Veri Kaynakları ve Metodoloji
SiberAnaliz portalında yayınlanan tüm tehdit göstergeleri; T.C. Siber Güvenlik Başkanlığı'nın (eski USOM) resmi açık veri API'larından alınır. Bu sayfa; veri akışının nasıl çalıştığını, yenileme sıklıklarını ve kategori şemasını açıklar.
- Birincil Kaynak
- siberguvenlik.gov.tr
- Önbellek Katmanı
- MySQL TTL
- İçerik Üretimi
- Otomatik
- Son Senkron
- 30.05.2026 07:07
Birincil Kaynak
Portal; tek bir birincil veri kaynağı kullanır: siberguvenlik.gov.tr üzerinden yayımlanan resmi açık veri API'ları. Bu API'lar T.C. Siber Güvenlik Başkanlığı'nın (eski adıyla USOM — Ulusal Siber Olaylara Müdahale Merkezi) doğruladığı tehdit göstergelerini yapısal JSON formatında sunar.
Kullanılan başlıca endpoint'ler: /api/address/index (tehdit listesi),
/api/address-description/index (kategori sözlüğü),
/api/address-connection-type/index (bağlantı tipi sözlüğü),
/api/address-source/index (kaynak sözlüğü).
Veri Akışı
- 1 API Çekme: PHP cURL katmanı; rate limit dostu User-Agent başlığı ve yeniden deneme politikası ile resmi endpoint'lere bağlanır.
-
2
Önbellek Yazımı: Yanıt gövdesi normalize edilir, MySQL
api_cachetablosuna TTL ile yazılır. - 3 İçerik Üretimi: Her gösterge için kategori bağlamı, kritiklik analizi ve önerilen aksiyon metinleri; tip ve kategori kodu kombinasyonundan şablon tabanlı olarak üretilir.
- 4 Servis: İstemci; önbellekli yanıtı alır. API erişilemediğinde son geçerli önbellek servis edilir ve kullanıcıya son senkronizasyon zamanı gösterilir.
Yenileme Sıklığı
- Tehdit Listeleri
- 5 dakika —
/api/address/index - Olaylar & Duyurular
- 15 dakika —
/api/incident/index,/api/announcement/index - Kategori Sözlüğü
- 60 dakika —
/api/address-description/index - Kaynak Sözlüğü
- 60 dakika —
/api/address-source/index - Bağlantı Tipi Sözlüğü
- 60 dakika —
/api/address-connection-type/index - Belge Listesi
- 60 dakika —
/api/doc/index
Kategori Kodları
Tehdit göstergeleri; resmi kaynaktan kısa kategori koduyla birlikte gelir. Aşağıda en sık karşılaşılan kategoriler listelenmiştir:
- BP
- Bankacılık Phishing — banka hesap bilgisi çalan sahte sayfalar
- PH
- Phishing — genel kimlik avı sayfaları (e-posta, sosyal medya, devlet kimliği)
- MD
- Malware Dağıtım — zararlı yazılım barındıran veya yayan adresler
- CC
- Command & Control — zararlı yazılımın komuta-kontrol sunucusu
- SP
- Spam / Spam Altyapı — toplu istenmeyen e-posta dağıtım altyapısı
- SC
- Dolandırıcılık (Scam) — yatırım, kripto ve sahte ticaret dolandırıcılığı
- EX
- Exploit Barındırma — zafiyet istismarı yükü sunan adresler
- DF
- Defacement — sayfa içeriği değiştirilmiş, kompromize uğramış adresler
Kategori kodları zaman içinde resmi kaynak tarafından güncellenebilir; portalda görüntülenen güncel sözlük her saat başı senkronize edilir.
Kritiklik Skalası
Her gösterge için resmi kaynak; 1–10 arası kritiklik seviyesi atar. Portal; bu ham değeri operasyonel olarak yorumlamayı kolaylaştırmak için dört banda eşler:
- 1 – 3 · Kritik
- Aktif kampanya, doğrudan finansal veya operasyonel kayıp riski. Acil engelleme önerilir.
- 4 – 5 · Yüksek
- Yaygın hedefli tehdit; SIEM korelasyon kuralı ve perimetre engelleme önerilir.
- 6 – 7 · Orta
- İzleme ve denial-list'e ekleme; otomatik tetik gerekmeyebilir.
- 8 – 10 · Düşük
- Tarihsel kayıt veya düşük etkili gösterge; bağlam analizi sonrası karar alınır.
Bağlantı Tipleri
Bazı göstergelerde, tehdidin altyapı içindeki rolünü tarif eden bağlantı tipi (connection type) kodu yer alır:
- AC
- APT Command & Control — gelişmiş kalıcı tehdit aktörlerinin komuta sunucusu
- EK
- Exploit Kit — tarayıcı/eklenti zafiyetini otomatik istismar eden altyapı
- PH
- Phishing Sayfası — kimlik bilgisi toplayan sahte oturum açma ekranı
- DR
- Dropper — ilk aşama indirici yükün barındığı adres
- PX
- Proxy / Relay — saldırı trafiğini aklayan ara düğüm
- EF
- Exfiltration — sızdırılan veriyi alıcı uç noktaya ileten adres
Veri Güncelliği
Veri güncelliği; üst kaynak yayımlama sıklığına ve API erişilebilirliğine bağlıdır. Portal; arka planda zamanlanmış çekme görevleri ile veri tazeliğini korur. Her detay sayfasında ve liste başlığında son senkronizasyon zamanı görüntülenir.
API kesintisi durumunda son geçerli önbellek servise alınır ve kullanıcıya durum şeffaf biçimde gösterilir. Önbellekten sunulan veri; yenileme tamamlanır tamamlanmaz otomatik olarak güncellenir.
Üçüncü Taraf Doğrulama
Operasyonel veya hukuki kritikliği olan kararlar öncesinde; göstergenin siberguvenlik.gov.tr üzerinden bağımsız olarak doğrulanması önerilir. SiberAnaliz; resmi kaynak verisinin sunum katmanıdır ve resmi olarak yetkili bir kanal değildir.