SiberKapan'ın tehdit verilerini nasıl topladığı, doğruladığı, skorladığı ve yayınladığı bu sayfada belgelenmiştir. Şeffaflık, platformun temel ilkelerinden biridir. This page documents how SiberKapan collects, validates, scores, and publishes threat data. Transparency is one of the platform's core principles.
Veriler üç kanaldan toplanır: (1) Topluluk katkıları — FortiGate Automation Stitch webhook'ları aracılığıyla doğrulanmış üyelerden gelen gerçek saldırı tespitleri. (2) Harici feed'ler — Feodo Tracker, URLhaus, Emerging Threats, GreenSnow, Binary Defense ve diğerleri 6 saatte bir otomatik çekilir. (3) CISA KEV — kritik CVE kayıtları günlük güncellenir.Data is collected from three channels: (1) Community contributions — real attack detections from verified members via FortiGate Automation Stitch webhooks. (2) External feeds — Feodo Tracker, URLhaus, Emerging Threats, GreenSnow, Binary Defense and others are automatically pulled every 6 hours. (3) CISA KEV — critical CVE records are updated daily.
Her gelen IP için format doğrulaması (RFC 791) yapılır. Özel ağ adresleri (RFC 1918), loopback ve multicast adresleri otomatik reddedilir. Harici feed kaynaklı IP'ler otomatik onaylanır. Topluluk bildirimleri iki aşamada işlenir: API key'li doğrulanmış üyelerden gelen bildirimleri otomatik onaylanır; kayıtsız topluluk bildirimleri moderasyon kuyruğuna alınır.Format validation (RFC 791) is performed for each incoming IP. Private network addresses (RFC 1918), loopback, and multicast addresses are automatically rejected. IPs from external feed sources are automatically approved. Community submissions are processed in two stages: submissions from verified API key members are automatically approved; unregistered community reports enter the moderation queue.
Her IP adresine 0-100 arası tehdit skoru atanır. Skor, kaynak tipi ve severity'e göre hesaplanır. Birden fazla kaynaktan gelen raporlar skoru kümülatif olarak artırır (maksimum 100). Skor zamanla azalmaz — bir IP bir kez yüksek skor aldıysa düşürülmesi için delisting talebi gerekir.Each IP address is assigned a threat score between 0-100. The score is calculated based on source type and severity. Reports from multiple sources cumulatively increase the score (maximum 100). Scores do not decay over time — if an IP receives a high score, a delisting request is required to lower it.
ip-api.com servisi kullanılarak her IP için ülke kodu, AS numarası, organizasyon adı ve datacenter/proxy tespiti yapılır. Bu bilgi blocklist'e dahil edilir ve BGP sorgulama sayfasında görüntülenir. GeoIP verisi tahmini olup %100 doğruluk garantisi verilmez.Using the ip-api.com service, country code, AS number, organization name, and datacenter/proxy detection is performed for each IP. This information is included in the blocklist and displayed on the BGP lookup page. GeoIP data is approximate and 100% accuracy is not guaranteed.
Onaylı IP'ler REST API üzerinden TXT, JSON, CIDR, FortiGate CLI ve iptables formatlarında sunulur. Ülke ve platform bazlı listeler RIPE NCC API'sinden anlık çekilir. CVE feed'i RSS/Atom formatında vendor bazında filtrelenmiş olarak yayınlanır.Approved IPs are served via REST API in TXT, JSON, CIDR, FortiGate CLI, and iptables formats. Country and platform-based lists are pulled in real time from the RIPE NCC API. CVE feed is published in RSS/Atom format with vendor-based filtering.
Doğrulanmış API key sahibi üyelerden Automation Stitch webhook'ları ile gelen gerçek saldırı tespitleri.Real attack detections from verified API key members via Automation Stitch webhooks.
Abuse.ch — Emotet, Dridex, TrickBot botnet C2 sunucuları. 6 saatte bir güncellenir.Abuse.ch — Emotet, Dridex, TrickBot botnet C2 servers. Updated every 6 hours.
Abuse.ch — Malware dağıtan URL ve IP adresleri. 6 saatte bir güncellenir.Abuse.ch — Malware distributing URLs and IP addresses. Updated every 6 hours.
Proofpoint — Aktif tehdit aktörleri IP listesi. 12 saatte bir güncellenir.Proofpoint — Active threat actors IP list. Updated every 12 hours.
Genel amaçlı kötü amaçlı IP listeleri. Bot ve crawler IP'leri dahil.General purpose malicious IP lists. Includes bot and crawler IPs.
ABD Siber Güvenlik Ajansı bilinen istismar edilen zafiyet kataloğu. Günlük güncellenir.US Cybersecurity Agency known exploited vulnerabilities catalog. Updated daily.
Ülke bazlı IP prefix listeleri için kullanılır. Veriler anlık çekilir, cache'lenmez.Used for country-based IP prefix lists. Data is pulled in real time, not cached.
Ek topluluk destekli harici blocklist feed'leri. 6 saatte bir güncellenir.Additional community-supported external blocklist feeds. Updated every 6 hours.
SiberKapan'ın FortiGate webhook entegrasyonundan gelen ilk verilerin analizi, saldırı trafiğinin önemli bir kısmının Google Cloud ve Amazon AWS IP bloklarından kaynaklandığını ortaya koymuştur. Bu IP'lerin AbuseIPDB abuse confidence score'u 0 — yani global feed'lere henüz düşmemiş. Analysis of initial data from SiberKapan's FortiGate webhook integration revealed that a significant portion of attack traffic originates from Google Cloud and Amazon AWS IP blocks. These IPs have an AbuseIPDB abuse confidence score of 0 — meaning they have not yet appeared in global feeds.
Bu durum, saldırganların yüksek repütasyonlu bulut altyapılarını kullanarak geleneksel IP blocklist sistemlerini atlatma tekniğini yansıtmaktadır. Repütasyon tabanlı sistemler bu IP'leri otomatik olarak güvenilir sayar. SiberKapan, davranış tabanlı FortiGate tespiti sayesinde bu atlatma tekniğini yakalamaktadır. This reflects the technique of attackers using high-reputation cloud infrastructure to bypass traditional IP blocklist systems. Reputation-based systems automatically trust these IPs. SiberKapan detects this bypass technique through behavior-based FortiGate detection.
SiberKapan'ın FortiGate webhook entegrasyonundan gelen ilk verilerin analizi, saldırı trafiğinin önemli bir kısmının Google Cloud ve Amazon AWS IP bloklarından kaynaklandığını ortaya koymuştur. Bu IP'lerin AbuseIPDB abuse confidence score'u 0 — yani global feed'lere henüz düşmemiş. Analysis of initial data from SiberKapan's FortiGate webhook integration revealed that a significant portion of attack traffic originates from Google Cloud and Amazon AWS IP blocks. These IPs have an AbuseIPDB abuse confidence score of 0 — meaning they have not yet appeared in global feeds.
Bu durum, saldırganların yüksek repütasyonlu bulut altyapılarını kullanarak geleneksel IP blocklist sistemlerini atlatma tekniğini yansıtmaktadır. Repütasyon tabanlı sistemler bu IP'leri otomatik olarak güvenilir sayar. SiberKapan, davranış tabanlı FortiGate tespiti sayesinde bu atlatma tekniğini yakalamaktadır. This reflects the technique of attackers using high-reputation cloud infrastructure to bypass traditional IP blocklist systems. Reputation-based systems automatically trust these IPs. SiberKapan detects this bypass technique through behavior-based FortiGate detection.
SiberKapan veritabanındaki IP'ler periyodik olarak AbuseIPDB ile karşılaştırılmaktadır. Bu analiz, platformun global feed'lere kıyasla özgün katkısını ölçmektedir. IPs in the SiberKapan database are periodically compared with AbuseIPDB. This analysis measures the platform's original contribution compared to global feeds.