SlideShare a Scribd company logo

Log yönetimi ve siem farkı

Download as DOCX, PDF
Ertugrul Akbas
Ertugrul Akbas

Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar

Technology
1 of 3
Log Yönetimi ve SIEM Farkı Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Maalesef LogYönetimi ve SIEMaynı şeymişgibi algılanmaktadır.HattaSIEMi log yönetimininbiralt kümesi veyabirazözelleşmişhali olarakgörenlerde çoktur.Buiki görüş de hatalıdır. Hatta maalesef bu iki görüşsahipleri bugörüşleriyle kurumsal güvenlikpolitikalarına negatif etki yaparlarve güvenlik politikalarındaindirgeyici biryönetimsergilemişolurlar.Şöyleki LogYönetimi loglarıtoplama, anlamlandırma(aggregate) ve raporlamaiçerirSIEMise güvenlik açısındanbuanlamlandırılan verileri gerçekzamanlıanalizetmeyi ve alarmüretmeyi içerir.SIEMve logyönetimi farkı:  Sınıflandırma(Taxonomy)  Korelasyon  Alarm Logları toplamakve hızlı arama (search) veyaraporlamayapabilmekSIEMdemekdeğildir.Log Yönetimi konusundaonlarcaçokiyi ve hızlı açık kaynakkodluürün de mevcuttur • Twitter log Storm (Apache Storm) • Kibana/elasticsearch/logstash • Graylog • http://www.fluentd.org Bu ürünlertwitter,facebookgibi saatte TB larca dayı işleyebilen global firmalartarafındangeliştirilip sonra da açık kaynakdünyasınasunulmuş sistemlerdir. Bukonudapekçokaçık kaynaklıkomponenet mevcuttur.MeselaHadoopve elasticsearchkullanarakçokçokhızlı birlog toplamave arama yazılımını çok kolayoluşturabilirsiniz. Bukomponentlere ve kaynakkodlarına hemticari hemde akademikerişimmümkündür. https://hadoop.apache.org/ https://www.elastic.co/
Sınıflandırma Peki logtoplama,arama ve raporlamaürünleri ile neleri yapamazsınız. Aşağıdaki NetScreen logunu Feb15 22:01:35 [xx] ns5gt:NetScreendevice_id=ns5gt[Root]system-alert-00016:Port scan! From 1.2.3.4:54886 to 2.3.4.5:406, proto TCP (zone Untrust,intuntrust).Occurred1 times.(2014-02-15 22:09:03) KaynakIP şu,Hedef IP,Kaynakve Hedef portlardabunalargibi ayırmak hemkolayhemde yukarıda da bahsettiğimiziçinonlarcaücretsizlogyönetimürünümevcut.Hattabunlarıniçerisinde twitterve facebooktarafındangeliştirilipücretsizdağıtılanlardamevcut Ama aynı logu" Reconnaissance->Scan->Host" şeklindekategorize edipbunukorelasyona sokmalıyımve alarm üretmeliyimdiyebilmekayrıbirboyuttur. .Bu sınıflandırma(Taxonomy) ile yapılabilirve SIEMürünlerindenbelirli birseviyeninüstündekilerde mevcuttur. Benzerşekilde Aşağıdaki Sonıcwall logunu id=firewallsn=0017C5598622 time="2015-02-13 16:20:31" fw=xxx.xxxx.xxx.xxxpri=6c=1024 m=537 msg="ConnectionClosed"n=0src=xxx.xxx.xxx.xxx:4854:X1: dst=yyy.yyy.yyy.yyy:53:X1:ttdns40.ttnet.net.trproto=udp/dnssent=75rcvd=414 KaynakIP,Hedef IP,Kaynakport ve Hedef portlarşeklinde ayırabiliriz.SonrasındaKaynakIPye veya URL e göre listeleme yapabiliriz. Ama aynı logu"NamingTrafficAudit"şeklinde kategorize etmekayrıştırıcı birözelliktir.Bu Sınıflandırma(Taxonomy) ile yapılabilirve SIEMürünlerindenbelirli birseviyeninüstündekilerde mevcuttur. Korelasyon Korelasyonsınıflandırmaile birlikte SIEMsistemininencanalıcı 2 yapısal taşındanbiridir. Bir SIEMçözümününgerçekmanadakorelasyonmotorununolupolmadığınıanlamakiçin İndekslenmiş ihtiyaçduymamasıgerekir. Çoknadirenürünlerinbazılarıindekslenmişveriüzerinde periyodiksorgularıçalıştırıpadına korelasyondemektedir. Temel olarak sorguların veri tabanı veya indekslenmişveri üzerinde çalışmasındankaynaklanan zaaflar 3 adettir
1. SQL veyaNoSQLDB lerüzerinde yüzlerce scriptinbelli periyotlarlaçalıştırılmasıbir performansprobleminesebepolur.Çoksayıdakural yazılamaz 2. KurallarHafızada çalışmadığı içinolaylaranındayakalanamaz 3. Script veyasorgu [SQL veyaNoSQL]) bağımlıolduğuiçingelişmişkurallaryazılamaz Ayrıca bu yöntemglobal olarakkullanılanbiryöntemde değildir.Buyönteminglobal referansları yoktur. Bir korelasyonmotorundanbeklenenözellikler:  Görsel bireditöre sahipolması  Gelişmişkurallaryazılabilmesi: o Önce A olayı olursave Aynıkaynakve Kullanıcı15 dakikaiçerisindeBolayını gerçekleştirmezise ve sonrasındaDolayıolursauyar o Sadece öğle yemeği sırasındaA olayıolursauyar o Sadece haftasonuD olayıolursauyar o Bir olayolduysa1 saat birdaha uyarma o Birbirindenfarklıkaynakve portlardanamayanı kullanıcıtarafından dakikadaXolay olursauyar.  Sınıflandırmamodülüile entegrasyon o Port taraması olduğundahaberver  Gerçekzamanlı olmasıve hafızadaçalışması. İndekslenmişveriüzerindensorguşeklinde çalışmaması. Yukarıdaki resimde de görüldüğügibi enfazla saldırıalan ilk5 ülkedenbiriyiz.Çoğuzaman aldığımız saldırının bile farkındaolamayabiliriz. SIEMgüvenlikyönetiminde enönemli bilişenlerdenbiridir.

Recommended

Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
Ismail Helva
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 

Recommended

Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
Ismail Helva
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
logyonetimi
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
Ertugrul Akbas
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
Ertugrul Akbas
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
Kurtuluş Karasu
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
Ertugrul Akbas
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Ertugrul Akbas
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
Ertugrul Akbas
 

More Related Content

What's hot

Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
logyonetimi
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
Ertugrul Akbas
 

What's hot (20)

Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Güvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglamaGüvenlik, uyumluluk ve veritabani loglama
Güvenlik, uyumluluk ve veritabani loglama
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
 
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİTÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET VE FAYDA ÇELİŞKİSİ
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
SIEM olarak adlandırılan çözümler ve birbirlerine göre avantaj/dezavantajları...
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 

Viewers also liked

Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
Ertugrul Akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
Ertugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 

Viewers also liked (14)

Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
Logsign Data Policy Manager(DPM)
Logsign Data Policy Manager(DPM)Logsign Data Policy Manager(DPM)
Logsign Data Policy Manager(DPM)
 
Splunk company overview april. 2015
Splunk company overview april. 2015Splunk company overview april. 2015
Splunk company overview april. 2015
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
 
Juniper Srx Log
Juniper Srx LogJuniper Srx Log
Juniper Srx Log
 

More from Ertugrul Akbas

Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
Ertugrul Akbas
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
 

Log yönetimi ve siem farkı

  • 1. Log Yönetimi ve SIEM Farkı Dr. Ertuğrul AKBAŞ eakbas@gmail.com ertugrul.akbas@anetyazilim.com.tr Maalesef LogYönetimi ve SIEMaynı şeymişgibi algılanmaktadır.HattaSIEMi log yönetimininbiralt kümesi veyabirazözelleşmişhali olarakgörenlerde çoktur.Buiki görüş de hatalıdır. Hatta maalesef bu iki görüşsahipleri bugörüşleriyle kurumsal güvenlikpolitikalarına negatif etki yaparlarve güvenlik politikalarındaindirgeyici biryönetimsergilemişolurlar.Şöyleki LogYönetimi loglarıtoplama, anlamlandırma(aggregate) ve raporlamaiçerirSIEMise güvenlik açısındanbuanlamlandırılan verileri gerçekzamanlıanalizetmeyi ve alarmüretmeyi içerir.SIEMve logyönetimi farkı:  Sınıflandırma(Taxonomy)  Korelasyon  Alarm Logları toplamakve hızlı arama (search) veyaraporlamayapabilmekSIEMdemekdeğildir.Log Yönetimi konusundaonlarcaçokiyi ve hızlı açık kaynakkodluürün de mevcuttur • Twitter log Storm (Apache Storm) • Kibana/elasticsearch/logstash • Graylog • http://www.fluentd.org Bu ürünlertwitter,facebookgibi saatte TB larca dayı işleyebilen global firmalartarafındangeliştirilip sonra da açık kaynakdünyasınasunulmuş sistemlerdir. Bukonudapekçokaçık kaynaklıkomponenet mevcuttur.MeselaHadoopve elasticsearchkullanarakçokçokhızlı birlog toplamave arama yazılımını çok kolayoluşturabilirsiniz. Bukomponentlere ve kaynakkodlarına hemticari hemde akademikerişimmümkündür. https://hadoop.apache.org/ https://www.elastic.co/
  • 2. Sınıflandırma Peki logtoplama,arama ve raporlamaürünleri ile neleri yapamazsınız. Aşağıdaki NetScreen logunu Feb15 22:01:35 [xx] ns5gt:NetScreendevice_id=ns5gt[Root]system-alert-00016:Port scan! From 1.2.3.4:54886 to 2.3.4.5:406, proto TCP (zone Untrust,intuntrust).Occurred1 times.(2014-02-15 22:09:03) KaynakIP şu,Hedef IP,Kaynakve Hedef portlardabunalargibi ayırmak hemkolayhemde yukarıda da bahsettiğimiziçinonlarcaücretsizlogyönetimürünümevcut.Hattabunlarıniçerisinde twitterve facebooktarafındangeliştirilipücretsizdağıtılanlardamevcut Ama aynı logu" Reconnaissance->Scan->Host" şeklindekategorize edipbunukorelasyona sokmalıyımve alarm üretmeliyimdiyebilmekayrıbirboyuttur. .Bu sınıflandırma(Taxonomy) ile yapılabilirve SIEMürünlerindenbelirli birseviyeninüstündekilerde mevcuttur. Benzerşekilde Aşağıdaki Sonıcwall logunu id=firewallsn=0017C5598622 time="2015-02-13 16:20:31" fw=xxx.xxxx.xxx.xxxpri=6c=1024 m=537 msg="ConnectionClosed"n=0src=xxx.xxx.xxx.xxx:4854:X1: dst=yyy.yyy.yyy.yyy:53:X1:ttdns40.ttnet.net.trproto=udp/dnssent=75rcvd=414 KaynakIP,Hedef IP,Kaynakport ve Hedef portlarşeklinde ayırabiliriz.SonrasındaKaynakIPye veya URL e göre listeleme yapabiliriz. Ama aynı logu"NamingTrafficAudit"şeklinde kategorize etmekayrıştırıcı birözelliktir.Bu Sınıflandırma(Taxonomy) ile yapılabilirve SIEMürünlerindenbelirli birseviyeninüstündekilerde mevcuttur. Korelasyon Korelasyonsınıflandırmaile birlikte SIEMsistemininencanalıcı 2 yapısal taşındanbiridir. Bir SIEMçözümününgerçekmanadakorelasyonmotorununolupolmadığınıanlamakiçin İndekslenmiş ihtiyaçduymamasıgerekir. Çoknadirenürünlerinbazılarıindekslenmişveriüzerinde periyodiksorgularıçalıştırıpadına korelasyondemektedir. Temel olarak sorguların veri tabanı veya indekslenmişveri üzerinde çalışmasındankaynaklanan zaaflar 3 adettir
  • 3. 1. SQL veyaNoSQLDB lerüzerinde yüzlerce scriptinbelli periyotlarlaçalıştırılmasıbir performansprobleminesebepolur.Çoksayıdakural yazılamaz 2. KurallarHafızada çalışmadığı içinolaylaranındayakalanamaz 3. Script veyasorgu [SQL veyaNoSQL]) bağımlıolduğuiçingelişmişkurallaryazılamaz Ayrıca bu yöntemglobal olarakkullanılanbiryöntemde değildir.Buyönteminglobal referansları yoktur. Bir korelasyonmotorundanbeklenenözellikler:  Görsel bireditöre sahipolması  Gelişmişkurallaryazılabilmesi: o Önce A olayı olursave Aynıkaynakve Kullanıcı15 dakikaiçerisindeBolayını gerçekleştirmezise ve sonrasındaDolayıolursauyar o Sadece öğle yemeği sırasındaA olayıolursauyar o Sadece haftasonuD olayıolursauyar o Bir olayolduysa1 saat birdaha uyarma o Birbirindenfarklıkaynakve portlardanamayanı kullanıcıtarafından dakikadaXolay olursauyar.  Sınıflandırmamodülüile entegrasyon o Port taraması olduğundahaberver  Gerçekzamanlı olmasıve hafızadaçalışması. İndekslenmişveriüzerindensorguşeklinde çalışmaması. Yukarıdaki resimde de görüldüğügibi enfazla saldırıalan ilk5 ülkedenbiriyiz.Çoğuzaman aldığımız saldırının bile farkındaolamayabiliriz. SIEMgüvenlikyönetiminde enönemli bilişenlerdenbiridir.