İçereği Atla

Threat hunting nedir? Başlangıç senaryoları

Threat Hunting (Tehdit Avcılığı), bir kuruluşun ağında ve sistemlerinde gizlenmiş ya da henüz tespit edilmemiş siber tehditleri ortaya çıkarmak için yürütülen proaktif bir siber güvenlik yaklaşımıdır. Bu süreçte analistler, bir ihlal olabileceği varsayımıyla hareket ederek şüpheli davranışları ve anormallikleri araştırır ve saldırganları zarar vermeden önce tespit etmeyi amaçlar.
14 Temmuz 2026 yazan
Threat hunting nedir? Başlangıç senaryoları
Mehrinaz BOZ
 

Threat Hunting’in Amacı ve Önemi

Amacı

  • Gizli ve alarm üretmeyen tehditleri bulmak
  • Gelişmiş saldırıları (APT vb.) erken tespit etmek
  • Zararı büyümeden durdurmak
  • Ağ görünürlüğünü artırmak
  • Güvenlik kontrollerini iyileştirmek

Önemi

  • Alarm üretmeyen saldırıları ortaya çıkarır
  • Tespit süresini kısaltır (MTTD)
  • İç tehditleri belirler
  • Olay müdahalesini hızlandırır
  • Proaktif güvenlik yaklaşımı sağlar

Proaktif Güvenlik Yaklaşımı Olarak Threat Hunting

Threat Hunting, proaktif bir siber güvenlik yaklaşımıdır; yani saldırı gerçekleşmeden önce tehditleri arar ve önlem alır. Bu yaklaşım, sadece gelen alarmlara tepki vermek yerine, ağ, sistem ve uç nokta ortamlarında gizlenmiş tehditleri önceden tespit etmeyi ve müdahale etmeyi sağlar.

Özellikleri;

  • Proaktif analiz: Saldırgan henüz fark edilmeden potansiyel tehditleri araştırır.
  • Davranış odaklı: Şüpheli aktiviteler ve anormallikler üzerinden tehditleri belirler.
  • Sürekli izleme: Ağ, uç nokta ve bulut ortamlarını düzenli olarak kontrol eder.
  • İyileştirme odaklı: Tespit edilen bulgular, güvenlik politikalarını güçlendirmek için kullanılır.

Threat Hunting ile SOC, SIEM ve IR İlişkisi

  1.  SOC ile İlişkisi

    • SOC, güvenlik operasyonlarının merkezi olarak sürekli izleme yapar.
    • Threat Hunting, SOC ekibine geleneksel uyarıların ötesinde görünürlük sağlar ve proaktif analiz yapma imkânı sunar.

  2.  SIEM ile İlişkisi

    • SIEM, logları ve olay verilerini toplar, korelasyonlar oluşturur ve uyarılar üretir.
    • Threat Hunting, SIEM verilerini kullanarak hipotez odaklı aramalar ve davranış analizi yapar; SIEM’in atladığı gizli tehditleri ortaya çıkarır.

  3.  IR (Incident Response) ile İlişkisi

    • IR, tespit edilen güvenlik olaylarına müdahale eder.
    • Threat Hunting çıktıları, IR ekiplerinin daha hızlı ve doğru aksiyon almasını sağlar, olaylara hazırlıklı olmalarını destekler.

Threat Hunting’de Kullanılan Veri Kaynakları

Threat Hunting sürecinde, analistler saldırgan faaliyetlerini ve anormallikleri tespit etmek için çeşitli veri kaynaklarından yararlanır. Bu kaynaklar, ağ, sistem ve kullanıcı davranışlarını kapsamlı şekilde incelemeyi sağlar.

Temel Veri Kaynakları

  • Uç Nokta Verileri (EDR): Endpoint Detection & Response sistemlerinden gelen loglar, dosya aktiviteleri ve davranış analizi.
  • Ağ Trafiği Kayıtları: Paket yakalama, firewall ve IDS/IPS logları, ağ anormalliklerini ortaya çıkarır.
  • Kimlik ve Erişim Verileri: Kullanıcı oturumları, yetki değişiklikleri ve şüpheli giriş denemeleri.
  • Sistem ve Uygulama Logları: İşletim sistemi ve kritik uygulamalardan gelen olay kayıtları.
  • Bulut İş Yükü ve Servis Kayıtları: Bulut ortamlarındaki aktiviteler, yetkisiz erişim veya anormal kullanım.
  • Tehdit İstihbaratı: Bilinen saldırgan taktikleri, TTP’ler (Taktik, Teknik, Prosedürler) ve IoC’ler (Indicators of Compromise).

Kullanım Amacı

  • Saldırganın davranışlarını anlamak
  • Bilinmeyen tehditleri ortaya çıkarmak
  • Ağ ve sistemlerdeki anormallikleri tespit etmek
  • Güvenlik politikalarını geliştirmek ve savunma mekanizmalarını güçlendirmek

Threat Hunting İçin Gerekli Yetkinlikler

Teknik Yetkinlikler

  • Sistem ve Ağ Bilgisi: İşletim sistemleri, ağ protokolleri ve ağ mimarisi hakkında derin bilgi.
  • Siber Tehdit İstihbaratı: TTP’ler (Taktik, Teknik, Prosedürler) ve IoC’ler (Indicators of Compromise) bilgisi.
  • Log Analizi ve Adli Bilişim: Uç nokta, ağ ve bulut loglarını inceleme becerisi.
  • EDR ve SIEM Kullanımı: Endpoint ve güvenlik bilgi yönetim sistemlerini etkin şekilde kullanabilmek.
  • Scripting ve Otomasyon: Python, PowerShell gibi dillerle veri analizi ve otomasyon yapabilmek.

  Analitik ve Yumuşak Yetkinlikler

  • Hipotez Geliştirme: Şüpheli aktiviteleri araştırmak için mantıklı senaryolar oluşturabilmek.
  • Davranışsal Analiz: Kullanıcı ve sistem davranışlarındaki anormallikleri tanımlayabilmek.
  • Problem Çözme ve Kritik Düşünme: Karmaşık saldırı senaryolarını çözümleyebilmek.
  • İletişim ve Raporlama: Bulguları teknik ve yönetsel ekiplerle etkili paylaşabilmek.


Threat Hunting’de Karşılaşılan Zorluklar

  1. Veri Fazlalığı: Ağ, uç nokta ve bulut logları çok büyük olabilir; kritik veriyi ayırt etmek zorlaşır.
  2. Karmaşık Tehditler: Dosyasız malware, APT ve gelişmiş saldırılar tespit edilmesi zor tehditlerdir.
  3. Uzman Eksikliği: Yeterli deneyime sahip analist bulmak zor olabilir.
  4. Araç ve Kaynak Sınırlamaları: EDR, SIEM ve diğer araçlar tek başına tüm tehditleri yakalayamayabilir.
  5. Yanlış Pozitifler: Çok sayıda yanlış alarm, analistleri yavaşlatabilir ve kaynak tüketebilir.
  6. Sürekli Güncel Kalma Gereksinimi: Tehdit ortamı sürekli değiştiği için analistlerin bilgi ve yetkinliklerini sürekli güncel tutması gerekir.
  7. Kurumsal Direnç ve Kültür: Proaktif güvenlik yaklaşımı bazı kuruluşlarda benimsenmeyebilir veya bütçe kısıtlarıyla sınırlı kalabilir.

inç Network
Threat hunting nedir? Başlangıç senaryoları
Mehrinaz BOZ 14 Temmuz 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment