Merhaba
Seri: SOC Analistleri İçin Log İzleme Rehberi (Ödeme Kuruluşları)
- Log İzleme Temelleri
- Mevzuat, Retention ve Silme Yasağı (Bu Yazı)
- Windows/AD ve Linux Hardening
- Uygulama ve Veritabanı Katmanı
- Ağ Katmanı (Firewall/IDS-IPS/WAF/DDoS)
- Container ve Kubernetes
- Bulut (AWS/Azure/GCP)
- XDR/EDR ve Bütünsel Korelasyon
Ön Not – Kapsam ve Amaç
Bu seri, kritik logları izlemeyi ve anlamayı öğretmek amacıyla yazılmıştır. Odak noktası tek tek ürünler değil, sürecin kendisidir: hangi olayın neden önemli olduğu, nasıl toplandığı, korele edildiği ve korunduğu.
Metindeki donanım, yazılım ve uygulama örnekleri (ürün adları, Event ID’ler, konfigürasyon parametreleri, komutlar) versiyona, sürüme ve yıllara göre değişiklik gösterebilir. Bir ayarın adı değişebilir, bir ürün yaşam döngüsünü tamamlayabilir, yeni bir alternatif ortaya çıkabilir. Bu nedenle örnekleri birebir kopyalanacak reçeteler olarak değil, mantığı kavramak için birer illüstrasyon olarak okuyun; kendi ortamınıza uygularken ilgili üreticinin güncel dokümantasyonunu esas alın.
Aynı şekilde, “Ödeme Kuruluşları İçin PCI DSS, HIPAA ve Türkiye Mevzuatı Bağlamında” hazırlanan bölümler de yürürlükteki düzenlemelere dayanır ve mevzuat değiştikçe güncellenmesi gerekir. PCI DSS sürümleri, TCMB tebliğleri, KVKK/MASAK düzenlemeleri ve retention süreleri zaman içinde değişebilir. Bu rehber hukuki veya denetim danışmanlığı yerine geçmez; nihai uygulama için kurumunuzun uyumluluk ekibine, QSA’sına ve güncel resmi mevzuata başvurun.
Kısacası: amaç, süreci ve mantığı anlamaktır. Örnekler bugünün fotoğrafıdır; ilke ise kalıcıdır.
Serinin ikinci bölümü. Birinci bölümde log kaynaklarının temellerini kurmuştuk. Burada odak, Türkiye’de faaliyet gösteren ödeme kuruluşları: PCI DSS, HIPAA ve ISO 27001 çerçeveleri; 6493, TCMB Bilgi Sistemleri Tebliği, 5651, MASAK ve KVKK’nın birleşik etkisi; tiered retention mimarisi, veri lokasyonu kısıtı ve denetimde en sık kesilen nokta olan silme yasağı.
4. Türkiye Bağlamı – Ödeme Kuruluşlarında Log Yönetimi
Buraya kadar anlattıklarımız uluslararası çerçeveler. Ancak Türkiye’de faaliyet gösteren bir ödeme kuruluşu veya elektronik para kuruluşu, PCI DSS’in çok ötesinde yükümlülükler taşır. Yıllarca regüle bir ödeme kuruluşunda sistem ve ağ yönetimi yaptıktan sonra şunu net söyleyebilirim: bu bölüm, denetimde en çok bulgu çıkan alandır.
4.1. Yasal Dayanak Matrisi
| Mevzuat | Kapsam | Retention | Kritik yükümlülük |
|---|---|---|---|
| 6493 sayılı Kanun | Ödeme ve elektronik para kuruluşları | 10 yıl | Tüm işlem, muhasebe ve sistem kayıtları |
| TCMB Ödeme Hizmetleri Yönetmeliği | Faaliyet izni, iç sistemler | 10 yıl | Denetim izi (audit trail) bütünlüğü |
| TCMB Bilgi Sistemleri Tebliği | BS altyapısı, veri lokasyonu | 10 yıl | Birincil + ikincil sistemler Türkiye’de olmalı |
| 5651 sayılı Kanun | Erişim/trafik logları | 2 yıl | Nitelikli Elektronik Zaman Damgası (NEZD) zorunlu |
| MASAK – 5549 | AML/KYC, şüpheli işlem | 8 yıl | Kimlik tespiti, işlem belgeleri, ŞİB kayıtları |
| KVKK – 6698 | Kişisel veri erişim kayıtları | min. 2 yıl | Saklama ve İmha Politikası, 72 saat ihlal bildirimi |
| BDDK BS Yönetmeliği | (uygulanabilir olduğunda) | min. 3 yıl | Denetim izi, yıllık BS denetimi |
| PCI DSS v4.0.1 | Kart verisi işleyen kuruluşlar | 12 ay (3 Ay Hot) | Req. 10 tümü + 10.4.1.1 otomasyon |
Bağlayıcı süre = en uzunu. Ödeme kuruluşu için tasarım hedefi 10 yıl olmalıdır.
4.2. Ödeme Kuruluşuna Özgü – Mutlaka Loglanacak Olaylar
A. İşlem Katmanı (6493 / TCMB)
- Her ödeme emri: gönderen, alıcı, tutar, para birimi, timestamp, kanal, maskeli IBAN/kart
- İşlem durum geçişleri (
initiated → authorized → settled → reversed / refund / chargeback) - Mutabakat (reconciliation) çalıştırmaları ve farklar
- Limit aşımı, reddedilen işlem ve red sebebi
- Kart/hesap bloke-açma işlemleri
- Fon transferi, cüzdan yükleme/çekme, e-para ihraç/itfa kayıtları
B. Müşteri ve KYC (MASAK)
- Kimlik tespiti (onboarding) adımları ve doğrulama sonuçları
- Yasaklı / PEP / OFAC / BM listesi tarama sonuçları
- Şüpheli İşlem Bildirimi (ŞİB) üretimi ve MASAK’a iletim kaydı
- Sürekli izleme (transaction monitoring) kural tetiklemeleri
- Risk skoru değişimleri
C. Kimlik Doğrulama ve Yetkilendirme
- Tüm login/logout, başarılı ve başarısız (kaynak IP, cihaz, kanal)
- MFA / SCA (Strong Customer Authentication) doğrulama sonuçları
- Şifre/PIN/parola değişimi ve sıfırlama
- Yetki (rol) ataması, kaldırılması, yükseltilmesi
- Privileged / Domain Admin / root oturumları – CyberArk PAM session recording ile eşlenmeli
- Servis hesabı (service account) kullanımı
D. Veri Erişimi (KVKK + PCI DSS 10.2.1.1)
- Müşteri kişisel verisine her erişim (kim, ne zaman, hangi kayıt)
- Kart sahibi verisine (PAN/CHD) her bireysel erişim
- Toplu veri export / rapor alma / veritabanı sorgu logları
- Veri silme, anonimleştirme, imha işlemleri (KVKK imha politikası kanıtı)
E. Sistem ve Altyapı
- Konfigürasyon değişiklikleri (FortiGate policy, AD GPO, K8s manifest, DB schema)
- Sunucu/servis start-stop, servis hesabı değişimi
- Yazılım kurulum, patch, deployment (CI/CD pipeline izleri)
- Yedekleme/geri yükleme işlemleri
- Audit log servisinin durdurulması/başlatılması (PCI 10.2.1.6)
- Audit log’lara erişim (PCI 10.2.1.3)
- Sistem seviyesi nesne oluşturma/silme (PCI 10.2.1.7)
F. Güvenlik Olayları
- FW/IPS/WAF blok ve alarm kayıtları
- DLP ihlal olayları
- AV/EDR tespitleri
- FIM (dosya bütünlüğü) değişiklik alarmları
- Anti-fraud kural tetiklemeleri
- Kritik güvenlik kontrolünün arızalanması (PCI 10.7) – SIEM, FIM, AV veya segmentasyon devre dışı kalırsa derhal alarm
G. Üçüncü Taraf ve API
- Açık Bankacılık / API çağrıları (TPP erişimi, consent verme/iptal)
- Banka, kart şeması, PSP entegrasyon logları
- Outsourcing/tedarikçi uzaktan erişim oturumları
4.3. Her Log Kaydında Zorunlu Alanlar
timestamp → ISO 8601, UTC + TZ offset, ms hassasiyet
user_id / actor → gerçek kişi (paylaşılan hesap YASAK)
source_ip → device_id / channel (web, mobil, API, POS)
event_type → olay tipi
target_resource → hesap no, işlem ID, tablo/dosya adı
outcome → success / failure + hata kodu
correlation_id → işlem uçtan uca izlenebilmeli
Kural: Loga açık PAN, CVV, PIN, parola, tam TCKN, tam IBAN yazılmaz. Maskeleme (ilk 6 – son 4) veya tokenizasyon zorunludur (PCI DSS 3.3, 3.4).
4.4. Log Güvenliği – Teknik Kontroller
| Kontrol | Gereklilik | Uygulama |
|---|---|---|
| Merkezileştirme | Log kaynağında bırakılamaz | Syslog/Beats → SIEM (QRadar / ELK) |
| Immutability (WORM) | Değiştirilemez arşiv | S3 Object Lock Compliance / MinIO WORM / NetApp SnapLock / ExaGrid RTL / LTO WORM |
| Zaman damgası | 5651 için zorunlu | NEZD (TÜBİTAK KamuSM / E-Güven / TürkTrust) – günlük log paketinin hash’i damgalanır |
| Bütünlük | Tahrifat tespiti | SHA-256 hash-chain + FIM (Wazuh / Tripwire / QRadar FIM) |
| Şifreleme | At-rest + in-transit | TLS 1.2 + transport; AES-256 at rest; anahtar → HashiCorp Vault / KMS / HSM |
| Erişim kontrolü | Read-only, need-to-know | RBAC; log okuyan ≠ log yöneten ≠ sistem admini |
| Ayrıcalıklı erişim | Session recording | CyberArk PAM üzerinden; admin kendi izini silemez |
| Zaman senkronizasyonu | Tek referans | Stratum-1 NTP (TÜBİTAK UME / GPS), tüm sistemlerde |
| Yedeklilik | Log kaybı olmamalı | Çift SIEM collector, disk buffer, ikincil DC’ye replikasyon |
| Veri lokasyonu | Türkiye | TCMB tebliği – birincil/ikincil sistemlerde yurt dışı bulut kullanılamaz |
4.5. Log İnceleme (Review) Prosedürü
| Sıklık | Kapsam | Kanıt |
|---|---|---|
| Gerçek zamanlı | Fraud kuralları, kritik güvenlik alarmı, kontrol arızası (PCI 10.7) | SOC/SIEM offense kaydı |
| Günlük | Güvenlik olayları, CHD işleyen sistemler, kritik sistemler, FW/IDS/AAA/WAF logları otomatik mekanizma ile (PCI 10.4.1.1) | Günlük SOC raporu, offense kapama kaydı |
| Haftalık | Privileged hesap kullanımı, yetki değişiklikleri, başarısız login trendleri | İnceleme formu (kim, ne zaman, bulgu, aksiyon) |
| Aylık | AD hesap hijyeni (inactive, Domain Admin üyeliği), servis hesabı kullanımı, DLP ihlalleri | Yönetim raporu |
| Üç aylık | Log kaynağı envanteri doğrulama (tüm CDE bileşenleri log gönderiyor mu?), retention doğrulama, restore testi | Kanıt paketi |
| Yıllık | Bağımsız BS denetimi (TCMB), PCI DSS QSA denetimi, penetrasyon testi, risk analizi güncellemesi | AOC / denetim raporu |
Denetçi “yapıyoruz” demeyi kabul etmez. Her inceleme için kim inceledi + ne zaman + ne buldu + ne aksiyon aldı + kapanış kaydı olmalıdır.
4.6. Tiered Retention Referans Mimarisi
Kaynaklar: FortiGate · AD/DC · PostgreSQL · RKE2/K8s · Exchange · Uygulama · POS/API
│ (TLS, syslog / beats / agent)
▼
┌─────────────────────────────────────────────┐
│ HOT - SIEM (QRadar / ELK) │ 0–12 ay
│ Korelasyon, gerçek zamanlı alarm, arama │ ← PCI 10.5.1: 3 ay "immediately available"
└─────────────────────────────────────────────┘
│ günlük export + SHA-256 + NEZD
▼
┌─────────────────────────────────────────────┐
│ WARM - Searchable Archive │ 1–3 yıl
│ ELK Frozen Tier / QRadar Data Node │ ← BDDK 3 yıl, KVKK 2 yıl, 5651 2 yıl
└─────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────┐
│ COLD - Immutable / WORM │ 3–10 yıl
│ MinIO Object Lock (on-prem, TR) / │ ← 6493 & TCMB: 10 yıl
│ NetApp SnapLock / ExaGrid RTL / LTO WORM │ ← MASAK: 8 yıl
│ + offline / air-gapped kopya │
└─────────────────────────────────────────────┘
│
▼
Kontrollü İmha (KVKK İmha Politikası + tutanak)
Anahtar nokta veri lokasyonu. TCMB Bilgi Sistemleri Tebliği gereği ödeme kuruluşlarının birincil ve ikincil sistemleri Türkiye’de bulunmalıdır. Dolayısıyla COLD katmanı için AWS/Azure global region’lar yerine yurt içi datacenter / bulut (Bulutistan, İş Net, İnnova, Superonline, DgpaysIT, DT İletişim gibi yerli sağlayıcılar) veya tamamen on-prem (S3-uyumlu object storage: Ceph / NetApp StorageGRID / SeaweedFS / ticari appliance, ya da NetApp SnapLock) çözümler regülasyon açısından güvenli tercihtir. Seçeneklerin ayrıntılı karşılaştırması için Bölüm 3.2’deki “S3-Uyumlu On-Prem WORM – MinIO Alternatifleri” başlığına bakın.
4.7. Silme ve İmha Kuralları
Burada iki ayrı şeyden bahsediyoruz ve denetimde ikisi farklı değerlendirilir. Karıştırmamak lazım.
Log Silme → Kesinlikle Yasak
| Kural | Dayanak |
|---|---|
| Audit log, retention süresi dolmadan hiçbir koşulda silinemez, değiştirilemez, üzerine yazılamaz | 6493, TCMB BS Tebliği, PCI DSS 10.3.2 |
| Sistem yöneticisi kendi izini silemez – SoD zorunlu | PCI DSS 10.3.1, ISO 27001 A.8.15 |
| Log immutable/WORM ortamda tutulur; teknik olarak silme imkanı bırakılmaz | S3 Object Lock Compliance Mode (Governance değil!), SnapLock Compliance, LTO WORM |
| Retention süresi dolmadan silme girişimi = güvenlik olayı | Anında SOC alarmı |
| Event ID 1102 (Security log cleared), 4719 (audit policy change) | P1 kritik alarm – PCI DSS 10.7 |
İşlem/Müşteri Verisi Silme → Nüans Var
Burada Dikkatli Olmak Gerekir:
Yasak Olan:
- İşlem kaydının fiziksel silinmesi (hard delete) – 10 yıl saklama zorunlu.
- Muhasebe/mutabakat kaydının değiştirilmesi.
- Reversal/iptal işleminin orijinal kaydı silerek yapılması.
Doğru Yöntem:
- Soft delete / logical delete – kayıt kalır,
is_deletedflag’i işaretlenir. - Append-only / immutable ledger – düzeltme yeni bir kayıt (reversal entry) olarak yazılır, orijinal asla değişmez.
- Muhasebe mantığı: storno kaydı, silme değil.
KVKK İstisnası:
- Veri sahibinin silme talebi (unutulma hakkı) ancak yasal saklama yükümlülüğü varsa KVKK m.7 devreye girmez. 6493’ün 10 yıl şartı, KVKK’nın silme talebini bloke eder.
- 10 yıl dolduktan sonra → KVKK İmha Politikası gereği silme/anonimleştirme ZORUNLU olur. Yani süresiz saklamak da ihlaldir.
Veri Tipine Göre Özet
| Veri Tipi | Retention Süresi İçinde | Süre Dolduğunda |
|---|---|---|
| Audit / güvenlik logu | ❌ Silme kesinlikle yasak. WORM/Compliance Mode. Admin dahil kimse silemez | Kontrollü imha + tutanak |
| İşlem kaydı (transaction) | ❌ Hard delete yasak. Sadece soft delete / reversal entry. Append-only | Anonimleştirme veya imha + tutanak |
| Muhasebe kaydı | ❌ Değiştirilemez. Düzeltme = storno kaydı | 10 yıl sonra imha |
| KYC / MASAK belgesi | ❌ 8 yıl silinemez | İmha + tutanak |
| Kişisel veri (KVKK) | ⚠️ Yasal saklama yükümlülüğü, KVKK silme talebini geçersiz kılar | ✅ Süre dolunca imha ZORUNLU süresiz saklamak da ihlal |
| Erişim/trafik logu (5651) | ❌ 2 yıl silinemez, NEZD damgalı | İmha + tutanak |
Temel ilke: Retention süresi içinde silmek yasak; retention süresi dolduğunda saklamak yasak. İkisi de denetim bulgusudur.
Teknik Uygulama
- Veritabanı:
DELETEyetkisi uygulama hesabından kaldırılır; sadeceINSERT+UPDATE(flag). - DB seviyesinde trigger ile
DELETEengellenir ve loglanır. - Object store: Compliance Mode (Governance değil).
- İmha ancak: onaylı politika + imha komisyonu kararı + imha tutanağı ile yapılır.
SIEM Kuralı – Yetkisiz Silme Girişimi:
KURAL: Retention Süresi Dolmadan Silme Girişimi
(S3: DeleteObject / DeleteObjectVersion / PutBucketLifecycle /
PutObjectRetention → DENIED)
OR (Windows EventID 1102, 104, 4719)
OR (SIEM retention policy modification)
OR (Backup/archive volume delete attempt)
→ P1: Anında SOC + Bilgi Güvenliği Yöneticisi + hesabı askıya al
→ MITRE ATT&CK: T1070.001 / T1485
4.8. SIEM Korelasyon Kural Önerileri (QRadar / ELK)
Bölüm 2.1’deki Event ID tablolarını fiili tespit kurallarına dönüştürelim.
🔴 P1 – Anında Alarm (SOC Çağrısı):
Kural 1 – Domain Admin’e Üye Eklendi:
EventID = 4728 OR 4756
AND TargetUserName IN ("Domain Admins","Enterprise Admins",
"Schema Admins","Administrators",
"Account Operators","Backup Operators",
"Print Operators","Server Operators")
→ Aksiyon: Anında SOC + IT Müdürü bildirimi; CyberArk oturum kaydı ile eşleştir
→ MITRE: T1098.007 (Account Manipulation: Additional Local/Domain Groups)
Kural 2 – Security Log Temizlendi:
EventID = 1102 OR 104
→ Aksiyon: Kritik. Anti-forensics göstergesi. Host'u izole et.
→ MITRE: T1070.001 (Indicator Removal: Clear Windows Event Logs)
Kural 3 – Audit Policy Değiştirildi:
EventID = 4719
→ MITRE: T1562.002 (Impair Defenses: Disable Windows Event Logging)
Kural 4 – Mesai Dışı Hesap Oluşturma + Anında Yetkilendirme:
EventID = 4720 (hesap oluştur)
FOLLOWED BY EventID = 4728 / 4732 / 4756 (gruba ekle)
WITHIN 10 dakika
AND (saat < 08:00 OR saat > 19:00 OR hafta sonu)
→ Persistence göstergesi
→ MITRE: T1136.002 (Create Account: Domain Account)
Kural 5 – RBCD / Shadow Credentials Saldırısı:
EventID = 4742
AND (msDS-AllowedToActOnBehalfOfOtherIdentity değişti
OR msDS-KeyCredentialLink değişti)
→ MITRE: T1098 / T1550.003
Kural 6 – DCSync Girişimi:
EventID = 4662
AND Properties CONTAINS "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2" (DS-Replication-Get-Changes)
OR "1131f6ad-9c07-11d1-f79f-00c04fc2dcd2" (DS-Replication-Get-Changes-All)
AND SubjectUserName NOT IN (DC computer accounts, AAD Connect service account)
→ MITRE: T1003.006
🟠 P2 – Aynı Gün İnceleme
Kural 7 – Ayrıcalıklı Grup Üyelik Değişikliği (Ekleme/Çıkarma, Tümü):
EventID IN (4728, 4729, 4732, 4733, 4756, 4757)
→ Change Management kaydı ile eşleştir
→ Onaysız değişiklik varsa → uyumsuzluk bulgusu
Kural 8 – Toplu Hesap Silme / Disable:
EventID = 4726 OR 4725
COUNT >= 5 in 10 dakika
→ Sabotaj / insider threat göstergesi
→ MITRE: T1531 (Account Access Removal)
Kural 9 – Admin Parola Sıfırlama (Başkası Tarafından):
EventID = 4724
AND TargetUserName IN (privileged_accounts_list)
→ Hesap ele geçirme göstergesi
Kural 10 – Kerberoasting:
EventID = 4769
AND TicketEncryptionType = 0x17 (RC4-HMAC)
AND ServiceName != "krbtgt$"
AND COUNT DISTINCT ServiceName > 10 in 1 saat BY same account
→ MITRE: T1558.003
Kural 11 – Password Spray:
EventID = 4625 (Status 0xC000006A - wrong password)
AND COUNT DISTINCT TargetUserName > 15
BY same SourceIP in 15 dakika
→ MITRE: T1110.003
Kural 12 – AD Recon (BloodHound / SharpHound):
EventID = 4799
AND COUNT > 20 in 5 dakika BY same SubjectUserName
→ MITRE: T1069.002 (Permission Groups Discovery: Domain Groups)
Kural 13 – AD Nesne İzni (ACL) Değiştirildi:
EventID = 4670 OR 5136
AND ObjectType = "domainDNS" OR hedef privileged OU/grup
→ AD DACL backdoor
→ MITRE: T1222.001
🟡 P3 – Periyodik İnceleme (Haftalık / Aylık)
- 4672 – Special privilege ataması: baseline dışı hesap var mı?
- 4720 / 4726 – Hesap yaşam döngüsü: İK onboarding/offboarding kayıtlarıyla mutabakat
- 4722 / 4725 – Enable/disable trendi: uzun süre disable kalıp aniden enable olan hesap? (dormant account revival)
- 4740 – Lockout trendi: brute force mi, uygulama kaynaklı mı?
- 4738 – UAC flag değişimi:
DONT_REQ_PREAUTH(AS-REP roast hazırlığı),PASSWD_NOTREQD
4.9. PCI DSS 10.2.1.x → Windows Event ID Eşleşmesi
| PCI DSS Gereksinimi | Windows Event ID |
|---|---|
| 10.2.1.2 – Root/admin yetkisiyle yapılan tüm işlemler | 4672, 4673, 4674, 4688 (elevated), 4704 |
| 10.2.1.3 – Audit log’lara erişim | 4663 (Security.evtx object access), 1102 |
| 10.2.1.4 – Geçersiz mantıksal erişim denemeleri | 4625, 4771, 4776 (failure) |
| 10.2.1.5 – Kimlik doğrulama bilgisi değişimi / yetki yükseltme | 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4767, 4781, 4728, 4729, 4732, 4733, 4756, 4757 |
| 10.2.1.6 – Audit log başlat/durdur/duraklat | 1100, 1102, 4719 |
| 10.2.1.7 – Sistem seviyesi nesne oluştur/sil | 4720, 4726, 4741, 4743, 5137, 5141, 4727, 4730 |
4.10. Ödeme Kuruluşu – Özel Kontrol Noktaları
| Kontrol | Neden |
|---|---|
| Domain Admin sayısı ≤ 5 ve tümü named (paylaşılan hesap yok) | PCI DSS 8.2.1, TCMB SoD |
| Her 4728/4756 olayı, CyberArk PAM session recording ile eşleşmeli | Ayrıcalıklı erişim izlenebilirliği |
| Her ayrıcalıklı grup değişikliği, Change Management ticket’ı ile eşleşmeli | Onaysız değişiklik = denetim bulgusu |
| 4728/4729 olayları 10 yıl saklanmalı | 6493 / TCMB |
| Log paketleri NEZD ile zaman damgalanmalı | 5651 |
| Aylık Domain Admin üyelik review (attestation) | PCI DSS 7.2.4 (6 ayda bir zorunlu) |
| DC’lerde 4719 veya 1102 görülürse → derhal SOC | PCI DSS 10.7 (kritik kontrol arızası) |
4.11. Denetim Hazırlığı – Kanıt (Evidence) Listesi
- Log Yönetimi Politikası (onaylı, versiyonlu, yıllık gözden geçirilmiş)
- Kişisel Veri Saklama ve İmha Politikası (KVKK)
- Log kaynağı envanteri – CDE/kritik sistem kapsamı ile eşleşen
- Retention konfigürasyon ekran görüntüleri (SIEM + object store lock policy)
- Object Lock Compliance Mode konfigürasyon kanıtı (Governance değil)
- NEZD sertifikası + örnek damgalanmış log paketi doğrulaması
- Hash/FIM bütünlük raporu örneği
- Günlük inceleme kayıtları (min. 3 aylık örnek)
- Offense/incident kapama kayıtları
- Restore/geri dönüş testi tutanağı – arşivden log geri getirilebiliyor mu?
- Ayrıcalıklı erişim ayrımı (SoD) matrisi
- DB’de
DELETEyetkisinin kaldırıldığını gösteren grant listesi - İmha Komisyonu kararı + imha tutanağı örnekleri
- Retention süresi dolan verinin fiilen imha edildiğinin kanıtı
- NTP topolojisi ve senkronizasyon kanıtı
- Kritik kontrol arızası tespit mekanizması kanıtı (PCI 10.7)
- Yıllık BS denetim raporu / PCI DSS AOC
4.12. En Sık Görülen Denetim Bulguları
| Bulgu | Sebep |
|---|---|
| Kapsam dışı sistem | Bir CDE bileşeni SIEM’e log göndermiyor |
| Retention gap | SIEM’de 6 ay var; arşivde “10 yıl var” deniyor ama restore edilemiyor |
| Zaman damgası yok | 5651 logları toplanıyor ama NEZD uygulanmamış |
| Admin kendi izini siliyor | SoD yok; sistem admini log platformunda da admin |
| Paylaşılan hesap | Log’da “admin” yazıyor, gerçek kişi izlenemiyor |
| Manuel inceleme | PCI 10.4.1.1 sonrası otomasyon yok → doğrudan fail |
| Açık veri | Log’da açık PAN / TCKN / parola |
| NTP drift | Sistemler arası zaman farkı → korelasyon geçersiz |
| Kontrol arızası fark edilmiyor | Log collector 3 gün durmuş, kimse görmemiş (PCI 10.7) |
Bu yazıda log izlemenin temellerini; log tiplerini, anomali ve fraud tespitini, retention ve WORM depolama yaklaşımlarını ele aldık. Ödeme Kuruluşlarında Log Yönetimi: Mevzuat, Retention ve Silme Yasağı – Bölüm 2 böylece tamamlandı.
Serinin bir sonraki yazısında “Windows/AD ve Linux Log Hardening (Ödeme Kuruluşu)” konularına giriyoruz: PCI DSS, HIPAA ve Türkiye mevzuatının (6493, TCMB, 5651, MASAK, KVKK) log yönetimi üzerindeki birleşik etkisi.
Başka bir yazıda görüşmek dileğiyle…