IP İtibar Kaynakları
IP İtibar Kaynakları, Risk Motorunun hangi IP adreslerini kötü niyetli ya da şüpheli olarak değerlendireceğini belirler. SecTrail MFA, yerleşik kaynakları ve özel olarak eklenen harici kaynakları destekler. Bir IP adresi yapılandırılmış herhangi bir kaynakta eşleştiğinde ip_reputation sinyali tetiklenir ve risk skoruna katkıda bulunur.
IP İtibar Kaynakları - Yerleşik ve özel kaynak yapılandırması
Yerleşik Kaynaklar
Yerleşik kaynaklar varsayılan olarak etkindir. Bu kaynakları silemezsiniz ancak devre dışı bırakabilirsiniz. Farklı bir kaynak kullanmak istiyorsanız arayüzden özel kaynaklar ekleyebilirsiniz.
İlgili kaynak için erişim sağlandığında belirli periyodlarla otomatik güncellenir. Erişim ile ilgili detaylı bilgi için ekibimizle iletişime geçebilirsiniz. Erişim sağlanmadığı durumlarda liste güncellemeleri, yayımlanan patch sürümleriyle birlikte tarafımızdan güncellenir.
Senkronize Kaynaklar
Senkronize kaynaklar, IP listelerini periyodik olarak indirip yerel bir veritabanına aktarır. Sorgular yerel olarak yapıldığından düşük gecikme süreleri sunar.
Metin Listesi (Text Feed)
Düz metin formatında bir URL'den IP adresi veya CIDR bloğu listesi indiren kaynak türü.
| Alan | Açıklama |
|---|---|
| Name | Kaynak için benzersiz bir ad |
| URL | Ham metin listesini sunan URL |
| Refresh Interval | Listenin yeniden indirilme sıklığı (dakika cinsinden) |
| Comment Prefix | Yorum satırlarını belirten karakter (örn. #) |
| Enabled | Kaynağı etkinleştirmek veya devre dışı bırakmak için geçiş düğmesi |
CSV / Metin Dosyası
Virgülle ayrılmış değer (CSV) formatındaki bir dosyadan IP listesi içe aktaran kaynak türü.
| Alan | Açıklama |
|---|---|
| Name | Kaynak için benzersiz bir ad |
| File Path | Sunucudaki CSV dosyasının tam yolu |
| IP Column | IP adresini içeren sütunun dizin numarası (0 tabanlı) |
| Has Header | Dosyanın bir başlık satırı içerip içermediği |
| Refresh Interval | Dosyanın yeniden okunma sıklığı (dakika cinsinden) |
| Enabled | Kaynağı etkinleştirmek veya devre dışı bırakmak için geçiş düğmesi |
Toplu API (Bulk API)
HTTP API'si aracılığıyla IP listesi çeken ve periyodik olarak eşitleyen kaynak türü.
| Alan | Açıklama |
|---|---|
| Name | Kaynak için benzersiz bir ad |
| URL | API uç noktasının adresi |
| HTTP Method | GET veya POST |
| Headers | API'ye gönderilecek özel HTTP başlıkları (örn. kimlik doğrulama başlıkları) |
| Response Path | API yanıtında IP listesini içeren JSON yolu (örn. data.ips) |
| Refresh Interval | API'nin yeniden sorgulanma sıklığı (dakika cinsinden) |
| Enabled | Kaynağı etkinleştirmek veya devre dışı bırakmak için geçiş düğmesi |
Gerçek Zamanlı Kaynaklar
Gerçek zamanlı kaynaklar, oturum açma girişimi sırasında IP'yi anlık olarak sorgular. Bu kaynaklar güncel bilgi sağlar ancak sorgu gecikmesi oturum açma süresini etkileyebilir.
DNS Kara Liste (DNSBL)
DNS tabanlı kara liste sorgulama yöntemi.
| Alan | Açıklama |
|---|---|
| Name | Kaynak için benzersiz bir ad |
| Zone | Sorgulanacak DNSBL bölgesi (örn. zen.spamhaus.org) |
| Timeout | DNS sorgusunun zaman aşımı süresi (milisaniye cinsinden) |
| Enabled | Kaynağı etkinleştirmek veya devre dışı bırakmak için geçiş düğmesi |
HTTP API
Her oturum açma girişiminde bir HTTP API'sini gerçek zamanlı olarak sorgulayan kaynak türü.
| Alan | Açıklama |
|---|---|
| Name | Kaynak için benzersiz bir ad |
| URL | IP adresini parametre olarak alan API uç noktası. IP adresi için {ip} yer tutucusunu kullanın. |
| HTTP Method | GET veya POST |
| Headers | API'ye gönderilecek özel HTTP başlıkları |
| Match Path | Yanıtta kötü niyetli olup olmadığını belirten JSON yolu |
| Match Value | Eşleşmenin başarılı sayılacağı değer |
| Timeout | HTTP isteğinin zaman aşımı süresi (milisaniye cinsinden) |
| Enabled | Kaynağı etkinleştirmek veya devre dışı bırakmak için geçiş düğmesi |
Arama Nasıl Çalışır
Bir kullanıcı oturum açmaya çalıştığında Risk Motoru aşağıdaki sırayla IP itibar araması yapar:
- İstemci IP'si tüm etkin senkronize kaynaklara karşı yerel veritabanında aranır.
- IP adresi tüm etkin gerçek zamanlı kaynaklara karşı sorgulanır.
- Herhangi bir kaynakta eşleşme bulunursa
ip_reputationsinyali tetiklenir ve yapılandırılmış ağırlığı risk skoruna eklenir. - Birden fazla kaynak eşleşse dahi sinyal yalnızca bir kez tetiklenir; ancak hangi kaynakların eşleştiği olay ayrıntılarına kaydedilir.
Bir Kaynağı Silme
Yerleşik kaynaklar silinemez; yalnızca devre dışı bırakılabilir. Özel eklenen kaynakları silebilmek için kaynak başka herhangi bir yapılandırmada kullanılıyor olmamalıdır.
Kurulum Adımları
- Risk Analysis → IP İtibar Kaynakları sayfasına gidin.
- Add Source düğmesine tıklayın.
- Kaynak türünü seçin: Metin Listesi, CSV / Metin Dosyası, Toplu API, DNS Kara Liste veya HTTP API.
- Seçilen türe ait zorunlu alanları doldurun.
- Enabled seçeneğinin etkin olduğunu doğrulayın.
- Save düğmesine tıklayın.
- Senkronize kaynaklar için ilk senkronizasyonun tamamlandığını Last Sync sütunundan takip edin.