SIEM Neden Gerekli? Artıları Nelerdir?

SIEM (Security Information Event Management) çözümleri sisteminizde yer alan loglarınızın gerçek zamanlı izlemesini yapabildiğimiz, belli kurallar üzerinden log analizleri ile siber tehditlere karşı farkındalık oluşturan araçlardır. Envanterde yer alan iyi yapılandırılmış bir SIEM; güvenlik ekiplerine, tehditlere karşı proaktif bir bakış açısı kazandırır. Log yönetimi bir sistemde planlama, analiz, önlem, aksiyon gibi durumlar için can alıcı noktadadır. Topolojiniz ne kadar geniş ise güvenlik adına alacağınız tedbirler de o kadar fazla olmalıdır.

Log üreten cihaz sayısı artıp yapınız büyüdükçe logların yönetimi, tüm sistemin takibi ve tehditlerin izlenmesi de o kadar güçleşmektedir. Bu noktada logları tek bir merkezde toplayan SIEM ürünleri devreye girmekte. Güvenlik ekipleri gelen farklı cihazlardan alınan loglar üzerinden yaptıkları ilişkilendirme ve analizlerle saldırı tespiti ve aksiyon planlaması yaparlar. Bütün bir sistemi ele aldığımızda, bir saldırının tespiti ve analizinin ardından alınacak aksiyonda en kritik nokta zamandır.

SIEM bulundurmayan ya da SIEM olduğu halde logu, korelasyon kuralı, alarmı ya da map yapısı eksik kalmış bir sisteme yapılan saldırıyı fark etmek imkansıza yakındır. Bu gibi bir senaryoda saldırı tespiti yapmak büyük bir vakit kaybına neden olur çünkü iyi işlenmiş bir log yapısı ile oluşturulmuş tetikleyici kural örgüsü birbirini bütünler ve güvenlik analistine zaman kazandırır. Bu yüzden SIEM aksiyon almada kurtarıcı rolü üstlenmektedir. SIEM’in gerekliliği konusunu ana 3 başlık altında inceleyebiliriz.

1.      Vaka Tespiti, Yönetimi ve Aksiyon

SIEM, kurallar üzerinden gelen alarm ile güvenlik birimlerine aksiyon için yol çizmektedir. Logların merkezi, tek bir üründe toplanması tehditlerin belirlenip erken müdahale edilmesini sağlar. Ancak sadece log almak yeterli değildir. Kaynaklardan alınan loglar okunur hale getirilip birbirleriyle ilişkilendirilmelidir. Daha sonra bu korele loglar ve kombinasyonlar ile alarm üretilmesinde kullanılır.

Bir alarm tetiklendiği anda alınacak aksiyonlarında belirlenmesiyle bir “use case” metodu ortaya çıkmaktadır. Güvenlik ekipleri tek tek tüm tehditleri çıkartıp belli kategorilere göre use case senaryolarını oluşmalıdırlar. Bu metot ile oluşturulan aksiyon planları SIEM projeleri için hayati önem taşır. 

2.      Mevzuat ve Düzenlemeler

Şirketler bulundukları bölgeye göre belli yasal süreçlere tabi olurlar. Örneğin, Kişisel Verilerin Korunması Kanunu (KVKK) da bu yasal süreci denetleyen, düzenleyen ve bağlayıcılığı geniş olan bir uyum sürecidir. Kurumlar, kişisel verilerinin korunması çerçevesinde bazı teknik tedbirler almak mecburiyetindedir. SIEM doğrudan bu önleyici unsurları senaryolar üzerinden kural bazlı oluşturup tanımlamamıza imkan vermektedir. “Veri Kaybının Önlenmesi” ana unsur olarak düşünüldüğünde, KVKK ile entegre maddeler SIEM üzerinde oluşturulacak kurallar ya da log korelasyonları ile kolaylıkla takip edilebilir. Bir sistem üzerinde yetki kontrolü, erişim kayıtları, verinin sızdırılma girişimi (kritik veri tabanına yapılan anormal sorgu), VPN erişimleri, log kayıtlarının değiştirilmesi gibi KVVK’ya özgü oluşacak güvenlik vakaları, SIEM çözümlemesi ile kolaylıkla takip edilebilmektedir.

3.      Grafik Analiz

SIEM ürünlerinde gerçek zamanlı logların izlenmesini kolaylaştıran “dashboard” dediğimiz görsel tablo ya da grafikler mevcuttur. Loglara ait verilerden oluşan paneller, analistlere büyük kolaylık sağlar çünkü büyük boyutlardaki logları zamana bağlı olarak okuyup anlamlandırmak oldukça zordur. SIEM çözümleri üzerinde oluşturulan dashboard ekranlarının amacı olası bir siber saldırıdan erken haberdar olmak veya anomali durumunun tespitini görsel anlamda kolaylaştırmaktır.

Farklı cihazlardan üretilen logları tek bir platform üzerinde toplayıp birbirleri ile olan ilişkilerini görmemizi ve aksiyon alabilmemizi sağlayan SIEM yapılarından bahsederken akla gelen ilk üreticilerden biri olan  Splunk ve SOC hizmetimiz hakkında detaylı bilgi almak için buraya tıklayarak bir önceki blog yazımızı okuyabilirsiniz.

Kapsamlı Bir Siber Güvenlik Hizmeti SOC ile Mümkün!

Kodlaması herkes tarafından okunabilen ve düzenlenip paylaşılabilen bir yazılım türü olan açık kaynak araçlar ile ilgili blog yazımızı okuyabilirsiniz.

Devamını Oku

Siber Güvenlik Neden Önemli?

Cisco Türkiye, UN Women, BinYaprak, Habitat ve TOG’un katkılarıyla genç kadınları siber güvenlik ile tanıştırmak amacıyla düzenlenen Siber Güvenliğe Katılım Etkinliği'nde, Soitron Siber Güvenlik Servisleri Satış Müdür Didem Önol konuşmacı olarak katılarak, değerli bilgiler aktardı.

Devamını Oku

Siber Riskleri “Yeni” Ofisinize Taşımayın

2020 yılında dünyanın kutusundan herkes için kötü bir sürpriz çıktı: Covid-19. Bu kötü sürpriz öyle bir etki yarattı ki tüm sistemler alt üst oldu ve tabii süreçleri işletebilmek için de değişim kaçınılmaz hale geldi.

Devamını Oku

Kariyer Fırsatları

Size uygun kariyer imkanlarını keşfedin.

İletişim

Tüm sorularınızı cevaplamak için buradayız.