16 Özellik

Tek bir SIEM'in yapması gereken her şey.

Korelasyon motoru, AI analizi, Hunt asistanı, Investigation Mode, mail güvenliği, forensic bundle'lar, webhook'lar, 5651 uyumu — kurumsal SIEM'in tam paketi. Kolay kurulum, derin analiz, denetimlere hazır raporlar.

01 · Incident Management

100 alarm yerine 5 olay.

Ham alarmlar bir kabustur. Aynı saldırgan bir günde 20 farklı pattern'a takılır. Bizim Incident Builder, ilgili alarmları akıllıca kümeleyerek anlamlı olaylara dönüştürür.

  • 5 Kümeleme kuralı: aynı /24 subnet, aynı hedef port, aynı src_ip, kritik tek alert, devam eden olay
  • Erişim durumu: blocked (engellendi) / partial (kısmen) / compromised (ihlal) — tek bakışta risk
  • Her 3 dakikada çalışır: yeni alarmları devam eden incident'a ekler, 30 dakika durgun kalanları otomatik kapatır
  • AI özet: "Ne oldu? Nasıl oldu? Ne yapmalıyım?" — 3 cümlelik Türkçe rapor
Active Incidents son 1 saat · 5 olay
Port 6855'e Koordineli Saldırı — 25 IP
🔴 critical 🛡 blocked 34dk 184K deneme
Port Scan — 198.51.100.22
🟠 high 🛡 blocked 17 port 🇳🇱
Persistent Scan — 203.0.113.45
🟡 medium 🛡 blocked 61 deny 🇧🇬
02 · Korelasyon Motoru

20+ saldırı paterni, hazır.

Her log'a tek tek bakmak anlamsız. Korelasyon motoru firewall, mail ve Windows trafiğinde davranışsal paternleri görür — port tarama, SMTP brute, password spray, mesai dışı erişim ve daha fazlası.

  • Her 5 dakikada tarama: 60 dakikalık pencere, 3000 log işleme kapasitesi
  • Multi-stage birleştirme: aynı IP'den 4 pattern → tek kampanya alarmı (AI doğrulamalı)
  • Panelden FP: yanlış pozitif işaretle → AI geri bildirimi; mail gürültüsü için akıllı filtreler
  • Özel kural + profil: tenant profili (otel hotspot vb.) ile eşik çarpanları; SQL korelasyon kuralları
  • Cooldown: aynı olay 30 dakika tekrar tetiklenmez — alarm spam yok
Aktif Patternler 20+ hazır
port_scan
persistent_scan
multi_stage_attack
brute_force_chain
credential_stuffing
password_spray
auth_failed_burst
smtp_auth_brute
protocol_sweep
inbound_spam_flood
outbound_spam_abuse
rdp_chain
lateral_movement
after_hours_access
traffic_anomaly
impossible_travel
03 · MITRE ATT&CK Mapping

Her olay, bir kill chain.

MITRE ATT&CK, siber saldırıları sınıflandıran dünyada standart çerçeve. Her incident'ınız hangi taktik ve hangi tekniğe karşılık geliyor — otomatik etiketlenir, raporunuza girer.

  • 12 pattern → MITRE mapping hazır yüklenmiş
  • 21 teknik seed'li, yeni teknikleri kolayca ekleyin
  • Raporlarda otomatik yer alır — denetimlerde kullanılabilir
Port 6855 Saldırısı MITRE mapping
Taktikler:
TA0001Initial Access TA0007Discovery
Teknikler:
T1190Exploit Public-Facing App T1595Active Scanning T1046Network Service Discovery
Zaman çizgisi:
12:01:03
persistent_scan tespit — 203.0.113.45
12:01:47
multi_source tetiklendi — 3 subnet
12:03:12
Incident açıldı — INC-0075
12:35:00
Auto-resolved — 30dk durgun
04 · Cihaz Desteği

Sizin firewall'ınız zaten destekleniyor.

Kurumsal ve KOBİ pazarındaki en yaygın firewall'ları out-of-the-box destekler. Syslog gönderimi açık olan her cihazı dinleyebilirsiniz — özel parser'lar %99.9 parse başarısıyla.

  • Otomatik parser yönlendirme: cihaz tipini tespit eder, doğru parser'a yönlendirir
  • %99.9 parse başarısı production ortamlarında
  • Adaptif parser: bilinmeyen format → learned → panelden onay → terfi (ör. pfSense slug)
  • Mail & Windows: Plesk, MailEnable, hMailServer, Windows AD/RDP event parser'ları
Desteklenen Cihazlar out-of-the-box
Fortigate 99.9%
MikroTik 99.9%
WatchGuard 100%
Sophos hazır
MailEnable hazır
hMail / Plesk hazır
pfSense / OPNsense learned→terfi
# MikroTik hızlı kurulum:
/system logging action add
  name=oxisec target=remote
  remote=oxisec.com remote-port=5514
05 · Güvenlik — 2FA

İki adımlı doğrulama, entegre.

Parola artık tek başına yetmiyor. Google Authenticator, Microsoft Authenticator, Authy veya 1Password — hepsi çalışır. RFC 6238 standardı.

  • Tüm authenticator'larla uyumlu (TOTP standart)
  • 10 kurtarma kodu: telefonunuz kaybolursa yedek kodlarla giriş
  • Brute force koruması: 15dk'da 5 yanlış → hesap kilitlenir
  • Audit log: her giriş denemesi kaydedilir (IP, user-agent, zaman)
2FA Kurulum ~2 dakika
Kullanıcı:
admin@acme-corp.example
Secret (manuel giriş):
JBSW Y3DP EHPK 3PXP
2FA etkin — her giriş korumalı
06 · Multi-Tenant SaaS

MSSP ve ajanslar için hazır.

Tek panel, birden fazla müşteri. Her müşteri kendi verilerini görür, siz her birini yönetirsiniz. Güvenlik hizmet sağlayıcılar için ideal.

  • Tenant izolasyonu: DB seviyesinde, veri asla karışmaz
  • Role-based access: superadmin / tenant_admin / analyst / viewer
  • Plan yönetimi: tenant başına farklı limitler (log/ay, retention vs.)
  • Tenant switch: header'dan anında geçiş, aynı oturumda
Müşteriler 8 aktif tenant
Anadolu Enerji GES 12,680 log/s
Anadolu Enerji RES 20,232 log/s
Bosphorus Otel 1,368 log/s
Lale Resort 271 log/s
Egemen Tur 240 log/s
07 · Uyumluluk

KVKK ve ISO 27001 dostu.

Denetçiler bir şey isterse — biz zaten hazırız. Log saklama süreleri, hash imzaları, kullanıcı eylem kayıtları, erişim kontrolleri — hepsi standart.

  • 5651 uyumlu log saklama: 2 yıla kadar, hash imzalı, denetime hazır
  • Audit log: her kullanıcı eylemi kaydedilir (IP, zaman, detay)
  • Aylık otomatik rapor: MTTR, olay sayısı, compliance check listesi
  • Veri mahremiyeti: veri on-prem kalır, AI bile yerelde (Ollama)
Uyumluluk Çerçeveleri kontrol listesi
KVKK
Türkiye
ISO 27001
Uluslararası
5651
Log Saklama
GDPR
AB
✓ ISO 27001 A.12.4 Event Logging
"Sistemler, kullanıcı etkinlikleri ve güvenlik olayları için log kayıtları tutulmalıdır" — Hazır.
09 · YENİ — Hunt AI Asistanı

Türkçe sor, AI cevap versin.

SIEM'in en zor kısmı: doğru filtreyi yazmak. Bizim AI asistanı, doğal dilde sorduğunuz sorgu cümlesini SIEM filtresine çevirir. Konuşma hafızalı — bir önceki soruyu hatırlar.

  • Konuşma hafızası: "Rusya'dan SSH denemeleri" → "Bunlardan en agresif olanı?" — bağlamı hatırlar
  • Kanıt logları: "Şu filtreyi uyguladım" demez — örnek 3 log gösterir, ne işaret ettiğini açıklar
  • Hızlı aksiyon: IP cevabına yan-yana "🔬 Araştır" / "🚫 Blacklist" / "✅ Allowlist" butonları
  • İzole AI motoru: Hunt AI ayrı bir Ollama instance'ında çalışır — pipeline yoğun olsa bile asistan hızlı
💬 Hunt AI Chat son 3 mesaj
Siz
Rusya'dan başarısız SSH denemeleri var mı?
🤖 AI
Evet, 247 deneme bulundu. Filtre: src_country=RU + dst_port=22 + action=deny
🔬 En Aktif IP'yi Araştır 🚫 Hepsini Blackliste
Siz
En aktif olanı blackliste at (önceki bağlamı hatırlıyor)
10 · YENİ — Investigation Mode

7 adımlı otomatik araştırma.

Bir IP'yi araştırmak normal SIEM'de 10+ dakika alır. Bizim Investigation Mode tek tıklamayla 7 paralel sorgu çalıştırır + AI verdict üretir: allowlist mi? threat intel'de var mı? hangi tenant'lara saldırmış? coğrafi konum?

  • 7 paralel adım: allowlist, alarm geçmişi, trafik durumu, etkilenen tenant'lar, davranış paterni, threat intel, coğrafi
  • AI Verdict: benign | suspicious | malicious | unknown — güven skoru + somut öneriler
  • Hem IP hem kullanıcı için: "Bu IP ne yapıyor?" veya "Bu kullanıcı şüpheli mi?"
🔬 IP Araştırması 203.0.113.45 · 3.2s
Allowlist Kontrolü: Listede yok
🚨
Geçmiş Alarm (7g): 12 alarm (max: critical)
⚠️
Trafik (24s): 247 engellendi, 0 kabul
📡
Etkilenen Tenant: Anadolu Enerji, Bosphorus
🔴
Threat Intel: AbuseIPDB 87/100
🌍
Coğrafi: Hollanda, DigitalOcean
Verdict: MALICIOUS (95% güven)
→ Hemen blackliste alın, ilgili firewall kuralı tetiklensin
11 · YENİ — Mail Security Analytics

Kim kime gönderiyor — anlık görünüm.

Hosting ve Windows mail sunucuları için kritik: Plesk/Postfix, hMailServer ve MailEnable trafiğini görsel olarak izleyin. Banner sweep, SMTP brute force, compromise hesap belirtileri — hepsi otomatik tespit. Outbound spam başlamadan farkına varın.

  • Sender → Domain akışı: Hangi adres hangi domain'e mail atıyor — ağırlıklı görsel bar
  • Multi-IP uyarısı: Aynı kullanıcı 3+ farklı IP'den gönderiyorsa kompromize göstergesi 🚨
  • Banner sweep tespiti: Botnet'lerin SMTP discovery saldırılarını gerçek zamanlı yakalar
  • Live feed: Son 30 mail hareketi pulse animasyonlu LIVE rozetli akış
  • hMail AWStats: Özet trafik logu (gönderen/alıcı/SMTP kodu) — yüksek hacimli mail ortamları için
📧 Mail Trafiği ● LIVE
Gönderen Domain Mail
info@firma.example@gmail.com
247
sales@firma.example@outlook.com
142
admin@firma.example 🚨@unknown-domain.xyz1.2K
🚨 admin@ hesabı 3 farklı IP'den gönderiyor — kompromize şüphesi
12 · YENİ — Forensic Bundles

Mahkeme delili niteliğinde arşiv.

Bir incident kapandığında o olaya ait tüm loglar, alarmlar, timeline tek bir imzalı dosyada arşivlenir. HMAC-SHA256 imza — değiştirilirse anında belli olur. Mahkeme talep ettiğinde delil olarak sunulur.

  • HMAC-SHA256 imza: Veri bütünlüğü garanti — değiştirme ihtimali yok
  • Otomatik bundle: Her incident kapandığında otomatik üretilir — manuel iş yok
  • 5651 + KVKK uyumlu: Yasal saklama süresi (2 yıl) destekli
  • Mail logları dahil: Plesk müşterileri için mail iletişim logları da imzalı arşivlenir
📦 Bundle #4892 2.4 MB · İmzalı
Olay: Distributed SSH Attack
Süre: 14:23 → 15:47 (1s 24dk)
Saldırgan: 12 farklı IP, 1547 deneme
Hedef: Anadolu Enerji firewall
İçerik:
✓ 1547 log kaydı (CSV)
✓ 23 alarm + AI özetleri (JSON)
✓ Timeline grafik (PNG)
✓ MITRE TTP haritası
🔒 HMAC-SHA256
a8f3c9d2...e7b4f1a9
✓ Doğrulandı — bütünlük korunmuş
13 · YENİ — Auto-Mode AI

Kendini ayarlayan SIEM.

Auto-Mode aktif edildiğinde sistem cihaz tipinize göre 56 hazır kural paketini otomatik yükler. AI ise alarm tetiklenince false positive olup olmadığını karar verir — gereksiz bildirimleri filtreler.

  • Cihaz tipi otomatiği: Plesk → 25 kural, FortiGate/Sophos → 30, MikroTik → 23, Keenetic → 13
  • Dinamik eşik: AI her tenant için "normal" trafiği öğrenir, eşikleri günceller
  • FP filtresi: AI olasılığı %60+ false positive değerlendirirse alarm bastırılır — gereksiz mesaj yok
  • Tek tıkla aç/kapat: Cihazlar sayfasından her cihaz için ayrı toggle
⚡ Auto-Mode Durumu 3 cihaz · 12 tenant
Anadolu Enerji firewall 🤖 Auto ✓ · 25 kural
Lale Resort Plesk 🤖 Auto ✓ · 25 kural
Bosphorus MikroTik 🤖 Auto ✓ · 23 kural
📊 Son 24 saat:
1,247 alarm üretildi
389 alarm (%31) AI tarafından FP olarak filtrelendi
→ Size sadece anlamlı olanlar gösterildi
14 · YENİ — Webhook ve Otomasyon

Slack, Teams, n8n, kendi SOAR'ınız.

Kritik bir alarm tetiklenince — istediğiniz herhangi bir sisteme HTTP POST gönderir. Slack/Teams kanalına düşsün, Jira ticket açılsın, firewall API'sine emir gitsin, backup tetiklensin. HMAC imzalı, retry mantığı dahil.

  • 7 event tipi: alert.created, alert.critical, incident.created/resolved, auto_mode.blocked_ip, correlation.detected
  • HMAC-SHA256 imza: Müşteri sahte istekleri ayırt eder — payload bütünlüğü garanti
  • Otomatik retry: 1s → 5s → 30s exponential backoff — geçici ağ hatasında kayıp yok
  • Test gönderim + delivery log: "Geldi mi gelmedi mi?" sorusu yok — tüm denemeler audit'te
🪝 Webhook Payload İmzalı 
POST https://hooks.slack.com/...
X-OxiSec-Signature: sha256=a8f3...
Content-Type: application/json

{
  "event": "alert.critical",
  "timestamp": "2026-05-09T08:30:00Z",
  "tenant_id": 11,
  "data": {
    "title": "SSH Brute Force",
    "severity": "critical",
    "source_ip": "203.0.113.45",
    "tenant_name": "Anadolu Enerji"
  }
}
15 · v6 Platform

Canlı dashboard ve SOC akışı.

Ana panelde SSE ile canlı alarm şeridi, MITRE heatmap, dünya haritası ve özelleştirilebilir widget'lar. Korelasyon sayfasında kural yoğunluğu istatistikleri ve FP ile kapatma.

  • SOC Inbox — kural + korelasyon alarmları; Kapat / FP butonları
  • Canlı alarm akışı — dashboard ve SOC'ta gerçek zamanlı güncelleme
  • MITRE heatmap — taktik/teknik yoğunluğu tek bakışta
  • Kural sihirbazı + backtest — preset, dry-run, korelasyon geriye dönük test
  • Kamuya açık AI raporları · Canlı saldırı haritası
Dashboard v6● CANLI
🔴 3 yeni kritik · son 60 sn
🗺 Dünya haritası · kaynak ülke
📊 MITRE ısı haritası · TA0043 yoğun
16 · Adaptif Parser

Bilinmeyen log formatını öğren, terfi et.

Ayrı syslog portu yok. Tanınmayan loglar learned fazında birikir; panelden onaylanınca kurallar aktif olur. Stabil olunca resmi cihaz tipine terfi edilir (ör. pfsense).

  • Faz A: AI öğrenme + panel metrikleri + onay
  • Faz B: slug terfi + cihaz kaydı — parser motoru ~2 dk içinde yükler
  • Öğrenme kapalıyken bile onaylı/terfi kuralları çalışır (bootstrap)
learned → pfsenseterfi

1. Generic parse
2. AI kuyruk (5+ log)
3. Kural learned
4. Panel onay + terfi
5. Cihaz tipi listesinde görünür

Tüm bu özellikler, ücretsiz başlayın.

Kredi kartı gerekmez. 15 dakikada kurulum, ilk raporu aynı gün görün.

Ücretsiz Hesap Aç Planları Gör