Scroll Top

SIEM

SIEM Nedir ve Nasıl Çalışır?
SIEM sistemi, ağdaki çeşitli güvenlik bileşenlerinden (güvenlik günlükleri, ağ cihazları, sunucular, uygulamalar, vb.) gelen verileri toplar. Bu veriler daha sonra merkezi bir veritabanında depolanır ve gerçek zamanlı veya toplu olarak analiz edilir. SIEM, belirli güvenlik olaylarını tanımlamak için önceden tanımlanmış kuralları veya davranışsal analiz tekniklerini kullanabilir. Sonuçlar, güvenlik uzmanlarına veya yöneticilere bildirilir ve gerektiğinde müdahale edilmek üzere aksiyon alınır.

Loglama Nedir?
Bir bilgisayar sistemi veya ağ üzerinde meydana gelen olayların kaydedilmesi ve saklanması işlemidir.
Loglar, genellikle tarih, saat, olayın türü, kaynak ve hedef IP adresleri gibi bilgileri içerir. Örneğin, bir güvenlik logu, belirli bir kullanıcının bir sisteme başarısız bir giriş denemesini içerebilir.


İzlenebilecek Cihazlar

Ağ Cihazları: Güvenlik duvarları, anahtarlar, yönlendiriciler ve diğer ağ cihazlarından gelen loglar SİEM’e entegre edilebilir. Bu loglar, ağ trafiği, kullanıcı aktiviteleri ve güvenlik olayları hakkında bilgi sağlar.
Sunucular: Sunuculardan gelen loglar, işletim sistemi olayları, uygulama günlükleri, güvenlik olayları ve diğer sistem etkinlikleri hakkında bilgi sağlar. Windows, Linux, Unix gibi farklı işletim sistemlerinden gelen loglar SİEM’e entegre edilebilir.
Uygulamalar: Kurumsal uygulamaların günlükleri, kullanıcı etkileşimleri, veri erişimi ve diğer uygulama etkinlikleri hakkında bilgi sağlar. Örneğin, veritabanı sistemleri, web sunucuları, e-posta sunucuları gibi uygulamalardan gelen loglar entegre edilebilir.
Güvenlik Ürünleri: Antivirüs yazılımları, IPS (Saldırı Tespit Sistemleri), IDS (Saldırı Tespit Sistemleri), güvenlik bilgisayarları gibi güvenlik ürünlerinin logları SİEM’e entegre edilebilir. Bu loglar, potansiyel tehditlerin tespiti ve önlenmesine yardımcı olabilir.
Güvenlik Aygıtları: Biyometrik okuyucular, kart okuyucular, güvenlik kameraları gibi fiziksel güvenlik aygıtlarının logları SİEM’e entegre edilebilir. Bu, fiziksel ve dijital güvenlik olaylarını bir araya getirerek bütünsel bir güvenlik görünümü sağlar.
Entegrasyon

  • Entegrasyon Protokollerinin Belirlenmesi: Her veri kaynağı için uygun entegrasyon protokolleri belirlenir. Bu protokoller genellikle Syslog, SNMP, API, Windows Event Log gibi standart iletişim protokolleri olabilir.
  • Günlük Toplama ve Aktarım: SİEM, entegre edilen veri kaynaklarından güvenlik olaylarını toplamaya başlar. Bu veriler analiz edilir, sınıflandırılır ve güvenlik tehditlerinin tespit edilmesi için kullanılır.
  • Uyarı ve Tepki Kurallarının Ayarlanması: SİEM sistemi genellikle önceden tanımlanmış uyarı ve tepki kurallarına sahiptir. Organizasyonun ihtiyaçlarına göre, bu kuralların ayarlanması ve özelleştirilmesi gerekebilir.

Kurallar
  1. Tetikleyici Koşul: Olayın gerçekleşmesini tetikleyen belirli koşullar veya tetikleyiciler. Örneğin, belirli bir kullanıcının birkaç kez yanlış bir parola girişi yapması gibi.
  2. Eylem (Action): Tetikleyici koşul karşılandığında gerçekleştirilecek eylem veya tepki. Örneğin, bir güvenlik uyarısı gönderme veya bir olayı günlüğe kaydetme gibi.
  3. Filtreler (Filters): Kuralların uygulanacağı günlük kayıtlarını veya olayları sınırlamak için kullanılan ek koşullar. Örneğin, belirli bir IP adresinden gelen trafik gibi.
  4. Zaman Çerçevesi (Time Frame): Kuralların ne kadar süre boyunca geçerli olacağını belirten zaman sınırları. Örneğin, bir saat içinde birden fazla başarısız kimlik doğrulama girişimi gibi.


Korelasyon
Korelasyon, genellikle önceden tanımlanmış kurallar veya algoritmalar kullanılarak gerçekleştirilir. Bu kurallar, belirli olayları veya olaylar arasındaki ilişkileri tanımlamak için bilinen tehditlerin veya saldırı kalıplarının belirlenmesinde kullanılır. Bu sayede, SIEM sistemi olayları otomatik olarak analiz edebilir ve önceden tanımlanmış kurallara uygun olarak korele edebilir, böylece güvenlik ekibine hızlı bir şekilde tepki verme imkanı sağlar.

Örnek:
Bir kullanıcının bilinmeyen bir kaynaktan gelen e-posta eklerini açması ve kötü amaçlı bir yazılımı bilgisayarına indirmesi. Aynı kullanıcının, ağda dolaşarak birçok farklı cihaza erişim sağladığı tespit ediliyor. Kullanıcının eriştiği bir sunucuda, belirli bir veri tabanına yoğun veri aktarımı gerçekleştiriliyor. Kullanıcının normal çalışma saatleri dışında sisteme erişim sağlaması.

SIEM sistemi, bu olayları korelasyon yaparak analiz ettiğinde, bir içeriden tehdit durumunu belirleyebilir. Kullanıcının bilinmeyen bir kaynaktan gelen kötü amaçlı bir yazılımı indirip açması, ardından ağda dolaşarak birçok cihaza erişmesi ve hassas bir veri tabanına yoğun veri aktarımı yapması, bu kullanıcının sistem içinde yetkisiz veya kötü niyetli bir şekilde faaliyet gösterdiğini düşündürebilir. Ayrıca, normal çalışma saatleri dışında bu faaliyetleri gerçekleştirmesi, olayın daha da şüpheli olmasını sağlar.

Alarm Örnekleri
  • Başarısız Giriş Denemeleri Alarmı: Belirli bir süre içinde belirli bir kullanıcı veya IP adresinden yapılan başarısız giriş denemeleri. Bu, potansiyel bir saldırı girişimini gösterebilir.
  • Yüksek Hassaslıkta Veri Erişimi Alarmı: Belirli bir hassaslık seviyesine sahip verilere erişim. Bu, yetkisiz veri erişimi girişimlerini tespit etmek için kullanılabilir.
  • Anormal Ağ Trafik Alarmı: Belirli bir ağ cihazından gelen normal olmayan trafik paternleri. Bu, ağ saldırılarını veya ağ ihlallerini tespit etmek için kullanılabilir.
  • Şüpheli Uygulama Etkinliği Alarmı: Bilinmeyen veya şüpheli bir uygulamanın sisteme yüklenmesi veya çalıştırılması. Bu, zararlı yazılım bulaşmasını tespit etmek için kullanılabilir.
  • Güvenlik Duvarı Kural İhlali Alarmı: Güvenlik duvarı kurallarının ihlal edilmesi. Örneğin, belirli bir IP adresinden gelen yasaklanmış trafiğin algılanması.
  • Dosya veya Klasör Değişiklik Alarmı: Belirli bir dosya veya klasörde yapılan değişikliklerin algılanması. Bu, kötü niyetli kullanıcı etkinliklerini veya veri ihlallerini tespit etmek için kullanılabilir.
  • Uygunsuz Kullanıcı Etkinliği Alarmı: Örneğin, bir kullanıcının normal çalışma saatleri dışında sisteme erişim girişimleri.
  • Güvenlik Olaylarının Uygunsuz Düzeyde Artması Alarmı: Belirli bir süre içinde güvenlik olaylarının normalin üzerinde bir artış göstermesi. Bu, bir saldırı veya güvenlik ihlali girişimini gösterebilir.
Raporlama
  1. Günlük Olay Raporu
    • Amaç: Günlük olayları hakkında genel bir bakış sağlamak.
    • İçerik: Belirli bir zaman aralığında (örneğin, son 24 saat) toplam olay sayısı, en sık görülen olay türleri, en çok etkilenen sistemler veya kullanıcılar, en sık karşılaşılan tehditler.
    • Faydaları: Günlük güvenlik durumunu izlemek, anormal aktiviteleri belirlemek ve trendleri tanımlamak.
  2. Kötü Amaçlı Yazılım İzleme Raporu
    • Amaç: Kötü amaçlı yazılımların organizasyon içindeki yayılma durumunu belirlemek.
    • İçerik: Belirli bir zaman aralığında algılanan kötü amaçlı yazılım tehditlerinin sayısı, kaynağı, etkilenen sistemler ve kullanıcılar.
    • Faydaları: Kötü amaçlı yazılım saldırılarını izlemek, hızlı bir şekilde müdahale etmek ve organizasyonu korumak.
  3. Kullanıcı Etkinliği Raporu
    • Amaç: Organizasyon içindeki kullanıcı etkinliğini izlemek ve izinsiz veya anormal davranışları belirlemek.
    • İçerik: Belirli bir kullanıcının belirli bir zaman aralığındaki etkinlikleri, oturum açma ve çıkma, dosya erişimi, ağ trafiği, işlem yapma vb.
    • Faydaları: İzinsiz erişim girişimlerini tespit etmek, yetkisiz kullanıcı etkinliklerini izlemek ve güvenlik politikalarını uygulamak.
  4. Girişim ve Saldırı Raporu
    • Amaç: Potansiyel saldırı ve girişimleri tespit etmek ve organize etmek.
    • İçerik: Belirli bir zaman aralığında tespit edilen saldırı girişimlerinin türleri, kaynakları, hedefleri ve etkilenen sistemler.
    • Faydaları: Saldırı girişimlerini tespit etmek, güvenlik açıklarını belirlemek ve saldırılara hızlı bir şekilde yanıt vermek.