Module 1
Splunk Fundamentals (Temeller)
- Splunk mimarisi (Indexer, Search Head, Forwarder)
- Splunk Enterprise vs Splunk Cloud
- Use case: SIEM olarak Splunk’ın rolü
- Dashboard, Search & Reporting uygulamasına giriş
Modüller & İçerik
Bu eğitim, 12 modülden oluşan kapsamlı bir SIEM kullanıcı programıdır. Modüller; Splunk mimarisi ve kurulum modelleriyle başlayarak, log toplama ve parsing süreçleri, SPL (Search Processing Language) kullanımı, alan eşleştirme ve CIM yapıları gibi temel teknik konuları kapsar. Eğitim ilerledikçe dashboard ve görselleştirme oluşturma, alarm ve korelasyon geliştirme, Splunk Enterprise Security kullanımı, threat intelligence entegrasyonu ve MITRE ATT&CK eşleştirmeleri ele alınır. Son modüllerde ise incident response süreçleri, performans optimizasyonu ve gerçek SOC use-case’leri üzerinden en iyi uygulamalar işlenir.
Module 2
Installation & Deployment Models
- Splunk Enterprise kurulumu
- Indexer Cluster ve Search Head Cluster mimarileri
- Universal Forwarder kurulumu ve konfigürasyonu
- Deployment Server kullanımı
Module 3
Data Ingestion & Parsing
- Data Inputs yönetimi
- Syslog, API ve agent tabanlı veri toplama
- Parsing pipeline (Input → Parsing → Indexing)
- Sourcetype, timestamp extraction, line breaking
Module 4
Splunk Search Processing Language (SPL)
- SPL temelleri: search, stats, table, eval
- İleri seviye SPL: timechart, transaction, rex, spath
- Join, lookup, subsearch kullanımı
- Threat hunting için SPL yazımı
Module 5
Field Extraction & CIM Mapping
- Field extraction yöntemleri
- Field extractor tool kullanımı
- CIM (Common Information Model) nedir?
- Use case: Firewall loglarını CIM’e uyarlama
Module 6
Creating Dashboards & Visualizations
- Dashboard Studio kullanımı
- Security use-case dashboardları
- Custom panels ve drilldown özellikleri
- Raporlama ve schedule ayarları
Module 7
Alerts & Correlation Searches
- Threshold ve behavior-based alert oluşturma
- Notable event mantığı (Enterprise Security için)
- Correlation search best practices
- Alert workflows ve escalation süreçleri
Module 8
Splunk Enterprise Security (ES)
- Security Domain yapısı
- Incident Review paneli
- Risk-based alerting (RBA) mantığı
- Use case library kullanımı
Module 9
Threat Intelligence & Enrichment
- Threat intel kaynaklarının entegrasyonu
- STIX/TAXII entegrasyonu
- Lookup table ile zenginleştirme
- MITRE ATT&CK ile eşleştirme
Module 10
Incident Response with Splunk
- Olay analizi ve triage
- IOC tarama SPL komutları
- Incident Review → Investigation → Closure
- Raporlama süreçleri
Module 11
Performance Tuning & Indexer Management
- Indexer performans optimizasyonu
- Bucket yönetimi
- Search job inspection
- Splunk Monitoring Console kullanımı
Module 12
SOC Use Cases & Best Practices
- Brute force detection
- Suspicious admin activity
- Malware beaconing tespiti
- UEBA mantığı ve davranış analizi
- SIEM olgunluğu için en iyi uygulamalar