Tüm yazılar
·4 dk okuma·ShamashAi Ekibi

Tek IT yöneticisi için light-SIEM kurulum rehberi

Splunk almak isteyen ama 250 bin liralık bütçesi olmayan 100-500 cihazlı firma için pratik kurulum: hangi log, hangi connector, hangi alarm kuralı, hangi sırayla.

Müşteri sayısı: 1 IT yöneticisi, 300 cihaz, 60 sunucu, 1 fortigate HA pair, 1 vCenter, 1 SQL Server, M365 Business Premium. SIEM ihtiyacı net ama Splunk ya da QRadar fiyatları altı haneli — kurum için lüks. Aynı sonucu light-SIEM ile alabilirsiniz; ama hangi sırayla?

Bu yazı pilot müşterilerimizden öğrendiğimiz 30 günlük kurulum takvimini anlatıyor.

Gün 1-2: Discovery + temel envanter

Yapılacak

  • ShamashAi installer'ı tek host'a yükle (Windows Server 2019+, 4 vCPU, 8 GB RAM)
  • SQL Server bağlantısı (Express yeterli — sonra Standard'a geçilir)
  • License key paste
  • Site (HQ) oluştur

Connector aktivasyonu sırası

1. SyslogConnector — UDP 514 dinler. Hemen aktif. 2. DeviceHealthConnector — TCP probe + ICMP. Cihaz envanteri için. 3. WebsiteSurfaceConnector — public domain'lerinizi monitör eder.

Sonuç

  • 300 cihaz envanteri tabloya
  • VLAN'ler bulundu
  • Fortigate'ten gelen log akmaya başladı (eğer syslog forwarding aktifse)

Gün 3-5: Firewall + perimeter

Fortigate setup

config log syslogd setting
  set status enable
  set server <SHAMASHAI_IP>
  set port 514
  set facility local7
  set format default
  set source-ip <FORTIGATE_LAN_IP>
end

Anlamlı seviyede log için log severity minimum notification olsun (emergency-only çok az; debug çok fazla).

SOAR hazırlığı (henüz aktif değil)

  • API user oluştur (shamashai, super_admin profile)
  • Trusted host = ShamashAi server IP
  • Placeholder address + Shamashai-Blocked address group
  • Transit DENY policy ve local-in DENY policy (admin UI brute-force için)

Sonuç

  • 24 saat içinde ortalama 5-10 bin event/gün gelir
  • Top event_type'lar: AUTH_SUCCESS, IPS_DETECT, INTERFACE_DOWN, traffic logs
  • Risk engine puanlamayı başlattı

Gün 6-10: Identity (AD + M365)

Active Directory

  • WinRM 5985/86 açık olmalı (DC'lerde)
  • ShamashAi agent makinesinden Test-WSMan ile kontrol
  • Connector aktif et — AD Event Log subscription
  • 4624/4625/4720/4728/4768 event'leri gelmeli

M365 / Entra ID

  • Azure Portal → App registrations → New
  • Permission: Mail.Send, Directory.Read.All, AuditLog.Read.All
  • Admin consent
  • Tenant ID + Client ID + Client Secret → ShamashAi onboarding
  • Sign-in logs + audit logs akmaya başlar

Sonuç

  • "Hangi kullanıcı nereden login oluyor" sorusu cevaplanabilir
  • BEHAVIORAL_ANOMALY için baseline veri toplanmaya başlandı (30 gün dolduktan
sonra tam çalışır)

Gün 11-15: Server + database

Windows Server

  • WMI/WinRM ile event log uzaktan okuma
  • SMART disk health → SNMP poll (eğer aktifse)

SQL Server

  • Sa hesabı + SQL audit kullan
  • TDS 1433 ShamashAi agent'a açık
  • SQL_LOGIN_FAILED gelmeli

vSphere

  • Read-only API user
  • vSphere REST endpoint
  • VM events + host events

Sonuç

  • Sunucu ve VM olaylarına görünürlük
  • "Database admin değişikliği" gibi kritik olaylar yakalanır

Gün 16-20: Alarm kuralları

İlk kuralları enable et (preset'ten)

ShamashAi 30+ alert rule preset ile gelir. İlk gün hepsini açmayın — seçici davranın:

Hemen aktif (yüksek değer, düşük false-positive):

  • BRUTE_FORCE_DETECTED (built-in correlation)
  • ADMIN_LOGIN_AFTER_HOURS (mesai dışı admin login)
  • M365_RISKY_SIGNIN (Microsoft'un kendi risk skoru)
  • FORTIGATE_CRITICAL_IPS (high severity IPS hits)
  • BACKUP_FAILED (Veeam / Acronis)
1 hafta gözlem sonrası aç:
  • MULTIPLE_FAIL_LOGIN_SAME_USER (10 fail / saat)
  • NEW_ADMIN_ADDED (privileged group change)
  • CERT_EXPIRING (30 gün eşiği)
Preview mode ile test et: Yeni kuralı Preview butonuyla son 7 gün data üzerinde koşturun; kaç kez ateşleyeceğini önceden görün. Beklenmedik yüksek sayı → eşiği düşürmeyin, false-positive vendor'a bakın.

Gün 21-25: SOAR + bildirim

SOAR aktivasyonu

  • Belirli bir cihazı (Fortigate) soar_enabled = 1 yap
  • "auto:threat_intel" auto-block kuralı: known-bad IP → 60 dk block
  • "auto:rule" sadece kritik composite event'lerde (BRUTE_FORCE, MALWARE_DETECT)
  • Manual block UI test et — bir IP bloklayıp unblock'la

Notification policy

  • Email: critical + high → IT yönetici, sysadmin
  • Push: critical → IT yöneticinin telefonu (PWA install gerekir)
  • Quiet hours: 22:00–07:00, ama digest_only = false (gece de kritik haber ver)
  • Slack/Teams: Sosyal kanal aktifse webhook ekle

Gün 26-30: Compliance + raporlama

Compliance sayfasına bak

  • ISO 27001 Annex A: hangi kontroller covered, hangileri partial?
  • KVKK Madde 12: yetkisiz erişim önleme, log tutma, retention — hepsi yeşil
olmalı, değilse eksik connector var

Weekly Summary aktif et

  • Pazartesi 09:00 (Europe/Istanbul) executive email
  • 5 alıcı maksimum (yönetim kademesi)
  • Preview ile sample gör — şirketin gerçek metriklerinden çıkartılmış

Ownership matrix

  • 1 IT yöneticisi → 1 user → tüm vakalar ona atanır
  • 1 ekip varsa per-user category permissions ile daraltma yapın
(analist sadece firewall+network görsün, identity görmesin)

Gün 30+: Düzenli ritm

Günlük (5 dk)

  • Control Center → posture skoru, action queue
  • Yüksek skor varsa hangi event onu düşürüyor — drilldown

Haftalık (30 dk)

  • Pazartesi summary email'i oku
  • Açık vakaların hepsini gözden geçir (en eski olanlardan başla)
  • Yeni yayınlanan threat intel match'lerine bak

Aylık (1 saat)

  • Compliance sayfasından PDF üret + arşivle
  • Retention politikası ihlal eden bir tablo var mı?
  • Lisans + kapasite — büyüme zamanında uyarı var mı?

Sonuç: 30 günlük disiplinle çalışan light-SIEM, 250 bin liralık enterprise SIEM'in %85'ini verir. Tek IT yöneticili firma için fark anlamsız; asıl iş operasyonel ritm kurmak. ShamashAi pilot programı 30 gün ücretsiz — yukarıdaki takvim bire bir uygulanır.

Paylaş

Bu konuyu projenize uygulayalım

Pilot programı kapsamında ürünü gerçek altyapınızda 30 gün ücretsiz deneyin.