Acronis Advanced Security + EDR Bölüm 4: Entegrasyonlar (SIEM, PSA, API, E-posta Güvenliği, Ticketing)

Entegrasyonlar (SIEM, PSA, API, E-posta Güvenliği, Ticketing)

Siber güvenlik ekosisteminde, bir ürünün tek başına çalışmasının ötesinde diğer sistemlerle entegrasyonu kritik önem taşır. Acronis Advanced Security + EDR, açık mimarisi ve API odaklı tasarımı sayesinde çeşitli platformlarla entegre olabilmektedir. Bu bölümde, çözümün SIEM sistemlerine log aktarımı, PSA (Professional Services Automation) araçlarıyla servis yönetimi entegrasyonu, RESTful API kullanım imkanları, Acronis’in kendi portföyündeki e-posta güvenliği gibi diğer hizmetlerle etkileşimi ve genel ticketing süreçleriyle bütünleşmesi konularını ele alacağız.

SIEM Entegrasyonu (Security Information and Event Management)

Kurumsal ortamlarda ve MSP hizmetlerinde, farklı güvenlik ürünlerinden gelen verilerin merkezi bir SIEM platformunda toplanması istenir. Acronis EDR bu ihtiyacı karşılamak üzere esnek log entegrasyon özelliklerine sahiptir:

• CEF ve Syslog Desteği: Acronis, Generic SIEM Connector adı altında bir özellik sunarak olay kayıtlarının standart formatlarda dışarı aktarılmasını mümkün kılar. Common Event Format (CEF) gibi yaygın biçimler desteklenir. Bu sayede, Splunk, ArcSight, QRadar, Elastic Security gibi SIEM araçlarına Acronis olaylarını beslemek oldukça kolaylaşır. Yapılan konfigürasyonla, Acronis konsolu kritik incident’ları veya belirli log türlerini bir Syslog akışı olarak SIEM sunucusuna gönderir.
• Özel SIEM Entegrasyonları: Acronis, pazar lideri SIEM’ler ile doğrudan entegrasyonlar geliştirmektedir. Örneğin 2023 sonu itibariyle IBM QRadar Suite ile entegre olunduğu duyurulmuştur. Benzer şekilde Splunk için bir eklenti, Azure Sentinel (Microsoft Sentinel) için bir connector, Elastic için bir entegrasyon paketi olabilir ya da gelecekte sunulacaktır. Bu entegrasyonlar, ilgili platformda Acronis loglarını tanıyıp kategorize eden kural setleri de içerebilir.
• Stellar Cyber, D3 gibi Platformlar: Bazı MSSP odaklı yeni nesil XDR platformları da Acronis ile entegrasyon yapmıştır. Örneğin Stellar Cyber, Acronis Cyber Protect Cloud’dan log çekmek için bir konektör sağlamaktadır. Bu da MSP’lerin kendi kurdukları SOC platformlarına Acronis’i kolayca bağlamasını sağlar. Yine D3 Security gibi SOAR platformları da Acronis API’larını kullanarak playbook’lara entegre olabilir.
• Kullanım Senaryosu: Örneğin bir finans kurumunun hali hazırda QRadar SIEM’i olduğunu düşünelim. Acronis EDR kullanmaya başladıktan sonra, SIEM entegrasyonunu kurarak tüm EDR incident’larının QRadar’a da düşmesini sağlayabilir. Böylece SOC analistleri tek ekranda (QRadar’da) tüm altyapının olaylarını görür, Acronis özeline gitmek zorunda kalmaz. Acronis’ten gelen loglar, örneğin DeviceType=Endpoint, Vendor=Acronis, EventID=EDR-Incident gibi alanlarla SIEM’de ayrıştırılır. Bu veriler üzerinden korelasyon kuralları da kurulabilir (ör. Acronis EDR’de kritik olay + firewall’da aynı IP’den port scan = uyarı).
• Log Sadelik/Özet: Acronis EDR tarafında SIEM’e gönderilecek verinin seviyesi ayarlanabilir. Çok ayrıntılı ham log yerine özet incident bilgileri yollanması tipik bir seçenektir. Bu, SIEM’de veri patlamasını önler ve gerçekten önemli olanların iletilmesini sağlar. Örneğin her bir process event yerine “Bir incident oluştu, ID’si şu, toplam 5 alt olay içerir” gibi bir özet gönderilebilir.
• API ile SIEM: Alternatif olarak, SIEM entegrasyonu için Acronis’in REST API’ları kullanılabilir. SIEM yazılımı (ör. Splunk) belirli aralıklarla Acronis API’ından yeni olayları çekebilir. Acronis, kapsamlı bir API kütüphanesi sunmaktadır, bu da custom entegrasyon yazmak isteyenler için esneklik demektir. Örneğin Splunk’da bir Python script, her 5 dakikada bir Acronis’ten son incident listesini çekip Splunk index’ine yazabilir.

PSA ve Ticketing Entegrasyonları

PSA (Professional Services Automation) araçları, özellikle MSP sektöründe, yardım masası (helpdesk), sözleşme & faturalama ve iş akışı yönetimi için kullanılır. Örneğin ConnectWise Manage, Datto/Autotask, Kaseya BMS gibi popüler PSA’ler vardır. Acronis Advanced Security + EDR, PSA entegrasyonlarını destekleyerek güvenlik olaylarının otomatik olarak ticket’lara dönüştürülmesini veya envanter bilgilerinin senkronize edilmesini sağlar:

• PSA Ticket Açma: Acronis, PSA entegrasyonu ile kritik bir incident oluştuğunda PSA sisteminde bir ticket açılmasını tetikleyebilir. Örneğin MSP, Acronis konsolunda “yüksek önem dereceli her olayda ConnectWise Manage üzerinde bir servis bileti oluştur” kuralını tanımlar. Bir fidye yazılımı engellendiğinde, Manage’de ilgili müşteri, cihaz ve olay detaylarıyla bir ticket otomatik açılır. Bu sayede destek mühendisleri durumu anında görür ve işlem yapar. Acronis Developer portalında PSA entegrasyonu için rehberler bulunmaktadır (muhtemelen).
• RMM & PSA Tekilleştirme: Acronis platformu MSP’lerin kullandığı diğer araçlarla entegre çalışır. Örneğin Acronis, RMM (Remote Monitoring & Management) çözümleriyle entegredir – buna ConnectWise Automate, Atera, NinjaRMM vb. dahil olabilir. Bu entegrasyonlar tipik olarak RMM arayüzünden Acronis’in agent deploy edilebilmesi, agent durumunun RMM envanterinde görülmesi gibidir. PSA tarafında ise, lisans kullanımı ve faturalama entegrasyonu önemlidir: Acronis, PSA ile entegre olduğunda, kaç cihaz korundu, hangi paketler kullanıldı gibi bilgiler PSA’e aktarılarak aylık faturalama otomatikleştirilebilir.
• E-posta/Ticket Entegrasyonu: Acronis konsolu, e-posta üzerinden olay bildirimi yapabilir. Basit bir formda, belirli olaylar gerçekleşince belirlenmiş e-posta adreslerine uyarı gönderilebilir. Bu, küçük ölçekli kullanımda yeterli bir yöntemdir. Bu e-postalar, aynı zamanda bazı basit ticket sistemleriyle entegre edilebilir (örn. e-posta atınca ticket açan sistemler). Ancak Acronis, doğrudan büyük PSA’ler için native entegrasyon modülleri geliştirmiştir. ConnectWise, Autotask, Tigerpaw gibi MSP PSA yazılımlarıyla out-of-the-box entegrasyonlar mevcuttur. Genelde bu entegrasyonlar bir API anahtarı girilerek etkinleştirilir ve olay -> ticket akışı kurulur.
• Örnek Ticket Akışı: Diyelim bir MSP, Autotask PSA kullanıyor. Acronis’te bir olay oluştuğunda Autotask’ta bir Service Ticket açılıyor. Bu ticket’ın içeriğinde olayın adı (örn. “EDR Alert: Ransomware blocked on Server1”), olayı üreten sistem (Acronis EDR), cihaz bilgileri, zaman damgası, belki kritikity gibi alanlar dolar. MSP teknisyeni ticket detayına girerek çözümü oradan takip edebilir. Hatta Acronis API kullanılarak ticket içinden direkt Acronis konsoluna link verilebilir (bir düğmeye basıp ilgili olayı Acronis’te açmak gibi).
• Entegrasyon Kataloğu: Acronis, web sitesinde ~300 civarı entegrasyon olduğunu belirtiyor. Bunlar arasında PSA, RMM, SIEM, Sanallaştırma platformları, Bulut servisleri vs. bulunuyor. Bu geniş ekosistem desteği, Acronis’i sadece bir güvenlik aracı değil, genel IT operasyonlarının bir parçası haline getiriyor. Örneğin müşterinin VM’leri VMware vCenter’da çalışıyorsa, Acronis backup entegrasyonu oradan VM listelerini çekebiliyor; benzer şekilde bulut e-posta güvenliği modülü Microsoft 365 ile API üzerinden entegre olabiliyor.
• API ile Özelleştirme: Tüm bu entegrasyonların özünde Acronis’in RESTful API’ları yatmakta. Acronis Platform API dokümantasyonu, ürünle ilgili hemen her işlemi API ile yapmaya imkan tanıyor. MSP’ler veya kurumlar, kendi özel ihtiyaçları için bu API’ları kullanabilir. Örneğin bir kurum ServiceNow kullanıyorsa, Acronis’ten API ile incident’ları çekip ServiceNow ITSM modülüne kaydedebilir. Ya da bir Slack/Teams uyarı botu yapıp, kritik olayları sohbet kanalına bildirebilir. API’lar aynı zamanda çeşitli entegrasyon script’lerinin community tarafından geliştirilmesine de olanak verir.

E-posta Güvenliği ve Diğer Acronis Modülleri ile Entegrasyon

Acronis Advanced Security + EDR, Acronis’in geniş siber koruma portföyünün bir parçasıdır. Bu portföyde Advanced Email Security, Security Awareness Training, File notarization, DeviceLock DLP gibi modüller de bulunuyor. Bu modüller arasında entegre bir yaklaşım mevcuttur:

• Email Security: Acronis Advanced Email Security, O365 ve diğer mail hizmetlerine API entegre bir email güvenlik çözümüdür (Perception Point teknolojisine dayanıyor). E-posta yoluyla gelen tehditler (phishing, kötü amaçlı ekler) bu modülle filtrelenir. EDR ile entegrasyon noktasında, bir e-posta eğer zararlı ek içerip de kullanıcının sistemine sızarsa, EDR devralır. İdeal senaryoda e-posta güvenliği dosyayı sandbox’ta yakalar. Ancak kaçan bir olur ise ve kullanıcı açarsa, Acronis EDR bunu uç noktada tespit eder. Bu iki modül arasındaki bilgi alışverişi, tam olarak XDR seviyesinde gerçekleşir. Örneğin EDR’de bir olay incelerken, “entry point: phishing email” diye bir bilgi görmek istenebilir. Acronis platformu, email modülünden bunu sorgulayabilir. Henüz bunun arayüzde nasıl sunulduğu belki basit düzeyde (ör. e-posta olayları ayrı, EDR olayları ayrı listeleniyor olabilir), ancak vizyon, tek bir incident’ın hem email hem endpoint adımlarını birleştirmek yönündedir.
• Security Awareness Training (SAT): Bu modül kullanıcı eğitimleriyle ilgili. Entegrasyon açısından, EDR çok fazla kesintiye uğratan olay yaratırsa belki ilgili kullanıcıya ek eğitimler planlamak gibi bir yaklaşıma gidilebilir. Acronis henüz bu çapraz entegrasyonu duyurmadı ama olasıdır: Örneğin bir kullanıcı ardı ardına 3 kez phishing linkine tıklayıp EDR tarafından korunduysa, sistem otomatik o kullanıcıya SAT platformundan eğitim ataması yapabilir.
• DeviceLock DLP: Acronis’in edindiği DeviceLock teknolojisi, uç noktalarda veri sızıntısını önlemeye yarar. EDR ile DLP modülleri birbirini tamamlar – biri veriyi korur, diğeri sistemi korur. Entegrasyon örneği: Bir kullanıcı USB ile dosya çıkarırken DeviceLock alarm verdi diyelim, aynı anda EDR bir anormallik gördü (kullanıcı hassas dosyayı şifrelemek için bir araç çalıştırdı mesela). Bu iki modül bir arada çalışarak olayı daha yüksek önem seviyesine taşıyabilir. Acronis konsolu bu tür modüllerin hepsini tek ekranda yönetebilmeyi amaçlamaktadır.
• Acronis Cyber Protect Home Office (Eski True Image): Bu aslında bireysel/SoHo ürünü, ancak aynı motorlara sahip. Entegrasyon kapsamına girmez pek, ama bahsetmeye değer ki Acronis’in ev kullanıcılarına yönelik ürünü de anti-malware içeriyor. EDR fonksiyonu orada yok, ancak benzer Active Protection özelliği var. Bu ürün, kurumsal platformdan ayrı çalışır.
• API Bazlı Olay Paylaşımı: Acronis modülleri arasındaki entegrasyon, arka planda birleştirilmiş veri gölü ile sağlanır. Hepsi tek bir müşteri veritabanına yazdığı için, bir modülde olan biten diğerine de yansıyabilir. Bu sayede, örneğin e-posta modülü bir IOC tespit ettiğinde, EDR modülü o IOC’yi threat feed olarak alabilir ve uç noktalarda arayabilir.

Özet ve Tablo ile Entegrasyonlar

Acronis Advanced Security + EDR’nin entegre olabildiği başlıca sistemleri aşağıdaki tabloda özetleyelim:

Yukarıdaki entegrasyon yelpazesi, Acronis Advanced Security + EDR’yi daha geniş bir ekosistemin parçası yapmaktadır. MSP’ler için önem arz eden RMM/PSA entegrasyonları, operasyonel kolaylık sağlarken; kurumsal müşteriler için SIEM entegrasyonu mevcut SOC süreçlerine Acronis’i dahil etmeyi mümkün kılar. API odaklı yaklaşım ise herhangi bir özel entegrasyon ihtiyacında geliştirici dostu bir yol sunar.

Günümüzde güvenlik çözümlerinin birlikte çalışabilirliği (“interop”) en az kendi özellikleri kadar önem kazanmıştır. Acronis bu anlamda oldukça açık ve esnek bir profil çizmektedir – kapalı bir kutu olmak yerine, verilerini paylaşabilen, dış komutları alabilen bir platformdur. Bu da, yatırım koruması ve mevcut yatırımlardan faydalanma açısından müşterilere güven verir.

Sonraki bölümde, Acronis Advanced Security + EDR’nin çeşitli uyumluluk standartları ve regülasyonlarla ilişkisini inceleyeceğiz. Özellikle NIST CSF, ISO 27001 ve Türkiye’de KVKK gibi çerçevelere nasıl katkı sağladığı ve kendisinin bu standartlara uygunluğu ele alınacaktır.