Operasyonel Rehber Koleksiyonu

SiberAnaliz Operasyonel Rehberler

SiberAnaliz tehdit göstergelerini sahada gerçekten kullanmak için yazılmış, adım adım komutlar ve gerçek konfigürasyon örnekleriyle hazırlanmış Türkçe teknik rehberler. DNS çözümleyicide engelleme, güvenlik duvarı kuralları, SIEM korelasyonları ve TIP entegrasyonu için referans dokümanlar.

Bu rehberleri neden hazırladık?

Tehdit istihbaratının kıymeti, ham veriyi operasyonel kararlara dönüştürmekten geçer. Bir IP, domain ya da URL göstergesinin listede yer alıyor olması tek başına yeterli değildir; ilgili göstergenin DNS çözümleyiciye, kenar güvenlik duvarına, SIEM korelasyon motoruna veya tehdit istihbarat platformuna doğru zamanda ve doğru biçimde aktarılması gerekir. SiberAnaliz /export.csv, /export.json ve /api/addresses uç noktaları üzerinden yayımlanan veri, aşağıdaki dört rehber boyunca somut komutlar ile birlikte kullanıma alınır.

Tüm rehberler; yüzeysel "X yapın" tavsiyelerinden uzak, kopyalanıp test ortamında doğrudan çalıştırılabilen örneklerle yazılmıştır. Üretim ortamına geçmeden önce kurumsal değişiklik yönetim prosedürlerine ve onay süreçlerine uyulması zorunludur.

Rehberler

DNS / Çözümleme Katmanı
DNS Sinkholing ile Tehdit Domain'lerini Engelleme

BIND RPZ, dnsmasq, Pi-hole ve kurumsal çözümleyici üzerinde SiberAnaliz domain göstergelerini sinkhole yönlendirme rehberi.
Çevre Güvenliği / Firewall
Tehdit IP Listesini Güvenlik Duvarında Engelleme

iptables, nftables, pf, Mikrotik, Fortigate, Palo Alto ve Cloudflare üzerinde SiberAnaliz IP listesini engelleme adımları.
SIEM / EDR / Tespit
SIEM ve EDR İçin IoC Eşleştirme Kuralları

Sigma, Splunk SPL, Elastic EQL ve Microsoft Sentinel KQL formatında SiberAnaliz IoC beslemesinden korelasyon kuralı yazma.
Threat Intel / TIP
Tehdit İstihbarat Platformlarına SiberAnaliz Verisinin Entegrasyonu

MISP feed, OpenCTI connector, STIX/TAXII ve cron tabanlı pull script ile SiberAnaliz beslemesini TIP'e bağlamanın yolları.

SiberAnaliz veri uç noktaları

Tüm rehberler aşağıdaki açık erişimli uç noktalardan beslenir. CSV uç noktası kenar cihaz scriptleri için, JSON uç noktası TIP ve SIEM konnektörleri için, /api/addresses ise sayfalı programatik gezinme için uygundur.

IPv4 listesi (CSV) IPv6 listesi (CSV) Domain listesi (CSV) URL listesi (CSV) Tüm göstergeler (JSON) REST API

Genel ön koşullar

  • 1 Kurumsal değişiklik yönetim sürecine bağlı bir test ortamı. Üretim cihazlarına ilk kuralı doğrudan basmak yasaktır.
  • 2 SiberAnaliz CSV/JSON uç noktalarına HTTPS üzerinden çıkış erişimi olan bir yönetim ağı veya zıplama (jump) sunucusu.
  • 3 İlgili cihazın (firewall, çözümleyici, SIEM, TIP) yedeği alınmış ve geri dönüş prosedürü doğrulanmış olmalı.
  • 4 Engelleme öncesi false positive (yanlış pozitif) doğrulaması: kritik iş domainleri ve kurumsal IP aralıkları beyaz listede tutulmalıdır.