SIEM Neden Bir İhtiyaçtır?
SIEM Neden Bir İhtiyaçtır?
İçindekiler:
SIEM (Security Information Event Management) Nedir?
SIEM’in Sunduğu Avantajlar Nelerdir?
Neden SIEM’e Sahip Olmalısınız?
- Vaka Tespiti, Yönetimi ve Aksiyon
- Mevzuat ve Düzenlemeler
- Güvenlik Analiz
SIEM (Security Information Event Management) Nedir?
SIEM (Security Information Event Management), çözümleri, sisteminizde hazır bulunan logların anlık olarak izlenmesini mümkün kılan araçlardır. Buna ek olarak, belli kurallar ışığında oluşturulan log analizleri ve siber tehditlere yönelik farkındalık oluşturma görevlerini de üstlenir.
SIEM’in Sunduğu Avantajlar Nelerdir?
Envanterde kendine yer bulan iyi konfigüre edilmiş bir SIEM, güvenlik ekibinin olası tehditler karşısında farkındalığını artırır ve inisiyatif almaktan korkmayan bir bakış açısına sahip olmasını sağlar. Log yönetimi, bir sistemin planlama, çözümleme, önlem alma ve harekete geçmesi aşamalarında oldukça önemli bir konumdadır. Topoloji ne kadar büyük ise, güvenlik tedbirleri de o denli kapsamlı olmalıdır.
Log üreten aygıtlarınızın niceliğinin artması ve yapınızın genişlemesi; yönetim, sistem izleme ve tehditlerin takibi aşamalarını zorlaştırmaktadır. İşlerin zora girdiği bu durumda logları tek elde toparlayan SIEM ürünleri devreye girer. Güvenlik ekipleri, farklı cihazlardan alınan loglar üzerinde bir ilişkilendirme kurarak, tespit ve eylem planlaması yapar. Genele vurduğumuzda bu sistemde en ciddi nokta, tespit ve eylem aşamasında harcanan süredir.
SIEM’e sahip olmayan yahut SIEM olduğu halde log, korelasyon, alarm ve map yapısı eksik olan bir sisteme yapılacak saldırının fark edilmesi oldukça güçtür. SIEM’in olmadığı bir senaryoda saldırının saptanması büyük vakit kayıplarına neden olur. İyi bir log yapısı ile oluşturulmuş ve log yapısını bütünleyen tetikleyici kural örgüsü ise güvenlik analistine saldırının saptanması konusunda zaman kazandırır. Bundan ötürü SIEM, tepki vermede kurtarıcı bir rol üstlenir.
- Vaka Tespiti, Yönetimi ve Aksiyon
SIEM, kuralları takip ederek ulaşan alarm sayesinde güvenlik birimine eyleme geçmeleri için yol haritası hazırlar. Logların merkezi bir şekilde yani tek bir üründe toplanması, tehditlerin analiz edilip müdahalesinin erken yapılmasına vesile olur. Fakat yalnızca log almış olmak yeterli değildir. Kaynaklardan gelen loglar anlaşılabilir duruma getirilip birbirleriyle ilişkilendirilmelidir. Korele edilmiş bu loglar ve kombinasyonlar alarm verilirken kullanılır.
Alarmın tetiklenmesinden itibaren geçilecek eylemin belirlenmesiyle bir “use case” yani “kullanım senaryosu yöntemi” ortaya çıkar. Güvenlik ekibi, birer birer tüm tehditleri ortaya çıkarıp kapsamlarına göre kullanım senaryoları ortaya koyar. Bu yöntemlerle oluşturulan eylem planları SIEM projeleri açısından hayati bir öneme sahiptir.
- Mevzuat ve Düzenlemeler
Şirketler, faaliyette bulundukları alanlara göre birtakım yasal süreçlere tabi tutulurlar. Örnek olarak Kişisel Verilerin Korunması Kanunu (KVKK) bu sürecin denetlemesinden ve düzenlenmesinden sorumludur.
Kurumlar, kişisel verilerin korunması konusunda belli başlı birtakım tedbirler almak mecburiyetindedir. Bu noktada da SIEM devreye girer ve bu önleyici unsurları senaryolar üzerinden kurallara bağlı şekilde oluşturup tanımlama imkânı verir. Ana unsur “veri kaybının önlenmesi” olduğu için, SIEM üzerinden oluşturulan kurallar ve log korelasyonları KVKK ile entegre edildiğinde kolaylıkla takip edilebilir duruma gelir.
Bir sistemde yetkinin kontrolünün sağlanması, erişim dokümanları, veri sızdırma girişimi (kritik veri tabanına yapılan anormal sorgu), VPN, log kayıtlarında değişiklik yapılması vs. gibi KVKK alanına giren güvenlik vakaları SIEM ile kolayca takip edilir.
- Güvenlik Analiz
“Dashbord” adı verilen görsel pano ve grafikler gerçek zamanlı logların izlenmesinde kolaylık sağlar ve bu, SIEM ürünlerinde mevcuttur.
Büyük boyutlu logların sürece bağlı olarak okunup anlamlandırılması zor olduğundan, dashbord ekranları, oluşabilecek siber saldırıların erken bildirilmesi ve anomali durumunun görsel olarak saptanmasına hizmet eder.
Farklı cihazlarla üretilen logların tek platformda toplanıp ilişkilerinin saptanmasını ve tepki almayı sağlayan SIEM yapıları ile ilgili daha fazla bilgi için Soitron Siber Güvenlik Servisleri web sitesini ziyaret edebilirsiniz.