Telefon
WhatsApp

Lütfen Site Dili Seçiniz

Türkçe

Adli Bilişim & Olay Müdahalesi (DFIR) — Triage, Kanıt Toplama ve Kök Neden Analizi

  • Anasayfa
  • Hi̇zmetler
  • Adli Bilişim & Olay Müdahalesi (DFIR) — Triage, Kanıt Toplama ve Kök Neden Analizi
Adli Bilişim & Olay Müdahalesi (DFIR) — Triage, Kanıt Toplama ve Kök Neden Analizi
Adli Bilişim & Olay Müdahalesi (DFIR) — Triage, Kanıt Toplama ve Kök Neden Analizi

DFIR Neden Kritik?

Bir olay yaşandığında hedef; sadece sistemi “ayağa kaldırmak” değil, aynı zamanda:

  • Saldırıyı durdurmak ve yayılımı engellemek

  • Etkilenen alanı doğru tespit etmek

  • Kanıtları korumak ve doğru şekilde toplamak

  • Kök nedeni bulup tekrarını önlemek

  • Uyum/denetim süreçleri için raporlanabilir çıktı üretmektir

Yanlış adım; kanıt kaybı, tekrar eden ihlal, uzun kesinti ve itibar zararına yol açabilir. DFIR, bu süreci metodik hale getirir.

Hangi Durumlarda Devreye Giriyoruz?

  • Hesap ele geçirme (ATO), yetkisiz erişim şüphesi

  • Sunucu/endpoint üzerinde şüpheli süreçler, malware/ransomware şüphesi

  • Veri sızıntısı şüphesi, anormal veri trafiği, şüpheli outbound bağlantılar

  • WAF/SIEM alarmı, loglarda olağandışı aktiviteler

  • İç tehdit (insider), şüpheli yetki yükseltme/rol değişimi

  • Phishing sonrası kimlik bilgisi sızıntısı ve zincirleme erişimler

Kapsam: Neleri Yapıyoruz?

1) Triage (İlk Değerlendirme) ve Stabilizasyon

  • Olayın tipi, kapsamı ve aciliyetinin belirlenmesi

  • Hızlı risk azaltma adımları (izole etme, erişim kısıtlama, geçici önlemler)

  • “Ne biliyoruz / ne bilmiyoruz?” durum tablosu ve kısa plan

2) Kanıt Toplama (Evidence Collection)

  • Logların ve kritik artefaktların güvenli biçimde toplanması

  • Zaman çizelgesi (timeline) oluşturmak için gerekli veri setleri

  • Kanıt bütünlüğü: hashleme, saklama ve temel zincirleme kayıt (ihtiyaca göre)

Not: Kanıt toplama, “sistemi bozmayacak” şekilde planlanır. Öncelik hem müdahale hem delil korunumu dengesidir.

3) Log Analizi (Server / App / Network)

  • Uygulama, web server, reverse proxy, DB, firewall/WAF log analizi

  • Kimlik doğrulama günlükleri, admin işlemleri, kritik aksiyon izleri

  • Şüpheli erişim desenleri: brute-force, token kötüye kullanımı, enumeration vb.

  • IOC (IP/domain/url/user-agent) çıkarımı ve korelasyon

4) Endpoint Analizi (Workstation/Server)

  • Şüpheli process/service/task analizi

  • Persistency (kalıcılık) izleri, anormal autorun noktaları

  • Şüpheli dosya/komut izleri, olay artefaktları

  • Olayın yayılımı ve lateral movement şüphesi (varsa)

5) IOC Çıkarımı ve Yayılım Kontrolü

  • IOC listesi: IP, domain, hash, path, süreç adı, kullanıcı/oturum göstergeleri

  • Engelleme/izleme önerileri (EDR/SIEM/WAF tarafına uygulanabilir)

  • IOC’lerin önceliklendirilmesi ve “hangi noktadan kontrol edelim?” planı

6) Kök Neden Analizi (Root Cause Analysis)

  • İlk giriş vektörü (initial access) olasılıkları ve kanıtları

  • Zafiyet, yanlış konfigürasyon, kimlik bilgisi sızıntısı veya sosyal mühendislik izleri

  • Kontrol boşlukları ve tekrarını önleyecek kalıcı iyileştirmeler

7) İyileştirme ve Hardening Önerileri

  • Hızlı kazanımlar (parola sıfırlama/MFA, erişim kısıtları, rate limit vb.)

  • Orta vadeli süreç iyileştirmeleri (log standardizasyon, alarm kuralları, yedekleme)

  • Uzun vadeli güvenlik mimarisi önerileri (segmentasyon, erişim politikaları, SDLC)

Çalışma Şekli (Süreç)

  1. Acil durum iletişimi & kapsam (olay türü, kritik sistemler, zaman çizelgesi)

  2. Triage & ilk önlemler (yayılımı durdurma)

  3. Kanıt toplama (loglar, endpoint artefaktları)

  4. Analiz & IOC üretimi

  5. Kök neden & etki analizi

  6. Raporlama (TR/EN) + aksiyon planı

  7. (Opsiyonel) Retainer / izleme ve ikinci faz iyileştirme

Teslimat: TR/EN Rapor İçeriği

  • Executive Summary: olayın özeti, etki, risk, önerilen aksiyon

  • Timeline: olay zaman çizelgesi (kanıta dayalı)

  • Bulgular: erişim izleri, anormallikler, etkilenen varlıklar

  • IOC Listesi: engelleme/izleme için operasyonel çıktı

  • Kök Neden: muhtemel giriş vektörü ve destekleyici kanıtlar

  • Aksiyon Planı: kısa/orta/uzun vadeli düzeltmeler

  • (Opsiyonel) Yönetim sunumu formatı kısa özet

Sizden İstenecek Bilgiler (Hızlı Başlangıç)

  • Olayın kısa özeti (ne oldu, ne zaman fark edildi?)

  • Etkilendiği düşünülen sistemler (domain/sunucu/uygulama)

  • Log erişimleri ve/veya merkezi log/SIEM varsa erişim

  • Endpoint erişimi (gerekirse) ve yetkili iletişim kişisi

  • Kritik iş süreçleri (kesinti toleransı, öncelikler)

Önemli Not

Bu hizmet; savunma, olay yönetimi ve kanıt analizi odaklıdır. Süreç, yalnızca yetkili ve yasal kapsamda yürütülür; izinsiz erişim, saldırı veya kötüye kullanım içeren yönlendirme sunulmaz.

Teklif ve Acil Müdahale

Olayın özetini ve etkilenen sistemleri paylaşın; en hızlı şekilde triage planı ve kapsam önerisiyle birlikte teklif ile dönüş yapalım. TR/EN raporlama ve süreç iletişimi dahildir.

HİZMETLER

Bize Soru Sorun

Bizimle iletişime geçmek ve soru sormak için iletişim butonuna tıklayınız.

İLETİŞİM

Bize Ulaşın

TEKLİF FORMU

Siber Güvenlik, Yazılım ve Danışmanlık Hizmetleri

Bizi takip edin

Site İçi Bağlantılar

Çalışma Saatleri

Pazartesi: 09:00 - 17:00

Salı: 09:00 - 17:00

Çarşamba: 09:00 - 17:00

Perşembe: 09:00 - 17:00

Cuma: 09:00 - 17:00

Cumartesi: 09:00 - 14:00

Pazar: KAPALI

Copyright © 2026 Liyalp Software | Her Hakkı Saklıdır.