Blog

SIEM Projesinde Olması Gerekenler Nelerdir?

Security Information & Event Management (SIEM) Tarihi

SIEM kelimesi hayatımıza ilk defa 2005 yılında girmiştir. Belli konular tartışılsa da SIEM için 2005 yılında Gartner son noktayı koyarak; bilgi toplama, analiz etme, yorumlama, kolerasyonlara tabii tutma, saklama, ağ ve güvenlik uygulamalarını raporlama gibi işlemleri yapabilen yazılımların ortak ve genel adına Security Information & Event Management teknolojierine sahip yazılımlar demiştir.

SIEM aslında günümüzde Türkçe’ye “ Güvenlik ve Olay Bilgisi Yönetimi “ olarak çevrilmekte ve bilinmektedir. Gartner’in koyduğu standartlar doğrultusunda SIEM kategorisinde yer alan yazılımların “Güvenliğe bütüncül olarak ele almalarını” sağlamak için SIEM kısaltmasını uygun görmüştür.

 

Security Innformation & Event Management (SIEM) Nedir?

SIEM ‘in tarihinden bahsettikten sonra asıl mevzuya artık girebiliriz.

SIEM Nedir? tanımını gayet akademik dille yapmak gerekirse,

 

SIEM; Bir yada birden fazla (kaynak sayısı binler olabilir) Network yapısında aktif olarak çalışan Yazılım, Sistem ve Donanım kaynaklarının ürettiği Dijital kayıtların (LOG kaydı) tek bir sistem üzerinde (yazılım) toplanması, saklanması, okunabilir hale getirilmesi (işlenmesi), anlaşılabilir şekilde insanların kullanımına sunulması (pars edilebilirlik) ve global olarak kabul görmüş olan yasalar ile Standartlar doğrutulsunda ( ki bu standartlardan birazdan detaylı olarak bahsedeceğiz) saklanıp, raporlanabilmesini sağlayan sistemlerdir.

 

SIEM Çözümü, Güvenliği bütünsel bir yaklaşımla ele alır. Kendisine Kaynak olarak Log (data) Gönderen her kaynağı içine alır, inceler, ayrıştırır, raporlar, anlaşılabilir bir formata döker ve standartlar, yasalar doğrultusunda kullanıcısına iletir.

 

SIEM Çözümü, aslında bir Güvenlik ürünüdür. Burada bir Network yapısında güvenlik denilince akla ilk gelen yazılım veya donanımlardan birisi olan Firewall ile SIEM’i karıştırmamak gerekir. Firewall’ler SIEM için bir LOG (data) kaynağıdır ve kendisine bilgi gönderir. SIEM ürünleri, bir başka değişle network’unuzde aktif olarak çalışan ve sisteminizin tüm trafiğini Loglayan Firewall’ınızın topladığılogları anlaşılabilir formatta sunan, raporlayan, istenildiğinde çıkarıp verebilen sistemlere denir. Burada konu daha iyi anlaşılsın diye vermiş olduğum Firewall örneğini, Network’unuzde log toplayabilen tüm sistem, yazılım ve donanımlar için kullanabilirsiniz. Bu bir Server, RFI Kart okuyucu, Identify Access, Printer Server, Wi-Fi Server her şey olabilir. Önemli olan Log tutuyor ve SIEM tarafına bu Logu gönderiyor olmasıdır.

SIEM denilince tabii ki her şey elinde sonunda tüm yollar “ Log Yönetimine “ çıktığından, makalemizin ilerleyen kısımlarında Log Yönetimi konusuna girmiş olacağız. Ancak hazır konu üzerinde iken Dünyaca kabul görmüş ve Gartner tarafından da Standart olarak kabul edilen SIEM Standartlarına bakalım.

 

Bilgi Güvenliğinde Standartların Önemi

Bilgi Güvenliği dediğimiz zaman aslında konu derya deniz olarak karşımıza çıkıyor. Günümüzün ve geleceğin en önemli kaynağından bahsediyoruz aslında. Bir kurum, kuruluş, organizasyon için en değerli ve gizli olması gereken konu kendi verilerinin güvenliğidir. Bilgi Güvenliğine ağırlık vermek ve bu konuya dikkat çekmek içinse önemli standartlar, kanunlar, yönetmelikler oluşturulmuştur.

Bu standartlaşmalar sayesinde, Bilgi Güvenliğinin sürekliliği, gizliliği, doğru şekilde kullanılması, verimlilik gibi önemli işlevsel olaylar güvence altına alınmıştır. Yani ben bir SIEM ürünü ortaya atacağım ama olayın standartlarına ve güvenlik prosedürlerine, kanunlara dikkat etmesem ne olacak demek ile olaya bakmak doğru değildir. SIEM denilince de haliyle Güvenliğin bütün olarak ele alınmasını istiyorsak ki amacımız buydu, Standartlara, Yasalara ve Yönetmeliklere uygun olmalıyız.

 

SIEM için Bilgi Güvenliği Standartları Nelerdir?

 

  • PCI DSS

Kartlı ödeme sistemlerinin güvenliğini baz alan Standarttır. Tüm Dünya’da Ödeme Kartları Endüstrisi Veri Güvenliği (PCI DSS) Standartı olarak bilinir. Dünyaca kabül görmüş bir çok ödeme firması PCI DSS kullanmak ve standart olarak kabul etmek zorundadır. PCI DSS Standardı 6 Temel ana kategori, 12 alt kategori ve 200 ‘den fazla kontrol maddesini içeren oldukça zengin ve açıklamaları üzerinde gerçekten düşünülmüş maddelerdir.

PCI DSS Standartı, Bankalar, E-Ticaret firmaları, Ödeme Sistemleri, Ödeme kartlarını kabul eden tüm perakendeciler ve Kart ile yapılan işlemleri kendisi tutan tüm hizmet sağlayıcıları bağlar. Kart verilerini korumak için bir Güvenlik duvarı (Firewall) Kurmak ve çalıştırmak ve Loglarını tutmak (bkz:5651 - * bu konuya Log Yönetimi ve 5651 konusunda ayrıntılı şekilde değineceğim), Kart sahiplerine ait kişisel bilgileri koruma ve saklama, Depolanmış kart verilerini koruma, Açık olarak kart bilgilerini paylaşmama, Güvenli Sistemler üzerinde Yazılım, donanım ve network geliştirme gibi gibi detaylı olarak Güvenlik yaklaşımları sunar.

 

  • ISO 27001 Bilgi Güvenliği Standardı

 PCI DSS gibi önemli bir Standart ve yönetmelik içeren nokta da ISO 27001 Bilgi Güvenliği Standartlarıdır. Aklınıza gelebilecek her güvenlik projesinde olduğu gibi SIEM projesinde de ISO 27001 en başta düşünülmesi gereken noktalardan birisidir. Zira Güvenlik tarafında oldukça önem arz eden yönetmeliklere sahiptir. 1995 yılında British Standards Institution tarafında yayımlanan ilk Bilgi Güvenliği Yönetim Sistemi Standartlartı, ilerleyen zaman ve yıllar içerisinde geliştirilmelere tabii tutularak günümüzdeki son şeklini almıştır. Ülkemizde de Resmi Gazete de yayımlanarak 2013 yılında son şeklini alan Standartlar, Risk Analizi, Değerlendirme, Risk derecelendirme, Risk Yönetimi ve Risk işleme şeklinde kategorilere ve başlıklara sahiptir. Konunun detayları için Resmi Gazete ilanını aratarak bakabilirsiniz.

 

  • FISMA (Federal Information Security Modernization)

PCI DSS, ISO 27001 ‘den sonra bir diğer önemli yönetmelikte FISMA ‘dır. FISMA Amerikan Federal Bilgi Güvenliği Yasası olarak bilinse de tüm dünya’da kabul görmüş standartlardandır. Bilgi sızıntıları, Veri ihlalleri, Veri kayıpları, Bilgilere kimin erişeceği?, Raporlama, Olay sonrası aksiyon gibi bir çok konuda bilgi ve yönetmelik içeren konulara değinilmektedir FISMA’da.

FISMA konusunda yönetmeliği www.dhs.gov /fisma adresinden resmi dokuman ve belgelere göre okuyabilirsiniz.

 

  • Diğer Standartlar - SOX, COBIT, NERC, GLBA, HIPAA

Asıl konumuz gereği Bilgi Güvenliği Standartları tarafında her yönetmelik ve standartlara detaylı olarak değinmek istemiyorum. Ancak meraklıları için başlıkta belirttiğim standartlarda mevcut. Doğru ve güvenli bir SIEM projesinde tabii ki başlıktaki standartlarında yer almasında fayda var. Olayımız SIEM Projesi olduğundan ve Standarları da konuştuğumuzdan dolayı, konuyu daha da açarak detaya inmeye başlayabiliriz.

SIEM Projesinden bahsediyorsak, karşımıza ilk çıkan kelime : LOG kelimesidir. Log olmadan, Loglama olmadan, daha doğrusu içerisinde LOG geçmeyen bir şey olmadan SIEM projesinden değin yerindeyse bahsedemeyiz. Hal böyle olunca bugüne kadar hep karışık ve teknik olarak okuduğunuz LOG kelimesini elimden geldiği kadar detaylı ve son kullanıcının anlayacağı şekilde anlatmak istedim.

Adım adım ilerleyerek devam ediyoruz…

# LOG Nedir?

Log’un Türkçe bir karşılığı yok. Aslında gerekte yok. Odun falan gibi saçma bir translate hali var. Dijital Kayıtta diyebilirsiniz, sadece LOG ‘da diyebilirsiniz. Sektörel tarafta genellikle bizler LOG demeyi tercih ediyoruz.

Bir Uçak için Karakutu kayıdı ne kadar önemli ise ve yahut bir makine için çip ne kadar önemli ise bir bilişim sistemi içinde LOG o kadar önemlidir. LOG Nedir? diye sorduğumuzda ise; Bir Networkte yer alan tüm cihazların oluşturduğu Dijital Kayıtların tümüne LOG nedir. Bu kayıtlar server, bilgisayar, yazıcı, kamera, wifi cihazlar, modemler, switchler, router’ler her şey olabilir. Aslında üzerinde Kayıt tutabilen her şeyden LOG bilgisi alınıyor, okunabiliyor demektir. Log kayıtları ve ya Log Yönetimi sayesinde Network üzerindeki her şeyin iz kayıtlarını tutmak mümkündür. Son zamanlarda meydana gelen ve teknik kapasitesi yüksek Siber Saldırıları, LOG kayıtlarının önemini daha da güçlü vurgular hale gelmiştir. Sistemlere uzaktan erişen kişilerin veya bizzat sistemde aktif olarak çalışan kişilerin içeriden veya dışarıdan sızdırdığı veriler son yılların en popüler siber saldırıları arasında yer etmektedir.

Log nedir diye kısa bir giriş yaptıktan sonra LOG Yönetimi nedir diyerek konuya devam ediyoruz...

 

# LOG Yönetimi

 

 

Kurumların, firmaların Siber Güvenlik tarafında uyması gereken standartlardan bahsedip, bir SIEM projesinde olmazsa olmaz konu LOG’un tanımını yaptıktan sonra neden Log yönetimi yapmalıyız ve Log yönetimini nasıl yapmalıyız gibi konulara da değinmemizde fayda var.

Bir Sistemimiz var, aktif olarak çalışanlarımız var, içeriden dışarıya-dışarıdan içeriye erişimlerimiz var ise aktif olarak Log tutmalıyız ve bu sistemin işleyişinin bozulmaması içinde Güvenlik önlemlerini almalıyız. Çok kısa ve net bir ifade ile bu tarafa bu şekilde açıklama getirilebilir.

Log yönetimi ülkemizde yasal zorunluluk haline getirilmiştir. 5651 (birazdan bahsedeceğiz detaylı olarak) sayılı kanun ile düzenlenen Log yönetimi konusu, Uluslararası Standartlar çercevesince ülkemizde de uygulanması zorunlu bir kanundur. Bu kanunun detaylarına birazdan ineceğiz. 5651 konusunda da ülkemizde tam olarak bir kafa karışıklığının söz konusunu olduğunu ayrıca belirtmek isterim. Biz kendi konumuz Log Yönetimi tarafına gelmemiz gerekirse;

  • Neden Log Yönetimi Yapmalıyız?
    • Dijital Kayıtların yani Logların bir yerde saklanması,
    • Loglara tek merkezden ulaşılabilmesi,
    • Loglara hızlı ve doğru şekilde ulaşabilmesi,
    • Logların Bütünlüğünün, Orjinalliğinin bozulmaması,
    • Logların analiz edliebilirliği,
    • Logların Geri Getirilebilirliği,
    • Loglara yetkisiz erişim veya Erişimlerin denetlenebilmesi,
    • Siber Güvenlik olayları (tümü),

 gibi bir çırpıda akla gelen ve daha da devam ettirilebilir halde olan bu maddeler, Aslında neden Log yönetimi yapmalıyız sorusuna cevaptır.

 

LOG Analizinin Önemi ve Güvenlik

Siber Saldırıların hız kesmeden devam ettiği ve her dakika arttığı şu dönemde, Doğru ve verimli LOG tutmak da bir o kadar önemlidir. Saldırıya uğramış ya da bir şekilde illegal aktivitelere maruz kalmış bilişim sistemleri için Loglama hayati ve kritik önem arz etmektedir. Saldırılar sonrasında olayın aydınlatılması için ilk etapta loglara bakılmak istenecektir. Doğru sınıflandırılmamış ve ya Analiz edilemeyen log kayıtlarından saldırının aydınlatılabilmesi mümkün değildir.

 

Yukarıda bahsettiğimiz Kanun ve Standartlar işte bu tip olayların gerçekleşmesi durumunda sistemler üzerindeki logların okunabilmesi ve olayların izlerinin rahatlıkla sürülebilmesi için geliştirilmiş kanun koruculardır.

Ayrıca gelişmiş bir SIEM ürününde sadece Log management tarafında yönetmelik ve kanunları baz alarak bir Güvenlik sağlanmaz. Bu güvenlik topyekün ve bütüncül olan bir güvenlik yaklaşımıdır. Yani SIEM ürünü ( tabii başındaki teknik uzmanın güvenlik bilgisi ile de doğru orantılı şekilde ) sizleri Security tarafında ciddi anlamda bilgilendiren, dashboards, reporst, alert gibi özellikleri sayesinde Security bilincini yükselten bir üründür.

 

5651 Sayılı Kanun ve LOG Yönetimi

 

Ülkemizde 04.05.2007 tarihinde Resmi Gazete de yayınlanarak hayatımıza giren kanun sektörde herkes tarafından 5651 kanunu olarak bilinmektedir. Kısacası 5651 denir. 5651 nedir, ne işe yarar, ne getirir, ne yapmamız gerekir hızlı şekilde bakalım.

 

5651 - Amaç ve Kapsamı;

İçerik Sağlayıcılar, Yer Sağlayıcılar, Erişim Sağlayıcılar ve Toplu şekilde Bilgisayar kullanımı olan, Internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadele etmeyi baz yasa ve usülleri içeren bir kanundur. Resmi tanımı tabii ki bu şekilde 5651’in.

 

5651 ve Log Yönetimi ilişkisi

Bizim olayımız SIEM projesi olduğundan, biz erişim sağlayıcılar ve ya yer sağlayıcılardan ziyade LOG tarafını baz alacağız. 5651 kanunu için Log tarafında arama motorlarında ufak bir Search yaparsanız, her kafadan bir ses çıktığını ve değişen tanımların olduğunu görürsünüz. Ben genel olarak kendi tecrübelerimi, bugüne kadar çalıştığım firmaları (kamu/özel) ve genel olarak sektörün kabul ettiği, adli vakalarda da istenen bilgileri baz alarak 5651 sayılı kanunu Log Yönetimi tarafında nasıl kullanıldığına dair hızlı şekilde Soru / Cevap yapmayı uygun gördüm.

 

Soru & Cevaplarla 5651

Soru: 5651 Sayılı kanuna uygun şekilde LOG tutabilmek için Firewall gerekli mi?

Cevap: Firewall olmasa da Firewall gibi görev yapan Switch, Router ya da kullanıcıların Internete çıkmasını sağlayan cihazın logunun tutuluyor olması kesinlikle şart.

 

Soru: 5651 Sayılı kanuna göre kaç güne kadar LOG tutmak zorun dayım?

Cevap: 730 güne kadar logları tutup, imzalayıp, saklamak zorundasınız.

 

Soru: 5651 için Logu nerede saklamalıyım?

Cevap: Logu nerede saklamaktan ziyade Log’un bütünlüğünün yani Ham halinin bozulmaması gerekiyor. Ham halinin bozulup bozulmadığını adli bilişim yazılımları ile test edebiliyorlar ve yasal bir konu oluştuğunda başınız derde girebilir. Dolayısıyla nerede sakladığımız önemli değil, istendiği zaman, istendiği tarihin logunu bozulmadan verebiliyor olmak önemlidir.

 

Soru: Web Sitemi kendim barındırıyorum log tutmak zorunda mıyım ?

Cevap: Evet. Web Server’ınıza gelen giden tüm trafiği loglamak zorundasınız.

 

Soru: Mail Serverım var (Exchange, Zimbra, vb) Log tutmak zorunda mıyım?

Cevap: Evet. Gelen giden tüm mail trafiğiniz loglamak zorundasınız. Net.

 

Soru: IP-MAC-UserName Hangi bilgileri tutmalıyım yasaya uygun?

Cevap: Hangi User’in hangi ip adresini aldığını, hangi mac adresini kullandığını, hangi hostname’i kullandığını kesinlikle tutmalısınız. Bir IP adresinin birden fazla kişi tarafından kullanıp kullanılmadığını ve yine aynı şekilde bir MAC adresinin birden fazla IP adresi tarafından kullanıp kullanılmadığını da tutmalısınız ve tespit etmelisiniz. Bu ve benzeri Senaryolar zaten Sisteminizin Güvenliği açısından önemli trickler olduğundan bunları zaten kullanıyor olduğunuz SIEM ürünü otomatik olarak yapıp, bu senaryolar oluştuğunda Size Mail atarak Alert göndererek uyarmak durumundadır.

 

Soru: Dhcp Server’ımın Logunu tutmak zorunda mıyım?

Cevap: Evet. Çok net. Dhcp serverler veya Dhcp Server işlevi gören diğer cihazlar (firewall vs) loglarını kesinlikle tutmalısınız.

 

Soru: Domain Controller (active directory) loglarıı tutmak zorunda mıyım?

Cevap: Evet. Domain kullanıcılarının network içerisindeki Login/logout ve işlemlerini loglamak zorundasınız.

 

Soru: FTP Server’ım var ve Internete açık şekilde tutuyorum, kendi Cloud Server’ım gibi kullanıyorum, Logunu tutmak zorundamıyım?

Cevap: Evet.

 

Soru: Kullanıcılarımın Google Arama Kayıtlarını tutmak zorunda mıyım?

Cevap: Google arama kayıtlarını zaten tutamazsınız. Piyasada var olan gelişmiş firewall’ler bile google arama sonuçlarını google’ın kullandığı SSL sertifikası yüzünden net olarak loglayamamaktadır. Ancak kullanıcılarınızın Google servislerine yaptığı trafiği loglayabilirsiniz ve loglamalısınız.

 

Soru: Wifi ağımdan misafirlerimi internete çıkarıyorum, Log tutmak zorunda mıyım?

Cevap: Kesinlikle Evet. Türkiye’de hemen hemen her Wifi alanında olan eksikliklerden birisi de budur aslında. TC kimlik, isim soyisim gibi bilgileri aldıktan sonra internete çıkartmalısınız ve logunu kesinlikle tutmalısınız.

 

Soru: İş yerim var ve kullanıcılarım internete çıkıp Web sitelerin içerik giriyor, log tutmak zorunda mıyım?

Cevap: Evet.

gibi gibi aklıma bir çırpıda gelen soruları sizler için cevapladım.

5651 konusu bu şekilde uzayıp gidiyor. Ülkemizde son yıllarda umut verici şekilde 5651 yasasına uygun log tutuluyor. (eskiye nazaran yani) Ancak yine de Belediyeler seviyesinde kamu kurumlarının ve özel sektörde bir çok firmanın Log tutmadığını da ne yazık ki ülkemizin gerçeği.

SIEM SIEM SIEM

SIEM tarafından yürümeye devam ediyoruz.

 

LOG Retention

5651 yada diğer bahsettiğimiz diğer tüm yönetmelik ve kanunları baz alarak SIEM projesinde düşünülmesi gereken konulardan birisi de “Logların ne kadar saklanacağı ve İhtiyaç halinde nasıl geri dönüleceği” konusudur. konu hassas ve oldukça kritiktir. Zira Data (log) kaybı telafi edilemez. Bir Loglama yönetiminde logların ne kadar süreyle tutulduğu, hangi diskte yer aldığı ve istenildiği zaman kolaylıkla geri getirilebilirliği bir SIEM ürünü için avantaj sağlayabilir.

 

Gelişmiş SIEM ürünlerini incelediğimiz zaman genellikle Logları 2 şekilde sakladıklarını görüyoruz.

1- Ham orjinal log (5651 gibi yasalar için)

2- İşlenmiş log (kolerasyon, rapor, dashboard gibi kurallara tabii tutulup işlenebilen log)

 

1- Ham LOG nedir, Nasıl olur?

Bir Log kaynağından çıktığı gibi Log management’a yani SIEM ‘e gelen loga Ham log denir.

Ham log üzerinde herhangi bir oynama yapılamaz. Logun bütünlüğü bozulmaması açısından bu kritik seviyede önemlidir. Log’un bütünlüğünü bozacak her şey Yasalar tarafında sıkıntı çıkaracaktır. Ham LOG, SIEM tarafından imzalanır ve saklanır.

Ham LOG’a Örnek vermemiz gerekirse ;

 

            *not: görsel bir radius kaynağına ait ham logları içermektedir.

2- İşlenmiş LOG nedir, Nasıl olur?

Bir Log kaynağından çıktıktan sonra SIEM yazılımı üzerinde bulunan pluginler sayesidne Parser işlemine tabii tutulan ve karma karışık anlamsız gelen satırları, insanların anlayabileceği dile çevirip, kolonlarda, raporlarda, dashboardslarda gördüğümüz, üzerinde her türlü oynamayı yaptığımız, evirdiğimiz çevirdiğimiz loglara işlenmiş LOG denir. Yasal olarak direk bir bağlayıcılığı yoktur, zira adli makamlar sizden işlenmiş logu değil, ham logu ister ve alırlar. İşlenmiş loglar her SIEM ürününde kendi pluginlerine göre isimleri değişiklik gösterse de genel kabül görmüş global belli standartlar vardır. Bir IP Adresi kaynaktan geldikten sonra örneğin işlenmiş log tarafında SIEM ürünü tarafından artık “ Source.IP “ olarak etiketlendirilmektedir. Bir X iç IP adresi bir Y dış IP adresine gittiği zaman gidilen hedef IP adresi “ Destination.IP “ olarak etiketlendirilir.

 

Log Source’a göre plugini yazılmış ve doğru şekilde parser olmuş her log source için SIEM ürünlerinin Search bar’larında bu ve buna benzer zilyon tane query ‘i çalıştırabilirsiniz.

 

Corrolation (Korelasyon)

 

SIEM denildiği zaman akla ilk gelen kabiliyetlerden birisi de Korelasyondur. Bir SIEM ürünü aslında kendisine gelen logları ne kadar korele edip doğru sonuçlar elde edebiliyorsa o kadar başarılıdır desem kesinlikle tabir havada kalmaz.

Korelasyon olayı SIEM’in LOG Mangement tarafında tutuğu logları, birden fazla Log Source üzerinden çekip, karıştırıp, aslında tek tek log source’lerden elde edemeyeceği dataları birleştirmesi ve ortaya reports (rapor) olarak dökmesiyle olur.

Korelasyondaki amaç, elde edilen Loglardan çok daha fazla bilgi çıkartmak, Sistemi daha iyi hale getirmek, Elde edilen dataları karıştırıp yeni bir data çıkartmak, Geleceğe dönük analizlerde bulunmak, Sistemin güvenlik check-up’ını yapmak ve daha bir çok bunun gibi nedenler olabilir.

SIEM ürünü üzerinde Korelasyon seviyesi ne kadar yüksekse ve iyi kurgulanmışsa, SIEM ürünü size ilgili kaynakları birleştirip o kadar iyi Alert (alarm) üretebilir. Aynı şey Reports (raporlama) konusu içinde geçerlidir. Sistemde var olacak bir anormali, anında korelasyona tabii tutulup alert olarak sistem adminine mail olarak gitmelidir.

 

            Korelasyon Örnek Senaryo ;

 

            *Ahmet.Doruk kullanıcısı Domain Controller üzerinde Oturum açtı ve Torrent trafiği yapan bir yazılım çalıştırdı

 

            SIEM ürününde bu tip bir Alert set edilmiş ise, uyarı mail’i Admine düşecektir.

 

Real Time Monitoring & Alert

 

 

Gelişmiş bir SIEM ürününde en önemli noktalardan birisi de Real Time akan Datadır. SIEM ürünleri bu dataları Grafiklere dökerek anlamlı ve görsel olarak anlaşılması daha sade hale getirirler. Grafiklerle süslenmiş bir Dashboard ile Real time monitoring daha sağlıklı ve hızlı hale gelmektedir.

Monitoring günümüzde çok değerli ama aslında asıl Gelecekte çok değerli olacak. Security Operation Center (SOC) hizmetl veren ürünlerin ve kurumların artmasıyla birlikte ülkemizde de önemli bir hale gelecek. SOC tarafında 24 saat sistemleri monitoring eden Güvenlik uzmanları, Sistemleri gece-gündüz takip ederek her türlü anormaliye karşı aksiyon alacaklar.

Canlı data ile doğru şekilde kurgulanmış bir Alert mekanizması, Sistemdeki tüm anormaliler için güvenlik aksiyonu alıp, Monitoring eden kişi yada kişileri bilgilendirebilir. SIEM ürünlerinde User Activity Monitoring, Real Time Dashboards, Real Time Alert gibi tüm kavramları aslında bu kefeye koyup değerlendirebiliriz. Bir kaynaktan log gelir, Dashboard’a grafik olarak yansır ve belirli kurallar ile düzenlenmiş bir olay gerçekleştiğinde monitoring eden kişiye Alert olarak gider.

 

Alert’a Örnek Senaryo ;

 

            *Ahmet.Dogukan user’i 1 den fazla MAC adresini 1 IP üstüne kullanıyor. yada MAC adresini değiştirdi. ( Tam tersi de geçerli )

            A*hmet.Dogukan user’i VPN ile sisteme bağlandıktan sonra aynı zamanda Domain Controller’den Login oldu. ? (Ahmet ‘ten iki tane mi var ya da ışınlanma mı bulundu )

 

*Rusya Federasyonundan IIS Server’a çok fazla istek var.

*File Server üzerinde muhasebe.xls dosyası silindi.

Gibi gibi şu an benim türetip aklıma getiremeyeceğim ama hepimizin aklında olan tüm Güvenlik senaryoları aslında Alert tarafında geçerli.

Başarılı bir SIEM ürünü kendisine gelen dataları bu Güvenlik kriterleri ile harmanlayıp gerçekten güzel sonuçlar veren bir Alert (security) sistemi oluşturur ve Sisteminizdeki en ufak bir hareketi bile Size uçurur.

 

Security / Threat Intelligence

 

Başarılı ve gelişmiş bir SIEM ürününden söz ediyorsak ki öyle, Security Inteligence tarafından bahsetmeden geçmek olmaz. Son yıllarda yükselen Siber Güvenlik bilinci ile olmazsa olmaz konular arasında yer alan Security Intelligence, SIEM ürünleri içinde oldukça popüler bir konu. SIEM tarafından Log Source’lerden elde edilen datalar, Security Plugin ve Alert’leri üzerine kurgulanarak Sistemlerin check-upı alınıyor.

Sınırlı zaman ve sınırlı ekiplerle bu işlerin yapıldığını düşünürsek, Security Intelligence servisine sahip SIEM ürünleri olası tehditlere karşı bizleri bilgilendirme konusunda oldukça kritik bir yerde duruyorlar. Tehdit önleme konusunda da iyi kurgulanmış bir SIEM ürünü geleceğe dönük tahminlerde bulunabilir ve sizleri sisteminizde oluşabilecek Security olaylarına karşı önceden aksiyon almanızı sağlayabilir.

Müşteri ve Çalışan bilgileri, Finansal bilgiler, Geleceğe dönük pazarlama stratejileri vs aklınıza gelebilecek her konuda artık şirketlerin tehdit altında olduğunu düşünürsek Security Intelligence Servisi ve bu servisi monitoring ederek Alert gönderebilen SIEM ürünleri bir adım daha önde ve projelerinizde tercih edebilir ürünler olmalıdır.

 

SIEM ve Teknik Destek

SIEM, LOG Management, Security Intelligence vb. konulara değindikten sonra olayın bir de aslında arka planda dönen ama en kritik noktasına değinmek istiyorum. SIEM tarafında Teknik destek aslında bu konuştuğumuz tüm konuların üzerinde önemli bir konu. Çünkü end user ya da system admini bahsedilen tüm bu konuları professional seviyede bilmek durumunda değil. SIEM tarafında bahsettiğimiz tüm konularda bilgi sahibi ve anlaşılabilir seviyede hızlı aksiyon alarak Teknik destek vermek son derece kritik. Özellikle büyük network ve sistemlerde yapılacak SIEM projelerinde Teknik destek, 7 / 24 Security ve Log Management desteği, Teknik konularda destek veren personelin bilgi seviyesi gibi kriterler oldukça önemli.

Kaynaklarınızdan ne kadar data gelirse gelsin, SIEM ürünü ne kadar iyi yazılmışsa yazılsın ya da siz ne kadar Güvenli bir yapı kurarsanız kurun, SIEM tarafında gelişen aksiyonları anlayıp doğru yorumlayamıyorsanız ve bu konuda doğru destek alamıyorsanız tüm proje çöp demektir. Dolayısıyla SIEM Projelerinizi değerlendirirken, ürünü alacağınız firmanın Teknik destek kapasitesini mutlaka göz önünde bulundurun.l




Yazar Hakkında

Lisans eğitimini Anadolu Üniversitesinde tamamlayan Onur Oktay, 1999 yılından bu yana Bilişim Teknolojileriyle iç içe. 2005 yılına kadar Aktif olarak Hacking Gruplarında yer alan Oktay, 2005 yılından sonra Ethical Hacking, System ve Network eğitimleri tarafına geçerek Microsoft Yetkili Eğitmen (MCT) ve Certified Ethical Hacker (CEH) ünvanlarını aldı. Bir çok üniversitede konferans ve bir çok medya kuruluşunda Siber Dünya ile ilgili röportajlar/oturumlar gerçekleştirdi. 2009 ila 2014 yılları arasında bir kamu kurumunda Sistem, Network Sorumlusu olarak görev yapan Oktay, 2014 yılından bu yana SIEM, Big Data, Log Management tarafında görev yapmaktadır. Aktif olarak Siber Güvenlik, Network Sistemleri, Bilişim Sistemleri, Big Data, LOG Management gibi alanlar üzerine çalışmalar yapmaktadır.






Yorum Yapmak İçin Giriş Yapın.