İçereği Atla

Loglar Yalan Söyler mi? SIEM Sistemlerinde Yanıltıcı Kayıt Problemi

Loglar; sistemlerin, uygulamaların, ağ cihazlarının ve güvenlik ürünlerinin ürettiği olay kayıtlarıdır. Bir kullanıcı giriş yaptığında, bir servis durduğunda, bir bağlantı reddedildiğinde ya da bir dosya değiştirildiğinde arkasında bir log bırakır.
29 Nisan 2026 yazan
Loglar Yalan Söyler mi? SIEM Sistemlerinde Yanıltıcı Kayıt Problemi
Amina KAPTAN
 

Loglar Yalan Söyler mi?

SIEM Sistemlerinde Yanıltıcı Kayıt Problemi

Siber güvenlik dünyasında sıkça duyulan bir cümle vardır:

“Log yoksa olay da yoktur.”

Peki ya log varsa ama gerçeği yansıtmıyorsa?

Ya da daha kötüsü, loglar sizi yanlış bir sonuca sürüklüyorsa?

Bu makalede, SIEM sistemlerinin bel kemiğini oluşturan logların neden her zaman gerçeği anlatmadığını, yanıltıcı kayıtların nasıl oluştuğunu ve bu problemin kurumlar için neden ciddi bir risk olduğunu derinlemesine ele alacağız.


Log Nedir, Neden Bu Kadar Önemlidir?

Loglar; sistemlerin, uygulamaların, ağ cihazlarının ve güvenlik ürünlerinin ürettiği olay kayıtlarıdır.

Bir kullanıcı giriş yaptığında, bir servis durduğunda, bir bağlantı reddedildiğinde ya da bir dosya değiştirildiğinde arkasında bir log bırakır.

SIEM (Security Information and Event Management) sistemleri ise bu logları:

    1. Toplar
    2. Normalize eder
    3. Korelasyon kurallarıyla analiz eder
    4. Anlamlı alarmlara dönüştürür

Kısacası SIEM’in gördüğü dünya, logların anlattığı kadardır.

Loglar Yalan Söyler mi?

Kısa cevap: Evet, söyleyebilir.

Ama bu, logların bilinçli olarak yalan söylediği anlamına gelmez. Çoğu zaman sorun:

    1. Eksik
    2. Yanlış
    3. Bağlamdan kopuk
    4. Manipüle edilmiş

olmalarından kaynaklanır.

Yanıltıcı Log Kayıtları Nasıl Oluşur?

1. Eksik Loglama (Incomplete Logging)

Birçok sistem, performans veya disk tasarrufu için:

    1. Sadece kritik olayları
    2. Ya da sınırlı seviyede detayları loglar

Örneğin:

    1. Başarısız girişler loglanırken
    2. Başarılı girişlerin loglanmaması

Bu durumda SIEM, saldırganın sisteme nasıl girdiğini değil, sadece denemeleri görür.

2. Yanlış Zaman Damgaları (Time Drift Problemi)

Log analizinde zaman, her şeydir.

Ancak:

    1. NTP yapılandırması olmayan
    2. Saatleri senkron olmayan sistemler

olayları farklı zamanlarda olmuş gibi gösterebilir.

Bu da SIEM korelasyonlarının:

    1. Yanlış sırayla
    2. Yanlış bağlamda

çalışmasına neden olur.

3. Log Formatı ve Normalizasyon Hataları

Farklı üreticiler:

    1. Aynı olayı farklı isimlerle
    2. Farklı alanlarda
    3. Farklı formatlarda

loglayabilir.

Eğer SIEM bu logları doğru normalize edemezse:

  1. Kullanıcı alanı boş kalabilir
  2. IP adresi yanlış eşleşebilir
  3. Olay tipi hatalı sınıflandırılabilir

Sonuç: Yanlış alarm veya hiç alarm üretmemek.

4. Gürültü ve Yanlış Pozitifler

Aşırı log üretimi, gerçek tehdidi görünmez kılar.

Özellikle:

    1. Yanlış yapılandırılmış cihazlar
    2. Hatalı uygulamalar
    3. Sürekli hata üreten servisler

SIEM’i log çöplüğüne dönüştürür.

Bu gürültü içinde:

    1. Gerçek saldırılar kaçabilir
    2. SOC ekipleri alarm yorgunluğu yaşar

5. Saldırgan Tarafından Manipüle Edilen Loglar

Gelişmiş saldırganlar logların değerini bilir. Bu yüzden:​

    1. Log siler
    2. Logları değiştirir
    3. Log servislerini durdurur
    4. Sahte log üretir

Eğer log bütünlüğü korunmuyorsa, SIEM tamamen yanıltıcı bir resim çizebilir.

SIEM Loglara Körü Körüne Güvenirse Ne Olur?

    1. Yanlış olaylara odaklanılır
    2. Gerçek ihlal gözden kaçar
    3. Olay müdahalesi gecikir
    4. Hukuki ve adli süreçler zayıflar
    5. Güvenlik ekiplerine olan güven sarsılır

Kısacası:

Yanlış log, yanlış karar demektir.

Yanıltıcı Log Problemi Nasıl Azaltılır?

1. Doğru Log Politikası Oluşturulmalı

    1. Ne loglanacak?
    2. Hangi detay seviyesi?
    3. Ne kadar süre saklanacak?

Bu sorular net cevaplanmalıdır.

2. Zaman Senkronizasyonu Zorunlu Olmalı

Tüm sistemler:

    1. Aynı NTP kaynağını kullanmalı
    2. Saat sapmaları düzenli kontrol edilmelidir

3. Log Bütünlüğü Sağlanmalı

    1. Loglar write-once alanlarda tutulmalı
    2. Hash ve imzalama kullanılmalı
    3. Yetkisiz erişim engellenmelidir

4. SIEM Korelasyon Kuralları Sürekli İyileştirilmeli

Statik kurallar yerine:

    1. Ortama özel
    2. Davranış odaklı
    3. Zaman bazlı

kurallar tercih edilmelidir.

5. SIEM + EDR + XDR Entegrasyonu

Tek başına log yeterli değildir.

Uç nokta, ağ ve kullanıcı davranışı birlikte analiz edilmelidir.

Loglar Yalan Söylemez, Eksik Konuşur

Aslında loglar çoğu zaman yalan söylemez.

Ama:

    1. Yanlış toplanır
    2. Yanlış yorumlanır
    3. Yanlış bağlamda analiz edilirse

gerçeği gizler.

SIEM sistemleri, sadece log toplayan araçlar değil;

doğru soruları soran ve doğru bağlamı kuran sistemler olmalıdır.

Sonuç: Gerçek Güvenlik, Loglara Şüpheyle Bakabilmektir

Olgun bir SOC ekibi şunu bilir:

“Bir alarm gördüğümüzde önce loglara değil,

logların neden böyle göründüğüne bakarız.”

Çünkü siber güvenlikte en tehlikeli şey,

yanlış bir güven duygusudur.

Loglar Yalan Söyler mi? SIEM Sistemlerinde Yanıltıcı Kayıt Problemi
Amina KAPTAN 29 Nisan 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment