Güvenlik Olayı ve Olay Yönetimi (SIEM) ne anlama geliyor?

Güvenlik olayı ve olay yönetimi (SIEM), gerçek zamanlı bir BT ortamında güvenlik olaylarını veya
olayları tanımlama, izleme, kaydetme ve analiz etme sürecidir. Bir BT altyapısının güvenlik
senaryosunun kapsamlı ve merkezi bir görünümünü sağlar.Güvenlik olayı ve olay yönetimi, güvenlik
bilgileri olay yönetimi olarak da bilinir.SIEM, yazılım, sistem, cihaz veya bu ürünlerin bazı
kombinasyonları ile gerçekleştirilir. Genel olarak, bir SIEM sisteminin altı ana özelliği vardır:

• Saklama : Verilerin daha eksiksiz veri kümelerinden alınabilmesi için verileri uzun süre
saklamak.
• Gösterge Tabloları : Normal bir kalıba uymayan modelleri veya hedef etkinliği veya verileri
tanımak amacıyla verileri analiz etmek (ve görselleştirmek) için kullanılır.
• Korelasyon : Verileri anlamlı, benzer ve ortak özellikleri paylaşan paketlere sıralar. Amaç,
verileri yararlı bilgilere dönüştürmektir.
• Uyarı : Uyarılar veya potansiyel güvenlik sorunları gibi belirli yanıtları tetikleyen veriler
toplandığında veya belirlendiğinde, SIEM araçları, kontrol paneline gönderilen bildirimler,
otomatik bir e-posta veya kısa mesaj gibi kullanıcıları uyarmak için belirli protokolleri
etkinleştirebilir.
• Veri Toplama : Sunucular, ağlar, veritabanları, yazılımlar ve e-posta sistemleri dahil olmak
üzere, SIEM'in kullanıma sunulmasından sonra, veri herhangi bir sayıda siteden
toplanabilir. Toplayıcı, aynı zamanda, verilerin korelasyonu veya korunması için
gönderilmeden önce bir birleştirici kaynak olarak da hizmet eder.
• Uyumluluk : Şirket, organizasyon veya devlet politikalarına uyum için gerekli olan verileri
otomatik olarak toplayan bir SIEM protokolleri oluşturulabilir.

SIEM'in 5 maddede önemi

Raporlama : Hemen hemen her düzenleyici görev, bir denetim izi faaliyetini sürdürmek için bir çeşit
günlük yönetim gerektirir. SIEM'ler, bu gereksinimi doğrudan destekleyen bir günlük toplama
altyapısını hızlı ve kolay bir şekilde dağıtmak için bir mekanizma sağlar ve hem son günlük verilerine,
hem de eski günlük verilerinin arşivlenmesi ve geri çağrılmasına olanak sağlar. Uyarı ve korelasyon
yetenekleri ayrıca, manuel olarak yapıldığında, yorucu ve göz korkutucu bir görev olan rutin günlük
veri inceleme gereksinimlerini de karşılar.
Ayrıca, SIEM raporlama yetenekleri belirli gereksinimlerin karşılandığını doğrulamak için denetim
desteği sağlamaktadır. Çoğu SIEM satıcısı, doğrudan belirli uyumluluk yönetmeliklerine eşlenen
paketlenmiş raporlar sağlar. Bunlar, minimum yapılandırma ile çalıştırılabilir ve denetim
gereksinimlerini karşılamak için kuruluş genelinde raporlar toplar ve oluşturur.

Operasyon desteği: Günümüz işletmelerinin büyüklüğü ve karmaşıklığı, onları desteklemek için BT

personelinin sayısıyla birlikte katlanarak artmaktadır.Operasyonlar genellikle Ağ Operasyon
Merkezi (NOC), Güvenlik Operasyon Merkezi(SOC), sunucu ekibi, masaüstü ekibi vb. Gibi farklı gruplar
arasında bölünür, her biri olayları izlemek ve bunlara yanıt vermek için kendi araçlarına sahiptir. Bu,
problemler ortaya çıktığında bilgi paylaşımı ve işbirliğini zorlaştırır. Bir SIEM, farklı sistemlerden gelen
verileri tek bir cam bölmesine çekebilir ve bu da son derece büyük işletmelerde etkili bir takım
çalışması işbirliğine olanak tanır.

Sıfır gün tehdit algılama: Her gün yeni saldırı vektörleri ve zayıf noktaları keşfedildi. Güvenlik
duvarları, IDS / IPS ve AV çözümleri, BT altyapısındaki çeşitli noktalarda, çevre noktasından uç
noktalara zararlı faaliyetler arar. Bununla birlikte, bu çözümlerin çoğu sıfır gün saldırılarını tespit
etmek için donatılmamıştır. SIEM, saldırının kendisinden ziyade bir saldırı ile ilişkilendirilmiş aktiviteyi
tespit edebilir.Örneğin, sıfır-gün istismarını kullanan iyi hazırlanmış bir mızrak-phishing saldırısı, spam
filtreler, güvenlik duvarları ve virüsten koruma yazılımları yapma ve bir hedef kullanıcı tarafından
açılma olasılığına sahiptir.

Böyle bir saldırıyı çevreleyen aktiviteyi tespit etmek için bir SIEM yapılandırılabilir.Örneğin, bir PDF
istisnası genellikle Adobe Reader işleminin çökmesine neden olur.Kısa bir süre sonra, gelen bir ağ
bağlantısını dinleyen veya saldırganın giden bağlantısını başlatan yeni bir işlem başlatılacaktır. Birçok
SIEM, başlangıç ve bitiş işlemleri ve ağ bağlantılarının açılıp kapanmasını takip eden gelişmiş uç nokta
izleme özellikleri sunar. Sunucu aktivitesini ve ağ bağlantılarını ana bilgisayarlardan ilişkilendirerek bir
SIEM, paketleri veya yükleri incelemek zorunda kalmadan saldırıları tespit edebilir. IDS / IPS ve AV, iyi
yaptıklarını yaparken, bir SIEM, geleneksel savunmalardan kaybolan kötü niyetli etkinlikleri
yakalayabilen bir güvenlik ağı sağlar.

Gelişmiş ısrarlı tehditler: APT'ler , RSA , Lockheed Martin ve diğerlerinin yüksek profilli ihlallerinden
sorumlu olduklarını iddia eden birçok uzmanla birlikte haberlerde yer aldı. Bir APT, genellikle, belirli
bir veri veya altyapı parçasını hedef alan, basit veya gelişmiş, saldırı tespit etmek için saldırı
vektörlerinin ve yöntemlerinin bir kombinasyonunu kullanan karmaşık bir saldırı olarak
tanımlanır.Buna karşılık birçok kurum, güvenlik duvarları ve IDS / IPS'yi çevre, iki faktörlü kimlik
doğrulama, dahili güvenlik duvarları, ağ segmentasyonu, HIDS, AV vb. Kullanarak kritik varlıklarının
etrafında bir savunma stratejisi uyguladı.

Bu cihazların tümü, izlenmesi zor olan çok miktarda veri üretir. Bir güvenlik ekibi, ağ üzerinden geçen
paketleri takip edebilecek kadar hızlı olan birkaç bileşen arasında olayları sekiz gösterge panosunun
açık ve korelasyonuna sahip olamaz.SIEM teknolojileri, tüm bu kontrolleri tek bir motorda bir araya
getiriyor, sürekli gerçek zamanlı izleme ve işletmenin genişliği ve derinliği arasında korelasyona sahip.

Ama ya SIEM tarafından bir saldırı tespit edilmezse? Bir ev sahibi ele geçirildikten sonra, saldırganın
hedef verileri bulup çıkarması gerekir. Bazı SIEM korelasyon motorları, benzersiz değerler eşiğini
izleyebilir. Örneğin, kısa bir zaman dilimi içinde 445 numaralı bağlantı noktasında (veya NetBIOS
kullanılıyorsa 137, 138 ve 139 numaralı bağlantı noktalarında) belirli sayıda başarısız erişim denemesi
yapan bir kural, paylaşılan klasörler için bir taramayı tanımlar. Standart veritabanı bağlantı noktalarını
arayan benzer bir kural, ağda dinlenen veritabanlarının taramasını gösterir.
SIEM ile beyaz listenin entegrasyonu sayesinde, hangi ana makinelerin ve hesapların erişemeyecekleri
verilere erişmeye çalıştıklarını tespit etmek önemsiz hale gelir. Bu arada, File Integrity
Monitoring'in bir SIEM ile uygulanması, veri sızıntısını tespit etmek için aynı ana bilgisayardan giden
ağ trafiği ile erişilen verileri ilişkilendirebilir. Bir FIM olayı, kritik verilere erişen aynı ana bilgisayara
takılan bir başparmak sürücüsü ile birlikte kritik verilere erişildiğini gösteriyorsa, güvenlik personelini
olası bir ihlale bildirmek için bir alarm oluşturulabilir.

Adli Tıp: Bir adli tıp araştırması uzun, çizilmiş bir süreç olabilir. Bir adli tıp uzmanının gerçekte ne
olduğunu belirlemek için günlük verilerini yorumlaması gerekmediği gibi, analist de verileri
mahkemede kabul edilebilir kılacak şekilde korumalıdır. Tarihsel kayıtların depolanması ve
korunmasıyla ve verilerin hızlı bir şekilde gezinilmesi ve ilişkilendirilmesi için araçlar sağlayarak, SIEM
teknolojileri hızlı, kapsamlı ve mahkeme tarafından kabul edilen adli araştırmalara olanak tanır.

Günlük verileri, BT altyapıları boyunca gerçekleşen tüm etkinliklerin dijital parmak izlerini temsil
ettiğinden, güvenlik, işlemler ve yasal uyumluluk sorunlarını saptamak mümkündür. Sonuç olarak,
SIEM teknolojisi, günlük izleme, korelasyon, örüntü tanıma, uyarı ve adli soruşturmaların
otomatikleştirilmesi yeteneğiyle, BT istihbaratını toplamak ve oluşturmak için merkezi sinir sistemi
olarak ortaya çıkmaktadır.

Güvenli Günler...