} ] } } "text": "Önce basit ama yazılı bir IR planı oluşturun. Kritik rolleri belirleyin ve sorumlulukları atayın. Yılda en az iki masa başı egzersizi yapın. SİTEY'in zafiyet yönetimi platformu ile proaktif koruma sağlayın. Gerektiğinde dışarıdan IR retainer hizmeti alarak 7/24 uzman desteğini garantileyin." "@type": "Answer", "acceptedAnswer": { "name": "Küçük bir şirket olarak olay müdahale kapasitemizi nasıl geliştirebiliriz?", "@type": "Question", { }, } "text": "Evet. Başarılı siber saldırıların %60'ından fazlası bilinen ve yamalanmamış zafiyetleri istismar etmektedir. SİTEY gibi AI destekli bir zafiyet yönetimi platformu ile en yüksek riskli zafiyetler öncelikli olarak kapatıldığında, saldırı yüzeyi daralır ve olay sayısı ölçülebilir biçimde azalır." "@type": "Answer", "acceptedAnswer": { "name": "Zafiyet yönetimi olay sayısını gerçekten azaltır mı?", "@type": "Question", { }, } "text": "Mean Time to Respond (MTTR) için endüstri hedefi kritik olaylar için 1 saat altı, yüksek öncelikli olaylar için 4 saat altıdır. Otomasyon (SOAR) ve iyi hazırlanmış playbook'lar bu süreyi dramatik olarak kısaltır." "@type": "Answer", "acceptedAnswer": { "name": "Olay müdahale süresi (MTTR) için ideal hedef nedir?", "@type": "Question", { }, } "text": "Ekip büyüklüğü organizasyonun boyutuna ve risk profiline bağlıdır. Küçük ve orta ölçekli işletmelerde 3-5 kişilik bir çekirdek ekip yeterli olabilirken, büyük kuruluşlarda 10-20+ kişilik yapılar gerekebilir. Kritik olan rollerin net tanımlanması ve 7/24 ulaşılabilirliğin sağlanmasıdır." "@type": "Answer", "acceptedAnswer": { "name": "CSIRT ekibi kaç kişiden oluşmalıdır?", "@type": "Question", { }, } "text": "IR planı en az yılda bir kez gözden geçirilmelidir. Büyük organizasyonel değişiklikler, önemli güvenlik olayları veya yeni düzenleyici gereksinimler sonrasında ek güncelleme yapılmalıdır. Tatbikat bulguları da plan güncellemesini tetiklemelidir." "@type": "Answer", "acceptedAnswer": { "name": "Olay müdahale planı ne sıklıkla güncellenmelidir?", "@type": "Question", { "mainEntity": [ "@type": "FAQPage", "@context": "https://schema.org", { } "keywords": ["incident response", "olay müdahalesi", "siber güvenlik", "zafiyet yönetimi", "CSIRT", "SOC"] "inLanguage": "tr", }, "@id": "https://siteyvm.com/blog-incident-response.html" "@type": "WebPage", "mainEntityOfPage": { }, } "url": "https://siteyvm.com/images/favicon.png" "@type": "ImageObject", "logo": { "name": "SİTEY", "@type": "Organization", "publisher": { }, "name": "SİTEY" "@type": "Organization", "author": { "dateModified": "2026-03-19", "datePublished": "2026-03-19", "image": "https://siteyvm.com/images/blog-incident-response.svg", "description": "Siber güvenlik olay müdahalesi (Incident Response) rehberi: NIST SP 800-61 yaşam döngüsü, CSIRT ekip yapısı, tespit-analiz-kurtarma süreçleri ve zafiyet yönetimi entegrasyonu.", "headline": "Siber Güvenlik Olay Müdahalesi: Hazırlık, Tespit ve Kurtarma", "@type": "BlogPosting", "@context": "https://schema.org", { Tüm Blog Yazıları Sızma Testi Hizmetleri Zafiyet Yönetimi Yaşam Döngüsü

İlgili Sayfalar

Platformu İnceleyin Sınırsız Demo İndir

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

  • SIEM Korelasyon ve Log Yönetimi - Merkezi izleme ve uyarı stratejileri.
  • Tehdit İstihbaratı (Threat Intelligence) Rehberi - Proaktif tehdit tespiti ve IoC yönetimi.
  • Ransomware Saldırıları ve Korunma Stratejileri - Fidye yazılımı savunması ve müdahale rehberi.
  • Delil Koruma: Hukuki süreçlerde (soruşturma, dava) kullanılabilecek dijital delillerin saklama zinciri (chain of custody) korunarak muhafaza edilmesi gerekir.
  • BTK ve USOM: Kritik altyapı operatörleri, siber güvenlik olaylarını Ulusal Siber Olaylara Müdahale Merkezi'ne (USOM) bildirmekle yükümlüdür.
  • BDDK Düzenlemeleri: Bankacılık ve finans sektöründe faaliyet gösteren kuruluşlar, siber güvenlik olaylarını BDDK'ya ivedilikle raporlamalıdır.
  • GDPR (Genel Veri Koruma Tüzüğü): AB vatandaşlarının verilerini işleyen kuruluşlar için 72 saat bildirim yükümlülüğü geçerlidir. İhlal, yüksek risk taşıyorsa bireysel bildirim de zorunludur.
  • KVKK (Kişisel Verilerin Korunması Kanunu): Kişisel veri ihlali durumunda en kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. İlgili kişilere de makul sürede bilgilendirme yapılması zorunludur.
  • Raporlama ve Uyumluluk: Olay müdahale süreçlerinin dokümantasyonu ve düzenleyici kurumlara sunulacak raporlar için entegre raporlama araçları.
  • Olay Sonrası Tarama: Kurtarma aşamasında tüm sistemlerin hızla taranarak, bilinen zafiyetlerden arındırılmış şekilde üretime alınmasını garanti edin.
  • SIEM/SOAR Entegrasyonu: SİTEY'in zafiyet verileri, SIEM korelasyon kurallarını zenginleştirir ve SOAR playbook'larında remediasyon aksiyonlarını otomatize eder.
  • Varlık Envanteri ve Bağlam: Otomatik keşfedilen varlık envanteri, bir olay sırasında etkilenen sistemlerin iş kritikliğini anında belirlemenizi sağlar.
  • Proaktif Risk Azaltma: Sürekli zafiyet taraması ve AI tabanlı önceliklendirme ile saldırı yüzeyinizi daraltarak, olay sayısını kaynağında azaltın.
  • Süreç iyileştirme: Olay köklü neden analizleri, yama süreçlerindeki gecikmelerin veya tarama kapsamındaki eksikliklerin ortaya çıkarılmasını sağlar.
  • Kapsam genişletme: Bir olayda istismar edilen zafiyet türü belirlendikten sonra, benzer zafiyetlerin tüm organizasyonda taranması tetiklenir.
  • Gerçek dünya verileri: Olay analizinden elde edilen TTP bilgileri, zafiyet önceliklendirmesini somut istismar verileriyle zenginleştirir.
  • Varlık envanteri: Güncel ve doğru varlık envanteri, olay sırasında etkilenen sistemlerin hızla belirlenmesini sağlar.
  • Önceliklendirme: EPSS skoru yüksek, aktif istismar edilen zafiyetlerin öncelikli olarak kapatılması, en olası saldırı vektörlerini devre dışı bırakır.
  • Saldırı yüzeyi daraltma: Proaktif zafiyet tespiti ve yama yönetimi, saldırganların kullanabileceği giriş noktalarını azaltarak olay sayısını düşürür.
  • Zafiyet Yönetimi: SİTEY gibi platformlar, saldırı yüzeyini sürekli izleyerek IR ihtiyacını azaltır ve olay sonrası remediasyonu hızlandırır.
  • Tehdit İstihbaratı Platformları: MISP, OpenCTI, recorded future gibi platformlar IoC paylaşımı ve zenginleştirme sağlar.
  • Forensic Araçlar: Volatility (bellek analizi), FTK/Autopsy (disk analizi), Wireshark (ağ trafiği), KAPE (artefakt toplama) gibi araçlar dijital delil analizi için temel taşlardır.
  • EDR/XDR: CrowdStrike, SentinelOne, Microsoft Defender gibi çözümler, uç noktalarda davranışsal tespit, izolasyon ve uzaktan müdahale kapasitesi sağlar.
  • SOAR (Security Orchestration, Automation and Response): Palo Alto XSOAR, Splunk SOAR gibi platformlar, tekrarlayan IR görevlerini otomatikleştirir - IoC zenginleştirme, firewall kural güncelleme, ticket oluşturma gibi süreçler dakikalar yerine saniyeler içinde tamamlanır.
  • SIEM (Security Information and Event Management): Splunk, Microsoft Sentinel, Elastic SIEM gibi platformlar, log toplama, korelasyon ve uyarı üretiminin merkezidir. Etkili SIEM kuralları, IR ekibinin tespit kapasitesini doğrudan belirler.
  • İletişim Sorumlusu: İç ve dış paydaşlara (çalışanlar, müşteriler, medya) bilgilendirme mesajlarını hazırlar ve koordine eder.
  • Hukuk Danışmanı: Veri ihlali bildirim yükümlülükleri, yasal süreçler, düzenleyici kurum iletişimi konularında rehberlik eder.
  • Sistem Yöneticisi: Etkilenen sistemlerin izolasyonu, yedekten geri yükleme, sertleştirme ve üretime alma süreçlerinde aktif rol alır.
  • Ağ Güvenlik Uzmanı: Ağ trafiği analizi, paket yakalama, güvenlik duvarı ve IDS/IPS yönetimi görevlerini yürütür.
  • Forensic Uzmanı: Dijital delil toplama, saklama zinciri (chain of custody), bellek ve disk analizi, zararlı yazılım analizi görevlerini üstlenir.
  • SOC Analistleri (Tier 1-2-3): Uyarıların ilk triajını, derinlemesine analizini ve gelişmiş tehdit avı (threat hunting) faaliyetlerini yürütür.
  • IR Yöneticisi (Incident Commander): Olay müdahalesinin genel koordinasyonundan sorumludur. Kaynakları tahsis eder, eskalasyon kararlarını verir, üst yönetimle iletişimi sağlar.
  • Aksiyon maddeleri: Sahiplenilen, zaman hedefi bulunan ve takip edilen iyileştirme aksiyonları.
  • Kök neden analizi: Olayın temel sebebinin (örneğin yamalanmamış zafiyet, zayıf parola, yapılandırma hatası) detaylı analizi.
  • Ne geliştirilebilir? Gecikmeler, iletişim kopuklukları, yetersiz araçlar, eksik prosedürler.
  • Ne iyi gitti? Etkili tespit mekanizmaları, hızlı sınırlandırma kararları, başarılı koordinasyon örnekleri.
  • Zaman çizelgesi: Olayın ilk tespitinden kapanışına kadar tüm aksiyonların kronolojik dökümü.
  • Güvenlik kontrollerinin güncellenmesi: Güvenlik duvarı kuralları, EDR politikaları, SIEM korelasyon kurallarının olay bulgularına göre güncellenmesi.
  • Kimlik bilgisi sıfırlama: Tüm potansiyel kompromize hesaplar için parola değişikliği; Active Directory ortamlarında KRBTGT hesabı dahil kapsamlı sıfırlama.
  • Zararlı yazılım temizliği: Tüm etkilenen sistemlerden zararlı yazılım, arka kapılar, implant'lar ve persistence mekanizmalarının kaldırılması.
  • Kök neden remediasyonu: Saldırganın ilk erişim sağladığı zafiyet veya açığın kapatılması - yama uygulama, yapılandırma düzeltme, erişim kontrolü güncelleme.
  • Tüm ilişkili IoC'lerin (IP, hash, domain) organizason genelinde taranması.
  • Saldırganın persistence (kalıcılık) mekanizmalarının belirlenmesi ve etkisiz hale getirilmesi - arka kapılar, zamanlanmış görevler, kayıt defteri değişiklikleri.
  • Geçici güvenlik kontrolleri - ek izleme kuralları, erişim kısıtlamaları, VPN politika güncellemeleri.
  • Ağ segmentasyonunun güçlendirilmesi - mikro segmentasyon ile kritik varlıkların izolasyonu.
  • Etkilenen sistemlerin bellek ve disk imajlarının forensic analiz için alınması.
  • Kötü amaçlı IP adreslerinin ve alan adlarının güvenlik duvarında engellenmesi.
  • Kompromize olmuş kullanıcı hesaplarının devre dışı bırakılması veya parola sıfırlaması.
  • Etkilenen sistemlerin ağdan izole edilmesi (VLAN değişikliği, güvenlik duvarı kuralları, port kapatma).
  • Kullanıcı Bildirimleri: Çalışanların şüpheli e-posta, anormal sistem davranışı gibi gözlemlerini raporlaması.
  • Tehdit İstihbaratı: IoC (Indicators of Compromise) beslemeleri ile bilinen tehdit göstergeleri eşleştirmesi.
  • Ağ İzleme (NDR): Network Detection and Response çözümleri ile anormal ağ trafiği tespiti - C2 (Command and Control) haberleşmesi, DNS tünelleme, veri sızdırma işaretleri.
  • EDR/XDR Uyarıları: Uç nokta ve genişletilmiş algılama platformlarından gelen davranışsal uyarılar - şüpheli süreç oluşturma, dosya şifreleme davranışı, yanal hareket girişimleri.
  • SIEM Korelasyonları: Log verilerinin merkezî analizi ile anomali tespiti. Örneğin, normal çalışma saatleri dışında yoğun veri transferi veya başarısız kimlik doğrulama girişimlerinde ani artış.
  • Yedeklerin erişilebilirliği ve bütünlüğü düzenli olarak doğrulanmalıdır.
  • İzole analiz ortamı (sandbox) ve iletişim kanalları (bant dışı iletişim - out-of-band communication) kurulmalıdır.
  • Forensic araç kiti (disk imaj yazılımları, bellek analiz araçları, ağ yakalama araçları) hazır ve güncel tutulmalıdır.
  • SIEM/SOAR platformları yapılandırılmış ve alarm kuralları tanımlanmış olmalıdır.
  • İletişim Planı: İç ve dış paydaşlara (üst yönetim, BT, hukuk, halkla ilişkiler, düzenleyici kurumlar, müşteriler) bildirim şablonları ve kanal tanımları.
  • Oyun Kitapları (Playbooks): Ransomware, phishing, veri sızıntısı, DDoS gibi yaygın olay türleri için adım adım müdahale prosedürleri. Her playbook; tetiklenme koşullarını, yapılacak aksiyonları, sorumlu rolleri ve zaman hedeflerini içermelidir.
  • Olay Müdahale Politikası: Üst yönetim onaylı, olay tanımlarını, rolleri, yetki seviyelerini ve eskalasyon kurallarını belirleyen kurumsal politika belgesi.
  • Tehdit İstihbaratı: Her olay müdahale süreci, saldırganların taktik, teknik ve prosedürleri (TTP) hakkında değerli istihbarat üretir. Bu istihbarat, gelecekteki saldırıların önlenmesi ve zafiyet önceliklendirmesi için kullanılır.
  • İtibar Koruma: Bir güvenlik olayına profesyonel ve şeffaf yanıt veren organizasyonlar, müşteri güvenini daha hızlı yeniden inşa eder. Proaktif iletişim, kriz yönetiminin temel taşıdır.
  • Yasal Uyumluluk: KVKK, GDPR, BDDK ve SPK gibi düzenleyici çerçeveler, güvenlik olaylarının belirli sürelerde raporlanmasını zorunlu kılar. KVKK kapsamında veri ihlali bildirimi 72 saat içinde yapılmalıdır; bu süreye uyum ancak hazırlıklı bir IR ekibiyle mümkündür.
  • İş Sürekliliği: Hızlı ve etkili müdahale, sistemlerin çalışma sürelerini korur ve iş kesintisini minimize eder. Bir ransomware saldırısında ortalama iş kesintisi süresi 22 gün iken, hazırlıklı organizasyonlar bunu 3-5 güne düşürebilir.
  • Maliyet Azaltma: Olay müdahale süresi kısaldıkça, veri ihlalinin toplam maliyeti düşer. Bir ihlalin 200 gün içinde tespit ve kontrol altına alınması, daha uzun sürelere göre ortalama 1,1 milyon dolar daha az maliyete yol açar.
  • SİTEY'in AI destekli platformu, zafiyet tespitinden olay korelasyonuna kadar uçtan uca entegre bir siber güvenlik operasyonu sağlar.
  • Olgun bir zafiyet yönetimi programı, olay müdahale ihtiyacını %60'a kadar azaltabilir; çünkü saldırganların istismar edeceği açıklar proaktif olarak kapatılır.
  • NIST SP 800-61 çerçevesi, Hazırlık → Tespit ve Analiz → Sınırlandırma/Yalıtma → Temizleme ve Kurtarma → Çıkarılan Dersler olmak üzere beş aşamalı bir yaşam döngüsü tanımlar.
  • Bir siber güvenlik olayının tespit edilmesi ortalama 194 gün, kontrol altına alınması ise ek 64 gün sürmektedir; etkin bir olay müdahalesi programı bu süreleri dramatik olarak kısaltır.

    • NIST SP 800-61 çerçevesinde olay müdahale yaşam döngüsünü öğrenin, CSIRT ekibinizi yapılandırın ve zafiyet yönetimi ile proaktif savunma oluşturun.

    Siber Güvenlik Olay Müdahalesi: Hazırlık, Tespit ve Kurtarma

    Ana Sayfa / Blog / Makale