Problem
1M aktif kullanicili fintech ortaminda radar tabanli XDR gozlemlenebilirligi ve otomatik aksiyon akislari.
Solution
Problem
Musteri tarafinda CloudTrail, EDR, WAF, IAM ve API gateway kaynaklarindan gelen log hacmi gunluk 6-10 TB seviyesindeydi. Dagitik alarm akislari nedeniyle tespit suresi uzuyor, yanlis pozitif orani operasyon yukunu artiriyordu.
Cozum
AegisSOC XDR icin Kafka tabanli ingest, ClickHouse ve S3 ile katmanli depolama, Sigma rule motoru ve threat intelligence enrichment hatti kuruldu. SOAR tarafinda PagerDuty, Jira ve Slack entegrasyonlariyla otomatik aksiyonlar devreye alindi.
Mimari Notlar
- Radar tabanli gorunurluk paneli ile saldiri akislarinin zaman cizelgesi tek ekranda izlendi.
- Kural kalitesi ve enrichment zinciri surekli olculerek false positive baskilandi.
- Kritik vakalarda token revoke, IP block ve host isolate aksiyonlari kontrollu sekilde otomatiklestirildi.
Sonuc
Programin ilk fazinda MTTD 3.5 saatten 24 dakikaya indi. False positive orani %34'ten %18'e dustu. Ortalama MTTR metriginde %39 iyilesme saglandi.
Architecture
Kafka | ClickHouse | S3 | Sigma Rules | Threat Intelligence | SOAR
Sonuçlar
MTTD: 3.5 saatten 24 dakikaya
False positive: %34'ten %18'e
MTTR: %39 iyilesme