IBM QRadar 7.5: Detaylı İnceleme ve Öğretici Kılavuz

QRadar’ın Genel Mimarisi ve Bileşenleri

IBM QRadar modüler bir mimariye sahiptir ve ihtiyaca göre tek bir All-in-One sistem olarak veya dağıtık yapıda birden çok sunucuya yayılarak çalışabilir. Temel olarak, QRadar mimarisi Veri Toplama, Veri İşleme ve Veri Arama olmak üzere üç katmandan oluşur. Küçük bir kurulumda tüm işlevler tek cihazda (All-in-One) toplanırken, büyük kurulumlarda farklı bileşenler ayrı sunuculara dağıtılarak ölçeklenebilirlik ve performans artırılır. QRadar’ın temel bileşenleri şunlardır:

• QRadar Console (Konsol) – QRadar’ın merkezi yönetim birimidir. Kullanıcı arayüzünü, dashboard’ları, arama ve raporlama fonksiyonlarını barındırır; olay ve akış verilerinin görünümü, Offense (güvenlik olayı) takibi ve yönetimi bu bileşen üzerinden yapılır. Dağıtık ortamlarda konsol genellikle yalnızca arayüz ve koordinasyon amaçlıdır; asıl veri işleme ve depolama alt bileşenlerde gerçekleşir.

• Event Collector (Olay Toplayıcı) – Sisteme gelen logları (olay kayıtlarını) toplayan bileşendir. Kaynaklardan (cihazlar, sunucular, uygulamalar vb.) gelen ham logları alır, ilk işlemleri yapar. Event Collector gelen logları önce lisans filtresinden geçirir (lisanslı EPS değerinin üzerinde gelenler 5 GB’lık tampon sonrası düşürülür). Ardından log kaynağını tanır ve uygun DSM’e yönlendirir; burada loglar parse edilip QRadar’ın anlayacağı alanlara normalleştirilir. Aynı zamanda Event Collector, benzer tekrar eden logları coalescing denen işlemle birleştirerek veri miktarını azaltır (örneğin aynı saniyede gelen aynı türden yüzlerce firewall logunu tek kayıt yapabilir). Topladığı veriyi kendi üzerinde depolamaz; işlenmiş olayları Event Processor’a iletir.

• Event Processor (Olay İşleyici) – Event Collector’lardan gelen parse edilmiş ve normalleştirilmiş olayları alıp işleyen bileşendir. Event Processor üzerinde gelen loglar tekrar bir lisans kontrolüne tabi tutulur ve ardından QRadar’ın kural motoru olan Custom Rules Engine (CRE) devreye girer. CRE, tanımlanmış korelasyon kurallarına göre olayları analiz eder; bir veya birden fazla kural eşleşirse, Magistrate bileşeni ilgili Offense’i (güvenlik vakası) oluşturmaya karar verir. Event Processor aynı zamanda olay verilerini disk üzerinde Ariel Database adıyla bilinen veritabanına yazar ve lokal depolama yapar. Yeni bir IP, host veya port görüldüğünde Asset Profiler modülü devreye girerek varlık envaterini günceller.

• Flow Processor (Akış İşleyici) – Ağ trafiğinden elde edilen flow (akış) verilerini işleyen bileşendir. Eğer ortamda ayrı bir QFlow Collector yoksa, Flow Processor hem toplama hem işleme rolünü üstlenir. Harici network akış protokollerini (ör. NetFlow, IPFIX, sFlow, J-Flow) doğrudan alabilir ve işleyebilir. Flow Processor, Event Processor’a benzer şekilde kendi Ariel veritabanına sahiptir ve akış verilerini depolar. Kurallar motoru, akış verileri üzerinde de çalışarak şüpheli ağ aktivitelerini tespit edip Offense oluşturulmasına katkı sağlar.

• QRadar QFlow Collector (Akış Toplayıcı) – SPAN portu veya ağ TAP noktalarına bağlanarak ham ağ trafiğini dinleyen ve flow kayıtlarına çeviren bileşendir. Temel görevi, paket başlıklarından iletişim bilgilerini çıkartarak iki sistem arasındaki her bağlantıyı bir akış kaydı olarak oluşturmaktır. QFlow Collector tam paket içeriğini saklamaz (bir full packet capture aracı değildir), bu nedenle sadece meta verileri ve ilk birkaç paket bilgisini alarak uygulama ve protokol tespiti yapar. Topladığı akışları lisans filtresinden geçirdikten sonra (flow lisansı dakika başına hesaplanır ve 5 GB tampon alanı vardır) Event/Flow Processor’a iletir. QFlow üzerinde Application Detection Module bulunur; bu sayede akışın hangi uygulamaya ait olduğunu belirlemek için dört yöntem kullanılır: Kullanıcı tanımlı (belirli IP/port için özel tanım), Durum tabanlı çözümleme (paket içi imzalara göre), İmza eşleştirme (ön tanımlı imzalar ile) ve Port tabanlı eşleştirme (ör. 80 portu HTTP). Akışlar ayrıca Superflow denilen gruplara toparlanabilir – örneğin tek bir kaynaktan birçok hedefe giden tarama trafiği A tipi bir “superflow” olarak birleştirilebilir (Network Scan), çok kaynaktan tek hedefe gelen DDoS trafiği B tipi olarak, bir kaynaktan tek hedefe farklı portlara giden trafik de C tipi olarak sınıflandırılabilir. Bu sayede benzer çok sayıda akış tek kayıtta özetlenerek veritabanında yer tasarrufu sağlanır.

• Data Node (Veri Düğümü) – QRadar’ın depolama kapasitesini artırmak ve arama performansını yükseltmek için kullanılan bileşendir. Data Node, Event Processor veya Flow Processor üzerindeki Ariel veritabanını yatayda genişleten bir harici veri düğümü olarak düşünülebilir. Örneğin yüksek EPS kapasitesi nedeniyle tek bir Event Processor’ün disk alanı yetersiz kalıyorsa, ek bir Data Node ekleyerek depolama artırılabilir. Birden fazla Data Node eklenerek yüzlerce terabaytlık arşiv kapasitesi oluşturmak mümkündür. Ayrıca arama sorguları Data Node üzerinde dağıtık çalıştırılabildiği için, büyük ölçekli ortamlarda arama ve raporlama performansına katkı sağlar.

• App Host (Uygulama Sunucusu) – QRadar’ın modüler uygulamalarını çalıştırmak için özel olarak ayrılmış bir yönetilen host türüdür. QRadar ortamına kurulabilen Use Case uygulamaları, eklentiler (ör. User Behavior Analytics, Threat Intelligence, vs.) normalde konsol sunucusunda çalışır. Ancak bu uygulamalar yoğun CPU, bellek ve disk kaynağı tüketebildiğinden, konsol üzerindeki yükü azaltmak için App Host adı verilen ayrı bir sunucuya alınabilir. App Host, uygulamalar için ekstra işlem gücü ve depolama sağlar; böylece QRadar’ın çekirdek SIEM fonksiyonları diğer bileşenlerde kesintisiz çalışırken uygulamalar ayrı host üzerinde çalışır.

Genel olarak bu bileşenler birlikte çalışarak log ve akış verilerini gerçek zamanlı toplar, işler, depolar ve analiz eder. Tüm sistemin koordinasyonu QRadar Console üzerinden sağlanır. Küçük ölçekli bir kurulumda tek bir sunucu tüm rolleri üstlenebilirken, büyük bir dağıtık kurulumda bu roller ayrıştırılarak ölçeklendirilir. Sonuçta QRadar, ister tek bir cihazda ister dağıtık mimaride olsun, aynı temel fonksiyonları yerine getirerek kurumun geniş ağ ve güvenlik verilerini merkezî bir zeka platformunda yönetir.

Log Toplama ve Analizi

QRadar, çok çeşitli kaynaklardan gelen log (olay) verilerini toplayarak bunları anlamlandırır ve güvenlik açısından analiz edilebilir hale getirir. Log toplama sürecinde en kritik kavramlar DSM, log source tanımları, normalizasyon ve parsingtir.

DSM (Device Support Module), belirli bir cihaz veya log türü için QRadar’ın kullandığı özelleştirilmiş parse modülüdür. Her desteklenen cihaz tipinin (ör. Windows sunucular, Linux syslog, Cisco firewall, IBM DB2, vs.) bir DSM’i vardır. QRadar’a bir log kaynağı eklenirken uygun DSM seçilir veya otomatik algılanır. Örneğin bir Cisco ASA cihazından syslog geliyorsa, QRadar bunu Cisco ASA DSM ile eşleştirerek doğru şekilde ayrıştırır.

Log Source (Günlük Kaynağı), QRadar’da bir log üreten sistemin tanımıdır. Her kaynağa bir isim, IP/adres, protokol (Syslog, JDBC, API vb) ve DSM tanımı ile giriş yapılır. QRadar bir log aldığında, header bilgilerine bakarak hangi kaynaktan geldiğini anlamaya çalışır. Eğer tanınmayan bir kaynaktan log geliyorsa, arayüzde “Unknown” olarak işaretlenir ve bu durumda yeni bir log source tanımı yapmak gerekir. Doğru tanımlanmış log kaynakları, QRadar’ın gelen ham iletileri uygun DSM’e yönlendirmesini sağlar.

Normalization (Normalleştirme) ve Parsing (Ayrıştırma) adımı, ham log mesajlarının parçalanarak alanlara ayrılması ve QRadar’ın ortak veri modeline uygun hale getirilmesidir. Örneğin bir firewall logunda kaynak IP, hedef IP, port, aksiyon (izin/verme) gibi bilgiler DSM tarafından regex veya benzeri yöntemlerle ayrıştırılır ve QRadar içinde standart alanlara yerleştirilir. Böylece farklı cihazlardan gelen loglar ortak bir biçimde temsil edilir (örn. hepsinde Source IP alanı olur). Normalizasyon sayesinde QRadar cihaz bağımsız arama, korelasyon ve raporlama yapabilir. Özelleştirilmiş alanlar (Custom Properties) da tanımlanabilir; kullanıcı regex ile log içinden belirli bir değeri çekip alan olarak ekleyebilir.

QRadar, olayları toplarken belirli bir hıza kadar lisanslar. EPS (Events Per Second), saniyede işlenmesine izin verilen maksimum olay sayısını ifade eder. Lisans kapasitesi aşılırsa QRadar öncelikle biriktirme tamponu kullanır, ancak sürekli aşım olursa fazla logları drop etmeye başlar (sistem 5 GB’lık buffer sonrasında yeni gelenleri kabul etmez). Bu yüzden doğru lisans kapasitesinin ayarlanması kritiktir. Örneğin 5000 EPS lisansınız varsa, ortalama log hızınız bunun altında olmalıdır; aksi halde bazı loglar işlenmeden kaybolabilir.

Toplanan ve ayrıştırılan loglar Ariel veritabanına yazılır ve bu yapı sayesinde hızlı arama yapılabilir. Log verileri aynı zamanda korelasyon için Custom Rules Engine tarafından gerçek zamanlı değerlendirilir (aşağıda offense yönetimi bölümüne bakınız). QRadar, loglardan elde ettiği bilgilerle bir Asset Database (Varlık Veritabanı) de oluşturur. Örneğin bir logda yeni bir IP/host görüldüğünde bu veritabanı güncellenerek ilgili varlığın envanteri (açık portlar, görülen protokoller vb.) tutulur. Bu, ileride o varlığa dair anormallik tespitinde (örn. normalde hiç DNS trafiği yapmayan bir sunucunun birden DNS kullanması gibi) yardımcı olur.

Özetle: QRadar’ın log toplama ve analiz süreci, ham veriyi alıp tanıyarak ayrıştırma, normalleştirme, gerekli ise birleştirme (coalescing) işlemlerinden geçirip depolamaya ve korelasyona hazır hale getirmeyi içerir. Bu sayede yüzlerce farklı kaynaktan gelen heterojen loglar, QRadar içerisinde anlamlı ve karşılaştırılabilir güvenlik olayları olarak merkezi bir yerde toplanmış olur.

Flow (Ağ Akışı) Verisi

Flow verileri, ağ üzerinde gerçekleşen iletişimlerin meta verileridir. Bir akış kaydı, ağdaki iki uç sistem arasındaki belirli bir iletişim oturumunu temsil eder – örneğin bir istemcinin web sunucusuna HTTP isteği veya iki makine arasındaki SSH bağlantısı birer flow olarak izlenir. Flow’lar genellikle kaynak IP, hedef IP, kaynak/hedef port, protokol, aktarılan byte ve paket sayısı, başlangıç/bitiş zamanları gibi bilgileri içerir. QRadar bu akış verilerini toplayarak Network Activity (Ağ Etkinliği) altında analiz eder.

Akış verisi toplanmasının iki temel yolu vardır:

• DPI Tabanlı Toplama (QFlow Collector): QRadar’ın kendi QFlow modülü, ağa takılan bir sensör gibi çalışarak SPAN (port mirror) veya TAP üzerinden gelen trafiği dinler ve her yeni bağlantıyı akış olarak çıkarır. Bu yöntem, trafiğin derin paket incelemesi (DPI) ile analiz edilmesini sağlar. QRadar Network Insights (QNI) lisansı varsa, daha da ileri gidip paket içeriğinden dosya, sertifika, etki alanı adı gibi ek zenginleştirme yapabilir. QFlow Collector, ağ trafiğini gerçek zamanlı yakalayıp flow oluştururken tam içerik yakalamaz; dolayısıyla yüksek hacimli trafikte dahi temel metadata’yı alarak performanslı çalışır.

• NetFlow/sFlow/IPFIX gibi Harici Akışlar: Birçok ağ cihazı (yönlendiriciler, switch’ler, güvenlik duvarları) kendi gördükleri trafiğin akış özetlerini NetFlow (Cisco), sFlow, J-Flow (Juniper) veya IPFIX formatlarında gönderebilir. QRadar, Flow Processor bileşeni aracılığıyla bu harici flow verilerini kabul eder ve işler. Örneğin ağdaki router’lar IPFIX formatında akış verisini QRadar’a yollayarak, ek bir sensör gerekmeksizin trafiğin izlenmesini sağlar. QRadar 7.5 ile birlikte IPFIX akışlarının çift yönlü (bidirectional) desteği de eklenmiştir – yani cihaz tarafından gönderilen giriş/çıkış yönündeki flowlar QRadar’da tek bir çift yönlü akış olarak birleşebilir, bu da performansı artırabilir. Bunun detayına “Yenilikler” bölümünde tekrar değineceğiz.

Flow verileri QRadar’da alındıktan sonra Event verileriyle benzer şekilde lisanslanır, ancak burada metrik FPS (Flows Per Second) yerine dakika başına flow şeklindedir (genellikle Flows Per Minute olarak ölçülür). QFlow Collector üzerindeki Aggregator modülü, bir dakikada gelen akış sayısını lisans ile karşılaştırır ve aşım varsa 5 GB tampon sonrası fazla akışları düşürür. Örneğin lisansınız 20k FPM ise, sürekli bu değerin üzerinde flow gelmesi durumunda bir süre sonra yeni akışlar işlenmeyecektir.

Toplanan akışlar Application Detection aşamasından geçer. QRadar, akışların hangi uygulamaya ait olduğunu belirlemek için birden fazla yöntem kullanır: Kullanıcı tanımlı eşleme, durum-temelli analiz, imza eşleştirme ve port tabanlı eşleştirme. Örneğin 443 portu genelde HTTPS olsa da, QRadar içindeki imza veritabanı sayesinde o trafiğin gerçekten HTTPS mi yoksa VPN gibi başka bir protokol mü olduğunu saptayabilir. QRadar 7.5, özellikle şifreli trafiğin arttığı günümüzde, port bilgisini kullanarak uygulama tanımlamayı kolaylaştırmak için “Common Destination Port Application ID” adında ek bir alan getirmiştir. Bu sayede, örneğin 443 portundan geçen ve normalde sadece TLS olarak görünen trafik için “bu aslında muhtemelen HTTPS” gibi bir yorum otomatik yapılabilir.

Ayrıca QRadar, akışları belirli kriterlere göre birleştirebilir (Flow Aggregation). Bir kaynak IP’nin çok sayıda hedefe kısa sürede bağlandığı durumlar (Network scan) veya çok sayıda IP’nin aynı hedefe yöneldiği durumlar (DDoS) özel algılanıp tek bir “Superflow” olarak temsil edilebilir. Örneğin bir tarama saldırısında 1 IP’nin 1000 farklı IP’ye bağlanması tek bir süper akış kaydı olarak saklanabilir. Bu mekanizma veritabanında performansı artırırken analiste de kolaylık sağlar, çünkü tek bir kayıttan geniş bir saldırı resmi görülebilir.

Flow verileri de olay verileri gibi Ariel DB’de saklanır ve Network Activity panelinden sorgulanabilir. QRadar arayüzünde akış detayına girildiğinde, o akışa dair zengin bilgiler sunulur: ilgili kullanıcı/host bilgileri, coğrafi konum, hatta entegre tehdit istihbaratı kontrolü. Örneğin bir akıştaki IP adresi bilinen kötü niyetli IP’lerle eşleşiyorsa, arayüzde uyarı gösterebilir. IBM QRadar 7.5 ile gelen bir yenilik olarak, akış detay penceresindeki IP veya URL üzerine tıklandığında doğrudan IBM X-Force Exchange üzerinden o nesnenin tehdit istihbaratına bakılabiliyor – bu da analistin hızlıca o IP/URL güvenilir mi öğrenmesini sağlıyor.

Özetle, QRadar ortamında loglar kadar network flow verileri de birinci sınıf vatandaş olarak ele alınır. Modern saldırılar sadece loglarda değil, ağ trafiğinde de iz bırakacağından, QRadar’ın entegre NDR (Network Detection and Response) yetenekleri SOC ekiplerine çok değerli bağlam sağlar. Bir saldırganın hareketleri hem ürettiği loglardan hem de ağ bağlantılarından izlenerek daha bütüncül bir tespit ve analiz yapılabilir.

Offense Yönetimi

QRadar’ın asıl gücü, topladığı olay ve akış verilerini birleştirerek anlamlı güvenlik vakaları – QRadar terminolojisiyle Offense – oluşturabilmesidir. Offense’ler, belirli kural ihlallerinin veya anormal davranışların tespit edilmesi sonucu tetiklenen güvenlik uyarılarıdır. QRadar’da Offense yönetimi, kural motoru, Offense yaşam döngüsü ve Offense’lerin incelenip kapatılmasını kapsayan bir süreçtir.

Kural Motoru (Custom Rules Engine – CRE): QRadar, içinde yüzlerce hazır korelasyon kuralıyla gelir ve yeni kurallar da tanımlanabilir. Bu kurallar, gelen olay ve akışları gerçek zamanlı tarayarak tanımlı koşulları arar. Örneğin “Bir kullanıcı 5 dakika içinde 10 kez başarısız oturum açtıysa” veya “Bir IP, kısa sürede 100 farklı IP’ye bağlandıysa” gibi kurallar tespit için kullanılabilir. Bir veya daha fazla kural şartı yerine geldiğinde CRE ilgili olayı korelasyon listesine (CRE Event List) ekler. Bu noktada QRadar’ın konsolunda çalışan Magistrate adlı süreç devreye girer.

Offense Oluşturma: Magistrate, CRE’den gelen tetiklemelere bakarak yeni bir Offense oluşturup oluşturmayacağına karar verir. Genellikle benzer olayları gruplayarak tek bir Offense çatısı altında birleştirir. Örneğin aynı kaynak IP’den gelen bir brute-force saldırısı 20 farklı logla tespit edilmişse, bunlar tek Offense olarak gruplanır. Eğer halihazırda açık benzer bir Offense varsa yenisi yerine mevcut Offense güncellenir; değilse yeni Offense açılır. Oluşturulan Offense, QRadar Console üzerindeki Offenses tabında listelenir ve durum bilgisi “Açık (Open)” olarak işaretlenir. Her Offense, Özet (Summary) sayfasında ilgili kural, kaynak/hedef IP’ler, dahil olan event/flow sayısı, ilk ve son görülen zaman, önem derecesi gibi bilgilerle görünür.

Offense Magnitude (Öncelik Derecesi): Her Offense, 1 ile 10 arasında bir büyüklük puanına sahiptir (Magnitude). Bu puan üç bileşene dayanarak hesaplanır: Severity (Şiddet) – tehdidin tehlike düzeyi, Relevance (İlgililik) – hedef sistemin kritikliği veya savunmasızlığı, Credibility (Güvenilirlik) – olayı üreten logların güvenilirlik skoru. QRadar her Offense için bu metrikleri değerlendirip bir toplam puan çıkarır. Örneğin iç ağa yönelik başarısız oturum açma denemeleri belki 5-6 magnitude üretebilirken, korumasız bir sunucuda tespit edilen zararlı hareketler 9-10 gibi yüksek bir magnitude değeri alabilir. Bu sayede SOC analistleri, hangi Offense’e önce bakmaları gerektiğini anlayabilirler.

Offense Yaşam Döngüsü: Bir Offense oluşturulduğunda Açık (Open) durumdadır ve aktif olarak güncellenebilir. Eğer belli bir süre (örneğin 1 hafta) yeni ilgili olay gelmezse Offense İnaktif duruma geçer, ancak kapatılmaz – gri renkle listede kalır. Analistler, araştırmalarını tamamladıklarında Offense’i Close (Kapat) edebilirler. Kapatılan Offense’ler genelde sistemde bir süre (varsayılan ~30 gün) tutulur ve sonra arşivlenir/silinir. QRadar’da Offense tablosunda her Offense bir ID alır ve kapalı olsa bile geçmişe dönük raporlama için bu ID ile referans verilebilir. Offense’lerin yaşam döngüsünde ayrıca Hidden (Gizli) ve Protected (Korunan) gibi ara durumlar da vardır. Gizleme, yanlış pozitif veya önemsiz olduğu düşünülen bir Offense’i listeden kaldırmak için kullanılır (Offense silinmez ama normal listelerde görünmez). Koruma ise önemli bir Offense’in yanlışlıkla kapatılmasını önlemek için kullanılır; korunan Offense’ler yalnızca “Protect” yetkisi olan kullanıcılarca kapatılabilir ve listede özel bir işaret alır. Ayrıca Offense’lere dair analistler not ekleyebilir, ileride yapılacak işleri işaretlemek için follow-up bayrağı koyabilir veya bir Offense’i belirli bir kullanıcıya atanmış olarak işaretleyebilirler. Bu olanaklar, SOC ekiplerinin iş akışını düzenleyerek her Offense’in sorumluluğunu, durumunu ve tarihçesini takip etmelerine yardımcı olur.

Offense Dashboard (Gösterge Paneli): QRadar arayüzünde Offense’ler genellikle Offenses sekmesindeki listede yönetilir. Ancak ayrıca Dashboard üzerinden de bazı Offense widget’ları ile genel bakış sağlanabilir. Örneğin toplam açık Offense sayısı, offense’lerin kategorilere göre dağılımı, son 24 saatte oluşan Offense grafiği gibi göstergeler, yöneticilerin genel durumu izlemesi için dashboard panellerine eklenebilir. IBM QRadar 7.5 ile gelen Analyst Workflow uygulaması, Offense yönetimini daha modern bir arayüzle sunarak analistlerin vakaları inceleme ve arama süreçlerini kolaylaştırmayı hedefler (7.5.0 UP11 sürümünde Analyst Workflow App varsayılan dashboard olarak bile ayarlanmıştır). Offense detayına inmek için ise Offense üzerine çift tıklayarak veya Investigator aracıyla offense’i açarak ilgili event ve flow’ları, kural tetiklemelerini incelemek mümkündür.

Özetle Offense yönetimi, QRadar’ın kalbini oluşturan olay korelasyonu sonucunda üretilen güvenlik vakalarının efektif şekilde ele alınması sürecidir. QRadar, kural motoru sayesinde çok sayıda ham veriyi anlamlı az sayıda alarma indirger; bu alarmlar (Offense’ler) SOC ekiplerince Dashboard/Offenses ekranlarından izlenir, önceliklendirilir, detaylı tetkik edilir ve nihayetinde gerekli aksiyonlar (olay müdahalesi, bildirim, kapatma vs.) alınır. Bu yaşam döngüsünün etkin yönetimi, bir SOC’un olaylara hızlı yanıt verip veremeyeceğini belirleyen kritik bir faktördür.

Dashboard ve Arama (AQL)

QRadar, toplanan güvenlik verilerini anlamlandırmak ve görselleştirmek için zengin bir dashboard ve arama yeteneği sunar. Kullanıcılar, Dashboard panelleri aracılığıyla sistemin genel durumu ve belirli metrikler hakkında hızlı özetler alabilir; ayrıca güçlü arama motoruyla log ve flow verisi içinde detaylı sorgular yapabilir. Bu bölümde dashboard kullanımından ve QRadar’ın sorgu dili olan Ariel Query Language (AQL)’den bahsedeceğiz.

Dashboard Kullanımı: QRadar’ın ana arayüzünde Dashboard sekmesi, özelleştirilebilir paneller ile çeşitli güvenlik göstergelerini takip etmeyi sağlar. Sistem, kurulumla birlikte bazı hazır paneller getirir (örn. Threat Monitoring – tehdit izlemesi; Network Overview – ağ genel görünümü vb.). Her panel içinde birden fazla widget bulunabilir. Widget’lar, grafikler (çubuk, pasta, zaman serisi), sayısal göstergeler veya tablolar şeklinde olabilir. Örneğin “Son 24 saatte oluşan Offense sayısı”, “En çok log üreten 10 kaynak”, “CPU kullanım trendi” gibi widget’lar oluşturulabilir. Yeni bir dashboard paneli eklemek için kullanıcılar New Dashboard seçeneğiyle boş bir panel açıp, içini istedikleri widget’larla doldurabilirler. Widget’lar genellikle bir AQL sorgusuna veya hazır bir arama filtresine dayanarak veriyi görselleştirir. Örneğin “En fazla firewall deny log’u üreten IP’ler” şeklinde bir top10 liste grafiği, arka planda ilgili AQL sorgusunu çalıştırır ve sonuçları görsel olarak sunar. Dashboard’lar, SOC ekiplerinin anlık durum farkındalığını artırır ve herhangi bir anomaliyi hızlıca fark etmelerine yardımcı olur. QRadar 7.5 itibarıyla arayüz artık koyu tema desteklemektedir ve dashboard ekranında arka planda dönen aramaların ilerleme durumu bir yükleme çubuğu ile gösterilmektedir – bu da büyük veri setlerinde sorgu çalışırken kullanıcılara ne kadar kaldığını göstererek daha iyi bir deneyim sunar.

Log ve Flow Arama Teknikleri: Detaylı analiz gerektiğinde, QRadar’ın Log Activity (Günlük Etkinliği) ve Network Activity (Ağ Etkinliği) sekmeleri kullanılarak olay ve akış verileri içinde arama yapılır. Temel arama yöntemi, filtreler ve basit sorgu ifadeleri ile arayüz üzerinden yapılabilir. Örneğin Log Activity ekranında belirli bir zaman dilimi seçip ardından filtre kısmına DEVICETYPE(xxx) veya LOGSOURCE(xxx) gibi kriterler ekleyerek yalnızca belirli cihazdan gelen logları listeleyebilirsiniz. Arayüzde sunulan Quick Filter seçenekleri ile IP adresine, log kaynağına, severity değerine vs. göre hızlı filtreleme yapmak mümkündür. Benzer şekilde Network Activity ekranında akışları kaynak IP, port, protokol gibi alanlara göre filtreleyerek arayabilirsiniz. QRadar, arka planda tüm bu filtrelemeleri kendi sorgu dili olan AQL’e çevirip Ariel veritabanından sonuçları çeker. Arama sonuçları tablo halinde listelenir ve istenirse CSV, XML, JSON gibi formatlarda dışa aktarılabilir.

Ariel Query Language (AQL): QRadar’ın güçlü arama yeteneklerinin temelinde AQL adı verilen SQL-benzeri sorgu dili yatar. AQL, QRadar’ın arkasındaki Ariel DB’den veri çekmek, filtrelemek ve işlem yapmak için kullanılır. Temel söz dizimi olarak SQL’e çok benzer: SELECT ... FROM events veya FROM flows şeklinde tablo olarak events (tüm olaylar) veya flows (tüm akışlar) üzerinden sorgu yapabilirsiniz. WHERE ile koşullar, GROUP BY ile gruplama, HAVING ile sonuç filtresi, ORDER BY ile sıralama gibi yapılar desteklenir. AQL ayrıca QRadar’a özgü birçok fonksiyon içerir:

• LOGSOURCETYPENAME(devicetype), LOGSOURCEGROUPNAME(devicegrouplist) gibi fonksiyonlar log kaynağı tiplerini isimleriyle filtrelemenizi sağlar.

• QIDNAME(qid) belirli event ID’sinin açıklamasını getirir.

• RULENAME(creEventList) bir olayın tetiklediği kural adını verir (korelasyon event’leri için).

• REFERENCESET(‘setadı’, alan) veya REFERENCETABLE(‘tabloAdı’,’kolon’, alan) fonksiyonları, harici referans set/table verilerini sorgu içinde kullanmanıza olanak tanır.

• COUNT(*), SUM(), AVG() gibi agregasyon fonksiyonları ve DISTINCTCOUNT() gibi özelleşmiş fonksiyonlar mevcuttur.

AQL ile yapılamayacak kadar karmaşık görünen bazı aramalar dahi mümkün hale gelir. Örneğin “Son 1 günde kural ismi içinde ‘suspicious’ geçen kuralları tetikleyen logları ve her birinde görülen benzersiz kullanıcı sayısını bul” sorgusu şu şekilde yazılabilir:

Yukarıdaki örnekte DISTINCTCOUNT(username) ile her kural için tekil kullanıcı sayısı alınmakta, ILIKE '%suspicious%' koşuluyla kural adında “suspicious” geçenler filtrelenmektedir. Benzer şekilde, ağ akışlarında belirli anormal kalıpları bulmak AQL ile mümkündür. Örneğin “son 24 saatte, farklı saatlerde küçük hacimde düzenli aralıklarla iletişim kuran IP çiftlerini bul” diyerek olası beaconing (sinyalleşme) tespiti yapmak için şu sorgu örnek verilebilir:

Bu sorgu, son 24 saatte 20’den fazla farklı saatte ancak toplamda 25’ten az akış gerçekleşen IP çiftlerini getirir – bu durum bir sistemin her saat başı ufak bir veri göndermesi (olası bir beaconing zararlı iletişim) anlamına gelebilir. Görüldüğü gibi AQL ile oldukça ileri seviye davranış analizleri yapmak bile mümkün.

AQL sorguları, QRadar arayüzündeki gelişmiş arama modunda veya QRadar API’leri üzerinden kullanılabilir. Özellikle çok büyük ortamlarda, web arayüzünde listelenemeyecek kadar fazla sonuç dönecek sorgular direkt AQL ile API’den çekilebilir. Ayrıca rapor tanımlarında, kural tanımlarında (örn. “AQL filter” koşulu ile) ve harici entegrasyonlarda (SOAR, SIEM-SOAR bağlantılarında) AQL kullanımı söz konusudur.

Arama Performansı ve İpuçları: QRadar 7.5 sürümüyle birlikte arama performansında çeşitli iyileştirmeler yapılmıştır. Özellikle birden çok Data Node içeren dağıtık ortamlarda, arama dağıtık şekilde çalıştığı için büyük veri setlerinde dahi saniyeler mertebesinde sonuç almak mümkündür. AQL sorguları yazarken, mümkün olduğunca index’lenmiş alanları kullanmak (örn. sourceip, destinationip, devicetype gibi alanlar indeksli olduğu için daha hızlı filtreler) tavsiye edilir. Ayrıca zaman aralığını dar tutmak, sadece gereken alanları SELECT etmek (SELECT * yerine) performansa olumlu katkı sağlar. QRadar’ın Metin Arama (Full Text Search) özelliği de bulunmaktadır; TEXT SEARCH 'keyword' şeklinde sorgu yazarak log mesajı içeriğinde anahtar kelime araması yapılabilir. Bu, özellikle belirli bir hata mesajını veya dizgiyi içeren logları bulmak istediğinizde kullanışlıdır.

Sonuç olarak, QRadar’ın dashboard ve arama yetenekleri, hem yüksek seviye yönetsel görünüm sağlar hem de derinlemesine sorgulamalarla adli analiz imkanı sunar. Dashboard’lar SOC ekiplerinin durum izleme paneli gibiyken, AQL destekli arama motoru veri okyanusunda istenen bilgiyi çekip çıkartan güçlü bir araçtır.

QRadar 7.5 Sürümündeki Yenilikler

IBM QRadar sürüm 7.5, önceki sürümlere kıyasla birçok altyapı güncellemesi ve yeni özellikle gelmiştir. Hem işletim sistemi platformunda önemli bir değişiklik yapılmış, hem de performans, güvenlik ve entegrasyon konularında geliştirmeler sunulmuştur. İşte QRadar 7.5 ile gelen başlıca yenilikler:

• RHEL 8.10 Geçişi: QRadar 7.5 sürümüyle birlikte altında çalışan işletim sistemi olarak Red Hat Enterprise Linux 7’den Red Hat Enterprise Linux 8’e geçiş yapılmıştır. Özellikle 7.5.0 Update Pack 8 itibarıyla QRadar’ın temel OS versiyonu RHEL 7.9’dan RHEL 8.8/8.10 seviyesine yükseltilmiştir. Bu değişiklik, RHEL7’nin ömrünün sona ermesine (EOL) hazırlık olarak yapıldı ve sistemin daha yeni bir Linux çekirdeği ve kütüphaneler üzerinde çalışmasını sağladı. RHEL 8.10 ile birlikte gelen performans ve güvenlik iyileştirmeleri QRadar’a da yansımıştır. Not: Mevcut sistemlerini 7.5’e yükselten yöneticilerin, RHEL8 geçişi için ek adımlara dikkat etmesi gerekir (Leapp pre-test aracı kullanımı vb. sağlanmıştır).

• Secure Boot Desteği: QRadar 7.5.0 Update 2 itibarıyla UEFI firmware kullanan sistemlerde Secure Boot desteği sunulmuştur. Secure Boot, sunucu açılışında yalnızca imzalı ve güvenilir kernel/modül kodlarının yüklenmesini garantileyerek rootkit tarzı saldırılara karşı koruma sağlar. QRadar’ı Secure Boot açık bir EFI sistemde çalıştırmak isteyen yöneticiler, IBM’in sağladığı dijital imza anahtarını makinenin güvenlik depolama birimine (MOK) ekleyerek bu özelliği etkinleştirebilir. Bu sayede QRadar kernel modülleri IBM tarafından imzalanmış olduğundan, sistem açılışta bunların güvenilir olduğunu doğrulayacaktır. Özellikle donanım güvenliğinin kritik olduğu ortamlarda (ör. güvenliğin çok yüksek olduğu ağlar, finans sektörü vb.) Secure Boot desteği önemli bir yeniliktir. Ancak dikkat: QRadar’ı sanal makinada çalıştırırken de (örn. VMware ESXi) Secure Boot etkinleştirmek isterseniz, VM ayarlarında firmware türünü UEFI + Secure Boot yapmanız gerekmektedir.

• IPFIX Çift Yönlü Akış Desteği: QRadar 7.5’te ağ akışı tarafında önemli bir iyileştirme, IPFIX protokolüyle ilgilidir. IP Flow Information Export (IPFIX), NetFlow’un gelişmiş bir versiyonu olup çift yönlü akış verilerini destekleyebilir. QRadar 7.5.0 UP2 ile birlikte, IPFIX üzerinden gelen çift yönlü akışlar tam desteklenmeye başlanmıştır. Yani eğer bir cihaz, tek bir IPFIX kaydı içinde bir iletişimin hem gidiş hem geliş yönü bilgilerini gönderiyorsa, QRadar bunu doğru anlayıp tek bir akış olarak kaydedebilmektedir. Bu, özellikle yüksek hacimli trafikleri olan ortamlarda performansı artırır çünkü her yön için ayrı iki kayıt yerine tek kayıt işlenmiş olur. Sonuç olarak IPFIX kullanan ağlarda QRadar daha verimli akış toplayabilir. Ayrıca 7.5 ile akış işleme altyapısı genel olarak geliştirildi: QFlow işlemcisi, harici akışlar için multi-threaded (çok iş parçacıklı) işlem yeteneği kazandı, böylece paralel olarak daha fazla akış işlenebiliyor.

• X-Force Entegrasyonu: IBM’in tehdit istihbarat servisi X-Force Exchange, QRadar 7.5’te daha sıkı bir şekilde entegre edilmiştir. Yeni sürümle birlikte gelen IBM Security Threat Content paketi, X-Force’dan alınan kötü IP/adres göstergelerini QRadar kural ve referans setlerine dahil etmeyi kolaylaştırır. Özellikle QRadar Network Insights 7.5 itibarıyla, akışlar üzerindeki bazı alanlar (IP adresi, URL, sertifika parmakizi vb.) UI içinde X-Force ile entegre edildi. Bir analist, akış detayında gördüğü şüpheli bir IP adresine tek tıkla X-Force Exchange üzerinde baktığında o IP’nin kötü şöhretli olup olmadığını, kategorisini ve güven skorunu görebilir. Benzer şekilde QRadar içinde güncellenen X-Force Threat Intelligence feed’i sayesinde, belirli kötü IP veya URL’lere dair kurallar (örn. “X-Force kötü olarak işaretlediği IP ile bağlantı kurulursa alarm üret”) tetiklenebilir. Bu entegrasyon, harici tehdit istihbaratını QRadar korelasyon yeteneğiyle birleştirerek daha proaktif tehdit tespiti sağlar. Not: Bu özelliğin kullanımı için IBM’in X-Force hesabı/apisi ile entegrasyonun yapılmış olması ve ilgili içerik uzantılarının (content extension) yüklü olması gerekir.

• Yeni Protokol Tanımları ve Analiz Yetenekleri: QRadar 7.5, hem log toplama tarafında hem de akış analiz tarafında desteklediği protokol ve formatları genişletmiştir. Örneğin 7.5.0 UP12 güncellemesinde Universal Cloud REST API, TLS Syslog, Box REST API gibi protokoller Java 11 uyumu için güncellendi. Yine bulut hizmetlerinden log çekmek için yeni konektörler eklendi veya iyileştirildi (Salesforce, Cisco Duo vb. protokol güncellemeleri). Log tarafında birçok yeni cihaz için DSM yayınlandı; örneğin Azure Monitor Agent (AMA) Linux için yeni DSM, IBM Storage Protect için DSM, Palo Alto PAN-OS 11.0 desteği gibi güncellemeler 7.5 ile geldi. Akış tarafında ise, 300’den fazla yeni uygulama/protokol imzası QRadar Network Insights engine’ine eklendi. Önceki sürüm (7.4.3) ~32 uygulamayı DPI ile tanıyabilirken, 7.5 ile bu sayı 300’ü aştı. Bu, özellikle TLS üzerinden giden trafiklerde belirli pattern’ları tanıma kabiliyetini ciddi oranda artırdı. Örneğin artık QRadar 7.5, veritabanında listelenen 300 yeni uygulama protokolüne kadar trafiği otomatik tanımlayabiliyor (bu uygulamaların listesi /opt/ibm/xforce/metadata/protocols.csv dosyasında bulunabilir). Ayrıca GRE, ERSPAN tünel trafiği desteği, geliştirilmiş SSH protokol analizi (HASSH fingerprint çıkarma) gibi gelişmiş ağ protokolü destekleri de 7.5’te Network Insights bileşenine eklendi.

• Arabirim ve Kullanım Deneyimi İyileştirmeleri: QRadar 7.5 ile UI tarafında bazı değişimler oldu. Bunlardan en göze çarpanı, daha önce bahsettiğimiz Dark Theme (koyu tema) desteğidir – 7.5.0 UP10 itibarıyla kullanıcılar arayüzü koyu veya açık tema arasında seçebilmektedir. Varsayılan artık koyu tema olarak gelmektedir. Bunun yanında, QRadar’ın kurulum/upgrade süreçlerinde de geliştirmeler var: Konsol sonrasında diğer host’ları paralel patching ile aynı anda güncelleyebilme (UP10 ile gelen özellik) sayesinde yükseltme süreleri kısaltılabilir. Offense arayüzünde Offense’lerin artık başlangıç zamanının yanı sıra oluşturulma zamanını da ayrı bir sütunda göstermesi (UP12’de eklendi) analistlerin bir Offense’in ne kadar süredir açık olduğunu daha iyi anlamasını sağlar. Log arama ekranında Event Collector adına göre filtreleme kolaylaştırıldı (dropdown liste ile seçebilme). Tüm bu küçük iyileştirmeler, kullanıcıların QRadar’ı daha verimli kullanmasına yardımcı olacak ayrıntılardır.

Özetle, IBM QRadar 7.5 sürümü gerek altyapı (RHEL 8 tabanı, Secure Boot), gerek performans (çok çekirdekli işleme, iyileştirilmiş aramalar), gerekse güvenlik ve entegrasyon (X-Force, yeni DSM/protokoller) açılarından önemli yenilikler getirerek QRadar’ın kurumsal SIEM çözümü olarak güncel ihtiyaçları karşılamaya devam etmesini sağlamıştır. Mevcut QRadar kullanıcıları için 7.5’e geçiş, bazı büyük değişiklikler (OS yükseltme) içerse de uzun vadede destek ve özellikler açısından tavsiye edilmektedir.

Kullanım Senaryoları (SOC, Tehdit Tespiti, Uyumluluk, Olay Müdahalesi)

IBM QRadar, bir SIEM platformu olarak modern bir Güvenlik Operasyon Merkezi (SOC) içinde merkezi bir konuma sahiptir. Pek çok kurum, QRadar’ı farklı güvenlik amaçlarıyla özelleştirerek kullanır. Başlıca kullanım senaryoları şunlardır:

1. SOC İçinde Merkezi Güvenlik İzleme: Büyük ölçekli kurumsal SOC’lar, QRadar’ı tüm ağ ve sistemlerinden gelen log ve akış verilerini tek bir yerde toplayıp gerçek zamanlı izlemek için kullanır. SOC analistleri QRadar sayesinde yüzlerce cihaza tek tek bakmak yerine, merkezi konsoldan anormal aktiviteleri, saldırı belirtilerini ve sistem durumlarını takip edebilir. Örneğin 7/24 izleme yapan bir SOC ekibi, QRadar’daki dashboard ve offense panellerini sürekli açık tutarak herhangi bir kritik alarm oluştuğunda anında fark edip olaya müdahale sürecini başlatır. QRadar’ın sağladığı merkezi görünürlük ve olay korelasyonu, SOC ekiplerinin işini oldukça kolaylaştırır – aksi halde farklı logları manuel birleştirmek gerekirdi. Bir SOC içinde QRadar genellikle SIEM katmanının çekirdeği olup, etrafında tehdit istihbaratı beslemeleri, uçnokta koruma sistemleri, SOAR (Security Orchestration Automation and Response) platformları gibi diğer araçlarla entegre çalışır. Örneğin QRadar’dan çıkan bir Offense, otomatik olarak bir olay yanıt (incident response) sistemine aktarılıp orada süreç devam edebilir.

2. Gelişmiş Tehdit Tespiti: QRadar’ın en önemli kullanım alanlarından biri gelişmiş siber tehditleri tespit etmektir. Klasik imza tabanlı sistemlerin yakalayamadığı anomali tabanlı veya davranış analizi gerektiren durumlarda QRadar devreye girer. Örneğin iç tehdit (insider threat) vakalarını düşünelim: Kurumsal bir kullanıcı normalde hiç erişmediği sistemlere erişmeye başlarsa veya sıradışı saatlerde büyük veri aktarımı yaparsa, QRadar bunu User Behavior Analytics (UBA) kurallarıyla tespit edebilir. Yine X-Force entegrasyonu sayesinde dünyada bilinen kötü IP adresleri ya da phishing siteleriyle bağlantı kurulursa QRadar anında alarm üretebilir. IBM QRadar, entegre anomali tespit motoru, davranışsal analiz ve tehdit istihbaratı ile endüstri standartlarının ötesinde bir tehdit algılama performansı sergiler. Sıfırıncı gün saldırıları gibi daha önce görülmemiş tehditleri, alışılmadık sistem davranışlarını yakalayarak ortaya çıkarabilir. Bu, saldırganların yayılma veya veri sızdırma faaliyetlerini erken aşamada durdurmak için kritiktir. Bir diğer kullanım, kill chain (saldırı yaşam döngüsü) aşamalarını izleyip birbirine bağlayan kural setleridir – mesela aynı host’ta önce bir phishing mail logu, sonra anormal bir PowerShell çalışması ve ardından büyük bir dosya transferi gördüğünde “Muhtemel veri sızdırma” offense’i yaratmak gibi senaryolar QRadar ile uygulanabilir.

3. Uyumluluk Denetimi ve Raporlama: Birçok sektör, çeşitli regülasyon ve standartlara uyum sağlamak zorundadır (PCI-DSS, HIPAA, ISO 27001, GDPR vb.). QRadar, uyumluluk yönetimi konusunda kurumlara büyük kolaylık sağlar. IBM’in hazır Compliance (Uyumluluk) paketleri QRadar’a yüklenerek, ilgili standardın gerektirdiği logların toplanıp toplanmadığı, belli kontrollerin ihlal edilip edilmediği izlenebilir. Örneğin PCI-DSS için QRadar, firewall cihazlarından, antivirüslerden, erişim kontrol sistemlerinden doğru logların geldiğini doğrulayabilir ve bu loglarda PCI ile ilgili olayları raporlayabilir. QRadar Compliance Content Extension adı verilen içerik paketi, temel uyumluluk kullanım senaryoları için kural, arama ve dashboard örnekleri sunar. Ayrıca QRadar’ın raporlama motoru kullanılarak periyodik uyumluluk raporları üretilebilir – örneğin “Son 1 ayda başarısız erişim denemeleri raporu” ya da “Kritik sistemlerde değişiklik izleme (integrity monitoring) raporu” gibi. Bu raporlar denetçilere veya üst yönetime sunularak uyumluluk durumunun belgelendirilmesinde kullanılır. Özetle, QRadar sadece tehditleri değil, aynı zamanda politikaya uyumsuz olayları da (örneğin bir admin’in kritik bir dosyaya izinsiz erişimi gibi) tespit ederek kurumların hem güvenlik hem uyumluluk hedeflerine ulaşmasına yardımcı olur.

4. Olay Müdahalesi (Incident Response) Entegrasyonu: QRadar, tespit ettiği Offense’ler üzerinden olay müdahalesi sürecini tetikleyebilir veya destekleyebilir. Bir SOC analisti, QRadar üzerinde bir Offense’i inceledikten sonra genellikle bu vakayı bir olay yönetim sistemine aktarır. Bu, manuel olabileceği gibi entegre bir şekilde de yapılabilir. Örneğin IBM’in QRadar SOAR (eski Resilient) ürünüyle entegrasyon yapıldığında, QRadar’daki Offense verileri tek tuşla bir olay kaydına dönüştürülüp playbook’lar çalıştırılabilir. Diğer kurumlar servis masası (ServiceNow gibi) entegrasyonlarıyla QRadar offense’lerini otomatik ticket’a dönüştürmeyi tercih edebilir. Ayrıca QRadar üzerinden bir IP’yi aktif olarak engelleme (through integration with firewalls) veya bir kullanıcıyı karantinaya alma gibi aksiyonlar da mümkündür – bu daha çok Automatic Response mekanizmalarıyla sağlanır (ör. bir kural tetiklendiğinde otomatik API çağrısı ile o IP’yi NAC cihazında blokla). Ancak birçok organizasyon, false positive riskine karşı otomatik müdahaleyi sınırlı kullanır ve QRadar’ı daha çok erken uyarı sistemi olarak görür; insan analist değerlendirmesinden sonra manuel müdahale yapar. Her iki halde de QRadar, olayın triage (önceliklendirme ve değerlendirme) aşamasında kritik rol oynar. Analistler QRadar’daki zengin olay detaylarını, ilgili kullanıcı/varlık geçmişini, benzer olayların geçmiş kaydını kullanarak olayı anlar ve uygun yanıtı planlar. Bu nedenle QRadar, etkin bir olay müdahale sürecinin ilk adımı olan tespit ve analiz safhasının vazgeçilmez bir parçasıdır.

5. Sektörel ve Kurumsal Özel Senaryolar: QRadar’ın esnekliği sayesinde farklı sektörlerde özelleşmiş kullanım alanları da oluşmuştur. Örneğin Finans sektöründe, sahtekarlık tespiti için QRadar kural ve analitikleri kullanılabilir – belli bir müşterinin farklı ATM’lerde kısa sürede işlemler yapması gibi anomali tespitleri SIEM üzerinden yürütülebilir. Sağlık sektöründe, hasta verisi içeren sistemlere yetkisiz erişimleri veya malware faaliyetlerini saptamak kritik olduğundan QRadar sıkı HIPAA kontrolleriyle kullanılır. Kamu sektöründe QRadar, devlet kurumlarının kritik altyapılarını izlerken özel geliştirmeler (ülkeye özgü tehdit istihbaratı entegrasyonu, vb.) ile konumlandırılabilir. Bulut ortamlarını izleme (IBM QRadar on Cloud veya hibrit bulut entegrasyonları), kritik OT (Operational Technology) ağlarının takibi (SCADA protokolleri desteği ile) gibi senaryolar da QRadar’ın kullanım alanlarına örnektir. Her kurum, kendi risk alanlarına göre QRadar’ı bir güvenlik gözetleme ve uyarı sistemi olarak konumlandırır.

Özetle, IBM QRadar genel amaçlı bir güvenlik izleme platformu olup, tehdit tespitinden uyumluluk denetimine, SOC operasyonlarından olay müdahale koordinasyonuna kadar geniş bir yelpazede kullanılabilir. Güçlü kural tabanı ve analitik yetenekleri, farklı senaryolara uyarlanabilmesini sağlar. Bir SOC’da QRadar genellikle “görünen yüz” olup, arka planda toplanan devasa miktarda veriyi anlamlandırıp birkaç kritik alarma indirgeyerek insan müdahalesine hazır hale getirir. Bu rolüyle, günümüzün karmaşık tehdit ortamında kurumların güvenlik posture’larını etkin biçimde yönetmelerine olanak tanır.

Sistem Gereksinimleri ve Lisanslama Modeli

QRadar’ı başarılı bir şekilde konumlandırmak için donanım/altyapı gereksinimleri ile lisanslama modelini anlamak önemlidir. Sistem gereksinimleri, QRadar’ın kurulacağı ortama dair yazılım ve donanım gereksinimlerini içerir; lisanslama modeli ise ne kadar veri işlenebileceğini belirleyen metrikleri tanımlar (EPS/FPS).

Yazılım ve Platform: IBM QRadar, Linux tabanlı bir yazılımdır ve sadece belirli işletim sistemleri üzerinde desteklenir. QRadar 7.5 sürümü için resmi destek Red Hat Enterprise Linux (RHEL) 7.9/8.x 64-bit üzerindedir (paket olarak kendi OS’i ile birlikte gelir). IBM’in sunduğu QRadar Appliance cihazları, üzerine QRadar yüklü olarak gelen fiziksel sunuculardır ve RHEL üzerinde çalışır. Yazılımı kendiniz kurmak isterseniz, IBM ISO imajını kullanarak desteklenen bir sunucu veya sanal makineye kurulumu yapabilirsiniz. Minimal olarak 64-bit x86_64 mimarili CPU, en az 8 çekirdek (orta ve büyük ölçek için 16/32+ çekirdek), en az 32 GB RAM (tercihen 64 GB ve üzeri), hızlı disk depolama (RAID10 SAS/SATA veya SSD) tavsiye edilir. Disk konusunda, veri saklama gereksinimlerine göre terabaytlarca alan planlanabilir – örneğin günlük 500 EPS işleyen bir sistem için birkaç TB disk yeterliyken, 50000 EPS’lik dev bir ortamda onlarca TB depolama ve Data Node’lar gerekebilir. QRadar, yüksek erişilebilirlik (HA) için çift konsol yapısını destekler; bu senaryoda iki konsol aynı verileri paylaşır ve biri aktif biri standby çalışır. Sanallaştırma tarafında, VMware (ESXi), Hyper-V, KVM gibi platformlarda QRadar çalışabilir; ancak performans açısından kritik bileşenlerin (özellikle Flow Collector için paket yakalama yapan arabirimlerin) mümkünse fiziksel aygıtta olması önerilir.

Ağ Gereksinimleri: QRadar bileşenleri arasındaki iletişim ve log toplama için bazı portlar kullanılır. Örneğin Event Collector – Event Processor arası ve diğer bileşenler arası genellikle 514, 8413, 32006 gibi portlar (EP ile arayüz iletişimi, eskiden magistrate 32006 kullanırdı) vardır. Tüm QRadar sunucularının birbiriyle zaman senkronizasyonu (NTP) ve adı çözümleyebilmesi önemlidir. Ayrıca QRadar Web arayüzüne erişim için desteklenen bir web tarayıcı (Firefox, Chrome, Edge – IE desteklenmez artık) gereklidir.

Donanım Konfigürasyonları: IBM, farklı boyutlar için farklı appliance modelleri sunar. Örneğin “QRadar 3105” gibi bir appliance küçük ofisler için tasarlanmış bir all-in-one iken, “QRadar 7100” serisi yüksek EPS’li ortamlar için daha güçlü işlemci ve disk barındırır. Bu appliance’lar belirli bir maksimum EPS oranını destekleyecek şekilde sertifikalandırılır. Örneğin IBM QRadar 7100’ün ~25,000 EPS ve 600k FPM’yi desteklediği belirtilir (rakamlar örnektir). Sanal makine üzerinde kurulum yaparken de benzer şekilde CPU/RAM kaynaklarını bu hedef EPS’ye uygun ölçeklendirmek gerekir. Disk I/O QRadar için kritik bir kaynaktır, zira Ariel DB çok sayıda ardışık yazma/okuma yapar; bu nedenle RAID10 veya hızlı SSD kullanımı, denetimsiz güç kaybına karşı RAID kontrolcü üzeri yazma önbelleği (BBU) önerilir. Ayrıca QRadar dağıtık yapıda ise, gigabit üzeri hızlarda iç ağ bağlantısı (tercihen 10GbE) gerekebilir, çünkü Event Processor ile Console veya Data Node’lar arasında sürekli veri akışı olacaktır.

Lisanslama Modeli: IBM QRadar’ın lisanslaması gelen veri miktarı üzerinden yapılır. İki temel metrik vardır: EPS (Events Per Second) ve FPM/FPS (Flows Per Minute / Flows Per Second). Satın aldığınız lisans, sisteminizin en fazla kaç olay ve akış işleyebileceğini belirler. Örneğin 5000 EPS lisansı, QRadar’ın saniyede 5000 olaya kadar parse edip işlemesine izin verir. Bu sınır aşıldığında QRadar o anki fazlalığı 5 GB’lık bir buffer alana yığar, ancak sürekli aşım sürerse buffer dolduktan sonra yeni gelen event’ları düşürür (işlemez). Benzer şekilde akışlar için lisans değeri genelde dakika bazında verilir, örneğin 200k FPM gibi. QFlow Collector, bir dakikada gelen ortalama akış sayısını lisansla karşılaştırır ve sürekli yüksek gelirse yine buffer mekanizmasından sonra fazla akışları drop eder. Lisans, genellikle ortalama değerler içindir; kısa süreli pikler buffer sayesinde tolere edilebilir ancak sürekli yüksek trafikte lisans yükseltmek gerekir.

Lisanslar kurulum başına toplam olarak alınır ancak dağıtık yapıda lisansın bileşenlere dağıtılması mantıksal olarak gerçekleşir. Yani 10,000 EPS’lik bir lisansınız varsa, bunu isterseniz tek bir all-in-one üzerinde kullanırsınız, isterseniz 2 Event Processor’a bölüştürürsünüz – toplam kapasite yine 10k EPS olur. Event Collector’lar kendi başına lisanslandırılmaz, onlar bağlı oldukları Event Processor’ün lisansını kullanırlar. Örneğin bir ortama 5000 EPS’lik EP ve 5000 EPS’lik bir EP daha koyup toplam 10k EPS elde edebilirsiniz. Flow lisansı da benzer şekilde toplam değerlendirilir.

IBM, QRadar için farklı lisans paketleri sunar: Kurum içi kalıcı lisanslar, abonelik bazlı lisanslar veya QRadar on Cloud için aylık EPS paketleri gibi. Ayrıca App lisansları (örn. Vulnerability Manager, Risk Manager gibi ek modüller) ayrıdır. Ancak temel SIEM fonksiyonu her zaman EPS/FPS ile sınırlıdır. Not: IBM QRadar Community Edition adıyla, 50 EPS / 500 FPM kısıtlı ücretsiz bir sürüm de bulunmaktadır – eğitim ve test amaçlı kullanılabilir, ancak üretim ortamı için destekli değildir.

Ölçeklendirme: Lisanslama modeli sayesinde QRadar, küçük işletmelerden dev kuruluşlara kadar ölçeklenebilir. Küçük bir şirket belki 250 EPS lisansıyla tüm kritik loglarını toplayabilirken, bir telekom şirketi 50k+ EPS değerlerine ihtiyaç duyabilir. QRadar bileşenleri yatayda eklenerek (daha fazla Collector, Processor, Data Node eklemek gibi) bu ölçeklemeye ayak uydurur. Ancak her bileşenin de bir fiziksel sınırı vardır; örneğin tek bir Event Processor genellikle 15k-20k EPS’ten fazlasını kaldıramaz (donanımına bağlı olarak değişmekle birlikte). Bu durumda ikinci bir Event Processor ekleyip log kaynaklarını bölüştürmek gerekir. IBM, bu tür yüksek yük senaryoları için “federation” yapısı da sunar – birden fazla QRadar konsolunun üstünde bir merkezi görünüm gibi, ama bu oldukça ileri seviye kullanım vakasıdır.

Özetle, QRadar’ı kurarken doğru boyutlandırma yapıp lisans kapasitesini ihtiyaca göre ayarlamak gerekir. Donanım gereksinimleri, işlenecek veri hacmiyle doğrudan ilişkilidir: Yüksek EPS demek daha güçlü CPU, bol bellek ve hızlı disk demektir. Lisanslama tarafında da, ihtiyacın biraz üzerinde bir kapasite almak ileride oluşabilecek artışlara karşı güvenlik sağlar. Son kullanıcı açısından lisans modeli ilk başta bir kısıt gibi görünse de, aslında sistemin sağlıklı çalışması için de gereklidir – böylece QRadar, kapasitesinin çok üstünde veriyi almaya çalışıp tamamen yavaşlamak yerine, sınırlarını bilir ve aşılınca yöneticiyi uyarır/durdurur. Bu da SIEM platformunun öngörülebilir ve yönetilebilir kalmasını sağlar.

Kaynaklar:

1. Ali Rıza Yüksektepe, “QRadar Mimarisi,” Medium, Mar. 10, 2022 aryuksektepe.medium.com

2. IBM Knowledge Center (Türkçe), “QRadar mimarisine genel bakış,” IBM Docs, Erişim: Haz. 2025 ibm.com

3. IBM Knowledge Center, “Flow improvements (QRadar 7.5.0),” IBM Docs, 2021 ibm.com

4. IBM Knowledge Center, “Enabling secure boot,” IBM Docs, 2022 ibm.com

5. IBM Knowledge Center, “What’s new in QRadar Network Insights 7.5.0,” IBM Docs, 2022 ibm.com

6. Bilişim Academy, “IBM QRadar Özellikleri ve Kullanım Alanları,” LinkedIn Blog, 27 Ağu 2024 tr.linkedin.com

7. IBM Knowledge Center (Türkçe), “AQL arama dizgisi örnekleri,” IBM Docs, Erişim: Haz. 2025 ibm.com

8. IBM Knowledge Center, “IBM X-Force integration in QRadar,” IBM Docs, Erişim: Haz. 2025 ibm.com (X-Force tanımı ve örnekleri)

9. IBM Knowledge Center, “Offense actions,” IBM Docs, Erişim: Haz. 2025 ibm.com

10. IBM Knowledge Center, “QRadar 7.5.0 Update Package 12 Release Notes,” IBM Docs, 2024 ibm.com