Veri Kaynakları ve Metodoloji
SiberAnaliz portalında yayınlanan tüm tehdit göstergeleri; T.C. Siber Güvenlik Başkanlığı'nın (eski USOM) resmi açık veri API'larından alınır ve göstergeler; kaynak otoritesinden bağımsız üç ek katmanla zenginleştirilir (WHOIS/RDAP, RIPE NCC Stat, Wayback Machine). Bu sayfa; veri akışının nasıl çalıştığını, yenileme sıklıklarını, zenginleştirme kaynaklarını ve kategori şemasını açıklar.
- Birincil Kaynak
- siberguvenlik.gov.tr
- Önbellek Katmanı
- MySQL TTL
- İçerik Üretimi
- Otomatik
- Son Senkron
- 18.07.2026 20:33
Birincil Kaynak
Portal; tek bir birincil veri kaynağı kullanır: siberguvenlik.gov.tr üzerinden yayımlanan resmi açık veri API'ları. Bu API'lar T.C. Siber Güvenlik Başkanlığı'nın (eski adıyla USOM — Ulusal Siber Olaylara Müdahale Merkezi) doğruladığı tehdit göstergelerini yapısal JSON formatında sunar.
Kullanılan başlıca endpoint'ler: /api/address/index (tehdit listesi),
/api/address-description/index (kategori sözlüğü),
/api/address-connection-type/index (bağlantı tipi sözlüğü),
/api/address-source/index (kaynak sözlüğü).
Veri Akışı
- 1 API Çekme: PHP cURL katmanı; rate limit dostu User-Agent başlığı ve yeniden deneme politikası ile resmi endpoint'lere bağlanır.
-
2
Önbellek Yazımı: Yanıt gövdesi normalize edilir, MySQL
api_cachetablosuna TTL ile yazılır. - 3 İçerik Üretimi: Her gösterge için kategori bağlamı, kritiklik analizi ve önerilen aksiyon metinleri; tip ve kategori kodu kombinasyonundan şablon tabanlı olarak üretilir.
- 4 Servis: İstemci; önbellekli yanıtı alır. API erişilemediğinde son geçerli önbellek servis edilir ve kullanıcıya son senkronizasyon zamanı gösterilir.
Yenileme Sıklığı
Yenileme iki katmanda işler: arka planda zamanlanmış kaynak senkronu (USOM API'den DB'ye çekim) ve sunum tarafında sayfa önbelleği. Kaynak senkronu cron ile yapılır; sayfa önbelleği yalnız okumayı hızlandırır.
- Tehdit Listeleri
- Saatlik kaynak senkronu (
0 * * * *) — sayfa önbelleği 5 dakika;/api/address/index - Olaylar
- Günlük senkron (05:00) —
/api/incident/index - Sözlükler
- Haftalık senkron (Pazar 04:00) —
address-description,address-source,address-connection-type - WHOIS Enrichment
- Saat başı (her saat :30) — kuyrukta bekleyen domain'ler işlenir
- RIPE Enrichment
- Günlük (03:30) — yeni IP göstergelerinin ASN/allocation verisi
- Wayback Capture
- Günlük (06:00) — yeni URL/domain göstergeleri için snapshot tetikleyici
- Hazır Export Dosyaları
- Günlük (02:00) — CSV / JSON / TXT (firewall EDL uyumlu) dökümleri /indir sayfasında yayımlanır
- Sitemap'ler
- 3 saatte bir (:30) — statik XML olarak
public_html/altına yazılır
Kategori Kodları
Tehdit göstergeleri; resmi kaynaktan kısa kategori koduyla birlikte gelir. Aşağıda en sık karşılaşılan kategoriler listelenmiştir:
- BP
- Bankacılık Phishing — banka hesap bilgisi çalan sahte sayfalar
- PH
- Phishing — genel kimlik avı sayfaları (e-posta, sosyal medya, devlet kimliği)
- MD
- Malware Dağıtım — zararlı yazılım barındıran veya yayan adresler
- CC
- Command & Control — zararlı yazılımın komuta-kontrol sunucusu
- SP
- Spam / Spam Altyapı — toplu istenmeyen e-posta dağıtım altyapısı
- SC
- Dolandırıcılık (Scam) — yatırım, kripto ve sahte ticaret dolandırıcılığı
- EX
- Exploit Barındırma — zafiyet istismarı yükü sunan adresler
- DF
- Defacement — sayfa içeriği değiştirilmiş, kompromize uğramış adresler
Kategori kodları zaman içinde resmi kaynak tarafından güncellenebilir; portalda görüntülenen güncel sözlük her saat başı senkronize edilir.
Kritiklik Skalası
Her gösterge için resmi kaynak; 1–10 arası kritiklik seviyesi atar. Portal; bu ham değeri operasyonel olarak yorumlamayı kolaylaştırmak için dört banda eşler:
- 1 – 3 · Kritik
- Aktif kampanya, doğrudan finansal veya operasyonel kayıp riski. Acil engelleme önerilir.
- 4 – 5 · Yüksek
- Yaygın hedefli tehdit; SIEM korelasyon kuralı ve perimetre engelleme önerilir.
- 6 – 7 · Orta
- İzleme ve denial-list'e ekleme; otomatik tetik gerekmeyebilir.
- 8 – 10 · Düşük
- Tarihsel kayıt veya düşük etkili gösterge; bağlam analizi sonrası karar alınır.
Bağlantı Tipleri
Bazı göstergelerde, tehdidin altyapı içindeki rolünü tarif eden bağlantı tipi (connection type) kodu yer alır:
- AC
- APT Command & Control — gelişmiş kalıcı tehdit aktörlerinin komuta sunucusu
- EK
- Exploit Kit — tarayıcı/eklenti zafiyetini otomatik istismar eden altyapı
- PH
- Phishing Sayfası — kimlik bilgisi toplayan sahte oturum açma ekranı
- DR
- Dropper — ilk aşama indirici yükün barındığı adres
- PX
- Proxy / Relay — saldırı trafiğini aklayan ara düğüm
- EF
- Exfiltration — sızdırılan veriyi alıcı uç noktaya ileten adres
Zenginleştirme Kaynakları
USOM göstergeleri; SOC analistinin atak yüzeyi değerlendirmesi yapabilmesi için kaynak otoritesinden bağımsız üç ek katmanla zenginleştirilir. Tüm zenginleştirme sorguları arka planda zamanlanmış cron görevleri ile yapılır; istemci tarafında bekleme süresi yaratmaz ve sonuçlar yerel veritabanında saklanır.
WHOIS / RDAP — Domain Enrichment
Domain tipindeki göstergeler için tescil eden (registrar), tescil/güncelleme/bitiş tarihleri, name server'lar, DNSSEC durumu, EPP durum kodları ve (varsa) tescil sahibi kuruluş bilgileri çekilir. Bu veri; yeni kayıtlı domain (NRD — Newly Registered Domain) tespitinde, registrar bazlı kampanya kümeleme analizinde ve domain yaşına göre risk skorlamasında kullanılır. Sorgu öncelik sırası: TLD'ye özgü RDAP endpoint → IANA bootstrap RDAP → klasik WHOIS port 43.
- Birincil
rdap.org(IANA bootstrap)- TLD-Spesifik
rdap.centralnic.com,rdap.identitydigital.services,rdap.nic.{tld}- Yedek
- Klasik
WHOIS(port 43, TCP) - Cron Sıklığı
- Saat başı (her saat :30) — enrichment kuyruğu işlenir
- Yeniden Sorgu
- Aynı domain için en fazla 30 günde bir tazeleme
RIPE NCC Stat — IP Enrichment
IPv4 ve IPv6 tipindeki göstergeler için RIPE NCC Stat API'sı üzerinden ASN, allocation organizasyonu, prefix bilgisi ve coğrafi ülke kodu çekilir. Bu veri; bulletproof hosting tespiti, hosting sağlayıcı bazlı kampanya korelasyonu ve takedown başvurusu için doğru yetkili kuruluşu bulmak amacıyla kullanılır. Ayrıca reverse DNS (PTR) sorgusu ile hostname zenginleştirmesi yapılır.
- AS Genel Bilgi
stat.ripe.net/data/as-overview- Network Bilgi
stat.ripe.net/data/network-info- WHOIS / Allocation
stat.ripe.net/data/whois- Reverse DNS
- Sistemin DNS resolver'ı üzerinden PTR sorgusu
- Cron Sıklığı
- Günde bir (03:30 İstanbul)
- Yeniden Sorgu
- Aynı IP için 7 günlük TTL
Wayback Machine — Snapshot Enrichment
URL ve domain tipindeki göstergeler için Internet Archive Wayback Machine üzerinde önceden kaydedilmiş snapshot olup olmadığı sorgulanır; bulunursa tarihsel görünümün doğrudan önizleme bağlantısı sunulur. Bu özellik; canlı kaynağa bağlanmadan zararlı sayfanın o tarihteki içeriğini incelemek için kullanılır — analistin enfeksiyon riskini sıfıra indirir.
- Snapshot API
archive.org/wayback/available- CDX API
web.archive.org/cdx/search/cdx(tarihsel kapsama)- Cron Sıklığı
- Günde bir (06:00 İstanbul) — yeni göstergeler için snapshot tetiklenir
- İndeksleme
- Snapshot'lar Internet Archive tarafında oluşturulur ve saklanır
Önemli: Zenginleştirme verisi yalnızca ilgili tipte göstergeler için anlamlıdır (WHOIS → domain, RIPE → IP, Wayback → URL/domain). Bir gösterge için zenginleştirme verisi henüz dolmamışsa detay sayfası bunu açıkça belirtir ve veri hazır olduğunda otomatik görünür hâle gelir. Üçüncü taraf API'larında kesinti olduğunda son geçerli kayıt sunulur ve sorgu tarihi gösterilir.
Veri Güncelliği
Veri güncelliği; üst kaynak yayımlama sıklığına ve API erişilebilirliğine bağlıdır. Portal; arka planda zamanlanmış çekme görevleri ile veri tazeliğini korur. Her detay sayfasında ve liste başlığında son senkronizasyon zamanı görüntülenir.
API kesintisi durumunda son geçerli önbellek servise alınır ve kullanıcıya durum şeffaf biçimde gösterilir. Önbellekten sunulan veri; yenileme tamamlanır tamamlanmaz otomatik olarak güncellenir.
Üçüncü Taraf Doğrulama
Operasyonel veya hukuki kritikliği olan kararlar öncesinde; göstergenin siberguvenlik.gov.tr üzerinden bağımsız olarak doğrulanması önerilir. SiberAnaliz; resmi kaynak verisinin sunum katmanıdır ve resmi olarak yetkili bir kanal değildir.