Admin consent
- Tenant ID + Client ID + Client Secret → ShamashAi onboarding
- Sign-in logs + audit logs akmaya başlar
Sonuç
- "Hangi kullanıcı nereden login oluyor" sorusu cevaplanabilir
- BEHAVIORAL_ANOMALY için baseline veri toplanmaya başlandı (30 gün dolduktan
Gün 11-15: Server + database
Windows Server
- WMI/WinRM ile event log uzaktan okuma
- SMART disk health → SNMP poll (eğer aktifse)
SQL Server
- Sa hesabı + SQL audit kullan
- TDS 1433 ShamashAi agent'a açık
- SQL_LOGIN_FAILED gelmeli
vSphere
- Read-only API user
- vSphere REST endpoint
- VM events + host events
Sonuç
- Sunucu ve VM olaylarına görünürlük
- "Database admin değişikliği" gibi kritik olaylar yakalanır
Gün 16-20: Alarm kuralları
İlk kuralları enable et (preset'ten)
ShamashAi 30+ alert rule preset ile gelir. İlk gün hepsini açmayın — seçici davranın:Hemen aktif (yüksek değer, düşük false-positive):
BRUTE_FORCE_DETECTED(built-in correlation)ADMIN_LOGIN_AFTER_HOURS(mesai dışı admin login)M365_RISKY_SIGNIN(Microsoft'un kendi risk skoru)FORTIGATE_CRITICAL_IPS(high severity IPS hits)BACKUP_FAILED(Veeam / Acronis)
MULTIPLE_FAIL_LOGIN_SAME_USER(10 fail / saat)NEW_ADMIN_ADDED(privileged group change)CERT_EXPIRING(30 gün eşiği)
Gün 21-25: SOAR + bildirim
SOAR aktivasyonu
- Belirli bir cihazı (Fortigate)
soar_enabled = 1yap - "auto:threat_intel" auto-block kuralı: known-bad IP → 60 dk block
- "auto:rule" sadece kritik composite event'lerde (BRUTE_FORCE, MALWARE_DETECT)
- Manual block UI test et — bir IP bloklayıp unblock'la
Notification policy
- Email: critical + high → IT yönetici, sysadmin
- Push: critical → IT yöneticinin telefonu (PWA install gerekir)
- Quiet hours: 22:00–07:00, ama digest_only = false (gece de kritik haber ver)
- Slack/Teams: Sosyal kanal aktifse webhook ekle
Gün 26-30: Compliance + raporlama
Compliance sayfasına bak
- ISO 27001 Annex A: hangi kontroller covered, hangileri partial?
- KVKK Madde 12: yetkisiz erişim önleme, log tutma, retention — hepsi yeşil
Weekly Summary aktif et
- Pazartesi 09:00 (Europe/Istanbul) executive email
- 5 alıcı maksimum (yönetim kademesi)
- Preview ile sample gör — şirketin gerçek metriklerinden çıkartılmış
Ownership matrix
- 1 IT yöneticisi → 1 user → tüm vakalar ona atanır
- 1 ekip varsa per-user category permissions ile daraltma yapın
Gün 30+: Düzenli ritm
Günlük (5 dk)
- Control Center → posture skoru, action queue
- Yüksek skor varsa hangi event onu düşürüyor — drilldown
Haftalık (30 dk)
- Pazartesi summary email'i oku
- Açık vakaların hepsini gözden geçir (en eski olanlardan başla)
- Yeni yayınlanan threat intel match'lerine bak
Aylık (1 saat)
- Compliance sayfasından PDF üret + arşivle
- Retention politikası ihlal eden bir tablo var mı?
- Lisans + kapasite — büyüme zamanında uyarı var mı?
Sonuç: 30 günlük disiplinle çalışan light-SIEM, 250 bin liralık enterprise SIEM'in %85'ini verir. Tek IT yöneticili firma için fark anlamsız; asıl iş operasyonel ritm kurmak. ShamashAi pilot programı 30 gün ücretsiz — yukarıdaki takvim bire bir uygulanır.
