Bu yazımızda SIEM sistemlerini ele alacağız. SIEM, açılımı “Security Information and Event Management” olan ve Türkçe karşılığı Güvenlik Bilgileri ve Olay Yönetimi olan sistemlerdir. SIEM, bilişim sistemlerinden olay toplama, log analizi ve raporlama ile BT ekiplerinin iş yükünü hafifletmek için proaktif bir çözüm sağlamaktadır. SIEM, Güvenlik Bilgi Yönetimi ve Güvenlik Olay Yönetimi kavramlarının birleştirilmiş halidir. Kısaca EDR sistemlerindeki logların merkezileştirilmesi ve incelenmesini sağlar.
Bir SIEM ürünü yazılım, donanım ve yönetilen hizmetler olarak karşımıza çıkabilmektedir.
SIEM ürünlerinin sağladığı avantajlar şunlardır;
⦁ Log Yönetimi.
⦁ Gerçek zamanlı izleme.
⦁ Gelişmiş tehdit algılama.
⦁ Olay Yönetimi.
⦁ Raporlama.
⦁ Bildirim ve uyarı verebilme.
⦁ Güvenlik ürünleri ile entegre edilebilme.
⦁ Yönetim kolaylığı.
SIEM Çalışma Adımları
⦁ Çeşitli sistemlerin ve uç kullanıcıların ürettiği logların toplanması.
⦁ Farklı sistemlerden toplanan farklı formatlardaki logların tek bir formata dönüştürülmesi.(Normalleştirme)
⦁ Logların ilişkilendirilmesi aşaması ve bağlantısının oluşturulması. Örneğin X kullanıcısının şirkete ait bilgisayarından mesai saatleri dışında bir zararlı aktivitenin gerçekleşmesinin ilişkilendirilmesidir. Risk teşkil eden olaylar için harekete geçilir. (Korelasyon)
⦁ Olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır. (Birleştirme)
Logların toplanması aşamasında ise; işletim sistemleri, güvenlik cihazları, ağ sistemleri, veritabanı sistemleri, sanallaştırma sistemleri, web sunucu uygulama logları incelenebilmektedir.
SIEM çözümlerinden beklenen en önemli özelliklerden biri de sistemlerde logun neden oluştuğunun tespit edebilmesi ve güçlü bir korelasyondur.
En çok kullanılan SIEM ürünleri:
⦁ IBM QRadar
⦁ Splunk
⦁ FortiSIEM
⦁ Logsign
⦁ McAfee
Open Source SIEM Başlıca Açık Kaynaklı Yazılımlar:
⦁ Elastic SIEM
⦁ Fluentd
⦁ Wazuh
⦁ Graylog
⦁ Octopussy
Aynı zamanda SIEM mekanizmalarında uyarı oluşturan loglardan yola çıkarak ihlal tespit edilmesi ve olay gerçekleşmesi halinde, ihlalin KVKK kapsamında Kurul’a 72 saat içerisinde bildirilmesinde süreci hızlandıracak bir çözümdür.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.