Dokümantasyon

SIEM Hakkında Ayrıntılı Bilgiler

SIEM Nedir, siber güvenlikte siem çözümleri skyron firewall
Network Cihazları Siber Güvenlik

Siber Güvenlikte SIEM (Tüm Yönleriyle SIEM Nedir?)

Siber Güvenlik büyük bir küresel odak alanıdır, ancak hem yönetilmesi hem de ölçülmesi tartışmalı olarak daha da zordur. Bu nedenle, yüksek düzeyde durumsal güvenlik farkındalığı sağlamak için, kaynak sistemler, süreçler ve uygulamalardan güvenlik olaylarının güvenilir ve esnek bir şekilde toplanması için bir mimari sağlayan yeni nesil Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ortamına ihtiyaç vardır.  Ek olarak, öngörülü bir etki analizi, tehditlerin ve hafifletme  stratejilerinin sonucunu tahmin etmemizi ve böylece proaktif ve dinamik yanıt vermemizi sağlamalıdır.

Kuruluşlar, SIEM işlevlerinin önemli değerini kabul etse de, onu dağıtmak için gereken karmaşıklık ve kaynaklar birçokları için caydırıcı  olmuştur. Bu yazımızda “Loglama Nedir?” konularını ele alacak, başlıca log kaynakları nelerdir, siem projesinin adımları nelerdir, korelasyon nedir, korelasyon motoru nedir, tüm yönleriyle açıklıyoruz.

SIEM NEDİR?

SIEM açılımı Security Information and Event Management, (Güvenlik Bilgileri ve Olay Yönetimi) yazılım ürünleri ve hizmetlerinin güvenlik bilgileri yönetimi ile güvenlik olay yönetimini birleştirdiği bilgisayar güvenliği alanındaki bir  alt bölümdür. Uygulamalar ve ağ donanımı tarafından oluşturulan güvenlik uyarılarının gerçek zamanlı analizini sağlarlar.

SIEM teknolojisi, bankalar başta olmak üzere kritik veri barındıran bir çok kurumsal firmanın Siber Güvenlik yapılarında “Beyin” işlevi görür. Uçtan uca sistemin her tarafından gelen logların eş zamanlı olarak korelasyon motoru tarafından anlamlandırılması ile sisteme yönelik yapılan herhangi bir saldırı girişimi tespit ve önlemesi koordineli bir şekilde yapılır. 20 yılı aşkın bir süredir sektörde değer üreten bir firma olarak, kurumlara yönelik çalışmalarımızda SIEM sistemlerini sadece log üreten değil logu anlamlandıran ve alarm üreten bir yapı olarak kurgulamaktayız.

SIEM

Amerikalı telekomunikasyon firması Verizon’un yayınladığı güvenlik raporuna göre merkezi saldırı tespit sistemi olan SIEM yazılımları saldırıların %1’ini tespit edebilmiştir. Bu da SIEM sistemlerinin “Uçtan Uca Hakimiyet” bakış açısıyla projelendirilmesi gerektiğini göstermektedir.

SOAPA Nedir?

Son yıllarda özellikle SIEM altyapılarının ölçeklenebilir olmamasından dolayı, SOAPA – Security Operations and Analytics Platform Architecture (Güvenlik Operasyonları ve Analiz Platform Mimarisi) daha geniş bir kavram türemiştir. 2013 yılında Avrupa Birliği desteğiyle Madrid Politeknik Üniversitesi ve Atos firması iş birliği ile Olimpiyat Oyunları’nın güvenliğini korumada kullanılması için geliştirilen MASSIF SOAPA’ya örnek olarak verilebilir. 

SIEM Projesinin Adımları Nelerdir?

SIEM altyapısının kullanılacağı kurumda veri kaynaklarının, kullanıcıların ve diğer tüm gereksinimlerle birlikte bir kapsam çıkarılır. IT altyapısının dinamiklerini oluşturan tüm parçalarda log mekanizmaları oluşturulur. Log detayları anlamlandırılır, etiketlenir ve seviyelendirilir. SIEM altyapısının en kritik noktası olan CEP – Complex Event Processing Engine bir diğer adıyla korelasyon motorunda loglar ilişkilendirilerek korelasyon kuralları tanımlanır. Sistemdeki tüm sensörlerden gelen verilerin yansıtlıdığı aktif pasif kullanımların, güncel ağ altyapısının izlendiği bir Security Monitoring Dashboard sistemi kurulur. Sistemin çalışır hale gelmesinin akabinde firma içi güvenlik ekibiyle birlikte saldırı simülasyonları ve sızma testleri yapılır.

Normal şartlarda bir SIEM altyapısının oturması için yaklaşık 1 yıl gerekmektedir. Bunun nedeni, korelasyon sisteminin doğru tanımlanması, log kaynaklarının istenen şekilde log üretmesi gibi konulardan kaynaklanmaktadır. Network ağı devamlı genişlediği için sürekli iyileştirme isteyen yapılardır.

Loglama Nedir?

 Loglama SIEM altyapılarının temelini oluşturan, hatta SIEM’in çıkış noktası sayabileceğimiz, sistem etkileşim kayıtlarına verilen isimdir. Yetkileri tanımlanan kullanıcıların sistemde yaptığı tüm hareketlerin bir veritabanına kayıt edilmesi ile yahut  DMZ’ten sisteme ulaşan isteklerin kayıt altına alınması ile oluşur.

Log Kaynakları Nedir?

SIEM altyapılarında kaynak işlevi gören logların kaynakları genellikle aşağıdaki gibidir;

  • İşletim Sistemleri
  • Veritabanı Sistemleri
  • Sanallaştırma Sistemleri
  • Güvenlik Cihazları
  • Ağ Sistemleri
  • Web/Mail/DHCP/DNS/NAS Sunucu Hareketleri

Skyron Firewall Cihazı

SIEM Altyapılarında Güvenlik Cihazlarının Rolü Nedir?

 Siber saldırıların sisteme temas ettiği ilk nokta ağ yapısıdır. Intrusion Detection/Prevention denilen, saldırı tespit ve önleme sistemleri, saldırılar hakkında ilk verileri SIEM altyapısına gönderir. Yapılan port taramalarını, bu taramaların yapıldığı ip adreslerini, gelen ve giden trafiğin denetimi gibi bir çok kritik görevleri güvenlik cihazları üstlenir. Heraklet Bilişim Teknolojileri olarak global pazarı hedefleyerek yerli ve milli imkanlarla geliştirdiğimiz SKYRON FIREWALL UTM cihazı, başta belediyeler olmak üzere bir çok kurumsal yapıda, SIEM altyapılarında çalışmaktadır.

📌 Umarız sizler için faydalı bir yazı olmuştur. “Korelasyon Nedir ?” adlı yazımızı okumak için buraya tıklayabilirsiniz!  Sağlıklı günler dileriz…