İçereği Atla

SIEM Loglarından Anomali Tespiti Nasıl Yapılır?

Günümüzde siber saldırılar giderek daha karmaşık hale gelirken, klasik imza tabanlı tespit yöntemleri tek başına yeterli olmamaktadır. Bu noktada, SIEM (Security Information and Event Management) sistemleri üzerinden yapılan anomali tespiti, modern siber güvenliğin en kritik bileşenlerinden biri haline gelmiştir.
1 Mayıs 2026 yazan
SIEM Loglarından Anomali Tespiti Nasıl Yapılır?
Amina KAPTAN
 

SIEM Nedir ve Neden Önemlidir?

SIEM sistemleri; firewall, sunucu, endpoint, IDS/IPS ve uygulamalardan gelen logları merkezi bir noktada toplar ve analiz eder.

Temel amaçlar:

    1. Olayları korele etmek
    2. Şüpheli aktiviteleri tespit etmek
    3. Olay müdahalesini hızlandırmak

Ancak SIEM’in asıl gücü, anomali tespiti ile ortaya çıkar.

Anomali Tespiti Nedir?

Anomali tespiti, sistemdeki normal davranışın dışına çıkan aktivitelerin belirlenmesidir.

Örnekler:

    1. Kullanıcının alışılmadık saatlerde giriş yapması
    2. Aynı kullanıcıdan kısa sürede farklı ülkelerden erişim
    3. Normalden yüksek veri transferi

Bu tür sapmalar genellikle aşağıdaki tehditlerin göstergesidir:

    1. İç tehditler (insider threat)
    2. Hesap ele geçirme (account takeover)
    3. Yatay hareket (lateral movement)
    4. Veri sızdırma (data exfiltration)

SIEM’de Anomali Tespiti Yöntemleri

1. Baseline (Normal Davranış) Oluşturma

İlk adım, sistemde normal davranışın belirlenmesidir.

Örnek baseline verileri:

    1. Kullanıcı giriş saatleri
    2. Ortalama veri transfer miktarı
    3. Bağlanılan IP aralıkları

SIEM, geçmiş logları analiz ederek bu davranış profillerini oluşturur.

2. Threshold (Eşik) Tabanlı Tespit

Belirli bir eşik değerin aşılması durumunda alarm üretilir.

Örnek:

    1. 5 dakika içinde 10 başarısız giriş denemesi
    2. 1 saat içinde yüksek veri transferi

Bu yöntem basit ve etkilidir, ancak yanlış alarm üretme ihtimali yüksektir.

3. Davranış Analizi (UEBA)

UEBA (User and Entity Behavior Analytics), kullanıcı ve sistem davranışlarını analiz ederek sapmaları tespit eder.

Örnek:

    1. Normalde belirli bir lokasyondan bağlanan kullanıcı farklı bir ülkeden giriş yapar
    2. Sınırlı erişimi olan bir kullanıcı kritik sistemlere erişmeye çalışır

Bu yöntem özellikle hesap ele geçirme ve iç tehditlerin tespitinde etkilidir.

4. Korelasyon Kuralları

Farklı log kaynaklarından gelen veriler ilişkilendirilerek anlamlı sonuçlar elde edilir.

Örnek senaryo:​

    1. Birden fazla başarısız giriş denemesi
    2. Ardından başarılı giriş
    3. Sonrasında yüksek veri transferi

Bu tür bir olay zinciri, brute-force sonrası veri sızdırma girişimini gösterebilir.

5. Makine Öğrenmesi Destekli Tespit

Gelişmiş SIEM çözümleri, makine öğrenmesi algoritmaları kullanarak anormal davranışları otomatik olarak tespit edebilir.

Avantajları:

    1. Dinamik öğrenme yeteneği
    2. Daha düşük yanlış alarm oranı
    3. Bilinmeyen saldırıların tespiti

Ancak doğru yapılandırma ve veri kalitesi kritik öneme sahiptir.

Örnek Anomali Senaryosu

Bir kullanıcı davranışı şu şekilde olsun:

    1. 09:00 – Normal giriş
    2. 09:05 – Yetki yükseltme talebi
    3. 09:10 – Kritik sunucuya erişim
    4. 09:12 – Yüksek miktarda veri transferi

Tek başına değerlendirildiğinde bu aktiviteler normal görünebilir. Ancak SIEM sistemi bu olayları ilişkilendirdiğinde şüpheli bir davranış modeli ortaya çıkar ve alarm üretir.

Anomali Tespitinde Yapılan Hatalar

    1. Aşırı alarm üretimi (alert fatigue)
    2. Normal davranışın doğru tanımlanmaması
    3. Eksik log toplama
    4. SIEM’in sadece log deposu olarak kullanılması
    5. Korelasyon kurallarının güncellenmemesi

En İyi Uygulamalar

    1. Kritik tüm sistemlerden log toplanmalıdır
    2. Use-case odaklı kurallar oluşturulmalıdır
    3. MITRE ATT&CK framework ile eşleştirme yapılmalıdır
    4. Yanlış alarmlar düzenli olarak optimize edilmelidir
    5. Threat hunting süreçleri uygulanmalıdır

Sonuç

SIEM loglarından anomali tespiti, siber güvenlik operasyonlarının temel taşlarından biridir. Sadece log toplamak yeterli değildir; bu verilerin doğru analiz edilmesi ve anlamlandırılması gerekir.

Doğru yapılandırılmış bir SIEM sistemi sayesinde saldırılar erken aşamada tespit edilir, müdahale süresi kısalır ve kurumsal risk önemli ölçüde azaltılır.

SIEM Loglarından Anomali Tespiti Nasıl Yapılır?
Amina KAPTAN 1 Mayıs 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment