Tehdit İstihbaratı (CTI) Toplama ve İşleme

kullanici1

Mart 23, 2026

Siber Güvenlik

Siber güvenlikte “bilgi” her zaman vardı; değişen şey bilginin hacmi ve hızıdır. Bir kurum aynı gün içinde yüzlerce yeni zafiyet duyurusu, binlerce yeni alan adı, onlarca yeni phishing kampanyası ve sayısız IOC (Indicator of Compromise) ile karşılaşabilir. Bu gürültünün içinde değer üretmek için tehdit istihbaratı (Cyber Threat Intelligence – CTI) yaklaşımı kullanılır: ham veriyi toplayıp, bağlam ekleyip, önceliklendirip, karar süreçlerine entegre etmek. 

CTI, tek başına bir “IOC listesi” değildir. İyi bir CTI programı, kurumun risklerini ve savunma hedeflerini referans alarak doğru istihbaratı doğru kişiye ulaştırır. Yönetim, ‘hangi risk büyüyor?’ sorusuna; SOC ekibi, ‘hangi IOC’yi engelleyelim?’ sorusuna; zafiyet yönetimi ekibi ise ‘hangi CVE’yi önce kapatalım?’ sorusuna yanıt almalıdır. Bu makale, CTI’nin toplanması ve işlenmesi sürecini; kaynaklar, veri kalitesi, zenginleştirme, standartlar ve operasyonel entegrasyon perspektifinden ele alır.

CTI Nedir? (Seviye ve Türler)

CTI, tehditlerle ilgili ham verinin analiz edilerek aksiyonlanabilir bilgiye dönüştürülmesidir. Pratikte istihbarat üç seviyede düşünülür: 

  • StratejikCTI: Yönetim seviyesinde trendler, motivasyonlar, sektör riskleri ve yatırım öncelikleri. 
  • Operasyonel CTI: Kampanya, tehdit aktörü davranışları, taktik/teknik düzeyi ve savunma planı. 
  • Taktik/teknik CTI: IOC’ler (IP, domain, hash), TTP’ler ve tespit kuralları gibi ‘hemen kullanılabilir’ çıktılar. 

Bu ayrım önemlidir; çünkü yanlış formatta istihbarat, yanlış ekibe giderse değer üretmez. Örneğin yönetim raporuna ham IOC listesi koymak, stratejik kararları desteklemez; SOC’ye yalnızca ‘trend analizi’ vermek de günlük tespit işini kolaylaştırmaz.

ChatGPT Image 23 Mar 2026 16_06_06
ChatGPT Image 23 Mar 2026 16_04_03

Toplama: Kaynaklar ve Yaklaşım

CTI toplama, mümkün olan her şeyi çekmek değil; kurumun risk modeline uygun kaynakları seçmektir. Başlıca kaynak sınıfları: 

1) Açık kaynak (OSINT): 
CERT/CSIRT duyuruları, güvenlik blogları, GitHub PoC trendleri, domain kayıt izleri ve açık IOC paylaşımları gibi kaynaklar. OSINT hızlıdır ama gürültülüdür; doğrulama ihtiyacı yüksektir.

2) Ticari feed’ler: 
Kapsamlı IOC, kötü amaçlı yazılım ve phishing feed’leri sağlar. Avantajı standartlaştırılmış veri; dezavantajı maliyet ve kurum ihtiyacına göre ‘aşırı’ veri üretme riskidir. 

3) İç kaynaklar: 
Kurumun kendi logları, EDR alarmları, proxy/DNS kayıtları, e-posta güvenliği bulguları ve olay müdahale çıktıları. İç kaynaklar en yüksek bağlamı taşır; çünkü kurumun gerçek saldırı yüzeyini yansıtır. 

4) Paylaşım toplulukları ve ISAC/FS-ISAC benzeri yapılar: 
Sektörel paylaşım ağları, benzer kurumların gördüğü kampanyalara erken erişim sağlayabilir. Burada güven ilişkisi ve veri sınıflandırması kritik olur. 

Toplama tarafında iyi pratik, kaynakları etiketlemek (güven puanı, tazelik, kapsam), veri formatlarını standardize etmek ve mümkünse otomasyonla beslemek; ama ‘insan doğrulaması’ gerektiren noktaları da açıkça tanımlamaktır.

İşleme: Normalizasyon, Temizleme ve Zenginleştirme

Ham CTI verisi doğrudan aksiyona dönüşmez. “İşleme” adımı, veriyi güvenilir ve kullanılabilir hâle getiren aşamadır: 

  • Normalizasyon: IOCtürlerinin tek formatta tutulması (IP, domain, URL, hash), zaman damgalarının standardize edilmesi, alan adlarının canonical forma çevrilmesi. 
  • Temizleme (de-dup ve kalite): Aynı IOC’nin tekrarlarını azaltma, yanlış pozitifleri ayıklama, açıkça hatalı değerleri eleme. 
  • Zenginleştirme: IOC’ye bağlam ekleme; örneğin alan adının kayıt tarihi, ASN/ülke bilgisi, malware family etiketi, kampanya ilişkisi veya MITRE ATT&CK teknikleriyle eşleştirme. 
  • Skorlama ve öncelik: Kaynak güveni, tazelik, kurum varlıklarıyla ilişki ve görülen aktiviteye göre risk puanı üretme. 

Zenginleştirme, CTI’nin ‘değer üreten’ kısmıdır. Bir domain’i tek başına engellemek kolaydır; asıl soru, bunun hangi kampanyanın parçası olduğu ve kurumda hangi varlıkları etkileyebileceğidir.

STIX/TAXII ve CTI Platformları

CTI’yi ölçeklemek için veri standardı ve platform desteği gerekir. STIX, tehdit istihbaratını yapılandırılmış nesnelerle ifade eden bir standart; TAXII ise bu istihbaratın paylaşım/taşıma protokolüdür. Bu standartlar, farklı kaynaklardan gelen verinin tek bir modele oturmasını ve otomasyonla taşınmasını kolaylaştırır.

CTI platformları (TIP – Threat Intelligence Platform) ise toplama, depolama, ilişkilendirme ve dağıtım işlerini merkezileştirir. TIP’in amacı, IOC’yi yalnızca saklamak değil; bağlam üretmek, ilişki grafı kurmak ve çıktıyı SIEM/SOAR, EDR, e-posta güvenliği veya firewall politikalarına kontrollü biçimde aktarmaktır. Platform seçimi yapılırken entegrasyon kabiliyeti, veri modeli, otomasyon ve denetim (audit) özellikleri değerlendirilmelidir.

Operasyonel Entegrasyon: CTI’den Aksiyona

CTI’nin başarısı, “rapor üretmekten” çok, savunma süreçlerine entegre olmakla ölçülür. Pratik entegrasyon örnekleri:

  • SOC:IOC’lerinSIEM’e beslenmesi, tespit kurallarının güncellenmesi, threat hunting hipotezleri. 
  • E-posta güvenliği: phishing domain’leri, gönderici altyapısı ve URL’lerin engellenmesi. 
  • Zafiyet yönetimi: Aktif istismar edilen CVE’lerin önceliklendirilmesi. 
  • Firewall/Proxy/DNS: Egress ve DNS filtreleme listelerinin kontrollü güncellenmesi. 
  • IR (Incident Response): Olay sırasında hızlı IOC zenginleştirme ve kampanya eşleştirme. 

Bu entegrasyonlarda kritik olan nokta “kontrollü otomasyon”dur. Her IOC otomatik engellenirse yanlış pozitifler iş akışını bozabilir. Bu nedenle CTI programı, otomasyon seviyelerini risk ve güven puanına göre kademelendirmelidir (ör. yüksek güven + aktif gözlem = otomatik engel; düşük güven = sadece izleme).

Kalite, Yönetişim ve Başarı Metrikleri

CTI programları en sık iki nedenle başarısız olur: (1) gürültü, (2) sahiplik belirsizliği. Bu yüzden yönetişim kritik önemdedir: veri sınıflandırması, paylaşım kuralları, saklama süreleri, erişim yetkileri ve onay mekanizmaları net olmalıdır. 

Başarıyı ölçmek için pratik metrikler:

  • CTIkaynaklarınınyanlış pozitif oranı ve tazelik (freshness). 
  • IOC’den aksiyona geçiş süresi (ingest → block/detect). 
  • Tespit kapsama artışı (kaç yeni kural/hunt hipotezi üretildi). 
  • Önceliklendirilen CVE’lerde kapanma süresi ve risk azaltımı. 
  • Olay müdahalesinde CTI’nin katkısı (triage süresi, scope çıkarma hızı). 

Bu metrikler, CTI’nin ‘rapor üreten bir ekip’ değil, savunmayı ölçülebilir güçlendiren bir fonksiyon olmasına yardımcı olur.

Sonuç

Tehdit istihbaratı, ham veriyi aksiyonlanabilir bilgiye dönüştürme disiplinidir. Doğru kaynak seçimiyle başlayan süreç; normalizasyon, zenginleştirme ve önceliklendirme ile değer üretir. Asıl başarı ise istihbaratın SOC, zafiyet yönetimi ve ağ kontrolleri gibi süreçlere entegre edilmesiyle ortaya çıkar. 

Kurumlar CTI’yi bir ‘IOC deposu’ olarak değil; yönetişimi olan, metriklerle izlenen ve kontrollü otomasyonla çalışan bir savunma mekanizması olarak kurguladığında, gürültü azalır ve gerçek riskler daha erken yakalanır. 

Tags :
CTI,SOC,Threat Intelligence
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.