SIEM Nedir?

Loglama Nedir?

Loglama, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının(loglarının) bir dosyaya veya bir veri tabanına yazılarak tutulmasıdır. Logların kapsamlı ve zaman damgalı bir şekilde tutulması, daha önce gelmiş veya gelebilecek olan saldırıların analiz ve önlenmesi konusunda, analistler için oldukça büyük bir olanak sağlamaktadır.

 

Öte yandan Bilgi Teknolojileri ve İletişim Kurulunun (BTK) yayınladığı 5651 kanuna göre kurumların, sahip olduğu tüm ağ cihazlarının yaptığı internet hareketlerini kayıt altında tutması (loglama) ve 6 ay ile 2 yıl arasında bu kayıtları saklanması gerekmektedir. Bu durum da siber güvenlik sektörüne yeni bir çalışma alanı katmıştır.

SIEM Nedir?

 

SIEM sistemlerini, log üreten değil logları toplayan, anlamlandıran ve alarm üreten merkezi bir loglama ve log yönetimi bileşeni olarak tanımlayabiliriz.  Bu amaç için üretilmiş ürünlere Security Information Event Management (SIEM) denilmektedir. Şu an piyasada çok sayıda SIEM ürünü bulunmaktadır. Bunlardan başlıca (en çok sayın alınan) olanları IBM QRadar, Splunk, HP Arcsight, McAfee, Logsign vb.

SIEM Nasıl Log Toplar?

Öncelikle SIEM sisteminin ağ cihazlarına erişebilir olması gerekmektedir. Erişimin olduğundan emin olunduktan sonra loglar iki temel yöntemle SIEM’e aktarılır. Birinci yöntem, uygulamanın ya da sistemin logları doğrudan SIEM’e göndermesidir. İkinci yöntem ise SIEM’in uygulamaya, sisteme ya da veri tabanına ulaşarak logları çekmesidir. Logu alınacak sisteme göre bu yöntemlerden en uygun olanı seçilir.

Örnek verecek olursak, Microsoft Server’daki DHCP loglarını SIEM’in çekmesi daha uygunken, bir güvenlik duvarı loglarını syslog vb. log aktarım protokollerinden uygun olanı kullanarak SIEM’e göndermesi daha uygun olacaktır.

Korelasyon Nedir ve Nasıl Yapılır?

SIEM üzerinde toplanan farklı cihaz ve uygulamaların loglarını birbiri ile ilişkilendirerek, oluşabilecek siber saldırılara karşı alarm üreterek, müdahale zamanını en aza indirmek hedeflenir. Bu ilişki kurma işlemine korelasyon denir. Korelasyon sonrasında yazılan alarmlara ise korelasyon kuralları denir.

Örnek bir korelasyon:

Dış networklerden içerideki bir mail sunucusuna gelen bir paket için güvenlik duvarından gelen Firewall Permit (Erişime izin verildi) logu ile mail sunucusundan Login Failure (Hatalı Giriş Denemesi) logları 10 saniye içerisinde 5 ve 5’den fazla kez gelirse, alarm üret.

 

Yukarıdaki örnekte olduğu gibi bir olay cereyan ettiğinde SIEM ürününün doğru yazılmış bir kural neticesinde alarm üretmesi beklenmektedir.