Güvenlik Bilgisi ve Olay Yönetimi (SIEM), modern organizasyonların dijital varlıkları korumasındaki en kritik yapı taşlarından biridir. Bu makalede, SIEM sistemlerinin nasıl çalıştığını, özelliklerini, faydalarını ve doğru SIEM ürününü seçerken nelere dikkat etmeniz gerektiğini ele alacağız.
SIEM Nedir?
Security Information and Event Management (SIEM), güvenlik yönetimi için bir yaklaşımdır ve Security Information Management (SIM) – Güvenlik Bilgi Yönetimi ile Security Event Management (SEM) – Güvenlik Olay Yönetimi işlevlerini tek bir sistemde birleştirir.
SIEM Sistemi; çeşitli kaynaklardan gelen verileri toplamak, alışılmadık davranışları tespit etmek ve uygun aksiyonları almak için kullanılmaktadır. Örneğin, potansiyel bir sorun tespit edildiğinde, SIEM sistemi ek bilgi kaydedebilir, bir uyarı oluşturabilir ve diğer güvenlik kontrollerine bir aktivitenin durdurulmasını talep edebilir.
SIEM Sistemlerinin Amacı
Başlangıçta büyük işletmelerde SIEM kullanımı, Payment Card Industry Data Security Standard uyumluluğunedeniyle yaygındı. Ancak sürekli gelişen tehditler konusundaki endişeler, daha küçük kuruluşları da SIEM araçlarının faydalarını değerlendirmeye yönlendirdi. Tüm güvenlikle ilgili verileri tek bir noktadan inceleyebilmek, her boyuttaki organizasyonların olağandışı kalıpları daha kolay fark etmesini sağlar.
En temel seviyede, bir SIEM sistemi kurallara dayalı olabilir veya etkinlik günlüğü (event log) kayıtları arasında bağlantılar kurmak için istatistiksel bir korelasyon motoru kullanabilir. Gelişmiş SIEM sistemleri, ayrıca kullanıcı ve varlık davranış analitiği ile security orchestration, automation and response (SOAR) – Güvenlik orkestrasyonu, otomasyon ve yanıt işlevlerini de içerir.
SIEM sistemleri, son kullanıcı cihazlarından, sunuculardan ve ağ ekipmanlarından, ayrıca firewall, antivirüsprogramları veya intrusion prevention systems (IPSes) – Saldırı önleme sistemleri gibi özel güvenlik ekipmanlarından güvenlikle ilgili olayları toplar. Bu olaylar, çeşitli veri toplayıcıları aracılığıyla merkezi bir yönetim konsoluna iletilir. Güvenlik analistleri bu verileri inceleyerek olayları inceler, anlamlandırır ve önceliklendirir.
Bazı sistemlerde, ön işleme son kullanıcı cihazlarında gerçekleşir ve sadece belirli olaylar merkezi yönetim birimineiletilir. Böylece iletişimde ve depolamada kullanılan veri miktarı azaltılmış olur. Machine learning’deki ilerlemeler, sistemlerin anormallikleri daha doğru belirlemesine yardımcı olsa da, analistler hâlâ sisteme geri bildirimde bulunmalı ve sistemi çevre konusunda sürekli eğitmelidir.
SIEM Nasıl Çalışır?
SIEM araçları, bir şirketin altyapısındaki ana sistemler tarafından oluşturulan olay ve günlük verilerini toplar ve bu verileri merkezi bir platforma getirir. Ana sistemler arasında uygulamalar, güvenlik cihazları, antivirüs filtreleri ve güvenlik duvarları bulunur. SIEM araçları, bu verileri başarılı ve başarısız giriş denemeleri, kötü amaçlı yazılım etkinlikleri ve diğer olası zararlı etkinlikler gibi kategorilere ayırır ve sınıflandırır.
SIEM yazılımı, potansiyel güvenlik sorunlarını tespit ettiğinde güvenlik uyarıları oluşturur. Bu uyarılar, önceden tanımlanmış kurallara göre düşük veya yüksek öncelikli olarak ayarlanabilir.
Örneğin, 15 dakikada 15 başarısız giriş denemesi yapan bir kullanıcı hesabı, şüpheli olarak işaretlenebilir ama kullanıcı büyük olasılıkla giriş bilgilerini unuttuğu için bu durum düşük öncelikli olarak ayarlanabilir. Ancak, 10 dakikada 230 başarısız giriş denemesi yapan bir kullanıcı hesabı, büyük olasılıkla bir brute-force saldırısı olduğu için yüksek öncelikli bir olay olarak işaretlenir.
SIEM Neden Önemlidir?
SIEM, büyük miktarda güvenlik verisini filtreleyerek ve yazılımın oluşturduğu güvenlik uyarılarını önceliklendirerek işletmelerin güvenliği yönetmesini kolaylaştırır.
SIEM yazılımı, tespit edilemeyebilecek olayları belirlemeyi sağlar. Yazılım, log girdilerini analiz ederek kötü niyetli aktivitelerin işaretlerini tanımlar. Ayrıca, sistem ağın dört bir yanından olayları topladığı için bir saldırının zaman çizelgesini yeniden oluşturabilir ve bu da bir kuruluşun saldırının niteliğini ve iş üzerindeki etkisini belirlemesini sağlar.
Bir SIEM sistemi, otomatik olarak raporlar oluşturarak bir kuruluşun uyumluluk gereksinimlerini karşılamasına da yardımcı olabilir. SIEM yazılımı olmadan, şirket log verilerini toplamak ve raporları oluşturmak için manuel olarak çalışmak zorunda kalırdı.
SIEM sistemi, olay yönetimini geliştirmiştir. Bu sistem, şirketin güvenlik ekibinin bir saldırının ağ üzerinde izlediği rotayı ortaya çıkarmasına, tehlikeye giren kaynakları belirlemesine ve devam eden saldırıları önlemek için otomatik araçlar sağlamasına yardımcı olur.
SIEM’in Faydaları
SIEM’in faydaları şunlardır:
- Tehditleri belirleme süresini ciddi ölçüde kısaltır, bu da bu tehditlerden kaynaklanan zararın minimize edilmesine yardımcı olur.
- SIEM, bir kuruluşun bilgi güvenliği ortamına bütünsel bir bakış açısı sunar ve güvenlik bilgilerini toplamak ve analiz etmek daha kolay hale gelir. Tüm veriler merkezî bir depo içinde toplanır, saklanır ve kolayca erişilebilir.
- SIEM, güvenlik programları, denetim ve uyumluluk raporlaması, yardım masası ve ağ sorun giderme gibi veri veya loglara dayalı çeşitli kullanım senaryoları için kullanılabilir.
- SIEM, büyük miktarlarda veriyi destekleyerek kuruluşların ölçeklenmeye ve daha fazla veri eklemeye devam edebilmesini sağlar.
- Tehdit tespiti ve güvenlik uyarıları sağlar.
- Büyük güvenlik ihlallerinde ayrıntılı adli analiz yapabilir.
SIEM Özellikleri ve Yetenekleri
SIEM ürünlerini değerlendirirken dikkate alınması gereken önemli özellikler aşağıdaki gibidir:
- Veri toplama (Data aggregation): Veriler, uygulamalar, ağlar, sunucular ve veritabanlarından toplanır ve izlenir.
- Korelasyon (Correlation): SIEM araçlarında genellikle SEM’in bir parçası olan korelasyon, farklı olaylar arasında benzer nitelikler bulmayı ifade eder.
- Gösterge panelleri (Dashboards): Veriler uygulamalardan, veritabanlarından, ağlardan ve sunuculardan toplanarak grafikler halinde sunulur. Bu, kalıpları bulmaya ve kritik olayları kaçırmamaya yardımcı olur.
- Uyarı (Alerting): Bir güvenlik olayı tespit edildiğinde, SIEM araçları kullanıcılara bildirimde bulunabilir.
- Otomasyon (Automation): Bazı SIEM yazılımları, otomatik güvenlik olayı analizi ve otomatik olay yanıtları gibi otomatik işlevler de içerebilir.
Kullanıcılar ayrıca aşağıdaki sorularla SIEM ürünlerinin yeteneklerini değerlendirmelidir:
Diğer kontrollerle entegrasyon (Integration with other controls): Sistem, ilerlemekte olan saldırıları durdurmak veya önlemek için diğer kurumsal güvenlik kontrollerine komut verebilir mi?
Yapay zeka (Artificial intelligence – AI): Sistem, makine öğrenimi ve derin öğrenme vasıtasıyla kendi doğruluğunu artırabilir mi?
Tehdit istihbarat beslemeleri (Threat intelligence feeds): Sistem, kurumun seçtiği tehdit istihbarat beslemelerini destekleyebilir mi yoksa belirli bir beslemeyi kullanmak zorunda mı?
Geniş kapsamlı uyum raporlaması (Extensive compliance reporting): Sistem, yaygın uyum ihtiyaçları için yerleşik raporlar içeriyor mu ve kuruma yeni uyum raporları oluşturma veya özelleştirme yeteneği sağlıyor mu?
Adli yetenekler (Forensic capabilities): Sistem, ilginç paketlerin başlıklarını ve içeriklerini kaydederek güvenlik olayları hakkında ek bilgi yakalayabilir mi?
Doğru SIEM Ürünü Nasıl Seçilir
Doğru SIEM aracını seçmek, bir kuruluşun bütçesi ve güvenlik duruşu gibi çeşitli faktörlere bağlı olarak değişir. Ancak şirketler, SIEM araçlarında şu yetenekleri aramalıdır:
- uyumluluk raporlaması;
- olay müdahale ve adli analiz;
- veritabanı ve sunucu erişim izleme;
- iç ve dış tehdit tespiti;
- çeşitli uygulamalar ve sistemlerde gerçek zamanlı tehdit izleme, korelasyon ve analiz;
- izinsiz giriş tespit sistemi, IPS, firewall, olay uygulama günlüğü ve diğer uygulama ve sistem entegrasyonları;
- tehdit istihbaratı; ve
- kullanıcı faaliyeti izleme.
SIEM Sistemi Kullanımı için En İyi Öneriler
SIEM’i uygularken bu uygulamaları takip edin:
- Anlaşılır hedefler belirleyin. SIEM aracı, kuruluşun güvenlik hedeflerine, uyumluluk gereksinimlerine ve potansiyel tehditlere göre seçilip uygulanmalıdır.
- Veri korelasyon kuralları uygulayın. Veri korelasyon kuralları, hatalı verilerin daha kolay bulunabilmesi için tüm sistemler, ağlar ve bulut dağıtımlarında uygulanmalıdır.
- Uyumluluk gereksinimlerini belirleyin. Bu, seçilen SIEM yazılımının doğru uyumluluk standartlarını denetlemek ve raporlamak için yapılandırılmasını sağlar.
- Dijital varlıkları listeleyin. BT altyapısındaki tüm dijital olarak depolanan verileri listelemek, günlük verilerini yönetmeyi ve ağ etkinliğini izlemeyi kolaylaştırır.
- Olay müdahale planları ve iş akışlarını kaydedin. Bu, ekiplerin güvenlik olaylarına hızla müdahale edebilmesini sağlar.
- Bir SIEM yöneticisi atayın. Bir SIEM yöneticisi, SIEM uygulamasının düzgün şekilde bakımının yapılmasını sağlar.
SIEM’in Tarihçesi
SIEM teknolojisi, 2000’lerin ortalarından bu yana varlığını sürdürmektedir ve ilk aşamada log yönetimi adı verilen süreçlerden ve politikalardan evrilmiştir. Log yönetimi, bilgi sistemlerinde oluşturulan büyük miktarda log verisinin oluşturulması, iletilmesi, analiz edilmesi, depolanması, arşivlenmesi ve bertaraf edilmesi işlemlerini içerir.
2005 yılında yayımlanan “Improve IT Security with Vulnerability Management” raporunda SIEM terimini ortaya çıkmıştır. Bu raporda analistler, SIM ve SEM tabanlı yeni bir güvenlik bilgi sistemini öne sürmüştür.
SIM, eski log toplama yönetim sistemlerine dayanarak uzun vadeli depolama analizi ve log verileri üzerinde raporlama yapma özelliklerini getirmiştir. Ayrıca, log verilerini tehdit istihbaratı ile entegre etmiştir. SEM ise yazılım, sistemler veya IT altyapısında güvenlik ile ilgili olayları tespit etme, toplama, izleme ve raporlama süreçlerini ele almıştır.
Vendors, SEM ve SIM’i birleştirerek SIEM’i oluşturdu. SEM, gerçek zamanlı log ve olay verisi analizi yaparak tehdit izleme, olay korelasyonu ve olay müdahalesi sağlar; SIM ise log verilerini toplar, analiz eder ve raporlama yapar.
SIEM, günümüzde daha kapsamlı ve gelişmiş bir araç haline gelmiştir. Makine öğrenimi ve yapay zeka kullanımı gibi yeni araçlar, sistemlerin anomalileri daha doğru bir şekilde tespit etmesine yardımcı olmak için tanıtıldı. Sonunda, bu gelişmiş özelliklere sahip SIEM ürünleri next-generation SIEM olarak adlandırılmaya başlandı.
SIEM’in Geleceği
Geliştirilmiş Orkestrasyon: Şu anda, SIEM araçları şirketlere yalnızca temel düzeyde iş akışı otomasyonu sağlar. Ancak, şirketler büyüdükçe, SIEM daha fazla yetenek sunmak zorunda kalacaktır. Örneğin, yapay zeka ve makine öğrenimi ile desteklenen SIEM araçları, farklı departmanlara aynı seviyede koruma sağlamak için daha hızlı orkestrasyon sunmalıdır. Güvenlik protokollerinin uygulanması ve yürütülmesi daha hızlı, daha etkili ve daha verimli hale gelecektir.
Yönetilen Tespit ve Yanıt (MDR) Araçları ile Daha İyi İşbirliği: Hacking ve izinsiz erişim tehditleri arttıkça, iki aşamalı bir yaklaşım benimsemek önemlidir. Bir şirketin IT ekibi SIEM’i içerde uygulayabilirken, bir yönetilen hizmet sağlayıcı MDR aracını uygulayabilir.
Gelişmiş Bulut Yönetimi ve İzleme: SIEM sağlayıcıları, bulut kullanan kuruluşların güvenlik ihtiyaçlarını daha iyi karşılamak için bulut yönetimi ve izleme yeteneklerini geliştirecektir.
SIEM ve SOAR’ın Tek Araç Haline Gelmesi: SIEM ürünleri, SOAR’ın avantajlarını bünyelerine katacaktır; ancak, SOAR sağlayıcıları da ürünlerinin yeteneklerini genişleterek karşılık verecektir.
Sistemlerinizin Güvenliği İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
İHS Teknoloji olarak, uç nokta güvenliği ve Mobil Cihaz Yönetimi (MDM) konusunda en son teknolojileri ve en iyi uygulamaları kullanarak kapsamlı çözümler sunuyoruz. Ayrıca sistemlerinizin güvenliği için Sızma Testi (Pentest) Çözümlerimizle 360 derece güvenlik çözümleri üretiyor, sisteminizdeki zayıf noktaları önceden tespit ediyoruz.
İHS Teknoloji ile işletmenizin dijital güvenliğini ve verimliliğini en üst düzeye çıkarabilirsiniz. Güvenlik çözümlerimiz hakkında daha fazla bilgi almak için tıklayın.
