Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.

1. SIEM Neden Gereklidir?
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
ertugrul.akbas@anetyazilim.com.tr
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO
27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi
vurgulanmaktadır.
FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini
zorunlu kılmaktadır.
Ayrıca ülkeden ülkeye değişin kanuni zorunluluklar da log yönetimini şart koşmaktadır.
Loglara bakarak aşağıdaki sorulara cevap bulabiliriz.[1,2,3]
 Kim hangi bağlantıları kurdu?
 USB bellek kullanımı oldu mu?
 Belirli zaman aralıklarında kimler oturum açtı?
 Sistem yöneticileri takip ediliyor mu?
 Bilgisayar adı, IP adresi, MAC adresi değişikliği oldu mu?
 Kimler hangi IP adresini aldı?
 Bu IP adresleri ile nerelere erişidi?
 Sisteme uzak bağlantı sağlandı mı?
 Kimler hangi saatle VPN bağlantısı kurdu?
 Donanım değişikliği yapıldı mı?
 P2P program kullanan var mı?
 Kim hangi dosya ya erişti ?
 Erişilen dosyalardan silinen var mı?
 Başarılı password değişiklikleri?
 Bilgisayar hesabı yada kullanıcı hesabı yaratıldı mı?
 Port scan yapıldı mı?
 Kimler hangi dokümanları print etti? (print server mimarisi ile)
 Domain admin hesabına kullanıcı eklendi mi?
 Virüs bulaştı mı?
 Virüslü bir siteye erişi denemesi oldu mu?
BT altyapısını oluşturan log kayıtlarını toplayan, inkar edilemez bir şekilde saklayan, analiz
yapan log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır
Her ne kadar, log yönetim sistemleriyle logları toplamak gerekli olsa da yeterli değildir.
Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması
gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin ve bu sebeple SIEM sistemleri büyük
önem taşımaktadır. Tanımlanan koşulların oluşması durumunda haber veren gerçek [6,7] bir
SIEM çözümü kurmak gerekir.
Peki, bir SIEM ürünü almanın avantajları nedir?

2. SIEM ürünlerinin, birçok noktadan ve yüzlerce cihazdan aldığı loglar ile network tehditlerini
gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını
sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve
event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı
farklı formatlardaki logları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi
özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.
Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur. [4,5]. Bu loglar arasında
oluşabilecek kombinasyonları düşünürsek birikmiş logların üzerinden arama tarama,
raporlama ve arşivleme ile herhangi bir tehditlerin yakalanması mümkün değildir. Bunun için
gerçek bir korelasyon özelliğine sahip [6,7] SIEM ürünlerinin gücüne başvurmak gerekir.
Böylece aşağıdaki gibi tehdit içeren durumları milyarlarca veri içerisinden anında tespit etmek
mümkün olur.
1. Aynı IPdenfarklı kullanıcıadları ile aynıbilgisayara15 dakikada5 adetbaşarısız oturum
denemesiyapıldıktansonraaynıIP denherhangi bir makinayaoturumaçıldıise uyar.
2. Bir IPdentarama yapıldıise ve sonrasındaaynı IP denbaşarılı bir bağlantıkurulduise ve
ardından bağlantıkurulanIPdentarama yapılan IPye geriye bağlantıkurulduise uyar.
3. BirbirindentamamenfarklıdışIP lerdenaynıhedef IPye dakikada100 adettenfazlabağlantı
oluşuyorsauyar
4. Aynı Dış IP ve farklıportlardanaynı hedef IPye dakikada100 adetbağlantıolursauyar
5. Aynı kullanıcı,aynımakineye saatte 3denfazlabaşarısız oturumaçmayı denerse uyar
6. Bir kullanıcıherhangi birsunucuyaloginolamayıpauthenticationfailureasebepolduktan
sonra 2 saat içerisinde aynıkullanıcıaynısunucuyabaşarılı oturumaçmazsa uyar
7. Aynı kaynakIPden 1 dakikada100 adet paketUTM/FireWall tarafından bloklanıyorise bir
defa uyar ve bir saat içerisindetekraruyarma.(DDOSatağı oluştuise saatte milyonlarca
paketbloklanır.Hepsi içinmail gönderirse kendi kendinizi DDOSamaruz bırakmış olursunuz)
8. UnusualUDPTrafficüretenkaynakIPyi bildir
9. IPReputation [8] Listesindekibirkaynaktanveyaokaynağabirtrafikoluşursauyar
10. Ulusal SiberOlaylaraMüdahale (USOM) Merkezi tarafındanyayınlanan“ZararlıBağlantılar”
listesindeki kaynaktanveyaokaynağabirtrafikoluşursauyar
11. Birisi NetworkünüzdeDHCPserverıaçtıysaya da farklı birgatewayyayınyapıyorsa,bunu
bulmakiçin:protokolüUDPolanhedef portu67 olan içeridendışarıyaveyaiçeridendışarıya
yönelenve hedef IPsi kayıtlıDHCP sunucularlistesindeolmayanbirtrafikolursauyar
12. Bir IPtaraması olursauyar
13. WEB üzerindenSQLatağıolursauyar
14. Mesai saatleri dışındasunucularaulaşanolursauyar
15. Aynı kullanıcı,birbirindentamamenfarklımakinelere dakikada3denfazlabaşarısız oturum
açmayı denerse uyar
Genel olarak bir SIEM ile
 Sistem ve network’lerinizdeki mevcut tehdit ve zaafiyetlerin tespiti, gerçekleşen
olayların takibi.
 Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve
takibi.
 Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi.

3.  Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım
sağlanması.
 Kurumsal güvenlik standart ihlallerinin takibi.
 ISO 27001, SOX, PCI, HIPAA, NERC, FFIEC, FISMA, GLBA, NCUA, COBIT, vb.
uyumluluk (Compliance) raporlama ve denetimleri.
 SOME uygulamaları için uygun raporlama olanakları.
 USOM tarafından yayınlanan zararlı bağlantı listeleri ile “online” entegrasyonlar ve
sistemleriniz için denetleme olanakları.
 Threat Intelligence özelliği ile dinamik olarak zararlı IP ve Domain listelerine erişim
yapılınca otomatik uyarının sağlanması
Referanslar:
1. http://www.slideshare.net/anetertugrul/file-server-iinde-silinen-dosyalarn-loglarna-
ulamak-mmkn-m
2. http://www.slideshare.net/anetertugrul/baka-birinin-hesabn-ele-geirerek-silinen-
dosyalarn-loglarna-ve-silen-makineye-ulamak-mmkn-m
3. http://www.slideshare.net/anetertugrul/log-ynetimi-yazlm-kullanarak-saldr-tespiti-
zaafiyet-analize-ve-gvenlik-ynetimi
4. http://www.slideshare.net/anetertugrul/log-yonetiminde-cihaz-sayilari-ile-eps-
degerleri-arasindaki-iliski
5. http://www.slideshare.net/anetertugrul/normal-artlarda-200-250-eps-logum-anca-
oluyor-yksek-performansa-neden-ihtiya-duyaym
6. http://www.slideshare.net/anetertugrul/log-korelasyon-siem-kural-ornekleri-ve-
korelasyon-motoru-performans-verileri
7. http://www.slideshare.net/anetertugrul/gerek-siem-nedir-olmazsa-olmazlar-ve-gerek-
siem-rn-ile-gvenlik-analiz-senaryolar
8. http://www.slideshare.net/anetertugrul/threat-intelligence-ve-siem
9. http://www.ciol.com/why-siem-is-essential-for-a-successful-security-strategy/
10. http://searchsecurity.techtarget.com/feature/Three-enterprise-benefits-of-SIEM-
products