Metodoloji Birincil + Zenginleştirme

Veri Kaynakları ve Metodoloji

SiberAnaliz portalında yayınlanan tüm tehdit göstergeleri; T.C. Siber Güvenlik Başkanlığı'nın (eski USOM) resmi açık veri API'larından alınır ve göstergeler; kaynak otoritesinden bağımsız üç ek katmanla zenginleştirilir (WHOIS/RDAP, RIPE NCC Stat, Wayback Machine). Bu sayfa; veri akışının nasıl çalıştığını, yenileme sıklıklarını, zenginleştirme kaynaklarını ve kategori şemasını açıklar.

Birincil Kaynak
siberguvenlik.gov.tr
Önbellek Katmanı
MySQL TTL
İçerik Üretimi
Otomatik
Son Senkron
18.07.2026 20:33

Birincil Kaynak

Portal; tek bir birincil veri kaynağı kullanır: siberguvenlik.gov.tr üzerinden yayımlanan resmi açık veri API'ları. Bu API'lar T.C. Siber Güvenlik Başkanlığı'nın (eski adıyla USOM — Ulusal Siber Olaylara Müdahale Merkezi) doğruladığı tehdit göstergelerini yapısal JSON formatında sunar.

Kullanılan başlıca endpoint'ler: /api/address/index (tehdit listesi), /api/address-description/index (kategori sözlüğü), /api/address-connection-type/index (bağlantı tipi sözlüğü), /api/address-source/index (kaynak sözlüğü).

Veri Akışı

  • 1 API Çekme: PHP cURL katmanı; rate limit dostu User-Agent başlığı ve yeniden deneme politikası ile resmi endpoint'lere bağlanır.
  • 2 Önbellek Yazımı: Yanıt gövdesi normalize edilir, MySQL api_cache tablosuna TTL ile yazılır.
  • 3 İçerik Üretimi: Her gösterge için kategori bağlamı, kritiklik analizi ve önerilen aksiyon metinleri; tip ve kategori kodu kombinasyonundan şablon tabanlı olarak üretilir.
  • 4 Servis: İstemci; önbellekli yanıtı alır. API erişilemediğinde son geçerli önbellek servis edilir ve kullanıcıya son senkronizasyon zamanı gösterilir.

Yenileme Sıklığı

Yenileme iki katmanda işler: arka planda zamanlanmış kaynak senkronu (USOM API'den DB'ye çekim) ve sunum tarafında sayfa önbelleği. Kaynak senkronu cron ile yapılır; sayfa önbelleği yalnız okumayı hızlandırır.

Tehdit Listeleri
Saatlik kaynak senkronu (0 * * * *) — sayfa önbelleği 5 dakika; /api/address/index
Olaylar
Günlük senkron (05:00) — /api/incident/index
Sözlükler
Haftalık senkron (Pazar 04:00) — address-description, address-source, address-connection-type
WHOIS Enrichment
Saat başı (her saat :30) — kuyrukta bekleyen domain'ler işlenir
RIPE Enrichment
Günlük (03:30) — yeni IP göstergelerinin ASN/allocation verisi
Wayback Capture
Günlük (06:00) — yeni URL/domain göstergeleri için snapshot tetikleyici
Hazır Export Dosyaları
Günlük (02:00) — CSV / JSON / TXT (firewall EDL uyumlu) dökümleri /indir sayfasında yayımlanır
Sitemap'ler
3 saatte bir (:30) — statik XML olarak public_html/ altına yazılır

Kategori Kodları

Tehdit göstergeleri; resmi kaynaktan kısa kategori koduyla birlikte gelir. Aşağıda en sık karşılaşılan kategoriler listelenmiştir:

BP
Bankacılık Phishing — banka hesap bilgisi çalan sahte sayfalar
PH
Phishing — genel kimlik avı sayfaları (e-posta, sosyal medya, devlet kimliği)
MD
Malware Dağıtım — zararlı yazılım barındıran veya yayan adresler
CC
Command & Control — zararlı yazılımın komuta-kontrol sunucusu
SP
Spam / Spam Altyapı — toplu istenmeyen e-posta dağıtım altyapısı
SC
Dolandırıcılık (Scam) — yatırım, kripto ve sahte ticaret dolandırıcılığı
EX
Exploit Barındırma — zafiyet istismarı yükü sunan adresler
DF
Defacement — sayfa içeriği değiştirilmiş, kompromize uğramış adresler

Kategori kodları zaman içinde resmi kaynak tarafından güncellenebilir; portalda görüntülenen güncel sözlük her saat başı senkronize edilir.

Kritiklik Skalası

Her gösterge için resmi kaynak; 1–10 arası kritiklik seviyesi atar. Portal; bu ham değeri operasyonel olarak yorumlamayı kolaylaştırmak için dört banda eşler:

1 – 3 · Kritik
Aktif kampanya, doğrudan finansal veya operasyonel kayıp riski. Acil engelleme önerilir.
4 – 5 · Yüksek
Yaygın hedefli tehdit; SIEM korelasyon kuralı ve perimetre engelleme önerilir.
6 – 7 · Orta
İzleme ve denial-list'e ekleme; otomatik tetik gerekmeyebilir.
8 – 10 · Düşük
Tarihsel kayıt veya düşük etkili gösterge; bağlam analizi sonrası karar alınır.

Bağlantı Tipleri

Bazı göstergelerde, tehdidin altyapı içindeki rolünü tarif eden bağlantı tipi (connection type) kodu yer alır:

AC
APT Command & Control — gelişmiş kalıcı tehdit aktörlerinin komuta sunucusu
EK
Exploit Kit — tarayıcı/eklenti zafiyetini otomatik istismar eden altyapı
PH
Phishing Sayfası — kimlik bilgisi toplayan sahte oturum açma ekranı
DR
Dropper — ilk aşama indirici yükün barındığı adres
PX
Proxy / Relay — saldırı trafiğini aklayan ara düğüm
EF
Exfiltration — sızdırılan veriyi alıcı uç noktaya ileten adres

Zenginleştirme Kaynakları

USOM göstergeleri; SOC analistinin atak yüzeyi değerlendirmesi yapabilmesi için kaynak otoritesinden bağımsız üç ek katmanla zenginleştirilir. Tüm zenginleştirme sorguları arka planda zamanlanmış cron görevleri ile yapılır; istemci tarafında bekleme süresi yaratmaz ve sonuçlar yerel veritabanında saklanır.

WHOIS / RDAP — Domain Enrichment

Domain tipindeki göstergeler için tescil eden (registrar), tescil/güncelleme/bitiş tarihleri, name server'lar, DNSSEC durumu, EPP durum kodları ve (varsa) tescil sahibi kuruluş bilgileri çekilir. Bu veri; yeni kayıtlı domain (NRD — Newly Registered Domain) tespitinde, registrar bazlı kampanya kümeleme analizinde ve domain yaşına göre risk skorlamasında kullanılır. Sorgu öncelik sırası: TLD'ye özgü RDAP endpoint → IANA bootstrap RDAP → klasik WHOIS port 43.

Birincil
rdap.org (IANA bootstrap)
TLD-Spesifik
rdap.centralnic.com, rdap.identitydigital.services, rdap.nic.{tld}
Yedek
Klasik WHOIS (port 43, TCP)
Cron Sıklığı
Saat başı (her saat :30) — enrichment kuyruğu işlenir
Yeniden Sorgu
Aynı domain için en fazla 30 günde bir tazeleme

RIPE NCC Stat — IP Enrichment

IPv4 ve IPv6 tipindeki göstergeler için RIPE NCC Stat API'sı üzerinden ASN, allocation organizasyonu, prefix bilgisi ve coğrafi ülke kodu çekilir. Bu veri; bulletproof hosting tespiti, hosting sağlayıcı bazlı kampanya korelasyonu ve takedown başvurusu için doğru yetkili kuruluşu bulmak amacıyla kullanılır. Ayrıca reverse DNS (PTR) sorgusu ile hostname zenginleştirmesi yapılır.

AS Genel Bilgi
stat.ripe.net/data/as-overview
Network Bilgi
stat.ripe.net/data/network-info
WHOIS / Allocation
stat.ripe.net/data/whois
Reverse DNS
Sistemin DNS resolver'ı üzerinden PTR sorgusu
Cron Sıklığı
Günde bir (03:30 İstanbul)
Yeniden Sorgu
Aynı IP için 7 günlük TTL

Wayback Machine — Snapshot Enrichment

URL ve domain tipindeki göstergeler için Internet Archive Wayback Machine üzerinde önceden kaydedilmiş snapshot olup olmadığı sorgulanır; bulunursa tarihsel görünümün doğrudan önizleme bağlantısı sunulur. Bu özellik; canlı kaynağa bağlanmadan zararlı sayfanın o tarihteki içeriğini incelemek için kullanılır — analistin enfeksiyon riskini sıfıra indirir.

Snapshot API
archive.org/wayback/available
CDX API
web.archive.org/cdx/search/cdx (tarihsel kapsama)
Cron Sıklığı
Günde bir (06:00 İstanbul) — yeni göstergeler için snapshot tetiklenir
İndeksleme
Snapshot'lar Internet Archive tarafında oluşturulur ve saklanır

Önemli: Zenginleştirme verisi yalnızca ilgili tipte göstergeler için anlamlıdır (WHOIS → domain, RIPE → IP, Wayback → URL/domain). Bir gösterge için zenginleştirme verisi henüz dolmamışsa detay sayfası bunu açıkça belirtir ve veri hazır olduğunda otomatik görünür hâle gelir. Üçüncü taraf API'larında kesinti olduğunda son geçerli kayıt sunulur ve sorgu tarihi gösterilir.

Veri Güncelliği

Veri güncelliği; üst kaynak yayımlama sıklığına ve API erişilebilirliğine bağlıdır. Portal; arka planda zamanlanmış çekme görevleri ile veri tazeliğini korur. Her detay sayfasında ve liste başlığında son senkronizasyon zamanı görüntülenir.

API kesintisi durumunda son geçerli önbellek servise alınır ve kullanıcıya durum şeffaf biçimde gösterilir. Önbellekten sunulan veri; yenileme tamamlanır tamamlanmaz otomatik olarak güncellenir.

Üçüncü Taraf Doğrulama

Operasyonel veya hukuki kritikliği olan kararlar öncesinde; göstergenin siberguvenlik.gov.tr üzerinden bağımsız olarak doğrulanması önerilir. SiberAnaliz; resmi kaynak verisinin sunum katmanıdır ve resmi olarak yetkili bir kanal değildir.