113SEC  —  BLOG
X000Y000
[113SEC]EN
DESTEK
← TÜM YAZILAR[ YAZI ] — Güvenlik İzleme

Wazuh, CrowdStrike ve Zabbix ile Güvenlik İzleme Nasıl Çalışır?

Tek bir güvenlik aracı tüm riskleri kapatmaz. Zabbix altyapıyı, Wazuh logları, CrowdStrike uç noktaları izler; gerçek değer bu üç katman SOC süreciyle birleştiğinde ortaya çıkar.

TARİHNisan 2026
KATEGORİGüvenlik İzleme
OKUMA7 dk okuma
Wazuh, CrowdStrike ve Zabbix ile Güvenlik İzleme Nasıl Çalışır?

Tek bir güvenlik aracı tüm riskleri kapatmaz. Zabbix altyapıyı, Wazuh logları, CrowdStrike uç noktaları izler; gerçek değer bu üç katman SOC süreciyle birleştiğinde ortaya çıkar.

Güvenlik İzleme Tek Bir Araçla Bitmez

Siber güvenlikte en sık yapılan hatalardan biri, tek bir aracı kurup tüm risklerin kontrol altına alındığını düşünmektir. Oysa modern altyapılarda sunucular, ağ cihazları, uç noktalar, kullanıcı hareketleri, servis sürekliliği, loglar ve güvenlik alarmları farklı katmanlarda izlenir.

Bir şirketin gerçekten korunabilmesi için iki şey gerekir: görünürlük ve müdahale kabiliyeti. Görünürlük yoksa sorun geç fark edilir. Müdahale kabiliyeti yoksa, alarm üretmek tek başına değer yaratmaz.

113SEC'in izleme yaklaşımında bu yüzden Zabbix, Wazuh ve CrowdStrike birlikte konumlanır. Zabbix altyapı sağlığını izler, Wazuh log ve güvenlik olaylarını korele eder, CrowdStrike ise uç nokta davranışlarını gerçek zamanlı analiz eder. Bu yapı, SOC ekibinin alarmı yalnızca görmesini değil; anlamlandırmasını ve aksiyona dönüştürmesini sağlar.

Zabbix Ne İşe Yarar?

Zabbix, altyapı ve servis izleme katmanıdır. Sunucuların çalışıp çalışmadığını, CPU ve bellek kullanımını, disk doluluk oranını, servis durumunu, ağ cihazlarının erişilebilirliğini, port durumunu ve trafik metriklerini takip eder.

KOBİ ölçeğinde bu katman çoğu zaman "sistem çöktü mü?" sorusunun cevabını verir. Ancak doğru yapılandırıldığında yalnızca çöküşü değil, çöküşe giden yolu da gösterir: disk doluluğu kritik seviyeye yaklaşırken, CPU kullanımı aniden yükselirken, ağ cihazında port hataları artarken veya servis yanıt süresi bozulurken sistem önceden alarm üretebilir.

113SEC süreçlerinde Zabbix; sunucu, ağ ve servis durumunu sürekli izleyen başlangıç katmanı olarak ele alınır. Bir eşik aşımı veya anormallik olduğunda otomatik alarm devreye girer ve olay teknik ekip tarafından değerlendirilir.

  • Sunucu ve servis sağlığı
  • Disk, CPU, bellek ve ağ metrikleri
  • Switch, router ve firewall erişilebilirliği
  • SNMP, syslog ve agent temelli izleme
  • Eşik aşımında otomatik alarm ve eskalasyon

Wazuh Ne İşe Yarar?

Wazuh, SIEM ve güvenlik analizi katmanıdır. Zabbix altyapı sağlığını izlerken, Wazuh güvenlik olaylarını anlamlandırır. Log toplama, olay korelasyonu, dosya bütünlüğü izleme, uyum kontrolleri, başarısız giriş denemeleri, şüpheli davranışlar ve MITRE ATT&CK eşleştirmeleri bu katmanda ele alınır.

Bir örnek düşünelim: bir kullanıcı hesabında kısa sürede çok sayıda başarısız oturum açma denemesi var. Aynı zaman aralığında farklı bir sunucuda yetki yükseltme girişimi görülüyor. Tek tek bakıldığında bunlar sıradan log satırları gibi durabilir. Wazuh bu olayları ilişkilendirerek çok daha anlamlı bir güvenlik sinyali oluşturabilir.

Bu nedenle Wazuh, SOC ekibinin "ne oldu?" sorusuna cevap vermesini kolaylaştırır. Ham logları, okunabilir ve önceliklendirilebilir güvenlik olaylarına dönüştürür. 113SEC'in bu katmanı nasıl kurguladığını teknoloji yığınımız sayfasında daha ayrıntılı görebilirsiniz.

  • Merkezi log toplama
  • Güvenlik olayı korelasyonu
  • MITRE ATT&CK eşleştirmeleri
  • Dosya bütünlüğü izleme
  • Şüpheli oturum ve davranış analizi

CrowdStrike Ne İşe Yarar?

CrowdStrike, uç nokta güvenliği ve EDR/XDR katmanıdır. Bilgisayarlar, sunucular ve kritik uç noktalar üzerinde çalışan agent; süreçleri, dosya hareketlerini, ağ bağlantılarını ve davranışları analiz eder.

Geleneksel antivirüs yaklaşımı çoğu zaman bilinen imzalara odaklanır. EDR ise davranışı anlamaya çalışır. Şüpheli PowerShell çalıştırma, beklenmeyen process zinciri, kimlik bilgisi toplama girişimi, zararlı dosya hareketi veya komuta-kontrol bağlantısı gibi davranışlar uç nokta seviyesinde tespit edilebilir.

113SEC'in premium güvenlik yaklaşımında CrowdStrike EDR, 7/24 SOC hizmetinin önemli bir parçasıdır. Wazuh ve CrowdStrike alarmları SOC analistleri tarafından birlikte değerlendirilir; gerçek tehditler önceliklendirilir, yanlış pozitifler ayıklanır ve gerektiğinde müdahale süreci başlatılır.

  • Uç nokta davranış analizi
  • EDR/XDR alarm ve telemetri
  • Süreç, dosya ve ağ aktivitesi görünürlüğü
  • IOC zenginleştirme ve tehdit istihbaratı
  • Karantina ve müdahale kararlarına destek

Bu Üç Katman Birlikte Nasıl Çalışır?

Zabbix, Wazuh ve CrowdStrike'ın gerçek değeri birlikte çalıştıklarında ortaya çıkar. Çünkü her biri farklı bir soruya cevap verir.

Zabbix "sistem sağlıklı mı?" sorusunu yanıtlar. Wazuh "loglarda güvenlik açısından anlamlı bir olay var mı?" sorusunu cevaplar. CrowdStrike ise "uç noktalarda şüpheli davranış var mı?" sorusuna odaklanır.

Bu üç veri kaynağı SOC sürecinde birleştiğinde çok daha güçlü bir karar zemini oluşur. Bir sunucuda CPU aniden yükselmiş olabilir. Aynı anda Wazuh başarısız giriş denemeleri görüyor olabilir. CrowdStrike da aynı makinede şüpheli bir process zinciri tespit etmiş olabilir. Ayrı ayrı bakıldığında bu sinyaller zayıf kalabilir; birlikte değerlendirildiğinde gerçek bir saldırı senaryosuna işaret edebilir.

Katmanlar arası basit harita

  • Monitoring (Zabbix): Sunucu, ağ, servis ve metrikleri izler; altyapı sağlığını ve eşik aşımlarını gösterir.
  • SIEM (Wazuh): Log, korelasyon ve güvenlik olaylarını işler; olay bağlamı ve tehdit sinyali üretir.
  • EDR/XDR (CrowdStrike): Uç nokta davranışını ve telemetriyi izler; uç noktada saldırı davranışını görünür kılar.

Alarmdan Müdahaleye: SOC Akışı

İyi bir izleme sistemi alarm üretmekle bitmez. Alarmın kime gittiği, nasıl değerlendirildiği, hangi öncelikle ele alındığı ve müşteriye nasıl bildirildiği de en az alarm kadar önemlidir.

113SEC'in izleme ve alarm sürecinde Zabbix, Wazuh ve CrowdStrike tarafından üretilen sinyaller SOC ekibine iletilir. SOC analisti alarmın gerçek tehdit olup olmadığını değerlendirir; gerekirse teknik ekip veya ilgili uzman devreye girer. Olayın durumuna göre müdahale yapılır, önlem alınır veya yanlış pozitif olarak kapatılır. Sürecin sonunda rapor ve kayıt oluşturulur.

Bu yapı sayesinde müşteri yalnızca "bir alarm var" bilgisini değil; alarmın etkisini, önemini ve önerilen aksiyonu da görür.

Neden Merkezi Dashboard Önemli?

Birden fazla araç kullanmak, doğru yönetilmezse karmaşa yaratabilir. Bu yüzden merkezi dashboard yaklaşımı önemlidir. Amaç tüm veriyi tek ekrana yığmak değil; doğru veriyi doğru bağlamda göstermektir.

Zabbix dashboard altyapı durumunu gösterirken, Wazuh dashboard güvenlik olaylarını ve korelasyonları gösterir. CrowdStrike paneli ise endpoint seviyesindeki tehditleri, tespitleri ve aksiyonları sunar. Bu panellerden gelen bilgiler raporlama, SLA takibi ve yönetici özetiyle birleştiğinde teknik veri, karar destek bilgisine dönüşür.

KOBİ'ler için bu özellikle değerlidir. Çünkü her şirketin kendi içinde uzman bir SOC ekibi kurması mümkün olmayabilir. Yönetilen servis modeli, bu görünürlüğü dış uzmanlıkla birleştirerek daha erişilebilir hale getirir.

Hangi Durumlarda Bu Yapıya İhtiyaç Duyulur?

  • Birden fazla sunucu, firewall, switch veya kritik servis varsa.
  • Şirket içinde uzaktan çalışan kullanıcılar veya çok sayıda uç nokta bulunuyorsa.
  • Başarısız giriş denemeleri, şüpheli dosya hareketleri veya servis kesintileri geç fark ediliyorsa.
  • Yedekleme, güvenlik alarmları ve destek süreçleri ayrı ayrı takip ediliyorsa.
  • Yönetim ekibi aylık olarak risk, SLA ve güvenlik durumu görmek istiyorsa.
  • Mevcut güvenlik araçları var ama alarm önceliklendirme ve raporlama eksikse.

113SEC Yaklaşımı: Görünürlük, Analiz ve Müdahale

113SEC için güvenlik izleme sadece araç kurulumu değildir. Araçlar bir altyapı sağlar; gerçek değer ise operasyon sürecinde oluşur.

İzleme altyapısı kurulur, alarm eşikleri ve korelasyon kuralları yapılandırılır, müşteri sistemleri merkezi dashboardlarda görünür hale getirilir. SOC ekibi kritik alarmları takip eder, yanlış pozitifleri azaltır, olayları önceliklendirir ve gerektiğinde müdahale sürecini başlatır. Bu yaklaşımı şekillendiren ilkeleri çalışma doktrinimiz sayfasında bulabilirsiniz.

Bu yaklaşımın hedefi basittir: sorun müşteri tarafından fark edilmeden önce sistemin anormalliği görmesi, ekibin değerlendirmesi ve aksiyonun zamanında alınması.

Sonuç: Güvenlik İzleme Bir Katman Değil, Bir Sistemdir

Zabbix, Wazuh ve CrowdStrike tek başına güçlü araçlardır. Ancak gerçek güvenlik değeri, bu araçların birlikte çalışması ve SOC süreciyle desteklenmesiyle ortaya çıkar.

Zabbix altyapının nabzını tutar. Wazuh logları ve güvenlik olaylarını anlamlandırır. CrowdStrike uç noktalardaki davranışı izler. SOC ekibi ise bu sinyalleri yorumlayarak gerçek riski, önceliği ve aksiyonu belirler.

KOBİ'ler için bu model, kurumsal seviyede güvenlik görünürlüğünü daha ulaşılabilir hale getirir. 113SEC olarak amacımız; altyapınızı yalnızca izlemek değil, riskleri erken görmek, olayları anlamlandırmak ve iş sürekliliğinizi korumaktır. Altyapınızda hangi sistemlerin izlenmesi gerektiğini konuşmak isterseniz bizimle iletişime geçebilirsiniz.

Sık Sorulan Sorular

Zabbix, Wazuh ve CrowdStrike arasındaki fark nedir?

Zabbix altyapı ve servis sağlığını izleyen monitoring katmanıdır. Wazuh logları toplayıp korele eden SIEM katmanıdır. CrowdStrike ise uç nokta davranışlarını analiz eden EDR/XDR katmanıdır. Her biri farklı bir soruya cevap verir.

KOBİ'ler bu üç aracı aynı anda kullanmak zorunda mı?

Zorunlu değildir, ama birlikte kullanıldıklarında çok daha güçlü bir güvenlik görünürlüğü oluştururlar. Yönetilen servis modeli, her şirketin kendi SOC ekibini kurmasına gerek kalmadan bu katmanları erişilebilir kılar.

Alarm üretmek tek başına yeterli mi?

Hayır. İyi bir izleme sistemi alarmın kime gittiğini, nasıl önceliklendirildiğini ve müşteriye nasıl bildirildiğini de yönetir. 113SEC sürecinde SOC analisti her alarmı değerlendirir, yanlış pozitifleri ayıklar ve gerekirse müdahale başlatır.