Geleneksel sağlık kontrolü protokol katmanından çalışır: 'port açık', 'HTTP 200 dönüyor', belki 'sayfa içeriği şu kelimeyi içeriyor'. Bu cevaplar sunucunun hizmet verdiğini söyler, ama HANGİ içerikle hizmet verdiğini söylemez.
Modern sorunlar tam bu boşlukta yaşar. Bir saldırgan WAAP'ı geçtiyse ve sunucuda webshell bırakmışsa, sağlık probu 'sunucu sağlıklı' demeye devam eder. Bir yayın hatalı çıktıysa, sunucu eski binary ile cevap verir ama protokol probu için yine 200 OK'dir. Bir operatör manuel olarak config dosyasını değiştirmişse, baseline'dan sapma sessizce işler.
Cluster ölçeğinde durum daha da kötü. 10 sunucudan 9'unda yeni sürüm var, 1'inde değil; sağlık probu hepsini sağlıklı görür, kullanıcı isteği şanssızlıkla eskimiş sunucuya düşer. Veya tersine, 1 sunucuda saldırgan yeni dosya bıraktı; cluster'ın geri kalanı temiz ama bu bir tane sunucudan trafik çekilmiyor çünkü kimse bakmıyor.
ETM Sunucu Bütünlüğü ve Yayın Zekası bu boşluğu doldurur: sunucudaki dosya, dizin, binary ve config durumu sürekli izlenir; değişiklikler olay olarak ADC'ye ve SOC'a akar; routing kararı dış kabuğun ötesine geçer.
Sunucudaki ajan dosya seviyesinde sürekli denetim yapar; değişiklik tespit eder, ADC routing kararına ve SOC olay sistemine canlı bağlanır.
Seçili kritik dosyalar (webroot içeriği, application binary, config dosyaları, TLS sertifikaları) için periyodik hash hesaplanır. Dizin ağaçları için Merkle tarzı toplu hash üretilir. Değişiklik hash karşılaştırmasıyla anlık tespit edilir.
Beklenen baseline dışında yeni dosya eklenmesi, mevcut dosyanın değişmesi veya beklenen dosyanın silinmesi anlık olay üretir. Webroot'a düşen yeni .aspx/.php/.jsp dosyası webshell şüphesi olarak işaretlenir.
Aynı uygulama servisi sağlayan sunucular arasında hash karşılaştırması yapılır. Beklenen dağılım dışında kalan tek bir sunucu (drift veya kompromize) cluster'dan ayrıştırılır; trafik tutarlı sunuculara yönlendirilir.
Değişiklik algılandığında ADC trafik politikası otomatik tepki verebilir: warm-up periyodu, kademeli routing, geçici izolasyon. Yeni yayın algılandığında trafik yumuşak şekilde geçer; yetkisiz değişiklik algılandığında trafik kesilir.
Dosya bütünlüğü ve yayın zekası yalnızca güvenlik değil, operasyonel karar mekanizmasının bir parçasıdır.
Web sunucusu vhost köklerinde tutulan içerik dosyaları (HTML, ASP, ASPX, PHP, JSP, JS, CSS, görsel) için periyodik hash ve dizin ağacı bütünlüğü hesaplanır. Operatör hangi dizinlerin izleneceğini, hangi uzantıların hassas sayılacağını politika ile tanımlar. Beklenmeyen değişiklik anlık olay olarak yansır.
Saldırgan WAAP'ı geçip sunucuya webshell yerleştirmeye çalıştığında, ETM webroot'a düşen yeni yürütülebilir uzantıyı (örn. .aspx, .php, .jsp) anlık yakalar. Sunucu otomatik karantinaya alınabilir, trafik kesilebilir, SOC alarm alır. WAAP'tan SONRAKİ son katman savunmasıdır.
Application binary veya artifact hash değişimi yayın olayı olarak yorumlanır. ADC bu olayı bekler: sağlık göstergeleri stabil olana kadar sunucuya az trafik yönlendirilir, warm-up tamamlandığında tam trafik açılır. Manuel 'load balancer'dan çıkar, yayın yap, geri al' adımları otomatikleşir.
Apache config, Nginx config, IIS application config, sistemd unit'leri, cron tanımları gibi yapılandırma dosyaları baseline'dan saptığında alarm üretilir. Yetkisiz değişiklikten önce operatör müdahale edebilir; düzenli değişiklikler baseline güncellemesi ile karşılanır.
Kritik sistem binary'leri, kütüphane dosyaları ve yardımcı araçların hash'i baseline ile karşılaştırılır. Rootkit, supply-chain compromise veya manuel müdahale sonucu binary değişikliği anlık tespit edilir; sunucu izolasyona alınır, forensik için açık kalır.
Kritik dosya ve dizinlerin sahibi, izinleri veya ACL girdileri değiştiğinde olay üretilir. Yetkisiz yetki yükseltme, dosya sahipliği değiştirme veya hassas yapılandırmaya yazma izni açma anlık görünür hale gelir.
Aynı uygulama servisi sağlayan sunucular arasında baseline hash karşılaştırması yapılır. 10 sunucudan 9'u eşleşiyor, 1'i farklı ise farklı olan drift veya kompromize şüphelisidir. Otomatik karantina veya operatör onayıyla izolasyon uygulanabilir.
Operatör bir bakım penceresi açtığında, o pencere içindeki değişiklikler alarm üretmez; baseline politika gereği güncellenir. Beklenen yayın olayı 'gerçek değişiklik' olarak yorumlanmaz; sürpriz değişiklik alarm tetikler.
Yeni sürüm sonrası ETM telemetrisi (GC süresi, error rate, restart sıklığı) bozulma gösterirse, ETM bunu yayın olayıyla ilişkilendirir. ADC routing önceki versiyona sahip sunuculara öncelik verebilir; rollback ekibi otomatik bilgilendirilir.
Her dosya/yapılandırma/binary değişimi audit kaydına yazılır; SIEM'e iletilir. Hangi sunucuda, ne zaman, hangi dosya hangi hash'ten hangi hash'e değişti — denetim için tam kanıt zinciri hazırdır. KVKK Madde 12 ve sektörel denetim gereksinimleri için canlı destek.
Bütünlük izleme yalnızca teknik bir özellik değil, kurumsal yayın ve güvenlik süreçlerinin canlı yönetim katmanıdır.
Hangi dizinlerin izleneceği, hangi dosya uzantılarının hassas sayılacağı, hangi dosyaların yok sayılacağı (log, cache, geçici dosyalar) politika ile tanımlanır. Web sunucusu, application sunucusu ve veritabanı sunucusu için farklı profiller tanımlanabilir.
Kritik dosyalar (sistem binary, TLS cert) saniyeler mertebesinde; orta öncelikli (config dosyaları) dakikalar; düşük öncelikli (statik içerik) saatlik aralıklarla hash'lenebilir. Disk IO yükü kontrol altında tutulur.
Bütünlük olayları ADC routing politikasına canlı bağlanır. 'Yeni dosya algılandı + WAAP saldırı bağlamı var → izolasyon', 'Hash drift algılandı → düşük öncelik', 'Yayın algılandı → warm-up' gibi politika kuralları operatör tarafından tanımlanır.
CI/CD pipeline ETM API'sine yayın olayı bildirebilir; ETM bu olayı bekleyen değişiklik olarak yorumlar, alarm yerine routing koordinasyonu tetikler. Yayın bitince ETM yeni baseline'ı imzalar.
Webshell şüphesi, binary tampering, cluster drift gibi yüksek-öncelikli olaylar SOC'a doğrudan alarmla iletilir. Olay zenginleştirilir: hangi sunucu, hangi dosya, hash karşılaştırma sonucu, son değiştirme zamanı, eylem önerisi.
Her bütünlük olayı denetim kaydına işlenir. Denetçi 'son 30 günde hangi sunucuda hangi dosya değişti?' sorduğunda canlı yanıt verilir. PCI DSS, KVKK Madde 12 ve sektörel denetim gereksinimleri için kanıt zinciri otomatikleşir.
WAAP saldırıyı algılamamış olsa bile, sunucudaki IIS vhost dizinine yerleştirilen yeni yürütülebilir dosya ETM tarafından anlık yakalanır. Sunucu cluster'dan otomatik çekilir, trafik kesilir, SOC anlık alarm alır; forensik için cihaz açık kalır.
DevOps ekibi yeni sürüm yayınladığında ETM application binary hash değişimini algılar; ADC sunucuya kademeli routing yapar. Sağlık metrikleri (CPU, GC süresi, error rate) stabil kaldığında tam trafik açılır. Manuel 'load balancer'dan çıkar, deploy, geri al' süreçleri ortadan kalkar.
Üretim cluster'ındaki 10 sunucudan 9'u baseline hash'iyle eşleşir; 1'i farklı bir hash gösterir. Eskimiş sürüm mü, manuel müdahale mi, kompromize mi? ETM o sunucuyu otomatik karantinaya alır; operatör nedeni inceler. Kullanıcı isteği şanssızlıkla yanlış sürüme düşmez.
Yeni sürüm sonrası ETM telemetrisi GC süresinin uzadığını, error rate'in arttığını ve restart sıklığının yükseldiğini gösterir. ETM bunu yayın olayıyla ilişkilendirir; ADC routing önceki sürüm hash'ine sahip sunuculara öncelik verir. Rollback ekibi otomatik bilgilendirilir; yayın kararı veri ile desteklenir.
Bir sunucudaki kritik sistem binary'sinin hash'i baseline'dan saptığında — rootkit, supply-chain compromise veya yetkisiz değişiklik şüphesi — sunucu cluster'dan ayrılır, internet erişimi kesilir, sadece ETM yönetim kanalı açık kalır. SOC forensik için uzaktan inceleme yapar.
ETM Sunucu Bütünlüğü'nü kendi kurum servisinizde canlı görelim — pilot sunucu grubu üzerinde baseline tanımlama, ADC bağlama ve SIEM akışını kapsayan bir kurulum oturumu planlayalım.