Geleneksel SOC ölmüyor, evriliyor. Bir SOC analisti günde binlerce alarmla karşılaşıyor ve bunların büyük kısmı false positive. Tier-1/2 ekipleri bu gürültüde boğulurken gerçek tehditler MTTD/MTTR metriklerinin arkasında kayboluyor. ❌ Geleneksel SOC dediğimiz yapılarda; # Manuel triyaj var ve analist her alarma tek tek bakar # Katmanlı (Tier 1-2-3) insan eskalasyon # Kişiye bağlı tecrübe ve bilgi silosu # Yüksek MTTD/MTTR ✅ AI-Native SOC yapılarında ise artık; # Otomatik triyaj ve zenginleştirme # LLM tabanlı, bağlam farkında analiz ve verdict üretim # Otomatik korelasyon, dedup ve önceliklendirme # Otomatik Action ve Response # Otomatik False-Positive exclusion gibi gerçek tehdide odaklanmaya yarayan özellikler var. Üstelik bunların hepsi Tier-1-2-3 gibi insan odaklı analizlerin yapamayacağı kadar kısa sürede olmakta. İşte SOCNova tam olarak bu noktada tasarlandı. SOC'unuzun ihtiyaç duyduğu her şeyi tek bir noktada toplanmak üzere, gerçek hayat deneyimlerinden yola çıkarak geliştirildi. #SOCNova #SOC #BlueTeam #ThreatHunting #DetectionEngineer #CyberSecurity #SiberGüvenlik #DFIR #Siem #EDR #AISOC #NativeSOC #YapayZeka

Instacart is hiring Senior Detection Engineer — Remote Up to $243K Develop detection-as-code pipelines with CI/CD to deploy threat detection across AWS, Azure, GCP, and endpoints, automating response with SOAR. Link in reply. #detectionengineer #cybersecurity #cloudsecurity

🟥Cloud CLI / Claude Code UI (v1.24.0 öncesi) (OS Command Execution) Vulnerability ☠️CVSS: 9.1 (Critical) ☠️CWE: Improper Neutralization of Special Elements (CWE-78) 🟩Techinical Details: <JS/> execAsync(`git commit -m "${user_input}"`) user_input → kullanıcıdan geliyor (sanitize yok) string interpolation kullanılıyor shell context içinde çalışıyor Kullanıcı input'u doğrudan OS Commande gömülüyor. 🟦Exploit Mantığı: Hacker Api Endpoint request atar, brach, commit, file path vs Payloadı çakar; bash; "; rm -rf /; # backend: git commit -m ""; rm -rf /; #" çalıştırır. ➡️ Sonuç: arbitrary OS command execution Tam anlamıyla Dobroski zafiyeti. RCE, Privileage Escalation, Data Exp, Supply Chain ne ararsanız var. 🟦Nasıl Korunuruz? v1.24.0 ve üstüne upgrade. 🏴‍☠️🏳️Nasıl Detection Yapabiliriz: index=sysmon OR index=linux_logs ("git commit" OR "git checkout") | search (";" OR "&&" OR "|") #claudecli #claude #vulnerability #SOC #threat #detectionengineer #blueteam #sibergüvenlik #aisecurity

🛡️ Kural Büyücüsü v2 — AI-Powered SIEM Rule Generator /!/ Prompt Injection'a karşı 5 katmanlı savunma: • 40 PI detection pattern • Hardened system prompt • Output leakage detection • Real-time audit log 7 SIEM platformu destekli. Arcanum PI Taxonomy v1.5 tabanlı. Güle güle kullanın. 🔗 rulewizard.vercel.app 📂 github.com/onuroktay14/rulew… #AISecurity #SIEM #PromptInjection #BlueTeam #CyberSecurity #SiberGüvenlik #ThreatModeling #DetectionEngineer #ThreatHunting

Reynolds Ransomware EDR’lerden Nasıl Kaçıyor? Nasıl Tespit Ederiz? (Mantık Kural Kritik Noktalar) medium.com/@onuroktay/reynol… #EDR #BlueTeam #ThreatHunting #DetectionEngineer #CyberSecurity #SiberGüvenlik

🚨 Yeni Kritik Microsoft Office Zero-Day: CVE-2026-21509 🟥Nedir? Office'in OLE güvenlik mekanizmalarını (Kill Bit) atlatmasına izin veren bir mantık hatası. APT28 tarafından aktif sömürülüyor! 🟥 Tehlike: Makro gerektirmez! Sadece zararlı bir RTF/Office dosyasını açmak, saldırganın sistemde kod yürütmesine kapı açabilir. 🟥Tespit: Dokümanlarda "Shell.Explorer.1" nesnesine ve şüpheli COM objelerine dikkat. 🟥Aksiyon: Acil yamaları uygulayın ve RTF dosyalarını Sandbox ortamında analiz edin. 🟦 YARA Rule rule CVE_2026_21509_Office_Exploit { meta: description = "Detects potential CVE-2026-21509 exploits using Shell.Explorer.1 COM object" author = "Onur Oktay" date = "2026-02-06" severity = "Critical" strings: // Shell.Explorer.1 CLSID: EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B $clsid = "C32A22EAC130CF11A7EB0000C05BAE0B" nocase $obj_type = "Shell.Explorer.1" nocase $rtf_header = "{\\rtf1" condition: ($rtf_header at 0) and ($clsid or $obj_type) } 🟥iOC Dosya ve Nesne Bilgileri: CLSID: EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B (Shell.Explorer.1) Şüpheli Dosya Uzantıları: .rtf, .doc, .docx Bilinen Zararlı DLL (Örnek): EhStoreShell.dll (APT28 vakalarında görülmüştür) Şüpheli Mutex: asagdugughi41 (Bazı varyantlarda kullanılır) 🟦Davranışsal iOC'ler: WINWORD.EXE veya EXCEL.EXE süreçlerinin WebDAV (Port 80/443) üzerinden bilinmeyen dış IP'lere bağlantı kurması. Office uygulamalarının beklenmedik şekilde explorer.exe üzerinden veya doğrudan cmd.exe / powershell.exe gibi alt süreçler başlatması. %ProgramData%\USOPublic\Data\User\ dizini altında oluşturulan şüpheli DLL dosyaları. #CyberSecurity #CVE202621509 #Infosec #BlueTeam #Microsoft #threathunting #SiberGüvenlik #DetectionEngineer #0day

Kritik bir uygulamaya yada hosta ait exc rule yazarken fazlaca "UserAgent" bazlı regex takılmayın. Doğru ve determinist bir yaklaşım olmaz. #detectionengineer #blueteam #sibergüvenlik

⚡ LockBit çetesinin en son varyantı 5.0 için şu ana kadar ortalıkta dolaşan tüm iOC feedlerini toparlayıp "Genel kapsamlı" bir Sigma rule ürettim. Bu rule'ı doğrudan "Detection" mekanizması olarak kullanırsanız f/p oranınız yükselir ve avlama konusunda problem yaşabilirsiniz. Ancak düzgün şekilde uyarlarsanız sizi LockBit attacklerine karşı uyaracaktır. medium.com/@onuroktay/lockbi… #lockbit #ransomware #sigma #blueteam #detectionengineer

#BlueTeam 'ci arkadaşlar genellikle 'BFA' ile 'Credential Stuffing Attack'ı karıştırırlar. Özellikle bu yazılan Detection rule'lerde kendini ele verir. Olayı biraz mantık çerçevesince değerlendirelim. 🟥 Aynı IP multi user için failed login alıyorsa bu unSuccessfull Attack'dır. 🟩 Aynı IP random multi accountlara failed alıyorsa ve aynı zamanda bazılarına Success almışsa bu Account Takeover hareketidir. 🟦 Aynı IP, aynı UserAgent, aynı hostname 10 tane user için sürekli aynı Password'leri deneyerek 10 kere failed alacaksa bu credential stuffing attack'tır. 🟨 Aynı Password'un Multiple userler için denenmesi ve failed alması yada bir iki tanesinde random şekilde success alması da aslında CSA'dır. #sibergüvenlik #detectionengineer #blueteam #purpleteam

SQL Injection için log outputlarınızdan detection yapıyorsanız rule setinizde sadece ama sadece 'error code 5x' değil '200, 300 ve 400x' lerede bakmalısınız. 5x'ler hem alakasız f/p üretecektir hemde failure gibi gereksiz logları fazlaca detect etmenizi sağlayacaktır. Gerçek SQL Injection vakasını doğru detect için swallow edilebilir rule seti create etmelisiniz. #blueteam #detectionengineer #sibergüvenlik #log #SQL #hacking

Similar to the previous repo for the #detectionengineer, a bookmarks file that you can use is generated automatically. And of course contributions are welcome! I am always interested in finding out about tools or other resources that people in the field are using.

I made a GitHub repo with resources for #socanalysts. github.com/st0pp3r/awesome-s… You can also check my other repo for the #detectionengineer as it has been updated since last time. github.com/st0pp3r/awesome-d… #blueteam #soc #socanalyst #DetectionEngineering #CyberSecurity #infosec

🚨We are looking for a Sr. #DetectionEngineer to support an agency level contract defending the largest target in the world using your expertise in Host Based IDS, IPS & specialized network defense.🚨 warcollar.com/news/cyber-def… #jobopening #cyberdefense #infosec #cybersecurity

Void captures over a million Android TV boxes iOC 🟧 Known Android.Vo1d.1 variants (/system/xbin/vo1d) 🟥 SHA-1 f3732871371819532416cf2ec03ea103a3d61802 637c491d29eb87a30d22a7db1ccb38ad447c8de8 42def5b7eb8b1bcc727739cca98efe42c022a3f6 🟦 Known Android.Vo1d.3 variants (/system/xbin/wd) 🟨 SHA-1 8399c41b0d24c30391d7fba6b634ba29c0440007 e5b16486eebd6c6f7c45197f530e854a4f1373dd 51bd967bd7d59a8a9db8083094603a9d10e61ded 0b3c8113e996ac4e08552761731f9f97b8f0f6a2 0d51c034a6deda4d2db21c5852b8ceb8a1e1c68b 9dcc109ac2c5f873ece422aed0687ba21d594e9b e5406ae7482c0062cedafbd118a493ab8b7fe530 ⬛️ Known Android.Vo1d.1.origin variants (com.google.android.services) ◻️ SHA-1 7f87f9f059a58eb830d59af5bcb29c612b2a6ccf 9fcdfb9cadabe12283a002755a27a4a68a101949 25f93476cb8dc6a7f727a88ece0c5a0c19157c0b 3a4d90b9911e7e582cf3279b15f2f822a5bb2823 b315be9d64e22960f6072aac60538b13d50da054 618b98eb97f38ffa7b384b0932fd4b92c8877f60 b474c279da7b08fd64f92b0781e2663bf6cbb4b6 💡Domains hxxp[:]//meiboot[.]com/ hxxp[:]//bitemores[.]com/ hxxp[:]//6f33933ce4a5c0e1b32fea736a61351a[.]com/ hxxp[:]//catmos99[.]com:81/ #sibergüvenlik #SOC #Android #Google #IPTV #ioC #DetectionEngineer #ThreatHunting

#Android Zero-Day vulnerability on #Telegram IPs: 183.83.172[.]232 SHA1: F159886DCF9021F41EAA SHA1: 2B0641A758C4F0C4033D FileName: Teating.apk DetectName: Android/Spy.SpyMax.T #SOC #SiberGüvenlik #DetectionEngineer

In a recent ransomware case, the threat actor used the "PowerShell nmap-ish clone for Windows" to scan the network. @Trellix also mentioned this script a few days ago. The attackers saved the script under the path "C:\users\public\ppp.ps1". I thought about how I remember this and remembered that @malmoeb, a security researcher I follow, published a script about this. trellix.com/blogs/research/c… github.com/KurtDeGreeff/Play… #ThreatHunting #DetectionEngineer #Cactus #Ransomware #SiberGüvenlik #SOC

are amongst us specifically in an AWS environment. I know there's so much more about cloud security to learn but I definitely have more confidence in threat detection in the cloud. Job well done my friend! #Cybersecurity #DetectionEngineer #AWS

I think I'm going to go ahead and purchase the Detection Engineer course by @Level_Effect. I'll also be supporting a good friend of mine. #cybersecurity #detectionengineer