Merhaba
Seri: SOC Analistleri İçin Log İzleme Rehberi (Ödeme Kuruluşları)
- Log İzleme Temelleri
- Mevzuat, Retention ve Silme Yasağı
- Windows/AD ve Linux Hardening
- Uygulama ve Veritabanı Katmanı
- Ağ Katmanı (Firewall/IDS-IPS/WAF/DDoS) (Bu Yazı)
- Container ve Kubernetes
- Bulut (AWS/Azure/GCP)
- XDR/EDR ve Bütünsel Korelasyon
Ön Not – Kapsam ve Amaç
Bu seri, kritik logları izlemeyi ve anlamayı öğretmek amacıyla yazılmıştır. Odak noktası tek tek ürünler değil, sürecin kendisidir: hangi olayın neden önemli olduğu, nasıl toplandığı, korele edildiği ve korunduğu.
Metindeki donanım, yazılım ve uygulama örnekleri (ürün adları, Event ID’ler, konfigürasyon parametreleri, komutlar) versiyona, sürüme ve yıllara göre değişiklik gösterebilir. Bir ayarın adı değişebilir, bir ürün yaşam döngüsünü tamamlayabilir, yeni bir alternatif ortaya çıkabilir. Bu nedenle örnekleri birebir kopyalanacak reçeteler olarak değil, mantığı kavramak için birer illüstrasyon olarak okuyun; kendi ortamınıza uygularken ilgili üreticinin güncel dokümantasyonunu esas alın.
Aynı şekilde, “Ödeme Kuruluşları İçin PCI DSS, HIPAA ve Türkiye Mevzuatı Bağlamında” hazırlanan bölümler de yürürlükteki düzenlemelere dayanır ve mevzuat değiştikçe güncellenmesi gerekir. PCI DSS sürümleri, TCMB tebliğleri, KVKK/MASAK düzenlemeleri ve retention süreleri zaman içinde değişebilir. Bu rehber hukuki veya denetim danışmanlığı yerine geçmez; nihai uygulama için kurumunuzun uyumluluk ekibine, QSA’sına ve güncel resmi mevzuata başvurun.
Kısacası: amaç, süreci ve mantığı anlamaktır. Örnekler bugünün fotoğrafıdır; ilke ise kalıcıdır.
Serinin beşinci bölümü. Şimdi perimetreye çıkıyoruz: firewall, router, IDS/IPS, WAF ve DDoS logları. PCI DSS’te IDS/IPS (11.5.1) ve WAF (6.4.2) zorunludur yokluğu doğrudan fail. FortiGate/Suricata/ModSecurity konfigürasyonları, community_id ile korelasyon, cleartext PAN tespiti ve ağ katmanı SIEM kuralları.
4.39. Ağ Katmanı – Log Katmanları ve Regülatif Karşılık
Veritabanına kadar iç katmanları hardening ettik. Şimdi perimetreye çıkıyoruz: firewall, router, IDS/IPS, WAF ve DDoS logları. Ödeme kuruluşu bağlamında burada kritik bir fark var. PCI DSS’te IDS/IPS (11.5.1) ve WAF (6.4.2) “olsa iyi olur” değil, zorunludur. Yokluğu doğrudan denetim başarısızlığıdır.
| Katman | Ürün Örneği | PCI DSS | Retention | Kritiklik |
|---|---|---|---|---|
| Firewall / NGFW | FortiGate, Palo Alto, Check Point | 1.2, 1.3, 1.4, 10.2, 11.5 | 10 yıl (config/audit) · 1 yıl (traffic) | 🔴 |
| Router / Switch | Cisco, Juniper, Arista | 1.2.6, 10.2.1.7, 2.2 | 10 yıl (config) · 90 gün (flow) | 🟠 |
| IDS/IPS | FortiGate IPS, Snort, Suricata | 11.5.1 (zorunlu) | 10 yıl (alert) · 90 gün (raw) | 🔴 |
| WAF | FortiWeb, F5 ASM, Cloudflare, ModSecurity | 6.4.2 (zorunlu) | 10 yıl (block) · 1 yıl (traffic) | 🔴 |
| DDoS Koruma | Cloudflare, Radware, Arbor, FortiDDoS; TR: Turkcell/TT | 12.10 (BCP), TCMB süreklilik | 1–2 yıl | 🟠 |
| VPN / Remote Access | FortiClient, IPsec, SSL-VPN | 8.4.2, 10.2.1.1 | 10 yıl | 🔴 |
| DNS | Windows DNS, BIND | 10.2, 11.5 | 90 gün–1 yıl | 🟠 |
| Load Balancer / Proxy | HAProxy, NGINX, F5 LTM | 10.2 | 1 yıl | 🟡 |
4.40. PCI DSS Ağ Gereksinimleri – Doğrudan Log İhtiyacı
| Req | İçerik | Log Kanıtı |
|---|---|---|
| 1.2.7 | Firewall/router kuralları 6 ayda bir gözden geçirilir | Review tutanağı + kullanılmayan kural raporu |
| 1.3.1/1.3.2 | CDE’ye gelen/giden trafik kısıtlı | Deny logları + CDE segment trafiği |
| 1.4.3 | Anti-spoofing (private IP dışarıdan gelemez) | Spoofing deny logları |
| 1.4.4 | 🔴 CDE’den internete doğrudan çıkış yok | Outbound deny + proxy zorunluluğu |
| 2.2.7 | Konsol dışı yönetim şifreli (SSH/HTTPS, Telnet YASAK) | Yönetim erişim logu |
| 6.4.2 | 🔴 WAF ZORUNLU (public web uygulamaları için) | WAF block/detect logları |
| 8.4.2 | Uzaktan erişimde MFA zorunlu | VPN + MFA logu |
| 10.4.1 | Güvenlik fonksiyonu sunucuları (FW, IDS/IPS, WAF) günlük incelenir | SOC review kaydı |
| 11.5.1 | 🔴 IDS/IPS ZORUNLU – CDE çevresinde | IPS alert logları |
| 11.5.1.1 | Covert malware iletişim kanalları (C2) tespit edilir | Botnet/beaconing tespiti |
🔴 PCI DSS’te IDS/IPS (11.5.1) ve WAF (6.4.2) zorunludur. Yokluğu doğrudan fail’dir.
4.41. FortiGate – Log Konfigürasyonu
Log Ayarları – İmplicit Deny Loglama Kritik:
config log setting
set fwpolicy-implicit-log enable # 🔴 Implicit deny kuralını LOGLA
set fwpolicy6-implicit-log enable
set extended-log enable
set local-in-allow enable # 🔴 FortiGate'e gelen trafik
set local-in-deny-unicast enable # 🔴 Yönetim arayüzüne saldırı tespiti
set local-out enable
end
config log memory setting
set status disable # 🔴 Bellekte tutma - kaybolur
end
Syslog → SIEM (TLS Zorunlu – PCI DSS 4.2.1):
config log syslogd setting
set status enable
set server "siem.example.local"
set mode reliable # 🔴 TCP - UDP'de log KAYBOLUR
set port 6514
set format rfc5424
set enc-algorithm high # 🔴 TLS şifreleme
set ssl-min-proto-version TLSv1-2
set certificate "fgt-syslog-cert"
set max-log-rate 0 # 🔴 0 = SINIRSIZ (log kısıtlama YOK)
end
# İkinci collector (yedeklilik - log kaybı olmasın)
config log syslogd2 setting
set status enable
set server "siem-dr.example.local"
set mode reliable
set enc-algorithm high
end
config log syslogd filter
set severity information # 🔴 information ve üzeri
set forward-traffic enable
set local-traffic enable # 🔴 FortiGate'e yönelik trafik
set anomaly enable # DoS anomali
end
Yönetim Erişimi (PCI 2.2.7 + 8.4.2):
config system global
set admintimeout 10 # idle timeout (PCI 8.2.8)
set admin-lockout-threshold 3
set admin-telnet disable # 🔴 TELNET YASAK (PCI 2.2.7)
set strong-crypto enable
set admin-maintainer disable # 🔴 Backdoor hesabı kapat!
set revision-backup-on-logout enable # 🔴 Config değişikliği otomatik yedek
end
config system admin
edit "baki"
set trusthost1 10.20.5.0 255.255.255.0 # 🔴 Yönetim IP kısıtla
set two-factor fortitoken # 🔴 MFA (PCI 8.4.2)
next
end
IPS (PCI DSS 11.5.1 – Zorunlu):
config ips global
set fail-open disable # 🔴 IPS çökerse trafiği GEÇİRME (fail-close)
set database extended
set traffic-submit disable # 🔴 Örnek gönderme kapalı (veri sızıntısı)
end
config ips sensor
edit "CDE-IPS"
set comment "PCI DSS 11.5.1 - CDE koruma"
set block-malicious-url enable
set scan-botnet-connections block # 🔴 11.5.1.1 - covert C2 kanalı
config entries
edit 1
set severity critical high medium
set action block # 🔴 Prevent mode (sadece detect değil)
set log enable
set log-packet enable # PCAP - adli inceleme
next
end
next
end
CDE Segmentasyonu (PCI 1.4.4 – CDE’den İnternete Doğrudan Çıkış Yok):
config firewall policy
edit 100
set name "CDE-to-Internet-DENY"
set srcintf "cde-vlan"
set dstintf "wan1"
set srcaddr "CDE-Subnet"
set dstaddr "all"
set action deny
set logtraffic all # 🔴 DENY'ı LOGLA
set comments "PCI DSS 1.4.4 - CDE direct internet egress prohibited"
next
end
4.42. FortiGate – Örnek Loglar
🔴🔴 Config Değişikliği (Windows 4719 Muadili – Çok Kritik):
logid="0100044546" type="event" subtype="system" user="baki"
ui="jsconsole(10.20.5.44)" cfgpath="firewall.policy" cfgobj="100"
cfgattr="action[deny->accept]" msg="Edit firewall.policy 100"
🔴
cfgattr="action[deny->accept]"– bir güvenlik kuralının deny’dan accept’e çevrildiğini gösterir. P1 alarm. Change Ticket ile eşleşmeli.
IPS Tespit (PCI 11.5.1):
type="utm" subtype="ips" severity="critical" srcip=203.0.113.77
dstip=10.20.10.15 dstport=443 srcintf="wan1" dstintf="cde-vlan"
attack="Apache.Log4j.Error.Log.Remote.Code.Execution"
action="dropped" crlevel="critical"
🔴 Botnet / C2 (PCI 11.5.1.1 – Covert Channel):
type="utm" subtype="ips" eventtype="botnet" srcip=10.20.10.15
dstip=185.220.101.44 dstport=443 action="blocked"
botnetdomain="evil-c2[.]com" msg="Botnet C&C Communication detected"
🔴
srcip=10.20.10.15bir CDE sunucusudur. İçeriden dışarıya C2 = ele geçirilmiş sistem. P1.
🔴 CDE’den İnternete Çıkış Denemesi (1.4.4 İhlali):
type="traffic" subtype="forward" srcip=10.20.10.15 srcintf="cde-vlan"
dstip=8.8.8.8 dstintf="wan1" policyid=100 action="deny"
policyname="CDE-to-Internet-DENY"
4.43. Suricata / Snort – Açık Kaynak IDS/IPS
EVE JSON Çıktısı (SIEM Dostu) – suricata.yaml Özet:
outputs:
- eve-log:
enabled: yes
filename: /var/log/suricata/eve.json
community-id: true # 🔴 Zeek/EDR ile korelasyon
xff:
enabled: yes # 🔴 LB/proxy arkasındaki gerçek IP
header: X-Forwarded-For
types:
- alert:
payload: yes # Adli inceleme
metadata: { app-layer: true, flow: true }
- http:
custom: [Authorization, X-Forwarded-For, User-Agent]
# ⚠️ Authorization header → token sızabilir. SIEM'de maskele!
- tls:
ja3: yes # 🔴 JA3 fingerprint - malware TLS tespiti
- files:
force-hash: [sha256] # 🔴 VT/threat intel için hash
- dns
- ssh
- krb5 # Kerberos - AD saldırı tespiti
# 🔴 IPS Mode (inline) - sadece detect değil
af-packet:
- interface: eth1
copy-mode: ips # 🔴 IPS (prevent) modu
copy-iface: eth2
Ödeme Kuruluşuna Özel Kurallar – custom-pci.rules:
# 🔴 PCI DSS 1.4.4 - CDE'den internete doğrudan çıkış
alert ip $CDE_NET any -> $EXTERNAL_NET any (
msg:"PCI-1.4.4 CDE direct internet egress attempt";
flow:to_server; classtype:policy-violation; priority:1;
metadata: pci_req 1.4.4, mitre_technique T1071; sid:9000001; rev:1;)
# 🔴 Ağ üzerinde AÇIK PAN tespiti (PCI DSS 4.2.1 - şifresiz iletim!)
alert tcp any any -> any any (
msg:"PCI-4.2.1 Cleartext PAN detected - Visa";
pcre:"/4[0-9]{12}(?:[0-9]{3})?/";
luajit:luhn-check.lua; # Luhn doğrulaması (false positive azalt)
classtype:policy-violation; priority:1;
metadata: pci_req 4.2.1, pci_req 3.4; sid:9000010; rev:1;)
# 🔴 Kart verisi exfiltration (DNS tunneling)
alert dns $CDE_NET any -> any any (
msg:"Possible DNS tunneling from CDE - data exfiltration";
dns.query; pcre:"/^[a-zA-Z0-9]{40,}\./";
threshold: type both, track by_src, count 20, seconds 60;
classtype:trojan-activity; priority:1;
metadata: mitre_technique T1071.004; sid:9000030; rev:1;)
# 🔴 Lateral movement (SMB/RDP CDE'ye)
alert tcp !$CDE_NET any -> $CDE_NET [445,3389,5985,5986] (
msg:"Lateral movement to CDE - SMB/RDP/WinRM";
flow:to_server; classtype:attempted-admin; priority:1;
metadata: mitre_technique T1021.002; sid:9000050; rev:1;)
4.44. WAF – PCI DSS 6.4.2 (Zorunlu)
PCI DSS v4.0.1 Req 6.4.2 (31 Mart 2025’ten itibaren zorunlu): Public-facing web uygulamaları için otomatik teknik çözüm (WAF) sürekli çalışmalı, aktif olarak çalıştığı ve log ürettiği kanıtlanmalıdır.
ModSecurity / OWASP CRS (NGINX) – Kritik Kısımlar:
SecRuleEngine On # 🔴 DetectionOnly DEĞİL - On (blocking)
SecResponseBodyAccess On # 🔴 Response'ta PAN sızıntısı tespiti!
# 🔴 AUDIT LOG - PCI DSS 10.2, 6.4.2 kanıtı
SecAuditEngine RelevantOnly
SecAuditLogParts ABIJDEFHZ # C yerine I - dosya içeriği loglanmaz
SecAuditLogFormat JSON # 🔴 SIEM dostu
# 🔴 HASSAS VERİ MASKELEME (PCI 3.4)
SecRule REQUEST_BODY "@rx (?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})" \
"id:9001,phase:2,pass,nolog,sanitiseMatched" # 🔴 Audit log'da PAN'ı MASKELE
SecRule RESPONSE_BODY "@rx (?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})" \
"id:9002,phase:4,deny,status:500,\
msg:'CRITICAL: Cleartext PAN in response body - PCI DSS 3.4 violation',\
severity:CRITICAL,tag:'pci/3.4',sanitiseMatched"
# 🔴 Response'ta açık PAN → İSTEĞİ REDDET + P1 alarm
SecRule REQUEST_HEADERS:Authorization "@rx .*" \
"id:9004,phase:1,pass,nolog,sanitiseRequestHeader:Authorization"
# Paranoia level (PCI için 2+ önerilir)
SecAction "id:900000,phase:1,nolog,pass,setvar:tx.paranoia_level=2"
🔴 Ironi ama sık: WAF audit log’unda saldırı payload’ı bulunur. Saldırgan kart numarası enjekte ettiyse, WAF logunda açık PAN olur.
sanitiseMatchedzorunludur. Yoksa WAF’ın kendisi PCI 3.4 bulgusu üretir.
4.45. DDoS Koruma ve TLS Termination Çelişkisi
Loglanacak Olaylar: attack detected (vector, hacim, süre), mitigation activated/deactivated, scrubbing yönlendirme, rate limit, false positive (meşru trafik bloklandı ödeme kuruluşunda işlem kaybı = kritik).
🔴 DDoS mitigation ile PCI DSS çelişkisi: Cloudflare/scrubbing gibi çözümler TLS’i sonlandırır (SSL termination). Bu, kart verisinin üçüncü tarafta açık görülmesi demektir.
Değerlendirme:
- PCI DSS: Servis sağlayıcı PCI DSS Level 1 sertifikalı olmalı (Req 12.8, AoC alınmalı)
- TCMB: Trafik yurt dışında mı sonlandırılıyor? (veri lokasyonu)
- Çözüm Seçenekleri:
- Scrubbing center Türkiye’de (TT, Turkcell, Vodafone)
- TLS pass-through (L3/L4 mitigation, decrypt yok)
- Cloudflare Keyless SSL (private key kurumla kalır)
- On-prem DDoS appliance (FortiDDoS, Radware)
4.46. Router / Switch – Cisco IOS
! 🔴 Telnet YASAK (PCI 2.2.7)
line vty 0 15
transport input ssh
exec-timeout 10 0
!
logging trap informational
logging host 10.20.1.50 transport tcp port 6514 ! 🔴 TCP (UDP'de kayıp)
!
! 🔴 Config değişikliği audit (Windows 4719 muadili)
archive
log config
logging enable
hidekeys ! 🔴 Parola log'a düşmesin
path tftp://10.20.1.60/configs/$h-$t
!
login on-failure log
login on-success log
login block-for 900 attempts 3 within 60 ! Brute force koruması
!
! 🔴 NTP (PCI 10.6)
ntp server 10.20.1.10 prefer
ntp authenticate
!
! SNMP v3 zorunlu (v1/v2c YASAK)
no snmp-server community public
snmp-server group PCI-GRP v3 priv
!
! AAA - komut logging
aaa accounting commands 15 default start-stop group tacacs+
Kritik Cisco Log Mesajları:
| Mesaj | Anlam | Kritiklik |
|---|---|---|
%SYS-5-CONFIG_I |
🔴 Konfigürasyon değişti | 🔴 P1 |
%SEC_LOGIN-4-LOGIN_FAILED |
Başarısız login | 🟠 |
%SEC_LOGIN-5-QUIET_MODE_ON |
🔴 Brute force → quiet mode | 🔴 |
%SYS-5-RELOAD |
🔴 Cihaz yeniden başladı | 🔴 |
%PORT_SECURITY-2-PSECURE_VIOLATION |
Port security ihlali (MAC spoofing) | 🟠 |
4.47. Ağ Katmanı – SIEM Korelasyon Kuralları
🔴 P1 – Anında Alarm
Kural N1 – Firewall Kuralı DENY→ ACCEPT Değişti 🔴🔴
FortiGate: cfgpath="firewall.policy" AND cfgattr MATCHES "action\[deny->accept\]"
Cisco: %SYS-5-CONFIG_I AND config diff shows "no access-list ... deny"
→ P1: Güvenlik kuralı gevşetildi. Change Ticket ile eşleştir. Yoksa → OLAY.
→ MITRE: T1562.004 (Impair Defenses: Disable/Modify System Firewall)
Kural N2 – CDE’den İnternete Doğrudan Çıkış (PCI 1.4.4)
srcip IN (CDE_subnet) AND dstintf = "wan" AND action = "deny"
COUNT > 5 in 5 dakika BY same srcip
→ CDE sunucusu internete çıkmaya çalışıyor = ele geçirilmiş olabilir
→ MITRE: T1071
Kural N3 – CDE’ye Yetkisiz Erişim (Segmentasyon – PCI 1.3)
dstip IN (CDE_subnet)
AND srcip NOT IN (CDE_authorized_sources)
AND action = "accept" # 🔴 DENY değil, ACCEPT! Kural boşluğu var
→ P1: Segmentasyon delinmiş
→ MITRE: T1021
Kural N4 – Botnet / C2 İletişimi (PCI 11.5.1.1)
subtype="ips" AND eventtype="botnet"
OR (dst_ip IN threat_intel_C2_list) OR (JA3 hash IN known_malware_ja3)
AND srcip IN (internal_networks)
→ P1: İçeriden dışarıya C2 = ele geçirilmiş sistem
→ RESPONSE: Host izole (XDR ile korele) + FortiGate'te blok
→ MITRE: T1071, T1573
Kural N5 – Ağda AÇIK PAN Tespit Edildi 🔴🔴 (PCI 4.2.1)
Suricata sid IN (9000010, 9000011) # Cleartext PAN
OR WAF: RESPONSE_BODY contains PAN pattern
→ P1 KRİTİK: Kart verisi şifresiz iletiliyor - PCI DSS 4.2.1 İHLALİ
Kural N6 – IPS Devre Dışı veya Fail-Open 🔴
FortiGate: cfgpath="ips.global" AND cfgattr MATCHES "fail-open\[disable->enable\]"
OR ips_sensor removed from policy OR Suricata service stopped
→ P1: PCI DSS 11.5.1 + 10.7 - kritik güvenlik kontrolü arızası
→ MITRE: T1562.001
Kural N7 – WAF Bypass / Devre Dışı 🔴
ModSecurity: SecRuleEngine changed to DetectionOnly/Off
OR WAF log akışı > 15 dk kesildi (heartbeat yok)
→ P1: PCI DSS 6.4.2 ihlali - WAF çalışmıyor
🟠 P2 – Aynı Gün
Kural N11 – Lateral Movement (İç Ağda Yatay Hareket)
srcip IN (internal) AND dstip IN (internal)
AND dstport IN (445,139,3389,5985,5986,22,1433,5432)
AND DISTINCT dstip > 10 in 10 dakika BY same srcip
→ MITRE: T1021
Kural N12 – DNS Tunneling / Exfiltration
DNS query length > 50 karakter OR DNS query entropy > 4.0 (DGA)
AND srcip IN (CDE_subnet) # 🔴 CDE'den DNS exfil = kritik
→ MITRE: T1071.004, T1568.002
Kural N13 – VPN Anomalisi
VPN login SUCCESS country_A FOLLOWED BY country_B WITHIN impossible_travel
OR VPN login WITHOUT MFA (PCI 8.4.2 ihlali)
→ MITRE: T1133
Kural N14 – WAF Saldırı Yoğunluğu
WAF blocked COUNT > 50 in 5 dakika BY same client_ip
OR sqlmap/nikto/nmap/burp user-agent
→ Otomatik: IP'yi FortiGate'te geçici blokla (SOAR)
→ MITRE: T1190
🟡 P3 – Periyodik
- 🔴 Firewall kural review (6 AYDA BİR – PCI 1.2.7): kullanılmayan kurallar (hit count = 0), “any-any” kuralları, süresi geçmiş geçici kurallar, gölgelenen (shadowed) kurallar
- WAF false positive → meşru işlem bloklanıyor mu? (ödeme kaybı!)
- Şifresiz protokol taraması (Telnet, FTP, HTTP CDE’de var mı?)
- NTP senkron kontrolü (PCI 10.6)
4.48. Ağ Logları – Normalize Şema
Tüm Ağ Cihazları SIEM’de Aynı Şemaya Normalize Edilmeli:
{
"@timestamp": "2026-07-13T09:14:22.847+03:00",
"observer": { "vendor": "Fortinet", "product": "FortiGate",
"type": "firewall", "hostname": "fgt-dc-01" },
"event": { "kind": "alert", "category": ["network","intrusion_detection"],
"action": "blocked", "severity": 90 },
"source": { "ip": "203.0.113.77", "port": 44120,
"geo": {"country_iso_code": "CN"}, "as": {"number": 4134} },
"destination": { "ip": "10.20.10.15", "port": 443, "zone": "CDE" },
"network": { "transport": "tcp", "protocol": "https", "direction": "inbound",
"community_id": "1:LQU9qZlK+B5F3KDmev6m5PMibrg=" },
"threat": { "framework": "MITRE ATT&CK",
"technique": { "id": "T1190", "name": "Exploit Public-Facing Application" } },
"pci": { "requirement": ["1.3","11.5.1"], "cde_involved": true },
"correlation_id": "corr-7f3a91e2",
"integrity": { "hash": "9c81..." }
}
🔴
community_id– farklı araçların (FortiGate, Suricata, Zeek, EDR) aynı akışı tek ID ile eşleştirmesini sağlar. XDR korelasyonunun anahtarıdır.
🔴pci.cde_involved– CDE’yi ilgilendiren olayları filtrelemek için. Günlük inceleme (10.4.1) bu filtreyle yapılır.
4.49. Ağ Katmanı – Denetim Kanıtları ve Sık Bulgular
Denetim Kanıt Listesi (Özet)
- Firewall kural review – son 6 ay içinde, tutanaklı (PCI 1.2.7)
- CDE→internet DENY kuralı + deny logları (PCI 1.4.4)
- Implicit deny loglanıyor kanıtı
- Telnet/HTTP kapalı, sadece SSH/HTTPS (PCI 2.2.7)
- Config değişiklik logu SIEM’de (örnek:
cfgattriçeren kayıt) - Yönetim erişimi IP kısıtlı (trusthost) + MFA (PCI 8.4.2)
- IPS aktif, CDE çevresinde, prevent mode,
fail-open disable(PCI 11.5.1) - IPS imza veritabanı güncel (max 7 gün)
- Botnet/C2 tespiti aktif (PCI 11.5.1.1)
- WAF aktif, blocking mode, tüm public web app kapsanmış (PCI 6.4.2)
- WAF audit log’da PAN maskeleniyor (
sanitiseMatched) - DDoS servis sağlayıcı AoC (PCI 12.8) + TLS termination lokasyonu
- Syslog TLS + TCP (UDP değil)
- Segmentasyon penetrasyon testi (PCI 11.4.5) – yılda 1
En Sık Denetim Bulguları
| Bulgu | Sonuç |
|---|---|
| 🔴 IDS/IPS yok | PCI DSS 11.5.1 direkt FAIL |
| 🔴 WAF yok (public web app var) | PCI DSS 6.4.2 direkt FAIL |
| 🔴 IPS/WAF detect-only modda | Engelleme yok – kısmi fail |
🔴 fail-open enable (IPS çökerse trafik geçiyor) |
Güvenlik kontrolü atlanabilir |
| 🔴 Implicit deny loglanmıyor | Reddedilen trafik görünmüyor – kör nokta |
| 🔴 Firewall kural review 6 aydan eski | PCI 1.2.7 fail |
| 🔴 CDE’den internete doğrudan çıkış açık | PCI 1.4.4 fail |
| 🔴 Telnet açık ağ cihazında | PCI 2.2.7 fail |
| 🔴 Syslog UDP ile gidiyor | Log kaybı – güvenilir değil |
| 🔴 WAF audit log’unda açık PAN | PCI 3.4 fail (ironik ama sık) |
| 🔴 DDoS sağlayıcı AoC yok | PCI 12.8 fail |
| 🟠 VPN’de MFA yok | PCI 8.4.2 fail |
Ağ logları – Yedi Maddelik Ana İlke:
- IDS/IPS (11.5.1) ve WAF (6.4.2) zorunludur yokluğu direkt fail.
- Deny/implicit-deny mutlaka loglanır reddedilen trafik en değerli sinyaldir.
- Config değişikliği = Windows 4719 muadili deny→accept değişimi P1.
fail-open disablegüvenlik kontrolü çökerse trafik geçmemeli.- Syslog TCP+TLS – UDP’de log kaybolur, kanıt kaybolur.
community_idile ağ olayları endpoint/DB/uygulama olaylarıyla eşleştirilir. XDR’ın temeli.- CDE sınırı her logda işaretli (
cde_involved) günlük inceleme bu filtreyle yapılır.