IP itibarı tek bir listeyle çözülebilecek kadar basit değildir. DDoS kaynakları, SSH brute force denemeleri, web uygulama saldırıları, phishing altyapısı, açık proxy ağları ve spam kaynakları farklı veri kümelerinden gelir. Tek bir blacklist kullanmak, bu saldırı sınıflarının yalnızca bir bölümünü kapsar.
Kurumsal güvenlik ekipleri çoğu zaman kendi SOC kaynaklarından, kapalı ağlarından, sektör paylaşım gruplarından veya özel tehdit istihbaratı sağlayıcılarından liste üretir. Bu listeleri WAAP karar hattına taşımak katı API sınırları, kapalı ürün mimarisi veya manuel kural yükü nedeniyle zorlaşır. On-prem ve sovereign cloud mimarilerinde bu kontrolün kurum içinde kalması kritik hâle gelir.
IP itibarı zamanla değişir. Dün saldırı kaynağı olan bir IP bugün meşru kullanıcıya ait olabilir; ya da kurumun iş ortağı yanlışlıkla topluluk listesine düşmüş olabilir. Bu nedenle whitelist önceliği ve hızlı istisna yönetimi olmadan IP itibarı kolayca iş sürekliliği problemine dönüşür.
Ayrıca her saldırı kategorisi için ayrı manuel kural yazmak sürdürülebilir değildir. DDoS, port scan, brute force veya web uygulama saldırısı gibi kategorilerin tek tek seçilebilir olması gerekir. Güvenlik ekibi, "hangi liste geldi?" sorusundan çok "hangi saldırı sınıfını hangi aksiyonla ele alıyorum?" sorusuna odaklanmalıdır.
TR7'nin yaklaşımı, IP itibarını merkez besleme, harici URL kaynakları, kullanıcı listeleri, kategori bazlı sınıflama ve whitelist önceliğiyle yönetilebilir bir WAAP kontrolüne dönüştürür.
TR7, IP itibarını farklı kaynaklardan gelen listeleri kategori bazlı ve istisna kontrollü tek motorda birleştirerek uygular.
TR7 merkez beslemesi, harici URL kaynakları ve kullanıcı tanımlı listeler aynı itibar hattında bir araya gelir. Bu yapı, kurumu tek bir kapalı listeye veya tek bir sağlayıcıya bağımlı bırakmaz.
DDoS, brute force, SQL injection, phishing, port scan, SSH ve web uygulama saldırısı gibi 23 AbuseIPDB-uyumlu kategori desteklenir. Böylece güvenlik politikası yalnızca "kötü IP" değil, saldırı sınıfı üzerinden tasarlanabilir.
Kullanıcı whitelist listesine eklenen IP adresleri blacklist kararını ezer. Bu sayede yanlış sınıflanmış iş ortağı, kurum kullanıcısı veya kritik entegrasyon trafiği hızlı şekilde istisna kapsamına alınabilir.
Merkez besleme günlük, haftalık veya aylık cron şablonlarıyla güncellenebilir. Operasyon ekibi ihtiyaç duyduğunda yönetim arayüzünden manuel güncelleme de başlatabilir.
TR7 IP İtibar Beslemeleri, merkez arşivden özel URL kaynaklarına kadar farklı tehdit listelerini güvenli ve denetlenebilir şekilde işler.
TR7 merkez IP itibar beslemesi şifreli arşiv olarak alınır ve belirlenen periyoda göre güncellenir. Günlük, haftalık ve aylık cron şablonları desteklenir. Güncelleme modeli tam arşiv çekme mantığıyla çalışır; böylece yerel kurulum güncel listeyi kontrollü biçimde alır. Küme mimarisinde yalnızca primary node merkez beslemeyi çeker, diğer node'lar senkronizasyonla güncellenir.
Kullanıcı 10'a kadar harici URL tanımlayabilir. Her kaynak varsayılan olarak 50.000 IP'ye kadar işlenir ve üst sınır 200.000 kayıtla korunur. Bu URL'ler kurum içi SOC listeleri, sektör paylaşım dosyaları veya dış tehdit istihbaratı çıktıları olabilir. TR7 bu kaynakları merkezi karar hattına ekleyerek kurumun kendi güvenlik bilgisini kullanılabilir hâle getirir.
Harici besleme URL'leri API anahtarı, token veya özel header gerektirebilir. TR7, her kaynak için kullanıcı tanımlı HTTP header eklenmesini destekler. Bu sayede açık metin, intranet veya kimlik doğrulamalı liste kaynakları aynı modelle çekilebilir. Kurum, güvenlik beslemelerini ayrı entegrasyon geliştirmeden kullanabilir.
Besleme dosyalarında tekil IP adresleri veya CIDR blokları kullanılabilir. TR7, IPv4 ve IPv6 girdilerini ayrıştırır ve ilgili kategori haritalarına işler. # veya // ile başlayan satırlar yorum olarak değerlendirilebilir. Bu esneklik, farklı formatlarda üretilen kurum ve topluluk listelerinin daha az elle düzenlemeyle kullanılmasını sağlar.
TR7, DNS compromise, fraud orders, DDoS attack, phishing, open proxy, port scan, hacking, SQL injection, brute force, bad web bot, exploited host, web app attack, SSH ve IoT targeted gibi kategorileri destekler. Kategoriler ikili sınıflama mantığıyla çalışır; ağırlıklı skor veya TTL iddiası kullanılmaz. Bu net model, hangi saldırı sınıfının aktif edildiğini ve hangi kaynaktan geldiğini daha anlaşılır kılar.
Kurum kendi blacklist ve whitelist dosyalarını ayrı dosya konumlarında yönetebilir. Dosya değişiklikleri watcher mekanizmasıyla takip edilir ve kısa debounce süresiyle işlenir. Whitelist kaydı varsa nihai karar blacklist'i bastırır. Bu yapı, acil istisna ekleme veya kurum içi IP bloklarını güvenli listeye alma süreçlerini hızlandırır.
TR7, işlenen blacklist bilgisini düz metin dump olarak da üretebilir. Bu çıktı, geçiş katmanı veya ek ağ güvenliği bileşenleri tarafından tüketilebilecek sade bir format sağlar. Kategori haritaları ayrıca ayrı dosyalara dökülebilir. Böylece IP itibarı yalnızca WAAP ekranında kalmaz, operasyonel altyapının farklı noktalarına taşınabilir.
Harici kaynak çekimlerinde zaman aşımı ve azami boyut sınırları uygulanır. Merkez arşiv için 200 MB üst sınır, harici kaynaklar için süre ve kayıt sınırları güncelleme sürecini kontrol altında tutar. Kullanıcı arayüzünde kaynak bazlı ilerleme izlenebilir ve gerekli durumda işlem iptal edilebilir. Bu kontroller, hatalı veya aşırı büyük beslemelerin sistemi zorlamasını önler.
IP itibar operasyonu, besleme güncellemesi kadar whitelist önceliği, küme eşitlemesi, dosya çıktıları ve hata kontrolüyle güvenilir hâle gelir.
TR7, kategori haritaları, kullanıcı blacklist haritası, whitelist haritası ve harici kaynak haritalarını ayrı ayrı tutar. Harici kaynaklar URL bazında izlenebilir. Bu ayrım, hangi IP bilgisinin hangi kaynaktan geldiğini operasyonel olarak daha anlaşılır kılar.
Whitelist kaydı bulunan IP adresleri nihai blacklist çıktısından düşürülür. Uygulama mantığında bu kayıt negatif değerle işaretlenerek engelleme hattına gönderilmez. Bu davranış, iş sürekliliği açısından kritik istisnaların merkezi olarak korunmasını sağlar.
Kategori haritaları ve düz liste çıktıları belirli dosya konumlarına yazılır. Kategori bazlı JSON haritaları ve liste dosyaları, izleme ve entegrasyon için kullanılabilir. Bu yapı, IP itibar verisinin yalnızca arayüzde değil dosya tabanlı operasyonlarda da kullanılmasına yardımcı olur.
Küme etkinse merkez güncellemeyi primary node yapar. Secondary node'lar güncel veriyi senkronizasyon yoluyla alır. Bu yaklaşım, her node'un aynı beslemeyi ayrı ayrı çekmesini engeller ve küme içinde tutarlı liste kullanımı sağlar.
Harici kaynak çekiminde kullanıcı iptal akışı tetiklenebilir. İptal durumunda ilgili response stream sonlandırılır ve kaynak güncellemesi kesilir. Büyük, hatalı veya yanıt vermeyen feed kaynaklarında bu kontrol operasyon ekibine güvenli geri dönüş sağlar.
Besleme dosyalarında yorum satırları işlenmeden geçilebilir. Tekil IP adresleriyle birlikte CIDR formatındaki bloklar da kabul edilir. Bu, farklı SOC araçlarından veya paylaşım listelerinden gelen dosyaların daha doğal şekilde kullanılmasını sağlar.
Bir banka, SSH kategorisini aktif ederken kendi SOC tarafından üretilen kurum içi feed URL'sini de ekleyebilir. TR7, merkez besleme ve özel SOC listesini aynı itibar motorunda değerlendirerek brute force kaynaklarını daha hızlı engelleme hattına taşır.
Telekom operatörü, DDoS attack, ping of death ve port scan kategorilerini açarak saldırı öncesi riskli kaynakları sınıflandırabilir. Liste çıktıları ağ güvenliği katmanlarına taşınarak saldırı anında daha hızlı drop kararları alınabilir.
E-ticaret platformu, fraud orders, VPN IP ve open proxy kategorilerini ödeme akışında kullanabilir. Riskli IP kaynaklarına doğrudan blok yerine ek doğrulama veya daha sıkı kontrol uygulanarak satış kaybı ile fraud riski dengelenir.
İnternet erişimi kısıtlı kamu kurumları, merkez beslemeyi kapatıp yalnızca intranet üzerindeki özel blacklist URL'sini kullanabilir. TR7, bu listeyi yerel olarak çekip kategori ve whitelist kontrolleriyle işleyerek offline mimaride de IP itibar kontrolü sağlar.
Merkez besleme, harici URL kaynakları ve kurum listeleri tek itibar motorunda. Kendi ortamınızda canlı bir kurulumda gezdirelim.