Network · firewall · router · switch
| Vendor | Transport | Kalite | Notlar |
|---|
| Fortinet FortiGate | syslog kvp + REST | YÜKSEK | Traffic, IPS, AV, login, SD-WAN. SOAR aktif. |
| Sophos XG / SG | syslog (device="SFW") | YÜKSEK | Firewall, IDP, AV, web/app filter, VPN |
| Mikrotik RouterOS | syslog topics: | ORTA | Login, firewall, DHCP, IPSec/VPN |
| Cisco IOS | syslog %F-N-MNEMONIC | YÜKSEK | ACL deny, login, lockout, link/lineproto |
| Generic CEF | syslog CEF | ORTA | Vendor-agnostik CEF parser |
| Generic syslog | raw | DÜŞÜK | Anahtar kelime fallback (denied/blocked/exploit) |
Identity
| Vendor | Transport | Kalite | Notlar |
|---|
| Microsoft AD (on-prem) | WinRM + Event Log | YÜKSEK | 4624/4625/4720/4728/4768 · privileged user · baselines |
| Microsoft 365 / Entra ID | Graph API (app-only) | YÜKSEK | Sign-in logs, audit, security alerts, Defender |
Sunucu + sanallaştırma
| Vendor | Transport | Kalite |
|---|
| Microsoft Windows Server | WinRM/WMI Event Log | ORTA-Y |
| Microsoft SQL Server | Direct SQL (TDS) | ORTA |
| VMware vSphere / vCenter | vSphere REST API | ORTA |
| HP iLO | SNMP poll | ORTA |
Storage / endpoint
| Vendor | Kalite | Notlar |
|---|
| QNAP / Synology NAS | DÜŞÜK | TCP probe (live/offline) · syslog forwarding ile zenginleşir |
| Hikvision NVR | DÜŞÜK | TCP probe |
| Generic AV/EDR (syslog) | DÜŞÜK | "malware/virus/trojan" → MALWARE_DETECT |
Cloud surface
| Source | Transport | Notlar |
|---|
| Public website | HTTPS + DNS | SSL expiry, redirect, response time |
| Mail provider DNS | DNS MX/SPF/DKIM/DMARC | SPF/DKIM/DMARC presence + alignment |
| Microsoft 365 / Entra ID | Graph API (app-only) | Tenant probe, Intune/Entra device sync (max 1000) |
Discovery probes (credential öncesi)
| Endpoint | Girdi | Çıktı |
|---|
/discovery/mx-lookup | domain | MX → mail provider (M365 / Workspace / Yandex / Zoho / on-prem) |
/discovery/website-lookup | domain | A record + TLS certificate + hosting hint (CF / AWS / Azure / GCP) |
/discovery/m365/probe | tenant_id + app cred | Tenant validate, izin matrisi |
/discovery/m365/devices | tenant_device_id | Intune/Entra cihaz envanter dump (≤ 1000) |
Onboarding wizard'da kullanılır — müşteri domain'i girer girmez mail/web yüzeyi keşfedilir, kimlik bilgisi paylaşmadan demo dolar. Hassas bir log gönderilmez; sadece public DNS ve sertifika hash'i.
Threat intelligence
| Source | Refresh | Kullanım |
|---|
| Tor exit nodes | 1 saat | Outbound/inbound IP match → KNOWN_BAD_IP |
| FireHOL Level 1 | 1 saat | Aggressive blocklist |
| Spamhaus DROP | 1 saat | Bulk netblocks (CIDR) |
| USOM / TR-CERT | 6 saat | Türkiye ulusal IP/URL kötüçü listesi |
| Abuse.ch FeodoTracker | 6 saat | Aktif botnet C2: Emotet, Dridex, TrickBot, QakBot, IcedID |
Beş public OSINT kaynağı, atomic swap ile her tur yenilenir — bir feed başarısız olursa diğerlerinden toplanan IP/CIDR'lar canlı kalır. Yeni Settings → Threat Intelligence sayfasında kaynak başına IP/CIDR sayısı, son sync zamanı ve "Refresh now" butonu vardır (admin role).
Active response (SOAR)
| Action | Vendor | Scope |
|---|
| Block public IP at firewall | Fortinet FortiGate (REST API → address group) | Public RFC1918-dışı IP |
| Quarantine internal IP | Fortinet FortiGate (REST API → address group) | Private IP (10.x, 172.16.x, 192.168.x) |
Block IP saldıran tarafı dış perimetre'de durdurur; Quarantine compromise edilmiş iç cihazı network'ten ayırır. İkisi de aynı address-group manipülasyonu üzerinden çalışır; tek fark hedef IP validasyonu ve action_scope alanıdır. Audit log + soar_actions append-only, auto-expire default 60 dk.
Bildirim kanalları
Korelasyon motoru bir composite event üretince ShamashAi, kullanıcı tanımlı bildirim kanallarına paralel olarak ileti gönderir. Üç kanal varsayılan açık gelir; her biri ayrı severity filtresiyle çalışır (örn. WhatsApp sadece critical, mailhigh ve üzeri, browser push tümü).
| Kanal | Transport | Hedef | Notlar |
|---|
| Mail (SMTP) | SMTP / SMTPS · STARTTLS | IT yöneticisi · CISO · dağıtım listesi | HTML + plain text. Event detayı, MITRE chip, "investigate" CTA. Per-rule severity threshold. |
| Mail-enabled alert (Microsoft 365) | Graph API · sendMail | Tenant mailbox | SMTP relay/onayı yoksa Graph üzerinden çıkar. App-only auth, gönderim kotası tenant'a bağlı. |
| Browser push (Web Push) | VAPID · Service Worker | IT yöneticisinin tarayıcısı | PWA yüklü olmasa bile çalışır. Sadece subscribe ettikten sonra. Severity ≥ low. |
| WhatsApp (Meta Cloud API) | WhatsApp Business · template message | On-call cep numarası | Onaylı template (TR/EN). Sadece critical + manuel "escalate" aksiyonları. Tek istisna kanalı: gece 03:00 uyandırmaya yarar. |
| Webhook (generic) | HTTPS POST · JSON | Slack · Teams · custom | HMAC imzalı, retry queue, ölü harf kuyruğu. |
Tüm kanallar notifications sayfasından açılıp kapatılır. Her kanal için kim ne alır (severity + module + site filtresi), saat aralığı (off-hours suppression) ve rate-limit (örn. dakikada 1 WhatsApp) ayrı ayrı tanımlanır. Audit log her gönderim içinNOTIFICATION_SENT satırı yazar.
Compliance pack
| Framework | Controls evidenced |
|---|
| ISO/IEC 27001:2022 Annex A | 19 control (A.5.7, A.5.10, A.5.24-26, A.5.28, A.6.3, A.8.2, A.8.5, A.8.7-10, A.8.12, A.8.15-17, A.8.20, A.8.23) |
| KVKK Madde 12 | 6 alt madde (yetkisiz erişim önleme, log tutma, retention, sızma testi, ihlal bildirimi, denetim) |