Bu yazımızda SIEM sistemlerini ele alacağız. SIEM, açılımı “Security Information and Event Management” olan ve Türkçe karşılığı Güvenlik Bilgileri ve Olay Yönetimi olan sistemlerdir. SIEM, bilişim sistemlerinden olay toplama, log analizi ve raporlama ile BT ekiplerinin iş yükünü hafifletmek için proaktif bir çözüm sağlamaktadır. SIEM, Güvenlik Bilgi Yönetimi ve Güvenlik Olay Yönetimi kavramlarının birleştirilmiş halidir. Kısaca EDR sistemlerindeki logların merkezileştirilmesi ve incelenmesini sağlar.

Bir SIEM ürünü yazılım, donanım ve yönetilen hizmetler olarak karşımıza çıkabilmektedir.

SIEM ürünlerinin sağladığı avantajlar şunlardır;

⦁ Log Yönetimi.
⦁ Gerçek zamanlı izleme.
⦁ Gelişmiş tehdit algılama.
⦁ Olay Yönetimi.
⦁ Raporlama.
⦁ Bildirim ve uyarı verebilme.
⦁ Güvenlik ürünleri ile entegre edilebilme.
⦁ Yönetim kolaylığı.

SIEM Çalışma Adımları

⦁ Çeşitli sistemlerin ve uç kullanıcıların ürettiği logların toplanması.
⦁ Farklı sistemlerden toplanan farklı formatlardaki logların tek bir formata dönüştürülmesi.(Normalleştirme)
⦁ Logların ilişkilendirilmesi aşaması ve bağlantısının oluşturulması. Örneğin X kullanıcısının şirkete ait bilgisayarından mesai saatleri dışında bir zararlı aktivitenin gerçekleşmesinin ilişkilendirilmesidir. Risk teşkil eden olaylar için harekete geçilir. (Korelasyon)
⦁ Olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır. (Birleştirme)

Logların toplanması aşamasında ise; işletim sistemleri, güvenlik cihazları, ağ sistemleri, veritabanı sistemleri, sanallaştırma sistemleri, web sunucu uygulama logları incelenebilmektedir.

SIEM çözümlerinden beklenen en önemli özelliklerden biri de sistemlerde logun neden oluştuğunun tespit edebilmesi ve güçlü bir korelasyondur.

En çok kullanılan SIEM ürünleri:

⦁ IBM QRadar
⦁ Splunk
⦁ FortiSIEM
⦁ Logsign
⦁ McAfee

Open Source SIEM Başlıca Açık Kaynaklı Yazılımlar:

⦁ Elastic SIEM
⦁ Fluentd
⦁ Wazuh
⦁ Graylog
⦁ Octopussy

Aynı zamanda SIEM mekanizmalarında uyarı oluşturan loglardan yola çıkarak ihlal tespit edilmesi ve olay gerçekleşmesi halinde, ihlalin KVKK kapsamında Kurul’a 72 saat içerisinde bildirilmesinde süreci hızlandıracak bir çözümdür.

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >