16 Özellik

Tek bir SIEM'in yapması gereken her şey.

Korelasyon motoru, AI analizi, Hunt asistanı, Investigation Mode, mail güvenliği, forensic bundle'lar, webhook'lar, 5651 uyumu — kurumsal SIEM'in tam paketi. Kolay kurulum, derin analiz, denetimlere hazır raporlar.

01 · Incident Management

100 alarm yerine 5 olay.

Ham alarmlar bir kabustur. Aynı saldırgan bir günde 20 farklı pattern'a takılır. Bizim Incident Builder, ilgili alarmları akıllıca kümeleyerek anlamlı olaylara dönüştürür.

  • 5 Kümeleme kuralı: aynı /24 subnet, aynı hedef port, aynı src_ip, kritik tek alert, devam eden olay
  • Erişim durumu: blocked (engellendi) / partial (kısmen) / compromised (ihlal) — tek bakışta risk
  • Her 3 dakikada çalışır: yeni alarmları devam eden incident'a ekler, 30 dakika durgun kalanları otomatik kapatır
  • AI özet: "Ne oldu? Nasıl oldu? Ne yapmalıyım?" — 3 cümlelik Türkçe rapor
Active Incidents son 1 saat · 5 olay
Port 6855'e Koordineli Saldırı — 25 IP
🔴 critical 🛡 blocked 34dk 184K deneme
Port Scan — 198.51.100.22
🟠 high 🛡 blocked 17 port 🇳🇱
Persistent Scan — 203.0.113.45
🟡 medium 🛡 blocked 61 deny 🇧🇬
02 · Korelasyon Motoru

20+ saldırı paterni, hazır.

Her log'a tek tek bakmak anlamsız. Korelasyon motoru firewall, mail ve Windows trafiğinde davranışsal paternleri görür — port tarama, SMTP brute, password spray, mesai dışı erişim ve daha fazlası.

  • Her 5 dakikada tarama: 60 dakikalık pencere, 3000 log işleme kapasitesi
  • Multi-stage birleştirme: aynı IP'den 4 pattern → tek kampanya alarmı (AI doğrulamalı)
  • Panelden FP: yanlış pozitif işaretle → AI geri bildirimi; mail gürültüsü için akıllı filtreler
  • Özel kural + profil: tenant profili (otel hotspot vb.) ile eşik çarpanları; SQL korelasyon kuralları
  • Cooldown: aynı olay 30 dakika tekrar tetiklenmez — alarm spam yok
Aktif Patternler 20+ hazır
port_scan
persistent_scan
multi_stage_attack
brute_force_chain
credential_stuffing
password_spray
auth_failed_burst
smtp_auth_brute
protocol_sweep
inbound_spam_flood
outbound_spam_abuse
rdp_chain
lateral_movement
after_hours_access
traffic_anomaly
impossible_travel
03 · MITRE ATT&CK Mapping

Her olay, bir kill chain.

MITRE ATT&CK, siber saldırıları sınıflandıran dünyada standart çerçeve. Her incident'ınız hangi taktik ve hangi tekniğe karşılık geliyor — otomatik etiketlenir, raporunuza girer.

  • 12 pattern → MITRE mapping hazır yüklenmiş
  • 21 teknik seed'li, yeni teknikleri kolayca ekleyin
  • Raporlarda otomatik yer alır — denetimlerde kullanılabilir
Port 6855 Saldırısı MITRE mapping
Taktikler:
TA0001Initial Access TA0007Discovery
Teknikler:
T1190Exploit Public-Facing App T1595Active Scanning T1046Network Service Discovery
Zaman çizgisi:
12:01:03
persistent_scan tespit — 203.0.113.45
12:01:47
multi_source tetiklendi — 3 subnet
12:03:12
Incident açıldı — INC-0075
12:35:00
Auto-resolved — 30dk durgun
04 · Cihaz Desteği

Sizin firewall'ınız zaten destekleniyor.

Kurumsal ve KOBİ pazarındaki en yaygın firewall'ları out-of-the-box destekler. Syslog gönderimi açık olan her cihazı dinleyebilirsiniz — özel parser'lar %99.9 parse başarısıyla.

  • Otomatik parser yönlendirme: cihaz tipini tespit eder, doğru parser'a yönlendirir
  • %99.9 parse başarısı production ortamlarında
  • Adaptif parser: bilinmeyen format → learned → panelden onay → terfi (ör. pfSense slug)
  • Mail & Windows: Plesk, MailEnable, hMailServer, Windows AD/RDP event parser'ları
Desteklenen Cihazlar out-of-the-box
Fortigate 99.9%
MikroTik 99.9%
WatchGuard 100%
Sophos hazır
MailEnable hazır
hMail / Plesk hazır
pfSense / OPNsense learned→terfi
# MikroTik hızlı kurulum:
/system logging action add
  name=oxisec target=remote
  remote=oxisec.com remote-port=5514
05 · Güvenlik — 2FA

İki adımlı doğrulama, entegre.

Parola artık tek başına yetmiyor. Google Authenticator, Microsoft Authenticator, Authy veya 1Password — hepsi çalışır. RFC 6238 standardı.

  • Tüm authenticator'larla uyumlu (TOTP standart)
  • 10 kurtarma kodu: telefonunuz kaybolursa yedek kodlarla giriş
  • Brute force koruması: 15dk'da 5 yanlış → hesap kilitlenir
  • Audit log: her giriş denemesi kaydedilir (IP, user-agent, zaman)
2FA Kurulum ~2 dakika
Kullanıcı:
admin@acme-corp.example
Secret (manuel giriş):
JBSW Y3DP EHPK 3PXP
2FA etkin — her giriş korumalı
06 · Multi-Tenant SaaS

MSSP ve ajanslar için hazır.

Tek panel, birden fazla müşteri. Her müşteri kendi verilerini görür, siz her birini yönetirsiniz. Güvenlik hizmet sağlayıcılar için ideal.

  • Tenant izolasyonu: DB seviyesinde, veri asla karışmaz
  • Role-based access: superadmin / tenant_admin / analyst / viewer
  • Plan yönetimi: tenant başına farklı limitler (log/ay, retention vs.)
  • Tenant switch: header'dan anında geçiş, aynı oturumda
Müşteriler 8 aktif tenant
Anadolu Enerji GES 12,680 log/s
Anadolu Enerji RES 20,232 log/s
Bosphorus Otel 1,368 log/s
Lale Resort 271 log/s
Egemen Tur 240 log/s
07 · Uyumluluk

KVKK ve ISO 27001 dostu.

Denetçiler bir şey isterse — biz zaten hazırız. Log saklama süreleri, hash imzaları, kullanıcı eylem kayıtları, erişim kontrolleri — hepsi standart.

  • 5651 uyumlu log saklama: 2 yıla kadar, hash imzalı, denetime hazır
  • Audit log: her kullanıcı eylemi kaydedilir (IP, zaman, detay)
  • Aylık otomatik rapor: MTTR, olay sayısı, compliance check listesi
  • Veri mahremiyeti: veri on-prem kalır, AI bile yerelde (Ollama)
Uyumluluk Çerçeveleri kontrol listesi
KVKK
Türkiye
ISO 27001
Uluslararası
5651
Log Saklama
GDPR
AB
✓ ISO 27001 A.12.4 Event Logging
"Sistemler, kullanıcı etkinlikleri ve güvenlik olayları için log kayıtları tutulmalıdır" — Hazır.
09 · YENİ — Hunt AI Asistanı

Türkçe sor, AI cevap versin.

SIEM'in en zor kısmı: doğru filtreyi yazmak. Bizim AI asistanı, doğal dilde sorduğunuz sorgu cümlesini SIEM filtresine çevirir. Konuşma hafızalı — bir önceki soruyu hatırlar.

  • Konuşma hafızası: "Rusya'dan SSH denemeleri" → "Bunlardan en agresif olanı?" — bağlamı hatırlar
  • Kanıt logları: "Şu filtreyi uyguladım" demez — örnek 3 log gösterir, ne işaret ettiğini açıklar
  • Hızlı aksiyon: IP cevabına yan-yana "🔬 Araştır" / "🚫 Blacklist" / "✅ Allowlist" butonları
  • İzole AI motoru: Hunt AI ayrı bir Ollama instance'ında çalışır — pipeline yoğun olsa bile asistan hızlı
💬 Hunt AI Chat son 3 mesaj
Siz
Rusya'dan başarısız SSH denemeleri var mı?
🤖 AI
Evet, 247 deneme bulundu. Filtre: src_country=RU + dst_port=22 + action=deny
🔬 En Aktif IP'yi Araştır 🚫 Hepsini Blackliste
Siz
En aktif olanı blackliste at (önceki bağlamı hatırlıyor)
10 · YENİ — Investigation Mode

7 adımlı otomatik araştırma.

Bir IP'yi araştırmak normal SIEM'de 10+ dakika alır. Bizim Investigation Mode tek tıklamayla 7 paralel sorgu çalıştırır + AI verdict üretir: allowlist mi? threat intel'de var mı? hangi tenant'lara saldırmış? coğrafi konum?

  • 7 paralel adım: allowlist, alarm geçmişi, trafik durumu, etkilenen tenant'lar, davranış paterni, threat intel, coğrafi
  • AI Verdict: benign | suspicious | malicious | unknown — güven skoru + somut öneriler
  • Hem IP hem kullanıcı için: "Bu IP ne yapıyor?" veya "Bu kullanıcı şüpheli mi?"
🔬 IP Araştırması 203.0.113.45 · 3.2s
Allowlist Kontrolü: Listede yok
🚨
Geçmiş Alarm (7g): 12 alarm (max: critical)
⚠️
Trafik (24s): 247 engellendi, 0 kabul
📡
Etkilenen Tenant: Anadolu Enerji, Bosphorus
🔴
Threat Intel: AbuseIPDB 87/100
🌍
Coğrafi: Hollanda, DigitalOcean
Verdict: MALICIOUS (95% güven)
→ Hemen blackliste alın, ilgili firewall kuralı tetiklensin
11 · YENİ — Mail Security Analytics

Kim kime gönderiyor — anlık görünüm.

Hosting ve Windows mail sunucuları için kritik: Plesk/Postfix, hMailServer ve MailEnable trafiğini görsel olarak izleyin. Banner sweep, SMTP brute force, compromise hesap belirtileri — hepsi otomatik tespit. Outbound spam başlamadan farkına varın.

  • Sender → Domain akışı: Hangi adres hangi domain'e mail atıyor — ağırlıklı görsel bar
  • Multi-IP uyarısı: Aynı kullanıcı 3+ farklı IP'den gönderiyorsa kompromize göstergesi 🚨
  • Banner sweep tespiti: Botnet'lerin SMTP discovery saldırılarını gerçek zamanlı yakalar
  • Live feed: Son 30 mail hareketi pulse animasyonlu LIVE rozetli akış
  • hMail AWStats: Özet trafik logu (gönderen/alıcı/SMTP kodu) — yüksek hacimli mail ortamları için
📧 Mail Trafiği ● LIVE
Gönderen Domain Mail
info@firma.example@gmail.com
247
sales@firma.example@outlook.com
142
admin@firma.example 🚨@unknown-domain.xyz1.2K
🚨 admin@ hesabı 3 farklı IP'den gönderiyor — kompromize şüphesi
12 · YENİ — Forensic Bundles

Mahkeme delili niteliğinde arşiv.

Bir incident kapandığında o olaya ait tüm loglar, alarmlar, timeline tek bir imzalı dosyada arşivlenir. HMAC-SHA256 imza — değiştirilirse anında belli olur. Mahkeme talep ettiğinde delil olarak sunulur.

  • HMAC-SHA256 imza: Veri bütünlüğü garanti — değiştirme ihtimali yok
  • Otomatik bundle: Her incident kapandığında otomatik üretilir — manuel iş yok
  • 5651 + KVKK uyumlu: Yasal saklama süresi (2 yıl) destekli
  • Mail logları dahil: Plesk müşterileri için mail iletişim logları da imzalı arşivlenir
📦 Bundle #4892 2.4 MB · İmzalı
Olay: Distributed SSH Attack
Süre: 14:23 → 15:47 (1s 24dk)
Saldırgan: 12 farklı IP, 1547 deneme
Hedef: Anadolu Enerji firewall
İçerik:
✓ 1547 log kaydı (CSV)
✓ 23 alarm + AI özetleri (JSON)
✓ Timeline grafik (PNG)
✓ MITRE TTP haritası
🔒 HMAC-SHA256
a8f3c9d2...e7b4f1a9
✓ Doğrulandı — bütünlük korunmuş
13 · YENİ — Auto-Mode AI

Kendini ayarlayan SIEM.

Auto-Mode aktif edildiğinde sistem cihaz tipinize göre 56 hazır kural paketini otomatik yükler. AI ise alarm tetiklenince false positive olup olmadığını karar verir — gereksiz bildirimleri filtreler.

  • Cihaz tipi otomatiği: Plesk → 25 kural, FortiGate/Sophos → 30, MikroTik → 23, Keenetic → 13
  • Dinamik eşik: AI her tenant için "normal" trafiği öğrenir, eşikleri günceller
  • FP filtresi: AI olasılığı %60+ false positive değerlendirirse alarm bastırılır — gereksiz mesaj yok
  • Tek tıkla aç/kapat: Cihazlar sayfasından her cihaz için ayrı toggle
⚡ Auto-Mode Durumu 3 cihaz · 12 tenant
Anadolu Enerji firewall 🤖 Auto ✓ · 25 kural
Lale Resort Plesk 🤖 Auto ✓ · 25 kural
Bosphorus MikroTik 🤖 Auto ✓ · 23 kural
📊 Son 24 saat:
1,247 alarm üretildi
389 alarm (%31) AI tarafından FP olarak filtrelendi
→ Size sadece anlamlı olanlar gösterildi
14 · YENİ — Webhook ve Otomasyon

Slack, Teams, n8n, kendi SOAR'ınız.

Kritik bir alarm tetiklenince — istediğiniz herhangi bir sisteme HTTP POST gönderir. Slack/Teams kanalına düşsün, Jira ticket açılsın, firewall API'sine emir gitsin, backup tetiklensin. HMAC imzalı, retry mantığı dahil.

  • 7 event tipi: alert.created, alert.critical, incident.created/resolved, auto_mode.blocked_ip, correlation.detected
  • HMAC-SHA256 imza: Müşteri sahte istekleri ayırt eder — payload bütünlüğü garanti
  • Otomatik retry: 1s → 5s → 30s exponential backoff — geçici ağ hatasında kayıp yok
  • Test gönderim + delivery log: "Geldi mi gelmedi mi?" sorusu yok — tüm denemeler audit'te
🪝 Webhook Payload İmzalı 
POST https://hooks.slack.com/...
X-OxiSec-Signature: sha256=a8f3...
Content-Type: application/json

{
  "event": "alert.critical",
  "timestamp": "2026-05-09T08:30:00Z",
  "tenant_id": 11,
  "data": {
    "title": "SSH Brute Force",
    "severity": "critical",
    "source_ip": "203.0.113.45",
    "tenant_name": "Anadolu Enerji"
  }
}
15 · v6 Platform

Canlı dashboard ve SOC akışı.

Ana panelde SSE ile canlı alarm şeridi, MITRE heatmap, dünya haritası ve özelleştirilebilir widget'lar. Korelasyon sayfasında kural yoğunluğu istatistikleri ve FP ile kapatma.

  • SOC Inbox — kural + korelasyon alarmları; Kapat / FP butonları
  • Canlı alarm akışı — dashboard ve SOC'ta gerçek zamanlı güncelleme
  • MITRE heatmap — taktik/teknik yoğunluğu tek bakışta
  • Kural sihirbazı + backtest — preset, dry-run, korelasyon geriye dönük test
  • Kamuya açık AI raporları · Canlı saldırı haritası
Dashboard v6● CANLI
🔴 3 yeni kritik · son 60 sn
🗺 Dünya haritası · kaynak ülke
📊 MITRE ısı haritası · TA0043 yoğun
16 · YENİ — Vaka & Varlık Analizi

Incident'ten vakaya, IP'den tam timeline'a.

SOC'ta olay kapandı diye iş bitmez. Cases modülü SLA, atama ve denetim izi tutar. Varlık Zaman Çizelgesi tek IP veya kullanıcı için log, alarm ve korelasyonu birleştirir.

  • Vaka yaşam döngüsü — open → investigating → resolved → closed; SLA ihlali uyarısı
  • Forensic bundle kapanan vakaya otomatik bağlanır
  • Entity Timeline — 203.0.113.45 için son 7 gün: log + alert + MITRE tek ekranda
CASE-2026-0042SLA 4s
👤 Atanan: Ayşe K. · Öncelik: Yüksek
🔗 3 incident · 12 alarm bağlı
📎 Forensic bundle hazır · imzalı
17 · YENİ — Sigma, API & Runbook

Topluluk kurallarını içeri al, dışarı otomasyon bağla.

Sigma YAML'ı saniyeler içinde OxiSec kuralına dönüşür. REST API ile alarm okuyun, Hunt sorgusu çalıştırın. Runbook kataloğu hazır SOAR şablonları sunar — webhook'tan farklı, adım adım müdahale akışları.

  • Sigma Import — YAML yükle, simüle et, kaydet (Starter+)
  • REST APIalerts:read, hunt:query scope'lu anahtarlar (Business+)
  • Runbook kataloğu — MikroTik engel, bildirim, escalation şablonları
Sigma → OxiSecimport
title: SSH Brute Force
logsource: product: linux
detection:
  condition: selection
→ OxiSec Bağlantı Kuralı ✓
18 · YENİ — SNMP & Çok Lokasyon

Ağ sağlığı ve şube bazlı görünürlük.

Sadece log değil — switch ve router'lardan CPU, bellek, port durumu. MSSP ve çok şubeli yapılar için Tenant Sites ile Frankfurt, Virginia, İstanbul ayrı gruplanır; saldırı haritası korunan bölgeleri otomatik yansıtır.

  • SNMP polling — CPU, uptime, arayüz up/down
  • device_offline pattern — log kesilince otomatik alarm
  • Tenant şubeleri — cihaz lokasyonu + şube kodu; MSSP müşteri ayrımı
Şubeler3 site
🇹🇷 TR-Merkez · 8 cihaz
🇩🇪 DE-FRA · 3 cihaz
🇺🇸 US-VIR · 2 cihaz · SNMP OK
19 · Adaptif Parser

Bilinmeyen log formatını öğren, terfi et.

Ayrı syslog portu yok. Tanınmayan loglar learned fazında birikir; panelden onaylanınca kurallar aktif olur. Stabil olunca resmi cihaz tipine terfi edilir (ör. pfsense).

  • Faz A: AI öğrenme + panel metrikleri + onay
  • Faz B: slug terfi + cihaz kaydı — parser motoru ~2 dk içinde yükler
  • Öğrenme kapalıyken bile onaylı/terfi kuralları çalışır (bootstrap)
learned → pfsenseterfi

1. Generic parse
2. AI kuyruk (5+ log)
3. Kural learned
4. Panel onay + terfi
5. Cihaz tipi listesinde görünür

Tüm bu özellikler, ücretsiz başlayın.

Kredi kartı gerekmez. 15 dakikada kurulum, ilk raporu aynı gün görün.

Ücretsiz Hesap Aç Planları Gör