Anomali Tespiti
Logger her log kaynağı için aşağıdaki anomalileri otomatik bayraklar:
peer_ip değişimi
Bir kaynak normalde sabit IP'den bağlanır. Yeni IP'den bağlanma → anomaly.
Olası nedenler:
- Cihaz yer değiştirdi (legitimate)
- IP spoofing (saldırı)
- mTLS sertifikası başka cihaza kopyalandı (kritik)
hostname değişimi
Vendor-reported hostname değişti → yeniden adlandırma ya da firmware fark.
Çözüm akışı
- Anomaly tetiklenir → admin'e e-posta + Slack
- Admin UI'da "Doğrula" / "Engelle" seçeneği
- "Doğrula" → yeni IP/hostname öğrenilir
- "Engelle" → mTLS sertifikası iptal edilir, audit'e yazılır