Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Maalesef Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
Log Yönetimi SIEM Demek Değildir!. Türkiyedeki pek çok projede Log Yönetimi ile SIEM aynı şey olarak algılamakta. Hatta Log Yönetimine ufak ve basit bir modül eklenerek SIEM yapıldığı sanılmaktadır. Aslında ise SIEM Log Yönetiminden çok farklı ve kompleks bir sistemdir. SIEM bir log toplama, parçalara bölüp sonra da arama demek değildir.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Bu dokümanda SANS Institute tarafından yayınlanmış olan 20 Kritik Siber Güvenlik Kontrolü maddeler halinde açıklanmış ve her bir maddenin ardından hedeflenen noktanın ne olduğu ayrıca belirtilmiştir.
SANS 20 kritik güvenlik kontrolü günümüzün en yaygın ve tehlikeli saldırılarını durdurmak için uygulanabilir siber güvenlik önerilerinden oluşan bir siber savunma eylemleri kümesidir.
Bu kontrollerin temel yararı; hızlı geri dönüş elde edilebilecek sonuçlara sahip, az sayıda eyleme öncelik verilmesi ve odaklanmasıdır.
Kontroller etkilidir çünkü önde gelen tehdit raporlarında vurgulanan ve çok geniş bir toplulukta taranmış en yaygın saldırılar üzerinden ilerlenerek belirlenmiştir.
SANS Enstitüsü (resmi adıyla Escal Institute of Advanced Technologies) 1989 yılında kurulmuş ve bilgi güvenliği, siber güvenlik eğitimi ve sertifikaları konusunda uzmanlaşmış, kar amacı gütmeyen özel bir şirkettir.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Log Monitoring and File Integrity Monitoring for PCI DSS, EI3PA and ISO 27001
ControlCase discusses the following:
- What is Log Management and FIM
- PCI DSS, EI3PA, ISO 27001 requirements
- Log Management and regulation requirements/ mapping
- File Integrity
NIST 800-92 Log Management Guide in the Real WorldAnton Chuvakin
This presentation will introduce the first ever standard on log management - NIST 800 - 92 guide. It will then offer a guide walk through to highlight the critical areas of standardization. The majority of the remaining time will be spent on explaining how to use the guide in the real world if you are a security manager or a security pro.
Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.
Korelayon yöntemleri, bunların SIEM ürünlerindeki uygulamaları ve avantaj/dezavantajları
ile birlikte QRadar, SureLog, Splunk gibi uygulamalardaki kullanımları nelerdir?
IntelligentResponse ANET SureLog ürününün akıllı alarm ve uyarı mekakanizmasıdır.
• Mail gönderme
• Script çalıştırma
o Visual basic
o Batch dosya
o Perl script
o Phyton script
• Java kod çalıştırma
• Uygulama çalıştırma
• Dinamik liste güncelleme. Örnek: Yasak IP listesine yeni IP ekleme veya çıkarma, Son 1 haftada aynı makinaya 3 den fazla başarısız oturum denemesi yapanlara yeni bir kullanıcı ekleme veya çıkarma vb.. işlemleri parametre yönetimi de yaparak yerine getirmek mümkündür
SureLog SIEM in farkları ve rakiplerine göre avantajları nelerdir?
Dünyada canlı logları en az diskle en uzun tutabilen SIEM çözümüdür. Global rakiplerinin 80-100 katı daha az disk kullanır.
Maksimum 3000 EPS log akışı altında 12 ay canlıda tutmak için 2.5 TB yeterlidir. En iyi durumda bu 1 TB a kadar inebilir.
Rakipleri ile kıyaslanmayacak kadar performanslı çalışır.
25000 EPS log akışını standart korelasyon kütüphanesi ile 64 core,256 GB RAM ile çalıştırır.
Pek çok gelişmiş senaryoyu çalıştırabilecek tek SIEM çözümüdür. Dünyada korelasyon yetenekleri en gelişmiş ilk 5 SIEM ürününden biridir.
Kullanımı çok kolaydır. Herhangi yeni bir şey öğrenmeye gerek kalmadan kullanıcı ara yüzünü tamamen fare (mouse) ile kullanabilir ve yönetebilirsiniz.
Dünyadaki taxonomy özelliği en gelişmiş SIEM çözümüdür.
ANET SURELOG Int. Ed. ürününün log toplama hızı, big data altyapısı, uyumluluk raporları, hızı, kolay kullanımı ve ara yüzü, desteklediği cihaz sayısı, dağıtık mimarisi, taxonomy ve korelasyon özellikleri bakımından rakiplerine göre avantajları vardır.
SIEM ürünlerinin en önemli özelliği korelasyon özelliğidir. korelasyon, fazlaca oluşan “false positive” leri ( yanlış bulgu) ortadan kaldırır. Kesin sonuca ulaşmak için pek çok farklı log’a bakar ve korelasyon sağlayarak doğru sonuca ulaşır.
Bu dokümanda SANS Institute tarafından yayınlanmış olan 20 Kritik Siber Güvenlik Kontrolü maddeler halinde açıklanmış ve her bir maddenin ardından hedeflenen noktanın ne olduğu ayrıca belirtilmiştir.
SANS 20 kritik güvenlik kontrolü günümüzün en yaygın ve tehlikeli saldırılarını durdurmak için uygulanabilir siber güvenlik önerilerinden oluşan bir siber savunma eylemleri kümesidir.
Bu kontrollerin temel yararı; hızlı geri dönüş elde edilebilecek sonuçlara sahip, az sayıda eyleme öncelik verilmesi ve odaklanmasıdır.
Kontroller etkilidir çünkü önde gelen tehdit raporlarında vurgulanan ve çok geniş bir toplulukta taranmış en yaygın saldırılar üzerinden ilerlenerek belirlenmiştir.
SANS Enstitüsü (resmi adıyla Escal Institute of Advanced Technologies) 1989 yılında kurulmuş ve bilgi güvenliği, siber güvenlik eğitimi ve sertifikaları konusunda uzmanlaşmış, kar amacı gütmeyen özel bir şirkettir.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Log Monitoring and File Integrity Monitoring for PCI DSS, EI3PA and ISO 27001
ControlCase discusses the following:
- What is Log Management and FIM
- PCI DSS, EI3PA, ISO 27001 requirements
- Log Management and regulation requirements/ mapping
- File Integrity
NIST 800-92 Log Management Guide in the Real WorldAnton Chuvakin
This presentation will introduce the first ever standard on log management - NIST 800 - 92 guide. It will then offer a guide walk through to highlight the critical areas of standardization. The majority of the remaining time will be spent on explaining how to use the guide in the real world if you are a security manager or a security pro.
Standartlar ve güvenlik açısından veritabanı loglamanın önemi herkesçe malum. Veritabanına yönelik aktivitelerin görüntülenip, analiz edilerek, veriye hangi kullanıcının ve sistemin eriştiği bilgisinin detaylarını, hangi IP üzerinden, ne zaman erişildiğini ve veri üzerinde yapılan PL/SQL, T-SQL, SQL-T ve ANSI-SQL işlemlerini saklayarak raporlayabilmek hem kritik hem de standartlar ve uyumluluklar açısından gereklidir.
Scaling the logging pipeline requires better understanding of each phase behind the scenes.
Everything about Fluentd as an aggregator and Fluent Bit as it Log Forwarder
Get advice from security gurus on how to get up & running with SIEM quickly and painlessly. You'll learn about log collection, log management, log correlation, integrated data sources and how-to leverage threat intelligence into your SIEM implementation.
See the full talk here: https://www.infoq.com/presentations/lsm-append-data-structures
This talk is about the beauty of sequential access and append only data structures. We'll do this in the context of a little known paper entitled “Log Structured Merge Trees”. LSM describes a surprisingly counterintuitive approach to storing and accessing data in a sequential fashion. It came to prominence in Google's Big Table paper and today, the use of Logs, LSM and append only data structures drive many of the world's most influential storage systems: Cassandra, HBase, RocksDB, Kafka and more. Finally we'll look at how the beauty of sequential access goes beyond database internals, right through to how applications communicate, share data and scale.
Uç nokta güvenliğinin önemi, EPP ve EDR çözümleri,
Microsoft ATA ve osquery gibi yardımcı hızlı araçlar
Hazırlayan: Fevziye Taş, Bilgi Güvenliği Mühendisi
Günümüzde saldırganların kullandığı teknikler (TTPs) o kadar hızlı gelişiyor ki, zaman zaman mevcut
güvenlik çözümleri yeni tehditlere karşı önlem alana kadar kurumsal ağlar çoktan ele geçirilmiş oluyor.
Her ne kadar kabul etmesi zor olsa bile kurumsal ağınızın saldırganlar tarafından çoktan ele geçirilmiş
ve bir yerlere veri aktarıyor olma ihtimalleri oldukça yüksek.
Her geçen gün yenisini duyduğumuz güvenlik ihlalleri ve veri sızıntılarına dair haberler, güvenlik çözümlerinin
bazen tehditleri engellemede çok geç kalabileceğini dramatik şekilde bize gösteriyor. Yaşanan
gerçek siber saldırı örnekleri, kurumları tehdit avcılığı (Threat Hunting) kavramıyla tanışmaya zorluyor.
Bilgi Güvenliği üzerine ARGE yapmak ve müşteriye ihtiyaç duyduğu ürünleri üretebilmek amacıyla kurulmuştur. 1999 yılından beri bilgi güvenliği konusunda sahip olduğu deneyimleri ile bu konuda çalışan herkesin işini kolaylaştırma hedefindedir. Bu bağlamda ilk iş olarak SECURISKOP projesini gerçekleştirmiş ve bunu bir ürün haline getirmiştir. SECURISKOP, piyasada bulunan güvenlik açıklıkları tarama yazılımlarını yönetip, bunlara ek özellikler sağlayarak, güvenlik açıklıkları ve bunların kapatılmasını kolaylaştıran bir platformdur.
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfcontact32
Sizce Kontroller ile kastedilen nedir?
Target veri ihlalini aklayan bu makalenin yazar, farkl kontrollerin Target iin bu kt olay nleyebileceini
savunuyor.
Yazarn nermesine katlmadan veya katlmadan nce, size unu soraym: Hedef durumundaki
"kontroller" terimleriyle yazarn ne demek istediini dnyorsunuz?
Target Corporation, Walmart'n ardndan Amerika Birleik Devletleri'ndeki en byk ikinci indirimli
maaza perakendecisidir ve S&P 500 Endeksinin bir bileenidir. Halk arasnda "Tar-jay" olarak da
bilinir.
stismar ve kaybedilen varlklar
27 Kasm 2014 ile 15 Aralk 2014 arasnda Target'n gvenlik a hedeflendi ve saldrganlar yaklak 2000
Target maazasndan alnan yaklak 70 milyon kredi kart verisini alabilirdi. 11 GB'n zerinde verinin
alnd tahmin ediliyor. Bu ihlal, sat noktas (POS) sistemlerindeki verilere eriilerek yapld. oklu saldr
vektrleri tasarland ve retildi. Satclar kimlik av saldrsna urad. A ayrm yoktu, sat noktas sistemleri
bellek kazyan kt amal yazlmlara kar savunmaszd ve Target tarafndan kullanlan alglama stratejileri
baarsz oldu.
Yeterli kontrollerin alnmamas
zleme yazlm (FireEye) izinsiz girii tespit edebildi ve ardndan Hindistan, Bangalore'deki personeli
uyard. Bangalore ofisi de Minneapolis'teki Target muadillerini uyard, ancak sorunu hafifletmek iin
herhangi bir ilem yaplmad. Hedef, ancak Adalet Bakanl onlarla temasa getiinde harekete geti.
Gvenlik a byle kullanld
Saldrganlar, gvenlik yamalarn ve sistem gncellemelerini datmak iin Target ve platform (Microsoft
sanallatrma yazlm), merkezi ad zmlemesi ve Microsoft System Center Configuration Manager
(SCCM) hakknda iyi miktarda aratrma yapt. Target'n HVAC satclarnn bir listesini karabildiler.
Satc soutma satclarndan biri olan Fazio Mechanical, bir Kt Amal Yazlm (Citadel parola alan bir
bot program) yklemek iin e-posta yoluyla dolandrld. Kt amal yazlm satcnn kimlik bilgilerini ald ve
saldrganlar Target'n satc portalna eriebilir. Saldrganlar daha sonra yanl yaplandrlm sistemlerde
gvenlik a bulabilir ve bylece aa szabilir. Kantlanmam kaynaklar, Fazio'nun kurumsal srm yerine
Malwarebytes kt amal yazlmdan koruma yazlmnn cretsiz srmn kullandn iddia etti. cretsiz srm, istee
bal bir tarayc olduu iin gerek zamanl koruma salamad.
Saldrganlar aa szdktan sonra, kt amal yazlm ("Kaptoxa") POS sistemlerine byk olaslkla otomatik
bir gncelleme ilemi araclyla yklemeyi baardlar.
Daha sonra kt amal yazlm, kaydrldnda 2000 POS'a yaylm POS sistemlerinden tm kredi kart
ayrntlarn alabilir. Veriler bir .dll dosyasna kaydedildi ve 139, 443 veya 80 numaral balant noktalar
zerinden geici bir NetBios paylamnda sakland.
Kredi kartlar alnd ve karaborsada veya karanlk ada satld.
Mali Kayp
Target'n veri ihlali ona dorudan 252 milyon dolara mal oldu. Bu maliyetin 90 milyon dolar sigorta
tarafndan karland. Ayrca, 31 Ocak'ta sona eren 2014'n drdnc eyrei iin ihlalle ilgili net giderler iin 4
milyon dolar harcamak zorunda kald. O mali ylda, Target, ihlalle ilgili 191 milyon dolarlk net
harcama yapmak zorunda kald ve bunun 46 milyon dolar g.
2. SIEM ürünlerinin kullanım amaçları hakkında yazılmış bir
çok döküman bulunmakta ve bunların hemen hemen
hepsinde benzer kavramlardan bahsedilmektedir. SIEM için
genel olarak, logların yönetimini yapan sistem tabirini
kullanmak yapılan iş açısından çok yetersiz kalacaktır.
Öncelikle bu logları hangi sistemlerden toplamamız
gerektiğini ve bu sistemlerin ürettiği logların birbiri arasında
nasıl bir ilişki kuralabileceğimizi anlamamız gerekiyor.
Giriş
3. Başarılı bir SIEM ürünü, tüm veri seti içindeki olayları
sınıflandırıp; aynı zamanda oluşan olaylar için, otomatik
olarak ilişkilendirme yapıp, sonucunda aksiyon almamızı
sağlayacak bilgiyi üretir.
SIEM
4. Bizi aksiyon almaya zorlayacak bilgiye erişmek için,
öncelikle log toplanan tüm sistemler üzerinden değerli olan
logları almamız ve kendi içinde bu logları sınıflandırmamız
gerekiyor.
Logların toplanması ile başlayan ve sonunda aksiyon
alınmasını sağlayan bu süreç için öncelikle log toplanacak
sistemleri bilmemiz gerekiyor.
Aksiyon var mı?
6. Güvenlik duvarları
Güvenlik duvarlarından alınan veriler SIEM teknolojilerinde kullanılan en
yararlı verilerdir. Başarılı yada başarısız bağlantılar, DMZ de bulunan
sunuculara erişimler ve dış dünyaya erişimleri, kullanıcıların dış dünyaya
olan bağlantıları (erişim sağladıkları web siteleri), kullanıcıların
kullandıkları veri miktarları, VPN erişimlerine ait veriler ve daha bir çoğu
tüm olayların analiz edilmesinde kullanılmaktadır. Ayrıca güvenlik
duvarının performansını görmek ve optimizasyonunu sağlamak üzere
sistem günlüklerinden faydalanılır.
PCI DSS , HIPAA , ISO27000 gibi uyumluluklar için güvenlik
duvarlarından alınan log ların analiz edilmesi gerekliliği vardır.
Güvenlik duvarı loglarının önceden belirlenmiş kategorilere göre
gruplanması analiz için kolaylık sağlayacaktır. Örneğin herhangi bir rule
setinde yapılan değişikliğin ne zaman ve kimin tarafından yapıldığının
kısa sürede tespit edilmesi için kullanılabilir.
7. Saldırı tespit ve önleme sistemleri
IDS ve IPS olarak isimlendirilen sistemlerde oluşan log ların
analiz edilmesi, kötü niyetli ağ bağlantılarının sıklığı ve
amacı hakkında bilgi edinmemize ve hangi tür koruma
önlemlerini arttırmamız gerektiği konusunda yol
gösterecektir.
Kötü niyetli ağ bağlantılarının zamansal dağılımını ve
bağlantıları başlatan kaynak ip bilgilerine kısa sürede
erişmek, oluşturabilecekleri hasarı anlamamız ve IPS
üzerindeki önlemleri arttırmamız için gereklidir. Bu analizler
sayesinde, kötü niyetli ağ bağlantıları IPS sistemine
erişmeden önce bile kesilebilir.
8. Tehdit istihbarat sistemleri
(Threat Intelligence) Varolan ve yeni ortaya çıkan tehlikeler
için engelleyici sistemlerdir. Bu sistemlerden alınan
loglardan, tehlikenin geldiği kaynak ip si ile kötü amaçlı
URL, istenmeyen e-posta ve bir çok tehdit özelliği olan
bilgiye erişmek mümkündür.
9. Sınıflandırma
Sistemlerde oluşan logların toplanmasından sonra, SIEM
sisteminin yetekleri ölçüsünde, oluşan olaylar aşağıdaki
şekilde sınıflandırılabilir:
•Identity Events
•Network Events
•System Events
•Security Events
•Object Events
•Application Events
•VPN Events
10. akı ıİş ş
Bu sınıflandırmayı kullanarak hazırlanacak rapor lar ile
SIEM kullanım amacımız belirginleşmeye başlayacaktır.
SIEM ürünü almaya karar veren şirketlerin ihtiyaçlarının
belirlenmesin de bir iş akış şeması oluşturmak faydalı olur.
11. SIEM gerekli mi?
Yetkisiz erişimleri algılamak için
Ağda gerçekleşen olaylardan haberdar olmak için
Regülasyon ihtiyaçlarını karşılamak için
Özel uygulama olay günlüklerinizi analiz için
Compliance gereklilikleriniz için