Merhaba, Red Team çalışmaları sırasında SIEM tarafında genellikle birçok farklı alarm tetiklenir. Bu tamamen kullanılan tekniklere, ortamın görünürlüğüne ve SIEM korelasyon kurallarının olgunluğuna bağlıdır ancak en sık görülen alarmlar şunlardır:

• Başarısız / anormal oturum açma denemeleri
• Brute force veya password spraying aktiviteleri
• Yetki yükseltme (Privilege Escalation)
• Yeni admin hesabı oluşturulması
• Şüpheli PowerShell / CMD komutları
• Mimikatz, PsExec, BloodHound benzeri araç davranışları
• Lateral movement (RDP, SMB, WMI, WinRM hareketleri)
• Olağandışı DNS sorguları
• C2 (Command & Control) iletişimi
• Beaconing trafiği
• Şüpheli dosya çalıştırmaları
• Endpoint üzerinde AV/EDR kapatma girişimleri
• Persistence teknikleri (scheduled task, registry run key vb.)
• Veri sızıntısı / yüksek hacimli outbound trafik
• MITRE ATT&CK teknik eşleşmeleri
• IOC (Indicator of Compromise) eşleşmeleri

Özellikle gelişmiş SIEM platformlarında olaylar tek tek değil, korelasyon motoru sayesinde zincir halinde ilişkilendirilir. Örneğin:

“Başarısız login → başarılı login → privilege escalation → lateral movement → veri transferi”

şeklinde bir attack chain oluşturulabilir.

Eğer ortamda UEBA (User & Entity Behavior Analytics) varsa, normal kullanıcı davranışından sapmalar da ayrıca alarm üretir. Örneğin bir kullanıcının gece 03:00’te farklı bir ülkeden VPN açması gibi.

Gerçekçi Red Team çalışmalarında amaç sadece sisteme sızmak değil, aynı zamanda SOC ekibinin sizi ne kadar erken fark ettiğini de ölçmektir. Bu yüzden SIEM görünürlüğü ve alarm kalitesi çalışmanın en kritik parçalarından biridir.