Gerçek Zamanlı Ağ Analizi Sağlayan: SIEM Nedir?

 

SIEM, güvenlik bilgileri ve olay yönetimi, yazılım ürünleri ve hizmetlerinin güvenlik bilgi yönetimi ile güvenlik olay yönetimini birleştirdiği bilgisayar güvenliği alanı içinde bir alandır. Uygulamalar ve ağ donanımı tarafından oluşturulan güvenlik uyarılarının gerçek zamanlı analizini sağlarlar.


SIEM (Security Information Event Management) Nedir?


Siem Loglama ve Log Yönetim Uygulamaları - Egeline Bilgi Güvenliği

SIEM (Security Information and Event Management) Türkçe’ye “Güvenlik Bilgileri ve Olay Yönetimi” olarak çevrilir. SIEM çözümleri, bir ağda gerçek zamanlı olarak neler olduğuna dair bütünsel bir görünüm sağlar ve BT ekiplerinin güvenlik tehditlerine karşı mücadelesinde daha proaktif olmalarını sağlar. SIEM, açılımları “Güvenlik Bilgi Yönetimi” olan SIM ve “Güvenlik Olay Yönetimi” olan SEM’in birleştirilmiş halidir.

SIEM, özünde bir veri toplayıcı, arama ve raporlama sistemidir. SIEM, ağ ortamından çok büyük miktarda veri toplar(log), bu verileri birleştirir ve insanlar tarafından erişilebilir hale getirir.

SIEM çözümleri, sisteminizde hazır bulunan logların anlık olarak izlenmesini mümkün kılan araçlardır. Buna ek olarak, belli kurallar ışığında oluşturulan log analizleri ve siber tehditlere yönelik farkındalık oluşturma görevlerini de üstlenir.

SIEM’in Sunduğu Avantajlar Nelerdir?


SIEM (Security Information And Event Management) Nedir ? - Neses Bilgi  Teknolojileri

Envanterde kendine yer bulan iyi konfigüre edilmiş bir SIEM, güvenlik ekibinin olası tehditler karşısında farkındalığını artırır ve inisiyatif almaktan korkmayan bir bakış açısına sahip olmasını sağlar. Log yönetimi, bir sistemin planlama, çözümleme, önlem alma ve harekete geçmesi aşamalarında oldukça önemli bir konumdadır. Topoloji ne kadar büyük ise, güvenlik tedbirleri de o denli kapsamlı olmalıdır.

Log üreten aygıtlarınızın niceliğinin artması ve yapınızın genişlemesi; yönetim, sistem izleme ve tehditlerin takibi aşamalarını zorlaştırmaktadır. İşlerin zora girdiği bu durumda logları tek elde toparlayan SIEM ürünleri devreye girer. Güvenlik ekipleri, farklı cihazlardan alınan loglar üzerinde bir ilişkilendirme kurarak, tespit ve eylem planlaması yapar. Genele vurduğumuzda bu sistemde en ciddi nokta, tespit ve eylem aşamasında harcanan süredir.

SIEM’e sahip olmayan yahut SIEM olduğu halde log, korelasyon, alarm ve map yapısı eksik olan bir sisteme yapılacak saldırının fark edilmesi oldukça güçtür. SIEM’in olmadığı bir senaryoda saldırının saptanması büyük vakit kayıplarına neden olur. İyi bir log yapısı ile oluşturulmuş ve log yapısını bütünleyen tetikleyici kural örgüsü ise güvenlik analistine saldırının saptanması konusunda zaman kazandırır. Bundan ötürü SIEM, tepki vermede kurtarıcı bir rol üstlenir.

Neden SIEM’e Sahip Olmalısınız?


Log Kayıtlarıyla SIEM Nasıl Yapılır ? - Nitelikli Veri

  • Vaka Tespiti, Yönetimi ve Aksiyon

SIEM, kuralları takip ederek ulaşan alarm sayesinde güvenlik birimine eyleme geçmeleri için yol haritası hazırlar. Logların merkezi bir şekilde yani tek bir üründe toplanması, tehditlerin analiz edilip müdahalesinin erken yapılmasına vesile olur. Fakat yalnızca log almış olmak yeterli değildir. Kaynaklardan gelen loglar anlaşılabilir duruma getirilip birbirleriyle ilişkilendirilmelidir. Korele edilmiş bu loglar ve kombinasyonlar alarm verilirken kullanılır.

Alarmın tetiklenmesinden itibaren geçilecek eylemin belirlenmesiyle bir “use case” yani “kullanım senaryosu yöntemi” ortaya çıkar. Güvenlik ekibi, birer birer tüm tehditleri ortaya çıkarıp kapsamlarına göre kullanım senaryoları ortaya koyar. Bu yöntemlerle oluşturulan eylem planları SIEM projeleri açısından hayati bir öneme sahiptir.

  • Mevzuat ve Düzenlemeler

Şirketler, faaliyette bulundukları alanlara göre birtakım yasal süreçlere tabi tutulurlar. Örnek olarak Kişisel Verilerin Korunması Kanunu (KVKK) bu sürecin denetlemesinden ve düzenlenmesinden sorumludur.

Kurumlar, kişisel verilerin korunması konusunda belli başlı birtakım tedbirler almak mecburiyetindedir. Bu noktada da SIEM devreye girer ve bu önleyici unsurları senaryolar üzerinden kurallara bağlı şekilde oluşturup tanımlama imkânı verir. Ana unsur “veri kaybının önlenmesi” olduğu için, SIEM üzerinden oluşturulan kurallar ve log korelasyonları KVKK ile entegre edildiğinde kolaylıkla takip edilebilir duruma gelir.

Bir sistemde yetkinin kontrolünün sağlanması, erişim dokümanları, veri sızdırma girişimi (kritik veri tabanına yapılan anormal sorgu), VPN, log kayıtlarında değişiklik yapılması vs. gibi KVKK alanına giren güvenlik vakaları SIEM ile kolayca takip edilir.

  • Güvenlik Analiz

“Dashbord” adı verilen görsel pano ve grafikler gerçek zamanlı logların izlenmesinde kolaylık sağlar ve bu, SIEM ürünlerinde mevcuttur.

Büyük boyutlu logların sürece bağlı olarak okunup anlamlandırılması zor olduğundan, dashbord ekranları, oluşabilecek siber saldırıların erken bildirilmesi ve anomali durumunun görsel olarak saptanmasına hizmet eder.

 

Yazımızı Nasıl Buldunuz?

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*