Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunOlay Müdahale Planı Şablonu: Hazırlayın, Tespit Edin, Müdahale Edin, Kurtarın
IBM'in Veri İhlalinin Maliyeti Raporu, olay müdahale planlarına ve ekiplerine sahip kuruluşların ihlal maliyetlerini ortalama 2,66 milyon ABD doları kadar azalttığını ve ihlalleri olmayanlara göre 54 gün daha hızlı tespit ettiğini ortaya koyuyor. Ancak kuruluşların yüzde 77'sinin tutarlı bir şekilde uygulanan bir olay müdahale planı yok.
Olay müdahale (IR) planı rafta duran bir belge değildir. Bu, ekibinizin bildiği, uyguladığı ve baskı altında uygulayabileceği bir taktik kitabıdır. Bu kılavuz, NIST çerçevesini izleyen eksiksiz, özelleştirilebilir bir Yİ planı şablonu sağlar.
Bölüm 1: Plana Genel Bakış
Amaç
Bu Olay Müdahale Planı, siber güvenlik olaylarını tespit etmek, müdahale etmek, kontrol altına almak ve bu olaylardan kurtulmak için prosedürler oluşturur. Hasarı ve iyileşme süresini en aza indiren koordineli, etkili bir yanıt sağlar.
Kapsam
Bu plan, aşağıdakiler dahil olmak üzere kuruluş içindeki tüm bilgi sistemlerini, ağları, verileri ve kullanıcıları kapsar:
- Şirket içi ve bulut altyapısı
- Çalışan ve yüklenici cihazları
- Kurumsal verileri işleyen üçüncü taraf sistemler
- BT varlıklarını etkileyen fiziksel güvenlik olayları
Olay Sınıflandırması
| Şiddet | Tanımı | Örnekler | Yanıt Süresi |
|---|---|---|---|
| Kritik (P1) | Aktif veri ihlali, fidye yazılımı, sistem genelinde kesinti | Veri sızması, sistemlerin şifrelenmesi, DDoS | Hemen (15 dakika içinde) |
| Yüksek (P2) | Onaylanmış uzlaşma, önemli kesinti | Güvenliği ihlal edilen yönetici hesabı, kötü amaçlı yazılım yayılması, hedefli saldırı | 1 saat içinde |
| Orta (P3) | Şüpheli etkinlik, sınırlı etki | Kimlik avı girişimi, yetkisiz erişim girişimi, politika ihlali | 4 saat içinde |
| Düşük (P4) | Küçük güvenlik olayı, acil bir tehdit yok | Başarısız oturum açma girişimleri, politika uyarıları, tarama etkinliği | 24 saat içinde |
Bölüm 2: Roller ve Sorumluluklar
Olay Müdahale Ekibi
| Rol | Sorumluluk | Birincil İletişim | Yedekleme İletişimi |
|---|---|---|---|
| Olay Komutanı | Genel koordinasyon, karar yetkisi | [İsim, Telefon, E-posta] | [İsim, Telefon, E-posta] |
| Teknik Lider | Teknik araştırma ve kontrol altına alma | [İsim, Telefon, E-posta] | [İsim, Telefon, E-posta] |
| İletişim Lideri | İç ve dış iletişim | [İsim, Telefon, E-posta] | [İsim, Telefon, E-posta] |
| Hukuk Müşaviri | Düzenleyici yükümlülükler, yasal rehberlik | [İsim, Telefon, E-posta] | [İsim, Telefon, E-posta] |
| İş İrtibat | İş etki değerlendirmesi, paydaş güncellemeleri | [İsim, Telefon, E-posta] | [İsim, Telefon, E-posta] |
| Yönetici Sponsoru | Eskalasyon yetkisi, kaynak tahsisi | [İsim, Telefon, E-posta] | [İsim, Telefon, E-posta] |
RACI Matrisi
| Etkinlik | Komutan | Teknik Lider | İletişim | Yasal | İş | Yönetici |
|---|---|---|---|---|---|---|
| İlk triyaj | bir | R | ben | ben | ben | ben |
| Sınırlama kararları | bir | R | ben | C | C | ben |
| Teknik inceleme | ben | A/R | ben | ben | ben | ben |
| Dahili iletişim | ben | C | A/R | C | R | ben |
| Dış iletişim | bir | C | R | R | C | bir |
| Kurtarma kararları | bir | R | ben | C | R | bir |
| Olay sonrası inceleme | bir | R | R | R | R | ben |
R = Sorumlu, A = Sorumlu, C = Danışılan, I = Bilgilendirilen
Bölüm 3: Olay Müdahalesinin Altı Aşaması
Aşama 1: Hazırlık
Herhangi bir olay yaşanmadan önce hazırlık yapılır.
Teknik hazırlık:
- Dağıtılan ve yapılandırılan güvenlik izleme araçları (SIEM, EDR, IDS/IPS)
- Tüm kritik sistemlerden merkezi log toplama
- Yedekleme sistemleri test edildi (geri yükleme son 30 gün içinde doğrulandı)
- Güncel ve çevrimdışı erişilebilen ağ diyagramları
- Mevcut varlık envanteri (tüm sistemler, uygulamalar, veri depoları)
- Adli araç kiti toplandı (görüntüleme araçları, yazma engelleyiciler, gözetim zinciri formları)
Organizasyonel hazırlık:
- Yİ ekip üyeleri belirlendi ve eğitildi
- Güncel kişi listesi (mesai saatleri dışında ve hafta sonu numaraları dahil)
- Taslak iletişim şablonları (müşteri, düzenleyici, medya, çalışan)
- Belgelenen yasal yükümlülükler (yargı yetkisine göre bildirim gereklilikleri)
- Son 6 ay içinde yapılmış masa üstü egzersizi
- Üçüncü taraf IR görevlisi mevcut (adli tıp firması, hukuk firması)
- Siber sigorta poliçesi incelendi ve güncellendi
Aşama 2: Tespit ve Analiz
Algılama kaynakları:
| Kaynak | Uyarı Türü | Öncelik |
|---|---|---|
| SIEM | İlişkili olaylar, anormallik tespiti | Yüksek |
| EDR | Kötü amaçlı yazılım tespiti, şüpheli davranış | Yüksek |
| Kullanıcı raporu | Kimlik avı, şüpheli e-posta, olağandışı davranışlar | Orta |
| Üçüncü taraf bildirimi | Satıcı, iş ortağı veya araştırmacı uzlaşmayı bildiriyor | Yüksek |
| Karanlık ağ izleme | Karanlık ağda bulunan kimlik bilgileri veya veriler | Yüksek |
| Otomatik tarama | Güvenlik açığı keşfedildi, yanlış yapılandırma | Orta |
İlk triyaj soruları:
- Ne oldu? (Ne, kim tarafından, ne zaman tespit edildi?)
- Hangi sistemler etkileniyor? (Kapsam değerlendirmesi)
- Olay hala aktif mi? (Devam eden ve tarihsel)
- Hangi veriler risk altında olabilir? (Sınıflandırma düzeyi)
- İş etkisi nedir? (Operasyon kesintisi)
- Bu durum herhangi bir düzenleyici bildirim gerekliliğini tetikliyor mu?
İlk dakikadan itibaren belgeler:
Incident ID: INC-[YEAR]-[SEQUENTIAL]
Date/Time Detected: [YYYY-MM-DD HH:MM UTC]
Detected By: [Person/System]
Detection Method: [Alert/Report/Discovery]
Initial Classification: [P1/P2/P3/P4]
Affected Systems: [List]
Initial Description: [What is known]
Assigned To: [Incident Commander]
Aşama 3: Sınırlama
Kısa süreli kontrol altına alma (kanamanın durdurulması):
| Eylem | Ne Zaman Kullanılmalı | Risk |
|---|---|---|
| Etkilenen sistemleri ağdan yalıtın | Aktif veri sızıntısı | İş operasyonlarını aksatıyor |
| Güvenliği ihlal edilmiş kullanıcı hesaplarını devre dışı bırakın | Kimlik bilgisi uzlaşması onaylandı | Kullanıcı çözülene kadar çalışamaz |
| Kötü amaçlı IP adreslerini/etki alanlarını engelle | Bilinen C2 iletişimi | Meşru trafiği engelleyebilir |
| Güvenliği ihlal edilmiş API anahtarlarını/belirteçlerini iptal edin | API kimlik bilgileri sızdırıldı | Entegrasyon kesintisi |
| Ek günlük kaydını etkinleştirin | Daha fazla görünürlüğe ihtiyacınız var | Performans etkisi (minimum) |
Uzun süreli kontrol altına alma (araştırma sırasında):
| Eylem | Amaç |
|---|---|
| Geçici güvenlik düzeltme eklerini uygulayın | İstismar edilen güvenlik açığını kapatın |
| Etkilenen segmentlerde izlemeyi artırın | Devam eden kötü amaçlı etkinlikleri tespit edin |
| Ek erişim kontrolleri uygulayın | Saldırı vektörünün yeniden kullanımını önleyin |
| Kritik operasyonlar için temiz sistemler kurun | İş sürekliliğini koruyun |
Sınırlama karar matrisi:
| Durum | Agresif Şekilde İçerir | Dikkatli Tutun |
|---|---|---|
| Aktif veri hırsızlığı | Derhal izole edin | -- |
| Fidye yazılımı yayılıyor | Derhal izole edin | -- |
| Güvenliği ihlal edilmiş yönetici hesabı | Hemen devre dışı bırak | -- |
| Şüpheli ama doğrulanmadı | -- | Önce izleyin, sonra kontrol altına alın |
| Tarihsel uzlaşma (aktif tehdit yok) | -- | Sınırlamayı dikkatlice planlayın |
Aşama 4: Yok Etme
Olayın temel nedenini ortadan kaldırın.
Eradikasyon kontrol listesi:
- Tüm kötü amaçlı yazılımları/arka kapıları tanımlayın ve kaldırın
- İstismar edilen güvenlik açığını düzeltin
- Güvenliği ihlal edilen tüm kimlik bilgilerini sıfırlayın (şifreler, API anahtarları, sertifikalar)
- Etkilenen sistemlerdeki yapılandırmaları inceleyin ve güçlendirin
- Tehlike göstergeleri (IoC'ler) için tüm sistemleri tarayın
- Saldırganın kalıcılık mekanizmalarının kaldırıldığını doğrulayın
- Başka hiçbir sistemin tehlikeye atılmadığını doğrulamak için günlükleri inceleyin
Aşama 5: İyileşme
Sistemleri ve işlemleri normale döndürün.
Kurtarma süreci:
- Yok etmenin tamamlandığını doğrulayın (yeniden tarayın, günlükleri inceleyin)
- Sistemleri temiz yedeklerden geri yükleyin (gerekirse)
- Üretime dönmeden önce sistem bütünlüğünü doğrulayın
- Kurtarılan sistemleri 30 gün boyunca artırılmış uyarıyla izleyin
- Yavaş yavaş normal işlemleri geri yükleyin (öncelikle kritik sistemler)
- Veri bütünlüğünü doğrulayın (yedeklemelerle karşılaştırın, değişiklikleri kontrol edin)
- İş operasyonlarının normal şekilde çalıştığını doğrulayın
Aşama 6: Olay Sonrası İnceleme
Olayın kapanmasından sonraki 5 iş günü içinde gerçekleştirin.
Gündemi gözden geçirin:
- Zaman çizelgesinin yeniden yapılandırılması --- Ne, ne zaman ve hangi sırada oldu?
- Algılama etkinliği --- Olay nasıl tespit edildi? Daha önce tespit edilebilir miydi?
- Müdahale etkinliği --- Neler iyi gitti? Ne yapmadı?
- Kök neden analizi --- Altta yatan neden neydi? (Yalnızca teknik güvenlik açığı değil, süreç/politika açığı da)
- Alınan dersler --- Sonuç olarak neyi değiştireceğiz?
- Eylem öğeleri --- Sahipler ve son tarihlerle ilgili özel iyileştirmeler
Bölüm 4: İletişim Şablonları
Dahili İletişim (Çalışan Bildirimi)
Subject: Security Incident Update - [Date]
Team,
We have identified a security incident affecting [brief description].
What we know:
- [Factual summary of the situation]
- [Systems/data potentially affected]
What we are doing:
- [Response actions taken]
- [Timeline for resolution]
What you should do:
- [Specific employee actions, e.g., change passwords]
- [Who to contact with questions]
We will provide updates every [frequency].
[Incident Commander Name]
Müşteri Bildirimi (gerekiyorsa)
Subject: Important Security Notice from [Company]
Dear [Customer],
We are writing to inform you of a security incident that may have
affected your data. We take the security of your information seriously
and want to be transparent about what occurred.
What happened: [Brief, factual description]
When: [Date range of the incident]
What information was involved: [Specific data types]
What we have done: [Response and remediation actions]
What you can do: [Recommended customer actions]
For questions, contact our dedicated response team at [contact info].
[Executive Name and Title]
Bölüm 5: Planın Test Edilmesi
Masaüstü Egzersiz Şablonu
Senaryo: "Bir çalışan, kimlik avı e-postasındaki bir bağlantıya tıklıyor. İki saat sonra güvenlik ekibi, çalışanın iş istasyonundan bilinmeyen bir harici IP'ye giden şifreli trafiği tespit ediyor."
Her aşamada tartışma soruları:
- İlk önce kime bilgi verilir? Nasıl?
- Bu durum hangi şiddet derecesine göre sınıflandırılır?
- Hangi kontrol önlemlerini hemen alıyoruz?
- Hangi kanıtları koruyoruz?
- Daha geniş organizasyonla kim iletişim kurar?
- Hukuk danışmanını ne zaman dahil ediyoruz?
- Bu durum düzenleyici bildirimi tetikliyor mu?
Üç ayda bir masa üstü tatbikatlar yapın. Yıllık olarak tam simülasyon tatbikatları yapın.
İlgili Kaynaklar
- İhlal Bildirimi ve Olay Müdahalesi --- Düzenleyici bildirim gereksinimleri
- Sıfır Güven Uygulama Kılavuzu --- Olayları önleme
- Güvenlik Farkındalığı Eğitimi --- İnsan kaynaklı olayların azaltılması
- Sızma Testi Kılavuzu --- Güvenlik açıklarını saldırganlardan önce bulma
Olay müdahale planı, kuruluşunuzun kaçınılmaz olana karşı sigorta poliçesidir. Bir ihlal meydana geldiğinde kontrollü tepki ile kaos arasındaki fark hazırlıktır. Olay müdahale planlaması ve güvenlik değerlendirme hizmetleri için ECOSIRE ile iletişime geçin.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
E-ticaret için Yapay Zeka Dolandırıcılık Tespiti: Satışları Engellemeden Geliri Koruyun
Sahte pozitif oranları %2'nin altında tutarken, sahtekarlık işlemlerinin %95'ten fazlasını yakalayan yapay zeka sahtekarlık tespitini uygulayın. Makine öğrenimi puanlaması, davranış analizi ve yatırım getirisi kılavuzu.
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.