2. SIEM ürünlerinin kullanım amaçları hakkında yazılmış bir
çok döküman bulunmakta ve bunların hemen hemen
hepsinde benzer kavramlardan bahsedilmektedir. SIEM için
genel olarak, logların yönetimini yapan sistem tabirini
kullanmak yapılan iş açısından çok yetersiz kalacaktır.
Öncelikle bu logları hangi sistemlerden toplamamız
gerektiğini ve bu sistemlerin ürettiği logların birbiri arasında
nasıl bir ilişki kuralabileceğimizi anlamamız gerekiyor.
Giriş
3. Başarılı bir SIEM ürünü, tüm veri seti içindeki olayları
sınıflandırıp; aynı zamanda oluşan olaylar için, otomatik
olarak ilişkilendirme yapıp, sonucunda aksiyon almamızı
sağlayacak bilgiyi üretir.
SIEM
4. Bizi aksiyon almaya zorlayacak bilgiye erişmek için,
öncelikle log toplanan tüm sistemler üzerinden değerli olan
logları almamız ve kendi içinde bu logları sınıflandırmamız
gerekiyor.
Logların toplanması ile başlayan ve sonunda aksiyon
alınmasını sağlayan bu süreç için öncelikle log toplanacak
sistemleri bilmemiz gerekiyor.
Aksiyon var mı?
6. Güvenlik duvarları
Güvenlik duvarlarından alınan veriler SIEM teknolojilerinde kullanılan en
yararlı verilerdir. Başarılı yada başarısız bağlantılar, DMZ de bulunan
sunuculara erişimler ve dış dünyaya erişimleri, kullanıcıların dış dünyaya
olan bağlantıları (erişim sağladıkları web siteleri), kullanıcıların
kullandıkları veri miktarları, VPN erişimlerine ait veriler ve daha bir çoğu
tüm olayların analiz edilmesinde kullanılmaktadır. Ayrıca güvenlik
duvarının performansını görmek ve optimizasyonunu sağlamak üzere
sistem günlüklerinden faydalanılır.
PCI DSS , HIPAA , ISO27000 gibi uyumluluklar için güvenlik
duvarlarından alınan log ların analiz edilmesi gerekliliği vardır.
Güvenlik duvarı loglarının önceden belirlenmiş kategorilere göre
gruplanması analiz için kolaylık sağlayacaktır. Örneğin herhangi bir rule
setinde yapılan değişikliğin ne zaman ve kimin tarafından yapıldığının
kısa sürede tespit edilmesi için kullanılabilir.
7. Saldırı tespit ve önleme sistemleri
IDS ve IPS olarak isimlendirilen sistemlerde oluşan log ların
analiz edilmesi, kötü niyetli ağ bağlantılarının sıklığı ve
amacı hakkında bilgi edinmemize ve hangi tür koruma
önlemlerini arttırmamız gerektiği konusunda yol
gösterecektir.
Kötü niyetli ağ bağlantılarının zamansal dağılımını ve
bağlantıları başlatan kaynak ip bilgilerine kısa sürede
erişmek, oluşturabilecekleri hasarı anlamamız ve IPS
üzerindeki önlemleri arttırmamız için gereklidir. Bu analizler
sayesinde, kötü niyetli ağ bağlantıları IPS sistemine
erişmeden önce bile kesilebilir.
8. Tehdit istihbarat sistemleri
(Threat Intelligence) Varolan ve yeni ortaya çıkan tehlikeler
için engelleyici sistemlerdir. Bu sistemlerden alınan
loglardan, tehlikenin geldiği kaynak ip si ile kötü amaçlı
URL, istenmeyen e-posta ve bir çok tehdit özelliği olan
bilgiye erişmek mümkündür.
9. Sınıflandırma
Sistemlerde oluşan logların toplanmasından sonra, SIEM
sisteminin yetekleri ölçüsünde, oluşan olaylar aşağıdaki
şekilde sınıflandırılabilir:
•Identity Events
•Network Events
•System Events
•Security Events
•Object Events
•Application Events
•VPN Events
10. akı ıİş ş
Bu sınıflandırmayı kullanarak hazırlanacak rapor lar ile
SIEM kullanım amacımız belirginleşmeye başlayacaktır.
SIEM ürünü almaya karar veren şirketlerin ihtiyaçlarının
belirlenmesin de bir iş akış şeması oluşturmak faydalı olur.
11. SIEM gerekli mi?
Yetkisiz erişimleri algılamak için
Ağda gerçekleşen olaylardan haberdar olmak için
Regülasyon ihtiyaçlarını karşılamak için
Özel uygulama olay günlüklerinizi analiz için
Compliance gereklilikleriniz için