Site icon Baki ÇUBUK

Ağ Katmanı: Firewall, IDS/IPS, WAF ve DDoS Logları – Bölüm 5

Merhaba

Seri: SOC Analistleri İçin Log İzleme Rehberi (Ödeme Kuruluşları)

  1. Log İzleme Temelleri
  2. Mevzuat, Retention ve Silme Yasağı
  3. Windows/AD ve Linux Hardening
  4. Uygulama ve Veritabanı Katmanı
  5. Ağ Katmanı (Firewall/IDS-IPS/WAF/DDoS) (Bu Yazı)
  6. Container ve Kubernetes
  7. Bulut (AWS/Azure/GCP)
  8. XDR/EDR ve Bütünsel Korelasyon

Ön Not – Kapsam ve Amaç

Bu seri, kritik logları izlemeyi ve anlamayı öğretmek amacıyla yazılmıştır. Odak noktası tek tek ürünler değil, sürecin kendisidir: hangi olayın neden önemli olduğu, nasıl toplandığı, korele edildiği ve korunduğu.

Metindeki donanım, yazılım ve uygulama örnekleri (ürün adları, Event ID’ler, konfigürasyon parametreleri, komutlar) versiyona, sürüme ve yıllara göre değişiklik gösterebilir. Bir ayarın adı değişebilir, bir ürün yaşam döngüsünü tamamlayabilir, yeni bir alternatif ortaya çıkabilir. Bu nedenle örnekleri birebir kopyalanacak reçeteler olarak değil, mantığı kavramak için birer illüstrasyon olarak okuyun; kendi ortamınıza uygularken ilgili üreticinin güncel dokümantasyonunu esas alın.

Aynı şekilde, “Ödeme Kuruluşları İçin PCI DSS, HIPAA ve Türkiye Mevzuatı Bağlamında” hazırlanan bölümler de yürürlükteki düzenlemelere dayanır ve mevzuat değiştikçe güncellenmesi gerekir. PCI DSS sürümleri, TCMB tebliğleri, KVKK/MASAK düzenlemeleri ve retention süreleri zaman içinde değişebilir. Bu rehber hukuki veya denetim danışmanlığı yerine geçmez; nihai uygulama için kurumunuzun uyumluluk ekibine, QSA’sına ve güncel resmi mevzuata başvurun.

Kısacası: amaç, süreci ve mantığı anlamaktır. Örnekler bugünün fotoğrafıdır; ilke ise kalıcıdır.

Serinin beşinci bölümü. Şimdi perimetreye çıkıyoruz: firewall, router, IDS/IPS, WAF ve DDoS logları. PCI DSS’te IDS/IPS (11.5.1) ve WAF (6.4.2) zorunludur yokluğu doğrudan fail. FortiGate/Suricata/ModSecurity konfigürasyonları, community_id ile korelasyon, cleartext PAN tespiti ve ağ katmanı SIEM kuralları.

4.39. Ağ Katmanı – Log Katmanları ve Regülatif Karşılık

Veritabanına kadar iç katmanları hardening ettik. Şimdi perimetreye çıkıyoruz: firewall, router, IDS/IPS, WAF ve DDoS logları. Ödeme kuruluşu bağlamında burada kritik bir fark var. PCI DSS’te IDS/IPS (11.5.1) ve WAF (6.4.2) “olsa iyi olur” değil, zorunludur. Yokluğu doğrudan denetim başarısızlığıdır.

Katman Ürün Örneği PCI DSS Retention Kritiklik
Firewall / NGFW FortiGate, Palo Alto, Check Point 1.2, 1.3, 1.4, 10.2, 11.5 10 yıl (config/audit) · 1 yıl (traffic) 🔴
Router / Switch Cisco, Juniper, Arista 1.2.6, 10.2.1.7, 2.2 10 yıl (config) · 90 gün (flow) 🟠
IDS/IPS FortiGate IPS, Snort, Suricata 11.5.1 (zorunlu) 10 yıl (alert) · 90 gün (raw) 🔴
WAF FortiWeb, F5 ASM, Cloudflare, ModSecurity 6.4.2 (zorunlu) 10 yıl (block) · 1 yıl (traffic) 🔴
DDoS Koruma Cloudflare, Radware, Arbor, FortiDDoS; TR: Turkcell/TT 12.10 (BCP), TCMB süreklilik 1–2 yıl 🟠
VPN / Remote Access FortiClient, IPsec, SSL-VPN 8.4.2, 10.2.1.1 10 yıl 🔴
DNS Windows DNS, BIND 10.2, 11.5 90 gün–1 yıl 🟠
Load Balancer / Proxy HAProxy, NGINX, F5 LTM 10.2 1 yıl 🟡

4.40. PCI DSS Ağ Gereksinimleri – Doğrudan Log İhtiyacı

Req İçerik Log Kanıtı
1.2.7 Firewall/router kuralları 6 ayda bir gözden geçirilir Review tutanağı + kullanılmayan kural raporu
1.3.1/1.3.2 CDE’ye gelen/giden trafik kısıtlı Deny logları + CDE segment trafiği
1.4.3 Anti-spoofing (private IP dışarıdan gelemez) Spoofing deny logları
1.4.4 🔴 CDE’den internete doğrudan çıkış yok Outbound deny + proxy zorunluluğu
2.2.7 Konsol dışı yönetim şifreli (SSH/HTTPS, Telnet YASAK) Yönetim erişim logu
6.4.2 🔴 WAF ZORUNLU (public web uygulamaları için) WAF block/detect logları
8.4.2 Uzaktan erişimde MFA zorunlu VPN + MFA logu
10.4.1 Güvenlik fonksiyonu sunucuları (FW, IDS/IPS, WAF) günlük incelenir SOC review kaydı
11.5.1 🔴 IDS/IPS ZORUNLU – CDE çevresinde IPS alert logları
11.5.1.1 Covert malware iletişim kanalları (C2) tespit edilir Botnet/beaconing tespiti

🔴 PCI DSS’te IDS/IPS (11.5.1) ve WAF (6.4.2) zorunludur. Yokluğu doğrudan fail’dir.

4.41. FortiGate – Log Konfigürasyonu

Log Ayarları – İmplicit Deny Loglama Kritik:

config log setting
    set fwpolicy-implicit-log enable      # 🔴 Implicit deny kuralını LOGLA
    set fwpolicy6-implicit-log enable
    set extended-log enable
    set local-in-allow enable             # 🔴 FortiGate'e gelen trafik
    set local-in-deny-unicast enable      # 🔴 Yönetim arayüzüne saldırı tespiti
    set local-out enable
end

config log memory setting
    set status disable                    # 🔴 Bellekte tutma - kaybolur
end

Syslog → SIEM (TLS Zorunlu – PCI DSS 4.2.1):

config log syslogd setting
    set status enable
    set server "siem.example.local"
    set mode reliable                     # 🔴 TCP - UDP'de log KAYBOLUR
    set port 6514
    set format rfc5424
    set enc-algorithm high                # 🔴 TLS şifreleme
    set ssl-min-proto-version TLSv1-2
    set certificate "fgt-syslog-cert"
    set max-log-rate 0                    # 🔴 0 = SINIRSIZ (log kısıtlama YOK)
end

# İkinci collector (yedeklilik - log kaybı olmasın)
config log syslogd2 setting
    set status enable
    set server "siem-dr.example.local"
    set mode reliable
    set enc-algorithm high
end

config log syslogd filter
    set severity information              # 🔴 information ve üzeri
    set forward-traffic enable
    set local-traffic enable              # 🔴 FortiGate'e yönelik trafik
    set anomaly enable                    # DoS anomali
end

Yönetim Erişimi (PCI 2.2.7 + 8.4.2):

config system global
    set admintimeout 10                   # idle timeout (PCI 8.2.8)
    set admin-lockout-threshold 3
    set admin-telnet disable              # 🔴 TELNET YASAK (PCI 2.2.7)
    set strong-crypto enable
    set admin-maintainer disable          # 🔴 Backdoor hesabı kapat!
    set revision-backup-on-logout enable  # 🔴 Config değişikliği otomatik yedek
end

config system admin
    edit "baki"
        set trusthost1 10.20.5.0 255.255.255.0   # 🔴 Yönetim IP kısıtla
        set two-factor fortitoken                 # 🔴 MFA (PCI 8.4.2)
    next
end

IPS (PCI DSS 11.5.1 – Zorunlu):

config ips global
    set fail-open disable                 # 🔴 IPS çökerse trafiği GEÇİRME (fail-close)
    set database extended
    set traffic-submit disable            # 🔴 Örnek gönderme kapalı (veri sızıntısı)
end

config ips sensor
    edit "CDE-IPS"
        set comment "PCI DSS 11.5.1 - CDE koruma"
        set block-malicious-url enable
        set scan-botnet-connections block  # 🔴 11.5.1.1 - covert C2 kanalı
        config entries
            edit 1
                set severity critical high medium
                set action block            # 🔴 Prevent mode (sadece detect değil)
                set log enable
                set log-packet enable       # PCAP - adli inceleme
            next
        end
    next
end

CDE Segmentasyonu (PCI 1.4.4 – CDE’den İnternete Doğrudan Çıkış Yok):

config firewall policy
    edit 100
        set name "CDE-to-Internet-DENY"
        set srcintf "cde-vlan"
        set dstintf "wan1"
        set srcaddr "CDE-Subnet"
        set dstaddr "all"
        set action deny
        set logtraffic all                # 🔴 DENY'ı LOGLA
        set comments "PCI DSS 1.4.4 - CDE direct internet egress prohibited"
    next
end

4.42. FortiGate – Örnek Loglar

🔴🔴 Config Değişikliği (Windows 4719 Muadili – Çok Kritik):

logid="0100044546" type="event" subtype="system" user="baki"
ui="jsconsole(10.20.5.44)" cfgpath="firewall.policy" cfgobj="100"
cfgattr="action[deny->accept]" msg="Edit firewall.policy 100"

🔴 cfgattr="action[deny->accept]" – bir güvenlik kuralının deny’dan accept’e çevrildiğini gösterir. P1 alarm. Change Ticket ile eşleşmeli.

IPS Tespit (PCI 11.5.1):

type="utm" subtype="ips" severity="critical" srcip=203.0.113.77
dstip=10.20.10.15 dstport=443 srcintf="wan1" dstintf="cde-vlan"
attack="Apache.Log4j.Error.Log.Remote.Code.Execution"
action="dropped" crlevel="critical"

🔴 Botnet / C2 (PCI 11.5.1.1 – Covert Channel):

type="utm" subtype="ips" eventtype="botnet" srcip=10.20.10.15
dstip=185.220.101.44 dstport=443 action="blocked"
botnetdomain="evil-c2[.]com" msg="Botnet C&C Communication detected"

🔴 srcip=10.20.10.15 bir CDE sunucusudur. İçeriden dışarıya C2 = ele geçirilmiş sistem. P1.

🔴 CDE’den İnternete Çıkış Denemesi (1.4.4 İhlali):

type="traffic" subtype="forward" srcip=10.20.10.15 srcintf="cde-vlan"
dstip=8.8.8.8 dstintf="wan1" policyid=100 action="deny"
policyname="CDE-to-Internet-DENY"

4.43. Suricata / Snort – Açık Kaynak IDS/IPS

EVE JSON Çıktısı (SIEM Dostu) – suricata.yaml Özet:

outputs:
  - eve-log:
      enabled: yes
      filename: /var/log/suricata/eve.json
      community-id: true              # 🔴 Zeek/EDR ile korelasyon
      xff:
        enabled: yes                  # 🔴 LB/proxy arkasındaki gerçek IP
        header: X-Forwarded-For
      types:
        - alert:
            payload: yes              # Adli inceleme
            metadata: { app-layer: true, flow: true }
        - http:
            custom: [Authorization, X-Forwarded-For, User-Agent]
            # ⚠️ Authorization header → token sızabilir. SIEM'de maskele!
        - tls:
            ja3: yes                  # 🔴 JA3 fingerprint - malware TLS tespiti
        - files:
            force-hash: [sha256]      # 🔴 VT/threat intel için hash
        - dns
        - ssh
        - krb5                        # Kerberos - AD saldırı tespiti

# 🔴 IPS Mode (inline) - sadece detect değil
af-packet:
  - interface: eth1
    copy-mode: ips                    # 🔴 IPS (prevent) modu
    copy-iface: eth2

Ödeme Kuruluşuna Özel Kurallar – custom-pci.rules:

# 🔴 PCI DSS 1.4.4 - CDE'den internete doğrudan çıkış
alert ip $CDE_NET any -> $EXTERNAL_NET any (
  msg:"PCI-1.4.4 CDE direct internet egress attempt";
  flow:to_server; classtype:policy-violation; priority:1;
  metadata: pci_req 1.4.4, mitre_technique T1071; sid:9000001; rev:1;)

# 🔴 Ağ üzerinde AÇIK PAN tespiti (PCI DSS 4.2.1 - şifresiz iletim!)
alert tcp any any -> any any (
  msg:"PCI-4.2.1 Cleartext PAN detected - Visa";
  pcre:"/4[0-9]{12}(?:[0-9]{3})?/";
  luajit:luhn-check.lua;            # Luhn doğrulaması (false positive azalt)
  classtype:policy-violation; priority:1;
  metadata: pci_req 4.2.1, pci_req 3.4; sid:9000010; rev:1;)

# 🔴 Kart verisi exfiltration (DNS tunneling)
alert dns $CDE_NET any -> any any (
  msg:"Possible DNS tunneling from CDE - data exfiltration";
  dns.query; pcre:"/^[a-zA-Z0-9]{40,}\./";
  threshold: type both, track by_src, count 20, seconds 60;
  classtype:trojan-activity; priority:1;
  metadata: mitre_technique T1071.004; sid:9000030; rev:1;)

# 🔴 Lateral movement (SMB/RDP CDE'ye)
alert tcp !$CDE_NET any -> $CDE_NET [445,3389,5985,5986] (
  msg:"Lateral movement to CDE - SMB/RDP/WinRM";
  flow:to_server; classtype:attempted-admin; priority:1;
  metadata: mitre_technique T1021.002; sid:9000050; rev:1;)

4.44. WAF – PCI DSS 6.4.2 (Zorunlu)

PCI DSS v4.0.1 Req 6.4.2 (31 Mart 2025’ten itibaren zorunlu): Public-facing web uygulamaları için otomatik teknik çözüm (WAF) sürekli çalışmalı, aktif olarak çalıştığı ve log ürettiği kanıtlanmalıdır.

ModSecurity / OWASP CRS (NGINX) – Kritik Kısımlar:

SecRuleEngine On                          # 🔴 DetectionOnly DEĞİL - On (blocking)
SecResponseBodyAccess On                  # 🔴 Response'ta PAN sızıntısı tespiti!

# 🔴 AUDIT LOG - PCI DSS 10.2, 6.4.2 kanıtı
SecAuditEngine RelevantOnly
SecAuditLogParts ABIJDEFHZ                # C yerine I - dosya içeriği loglanmaz
SecAuditLogFormat JSON                    # 🔴 SIEM dostu

# 🔴 HASSAS VERİ MASKELEME (PCI 3.4)
SecRule REQUEST_BODY "@rx (?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})" \
    "id:9001,phase:2,pass,nolog,sanitiseMatched"   # 🔴 Audit log'da PAN'ı MASKELE

SecRule RESPONSE_BODY "@rx (?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})" \
    "id:9002,phase:4,deny,status:500,\
     msg:'CRITICAL: Cleartext PAN in response body - PCI DSS 3.4 violation',\
     severity:CRITICAL,tag:'pci/3.4',sanitiseMatched"
# 🔴 Response'ta açık PAN → İSTEĞİ REDDET + P1 alarm

SecRule REQUEST_HEADERS:Authorization "@rx .*" \
    "id:9004,phase:1,pass,nolog,sanitiseRequestHeader:Authorization"

# Paranoia level (PCI için 2+ önerilir)
SecAction "id:900000,phase:1,nolog,pass,setvar:tx.paranoia_level=2"

🔴 Ironi ama sık: WAF audit log’unda saldırı payload’ı bulunur. Saldırgan kart numarası enjekte ettiyse, WAF logunda açık PAN olur. sanitiseMatched zorunludur.  Yoksa WAF’ın kendisi PCI 3.4 bulgusu üretir.

4.45. DDoS Koruma ve TLS Termination Çelişkisi

Loglanacak Olaylar: attack detected (vector, hacim, süre), mitigation activated/deactivated, scrubbing yönlendirme, rate limit, false positive (meşru trafik bloklandı ödeme kuruluşunda işlem kaybı = kritik).

🔴 DDoS mitigation ile PCI DSS çelişkisi: Cloudflare/scrubbing gibi çözümler TLS’i sonlandırır (SSL termination). Bu, kart verisinin üçüncü tarafta açık görülmesi demektir.

Değerlendirme:

4.46. Router / Switch – Cisco IOS

! 🔴 Telnet YASAK (PCI 2.2.7)
line vty 0 15
 transport input ssh
 exec-timeout 10 0
!
logging trap informational
logging host 10.20.1.50 transport tcp port 6514   ! 🔴 TCP (UDP'de kayıp)
!
! 🔴 Config değişikliği audit (Windows 4719 muadili)
archive
 log config
  logging enable
  hidekeys                                        ! 🔴 Parola log'a düşmesin
 path tftp://10.20.1.60/configs/$h-$t
!
login on-failure log
login on-success log
login block-for 900 attempts 3 within 60          ! Brute force koruması
!
! 🔴 NTP (PCI 10.6)
ntp server 10.20.1.10 prefer
ntp authenticate
!
! SNMP v3 zorunlu (v1/v2c YASAK)
no snmp-server community public
snmp-server group PCI-GRP v3 priv
!
! AAA - komut logging
aaa accounting commands 15 default start-stop group tacacs+

Kritik Cisco Log Mesajları:

Mesaj Anlam Kritiklik
%SYS-5-CONFIG_I 🔴 Konfigürasyon değişti 🔴 P1
%SEC_LOGIN-4-LOGIN_FAILED Başarısız login 🟠
%SEC_LOGIN-5-QUIET_MODE_ON 🔴 Brute force → quiet mode 🔴
%SYS-5-RELOAD 🔴 Cihaz yeniden başladı 🔴
%PORT_SECURITY-2-PSECURE_VIOLATION Port security ihlali (MAC spoofing) 🟠

4.47. Ağ Katmanı – SIEM Korelasyon Kuralları

🔴 P1 – Anında Alarm

Kural N1 – Firewall Kuralı DENY→ ACCEPT Değişti 🔴🔴

  FortiGate: cfgpath="firewall.policy" AND cfgattr MATCHES "action\[deny->accept\]"
  Cisco:     %SYS-5-CONFIG_I AND config diff shows "no access-list ... deny"
  → P1: Güvenlik kuralı gevşetildi. Change Ticket ile eşleştir. Yoksa → OLAY.
  → MITRE: T1562.004 (Impair Defenses: Disable/Modify System Firewall)

Kural N2 – CDE’den İnternete Doğrudan Çıkış (PCI 1.4.4)

  srcip IN (CDE_subnet) AND dstintf = "wan" AND action = "deny"
  COUNT > 5 in 5 dakika BY same srcip
  → CDE sunucusu internete çıkmaya çalışıyor = ele geçirilmiş olabilir
  → MITRE: T1071

Kural N3 – CDE’ye Yetkisiz Erişim (Segmentasyon – PCI 1.3)

  dstip IN (CDE_subnet)
  AND srcip NOT IN (CDE_authorized_sources)
  AND action = "accept"     # 🔴 DENY değil, ACCEPT! Kural boşluğu var
  → P1: Segmentasyon delinmiş
  → MITRE: T1021

Kural N4 – Botnet / C2 İletişimi (PCI 11.5.1.1)

  subtype="ips" AND eventtype="botnet"
  OR (dst_ip IN threat_intel_C2_list) OR (JA3 hash IN known_malware_ja3)
  AND srcip IN (internal_networks)
  → P1: İçeriden dışarıya C2 = ele geçirilmiş sistem
  → RESPONSE: Host izole (XDR ile korele) + FortiGate'te blok
  → MITRE: T1071, T1573

Kural N5 – Ağda AÇIK PAN Tespit Edildi 🔴🔴 (PCI 4.2.1)

  Suricata sid IN (9000010, 9000011)   # Cleartext PAN
  OR WAF: RESPONSE_BODY contains PAN pattern
  → P1 KRİTİK: Kart verisi şifresiz iletiliyor - PCI DSS 4.2.1 İHLALİ

Kural N6 – IPS Devre Dışı veya Fail-Open 🔴

  FortiGate: cfgpath="ips.global" AND cfgattr MATCHES "fail-open\[disable->enable\]"
  OR ips_sensor removed from policy OR Suricata service stopped
  → P1: PCI DSS 11.5.1 + 10.7 - kritik güvenlik kontrolü arızası
  → MITRE: T1562.001

Kural N7 – WAF Bypass / Devre Dışı 🔴

  ModSecurity: SecRuleEngine changed to DetectionOnly/Off
  OR WAF log akışı > 15 dk kesildi (heartbeat yok)
  → P1: PCI DSS 6.4.2 ihlali - WAF çalışmıyor

🟠 P2 – Aynı Gün

Kural N11 – Lateral Movement (İç Ağda Yatay Hareket)

  srcip IN (internal) AND dstip IN (internal)
  AND dstport IN (445,139,3389,5985,5986,22,1433,5432)
  AND DISTINCT dstip > 10 in 10 dakika BY same srcip
  → MITRE: T1021

Kural N12 – DNS Tunneling / Exfiltration

  DNS query length > 50 karakter OR DNS query entropy > 4.0 (DGA)
  AND srcip IN (CDE_subnet)   # 🔴 CDE'den DNS exfil = kritik
  → MITRE: T1071.004, T1568.002

Kural N13 – VPN Anomalisi

  VPN login SUCCESS country_A FOLLOWED BY country_B WITHIN impossible_travel
  OR VPN login WITHOUT MFA (PCI 8.4.2 ihlali)
  → MITRE: T1133

Kural N14 – WAF Saldırı Yoğunluğu

  WAF blocked COUNT > 50 in 5 dakika BY same client_ip
  OR sqlmap/nikto/nmap/burp user-agent
  → Otomatik: IP'yi FortiGate'te geçici blokla (SOAR)
  → MITRE: T1190

🟡 P3 – Periyodik

4.48. Ağ Logları – Normalize Şema

Tüm Ağ Cihazları SIEM’de Aynı Şemaya Normalize Edilmeli:

{
  "@timestamp": "2026-07-13T09:14:22.847+03:00",
  "observer": { "vendor": "Fortinet", "product": "FortiGate",
                "type": "firewall", "hostname": "fgt-dc-01" },
  "event": { "kind": "alert", "category": ["network","intrusion_detection"],
             "action": "blocked", "severity": 90 },
  "source": { "ip": "203.0.113.77", "port": 44120,
              "geo": {"country_iso_code": "CN"}, "as": {"number": 4134} },
  "destination": { "ip": "10.20.10.15", "port": 443, "zone": "CDE" },
  "network": { "transport": "tcp", "protocol": "https", "direction": "inbound",
               "community_id": "1:LQU9qZlK+B5F3KDmev6m5PMibrg=" },
  "threat": { "framework": "MITRE ATT&CK",
              "technique": { "id": "T1190", "name": "Exploit Public-Facing Application" } },
  "pci": { "requirement": ["1.3","11.5.1"], "cde_involved": true },
  "correlation_id": "corr-7f3a91e2",
  "integrity": { "hash": "9c81..." }
}

🔴 community_id – farklı araçların (FortiGate, Suricata, Zeek, EDR) aynı akışı tek ID ile eşleştirmesini sağlar. XDR korelasyonunun anahtarıdır.
🔴 pci.cde_involved – CDE’yi ilgilendiren olayları filtrelemek için. Günlük inceleme (10.4.1) bu filtreyle yapılır.

4.49. Ağ Katmanı – Denetim Kanıtları ve Sık Bulgular

Denetim Kanıt Listesi (Özet)

En Sık Denetim Bulguları

Bulgu Sonuç
🔴 IDS/IPS yok PCI DSS 11.5.1 direkt FAIL
🔴 WAF yok (public web app var) PCI DSS 6.4.2 direkt FAIL
🔴 IPS/WAF detect-only modda Engelleme yok – kısmi fail
🔴 fail-open enable (IPS çökerse trafik geçiyor) Güvenlik kontrolü atlanabilir
🔴 Implicit deny loglanmıyor Reddedilen trafik görünmüyor – kör nokta
🔴 Firewall kural review 6 aydan eski PCI 1.2.7 fail
🔴 CDE’den internete doğrudan çıkış açık PCI 1.4.4 fail
🔴 Telnet açık ağ cihazında PCI 2.2.7 fail
🔴 Syslog UDP ile gidiyor Log kaybı – güvenilir değil
🔴 WAF audit log’unda açık PAN PCI 3.4 fail (ironik ama sık)
🔴 DDoS sağlayıcı AoC yok PCI 12.8 fail
🟠 VPN’de MFA yok PCI 8.4.2 fail

Ağ logları – Yedi Maddelik Ana İlke:

  1. IDS/IPS (11.5.1) ve WAF (6.4.2) zorunludur yokluğu direkt fail.
  2. Deny/implicit-deny mutlaka loglanır reddedilen trafik en değerli sinyaldir.
  3. Config değişikliği = Windows 4719 muadili deny→accept değişimi P1.
  4. fail-open disable güvenlik kontrolü çökerse trafik geçmemeli.
  5. Syslog TCP+TLS – UDP’de log kaybolur, kanıt kaybolur.
  6. community_id ile ağ olayları endpoint/DB/uygulama olaylarıyla eşleştirilir. XDR’ın temeli.
  7. CDE sınırı her logda işaretli (cde_involved) günlük inceleme bu filtreyle yapılır.
Exit mobile version