Dijitalleşmenin hızla arttığı günümüzde kurumların en önemli varlıklarından biri hiç şüphesiz veridir. Bankalar, sigorta şirketleri, e-ticaret platformları ve kamu kurumları, her gün milyonlarca işlem gerçekleştirir ve bu işlemler sırasında çok büyük miktarda log verisi üretir. Bu log’lar; kullanıcıların giriş-çıkış aktivitelerini, sistemler arası etkileşimleri, güvenlik duvarı kararlarını, ağ trafiğini, web isteklerini ve daha pek çok kritik bilgiyi içerir.
Ancak logların en büyük problemi standart olmamalarıdır. Örneğin bir firewall ürünü trafiği src_ip ve dest_ip alanlarıyla tanımlarken, başka bir üretici aynı bilgiyi client_address ve server_address olarak adlandırabilir. Benzer şekilde web sunucu log’ları bir işlemi status=200 olarak belirtirken, başka bir uygulama bu bilgiyi success=true şeklinde kaydedebilir. Bu farklılıklar, güvenlik analistleri için korelasyon ve hızlı tespit süreçlerinde ciddi bir engel oluşturur.
Günümüz tehdit ortamında saldırıların genellikle çoklu vektörlü olduğu biliniyor. Yani saldırgan, önce VPN üzerinden başarısız login denemeleri yapabilir, ardından phishing ile kullanıcı bilgisini ele geçirip uygulama sunucularına erişebilir ve en sonunda ağ içinden veri sızdırmaya çalışabilir. Bu senaryonun tespit edilebilmesi için farklı sistemlerden gelen logların aynı çatı altında analiz edilebilmesi gerekir. İşte bu noktada Splunk Common Information Model (CIM) kritik rol oynar.
CIM, Splunk’un sunduğu log normalizasyon standardıdır. Farklı log kaynaklarını tek bir ortak dilde buluşturur. Böylece bir güvenlik analisti, “kim giriş yapmaya çalıştı?”, “hangi IP’den saldırı geldi?”, “hangi işlemler başarısız oldu?” gibi soruları, kaynağa bakmaksızın aynı SPL sorgularıyla yanıtlayabilir.
Bankacılık gibi yüksek güvenlik hassasiyeti olan sektörlerde, CIM sadece bir kolaylık değil, aynı zamanda zorunluluktur. Çünkü regülasyonlar (ör. PCI DSS, ISO 27001, BDDK yönergeleri) kurumların olayları merkezi bir SIEM çözümü üzerinden izleyebilmesini şart koşar. Logların normalize edilmemesi, yanlış korelasyonlara ve gözden kaçan saldırılara yol açabilir.
Dolayısıyla bu makalede Splunk CIM’in ne olduğu, nasıl çalıştığı, hangi senaryolarda kullanıldığı ve bankacılık güvenliği açısından neden kritik olduğu ayrıntılı bir şekilde ele alınacaktır.
Splunk CIM, veri analizi ve korelasyon için ortak bir alan kümesi tanımlar. Amacı, yüzlerce farklı log kaynağını, tutarlı bir biçimde tek bir çerçeve altında birleştirmektir.
CIM iki temel mekanizma üzerine kuruludur:
• Data Models: Belirli bir kullanım senaryosu için tanımlanmış veri şemaları. Örneğin Authentication (kimlik doğrulama), Intrusion Detection (saldırı tespiti) veya Malware (zararlı yazılım olayları).
• Field Aliases ve Calculated Fields: Farklı log kaynaklarının alanlarını ortak CIM alanlarına eşlemek için kullanılır.
Örnek:
• Firewall log’u → src_ip, dest_ip, action
• Web log’u → client_ip, url, status
• CIM altında her ikisi de src, dest, signature, action olarak normalize edilir.
Böylece farklı sistemlerden gelen olaylar aynı çatı altında anlamlı hale gelir.
1. Data Models
CIM içerisinde güvenlik operasyonları için tanımlanmış çok sayıda data model vardır. Bunlardan bazıları:
• Authentication: Kullanıcı giriş ve çıkışları, başarılı/başarısız login olayları
• Network Traffic: IP, port, protokol bazlı trafik olayları
• Intrusion Detection: IDS/IPS tespitleri, saldırı imzaları
• Malware: Antivirüs ve endpoint zararlı yazılım logları
• Email: Kurumsal e-posta akışları, phishing tespitleri
• Web: Web sunucu erişim logları, HTTP hata kodları
2. Field Aliases
Farklı log alanlarının CIM standardına oturtulması için kullanılan eşleştirmelerdir.
Örn: src_ip = src, user_name = user.
3. Tags ve Eventtypes
Log’ların anlamlı kategorilere ayrılması için kullanılan etiketleme mekanizmalarıdır. Örn: tag=authentication → login olaylarını, tag=network → trafik olaylarını temsil eder.
Log normalizasyonu, özellikle güvenlik operasyonlarında üç temel fayda sağlar:
1. Korelasyon Kolaylığı
• Farklı sistemlerden gelen olayları aynı data model altında incelemek.
• Örn: Firewall’dan başarısız login girişimi + Windows’tan failed login → aynı saldırganın denemesi.
2. Tutarlı Dashboard ve Raporlama
• SOC ekiplerinin aynı alan adlarını kullanarak rapor oluşturabilmesi.
• Örn: src her zaman kaynak IP’yi temsil eder.
3. Hazır Use-case ve Alert’ler
• Splunk Enterprise Security içerisindeki korelasyon aramaları CIM’e dayanır.
• CIM uyumlu olmayan log’lar → yanlış/eksik alarm üretir.
1. Brute Force Attack Detection
• Data Model: Authentication
• Mantık: Aynı kullanıcı için kısa sürede çok sayıda başarısız login girişimi
SPL:
| datamodel Authentication Authentication search
| search action=failure
| stats count by user, src
| where count > 5
• Farklı sistemlerden gelen login olayları (Windows, Linux, VPN, Firewall) aynı model altında birleşir.
2. Network Anomaly Detection
• Data Model: Network Traffic
• Amaç: Belirli bir IP’nin kısa sürede çok sayıda farklı porta erişim yapması (port scanning)
SPL:
| datamodel Network_Traffic All_Traffic search
| stats dc(dest_port) by src
| where dc(dest_port) > 50
Splunk Enterprise Security (ES), CIM üzerine inşa edilmiştir. İçerisindeki Correlation Searches, CIM data modellerini kullanır.
Örn:
• “Excessive Failed Logins” → Authentication data model
• “Suspicious Network Activity” → Network Traffic data model
• “Malware Outbreak” → Malware data model
Eğer log kaynağı CIM uyumlu değilse, bu korelasyon aramaları çalışmaz. Bu nedenle bankacılık ve finans sektöründe her yeni log kaynağı önce CIM ile eşleştirilir, sonra ES dashboard’larına alınır.
1. Add-on (TA) Kullanımı
Splunk, popüler log kaynakları için hazır Technology Add-on (TA) paketleri sunar. Örn:
• Splunk Add-on for Windows
• Splunk Add-on for Cisco ASA
• Splunk Add-on for Palo Alto Networks
Bu add-on’lar log verilerini otomatik olarak CIM alanlarına map eder.
2. Manuel Mapping
Hazır TA yoksa, alan eşleştirme manuel yapılır:
• Field Aliases → client_ip → src
• Calculated Fields → log içerisinden regex ile yeni alan çıkarma
3. Doğrulama
CIM uyumluluğu test etmek için:
| datamodel Authentication Authentication search
Arama sonuç dönüyorsa → log başarıyla normalize edilmiştir.
• Sorun: Her log kaynağı CIM için hazır değil.
• Çözüm: Custom TA geliştirme, field extraction.
• Sorun: Büyük hacimli data modelleri yavaş olabilir.
• Çözüm: Data Model Acceleration özelliği ile hızlandırma.
• Sorun: Bazı alanlarda çakışmalar olabilir (örn. user alanı).
• Çözüm: Splunk CIM dokümantasyonu rehber alınmalı.
Log yönetimi ve güvenlik analitiği, modern kurumların siber dayanıklılığının temel taşlarıdır. Ancak yüzlerce farklı kaynaktan akan veriyi etkin biçimde işleyebilmek için ortak bir dile ihtiyaç duyulmaktadır. Splunk Common Information Model (CIM), bu ihtiyaca doğrudan yanıt veren bir çerçeve olarak öne çıkar.
CIM’in sağladığı en önemli katkılar şunlardır:
• Standartlaştırma: Tüm log verilerinin aynı alan isimleri ve veri modeli altında toplanması.
• Korelasyon Gücü: Farklı kaynaklardan gelen olayların tek bir SPL sorgusuyla ilişkilendirilebilmesi.
• Hazır Güvenlik Senaryoları: Splunk Enterprise Security içerisindeki onlarca hazır korelasyon aramasının CIM üzerine inşa edilmesi.
• Operasyonel Verimlilik: SOC analistlerinin farklı log kaynaklarını anlamak yerine, normalize edilmiş veriler üzerinde hızlıca aksiyon alabilmesi.
Bankacılık özelinde düşünüldüğünde CIM’in önemi daha da artmaktadır. Çünkü bankalarda günlük işlem hacmi ve log yoğunluğu çok yüksektir. Dolayısıyla küçük bir uyumsuzluk ya da yanlış eşleştirme, ciddi güvenlik açıklarına ve hatta finansal zararlara neden olabilir. Örneğin bir fraud saldırısının tespit edilebilmesi için hem Authentication hem de Web data modelleri üzerinden gelen logların aynı korelasyonda çalışabilmesi gerekir. CIM bu bütünlüğü sağlamaktadır.
Elbette CIM uygulaması bazı zorluklar da barındırmaktadır. Özellikle hazır Splunk Add-on’larının bulunmadığı özel sistemlerde manuel field mapping yapılması gerekebilir. Büyük veri hacimlerinde datamodel performans sorunları yaşanabilir. Ancak doğru mimari planlama, acceleration kullanımı ve önceliklendirme ile bu zorluklar aşılabilmektedir.
Sonuç olarak, CIM yalnızca Splunk kullanıcıları için bir “ek özellik” değil, güvenlik operasyonları için zorunlu bir yapı taşıdır. Gelecekte SIEM çözümlerinin daha fazla yapay zekâ ve makine öğrenmesi tabanlı hale geleceği öngörülmektedir. Bu dönüşümde başarıya ulaşmanın temel şartı ise verinin doğru, tutarlı ve normalize edilmiş olmasıdır. Splunk CIM, bu bağlamda sadece bugünün değil, aynı zamanda yarının siber güvenlik ihtiyaçlarına da cevap verecek stratejik bir standarttır.
1. Splunk. (2024). Common Information Model (CIM) User Guide – Version 6.0. Splunk Documentation.
URL: https://docs.splunk.com/Documentation/CIM/6.0.0/User
2. Splunk. (2024). Splunk Dashboard Studio 9.3.1 Documentation. Splunk Documentation.
URL: https://docs.splunk.com/Documentation/DashStudio
3. Splunk. (2023). Splunk Enterprise Security (ES) Use Case Library. Splunk Security Content.
URL: https://research.splunk.com/
4. Carasso, J., & Carasso, C. (2021). Exploring Splunk: Search Processing Language (SPL) and CIM Use Cases. 4th Edition. Splunk Press.
5. Scarfone, K., & Mell, P. (2007). Guide to Intrusion Detection and Prevention Systems (IDPS). NIST Special Publication 800-94.
URL: https://csrc.nist.gov/publications/detail/sp/800-94/final
-
Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.
Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.
Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.
USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur.
