Proje İçeriği

Gözcü – SOC Tarzı İzleme & Analitik Paneli

Proje krtik alt yapıları (  sistem odaları ısı/nem/hava kalitesi/su baskını, eczane soğuk zincir dolaplarının ısı durumlarını, NVR kayıt sistemlerinin yasal 60 gün sınırının korunması, kritk servislerin çalıştığı fiziksel sunucuların disk,ram,cpu değerlerini, firewall aylık trafik kapasitesini, acil durum kod telefonlarının SIP ile ip santrale bağlılık durumlarını, anahtarların kopma durumlarını, yoğunbakımlarda ki medikal tıbbi cihazların network durumlarını, sistem bal küpü saldırı durumunu , firewall üzeridnen en çok çıkış yapılan ülkeler, firewall üzerinden en çok çıkış yapılan portlar, AlienVault Ossim OTX api desteğ iile son community 'leri v.s.) görebiliyoruz. 

Gözcü; hastane/intranet ortamında çalışan, farklı kaynaklardan (ELK, Wazuh, Zabbix, SNMP, Honeypot’lar, XML/REST uçları vb.) verileri toplayıp tek bir SOC tarzı panelde gösteren, MITRE ATT&CK eşleştirmeleri ve canlı metriklerle desteklenen bir izleme platformudur. Ve halen geliştirilmeye devam etmektedir.

Özellikler

ELK (Elasticsearch/Logstash/Kibana) ile log toplama, indeksleme ve görselleştirme

Wazuh ile host-tabanlı güvenlik olayları ve uyarılar

Zabbix + SNMP ile ağ/sunucu/switch/NVR sağlık izlemesi

Honeypot entegrasyonları (T-Pot, MHN vb.) ve saldırı istatistikleri

MITRE ATT&CK taksonomisine göre olay eşleştirme/görselleştirme

Canlı panel UI (dark tema, USOM-Kasırga tarzı kayan uyarı bandı, donut grafikleri, sayaçlar)

GeoIP analizi ve metin/tablo/grafik özetleri

NVR/Switch/Firewall durum kartları, grup bazlı izleme

Özel PHP/JS mikro servisler (tek sayfa panel + JSON API’ler)

Grafana ile zaman serisi grafikleri (opsiyonel)

ILM politikaları ile Elasticsearch disk yaşam döngüsü yönetimi

Mimarî (Kısa Özet)

[Kaynaklar]  ├─ Syslog / Uygulama Logları / Firewall  ├─ Wazuh Agents  ├─ Zabbix (Agent + SNMP)  ├─ Honeypot (T-Pot / MHN)  ├─ Cihaz XML/REST uçları (örn. status.xml, data.xml)  └─ Özel servisler (Navistar GPS, vb.)           │           ▼ [Logstash]  -> Parsers + MITRE tag’ler + GeoIP + Normalizasyon           │           ▼ [Elasticsearch] -> İndeksler, ILM, sorgular           │           ├─ Kibana (dashboard’lar, canlı grafikler)           └─ Gözcü Web (PHP/JS) -> tek sayfa SOC panel, JSON API’ler

Bileşenler ve Kullanılan Araçlar

Çekirdek

Elasticsearch (7.17.x)

Logstash (pipeline filtreleri: grok, geoip, mutate; MITRE alanları)

Kibana (MITRE, Honeypot (MHN), GeoIP panelleri)

Güvenlik / Olay

Wazuh (agent’lar, kurallar, uyarılar, ELK entegrasyonu)

Honeypot’lar: T-Pot (çoklu honeypot dağıtımı), MHN sensörleri

Ağ & Donanım İzleme

Zabbix (host/switch/NVR/ekipman sağlık izlemesi)

SNMP (HP/Aruba ProCurve, Ruijie, firewall, NVR’ler)

PacketFence (planlı NAC entegrasyonu)

Panel/UI (Web)

PHP 7.x + Apache

Vanilla JS + Chart.js (donut/dial/sayaç grafikler)

Leaflet.js (harita; örn. ambulans GPS)

Modern dark tema (USOM-Kasırga tarzı uyarı bandı)

Yardımcılar

dcmtk/imagemagick (ayrı projelerde kullanılıyor; Gözcü’de referans)

Grafana (opsiyonel zaman serisi paneli)

Shell/PHP CLI (SNMP/get/xml çekimler için)

Önemli Dosyalar / Mikro Servisler

Bunlar örnek adlar; kendi dizinlerinle eşleştirip kullanıyorsun.

gozcu-extended.js – Panelde tüm kartları besleyen ana JS veri toplayıcı

gozcu-stats.php – Ajan sayısı, event sayısı, son uyarı, vb. JSON endpoint

camera-health.php – NVR/kamera grupları için sağlık kartları JSON/PHP

switch-health.php – Switch grupları sağlık durumu JSON/PHP

snmp-test.php – SNMP çekim testi (debug çıktı)

snmp-traffic.php – SNMP trafik metrikleri (interface RX/TX)

geo-access.php – GeoIP metin tabanlı özetler

geo-services.php – Ülke/şehir/port/servis bazlı özet (gelişimde)

navistar-location.php – Ambulans konumu (Leaflet) için JSON

kibana-live-graph.js – Kibana’dan canlı grafik alan basit fetch/iframe yaklaşımı

nvr-retention.php – NVR disk/retention tahmin/özet (opsiyonel)

Kısaca “Kullandığımız Programlar & Araçlar” Listesi

Elasticsearch / Logstash / Kibana (ELK)

Wazuh (Server + Agent’lar)

Zabbix (agent + SNMP)

T-Pot honeypot / MHN sensörleri

HP/Aruba ProCurve, Ruijie (SNMP ile)

Firewall (syslog + trafik özetleri; GeoIP)

NVR / IP Kameralar (sağlık/retention kartları)

PHP 8.x, Apache/Nginx, MySQL (ops.)

JavaScript, Chart.js, Leaflet.js

Grafana (opsiyonel)

Shell/CLI (snmpwalk, curl, tail vb.)

Projenin Amacı

Projeyi bilgi sistemlerinin kontrollerini atlamaması için yaptık. Bu proje sayesinde kritik alt yapıları gün boyu an ve an izleyebiliyoruz.

Proje içindeki en büyük inovasyon nedir? (yeni bir teknoloji veya var olan teknolojinin farklı kullanımı gibi. IOT, M2M, AI vb.)

USOM (Ulusal Siber Olaylara Müdahale Merkezi) 'nin Kasırga yazılımının ekran görüntüsü ilham olmuştur. Kısaca USAM innovasyon kaynağımız olmuştur.

Proje kurum içindeki hangi bölüme fayda sağlamıştır?(satış, pazarlama, finans, İK, IT, Üretim, Planlama, Satın alma, Lojistik Müşteri İlişkileri gibi)

Bilgi Sistemleri

Projenin hayata geçirilmesi konusunda üst yönetimin desteğini tam olarak alabildiniz mi?

Yöneticilerimiz her zaman tam destek sağlamıştır.

Proje sonunda ortaya çıkan sonuçları analiz edebildiniz mi? Rakamsal verilerle ifade eder misiniz?(ROI, maliyetlerde yüzdesel azalma, üretim süresinde azalma, hata payının düşmesi vs.)

Proje halen daha geliştiem aşamasında. Fakat Bilgi Sistemleri Merkezinde tek ekrandan bir çok ekranın aktif/pasif durumlarını görebiliyoruz. 

Projenizde şirket içinden kaç kişi aktif olarak görev almıştır? Ekip birimleri hakkında kısaca bilgi verir misiniz?

2

Projenizde (varsa)işbirliği kurduğunuz veya destek aldığınız bilişim şirketlerini belirtiniz.

-

Proje sırasında kullandığınız ve spesifik önemi olan markaları (varsa) belirtiniz. (Yazılım veya donanım markaları)

-