SIEM Use Case Kütüphanesi
SGB indicator'larını kullanan kanonik korelasyon kuralları. Her use case vendor-agnostik tanım + MITRE mapping + QRadar/Splunk implementasyon pointer'ı + severity formülü + false positive notları içerir. Yeni use case eklemek için tek şablon.
Filtrele
Severity matrisi (özet)
| CT | Anlam | Base severity | Davranış |
|---|---|---|---|
| AC | APT C&C | 10 | Her zaman P1 offense, auto-respond uygun |
| BC | Botnet C&C | 8 | Aktif bot demek; offense + host isolate kandidatı |
| EK | Exploit Kit | 8 | Aktif sömürü zinciri |
| MF | Malware Download | 7 | Henüz çalışmadı olabilir; EDR korelasyonu ile +1 |
| MC | Mobile C&C | 7 | Yalnız MDM/mobil VPN log source'larında |
| PH | Phishing | 5 | Volume yüksek; credential exposure |
| MM | Mining | 3 | Policy ihlali; performans etkisi |
| OT | Other | 3 | Informational; offense açmaz |
Final severity = clamp(base + (criticality_level − 5) / 2, 1, 10).
Source ∈ {IH} (ihbar) → offense açma, log at. Tam formül:
usecases/README.md.