Arkanıza Yaslanın, Onlar İzler: SIEM Nedir?

Ülkelerin fiziksel savunmaya mı yoksa siber savunmaya mı daha çok ihtiyacı vardır? Her ikisinin de kendi kollarında büyük ehemmiyete sahip olduğunu düşünüyorum. Bununla birlikte siber güvenlik alanında da bizlere fazlasıyla görev ve sorumluluklar düşmektedir. Öncelikle standart bir internet kullanıcısıysanız, mutlaka bilinçli bir şekilde dijital dünyanın nimetlerinden faydalanmanız gerekmektedir. Aksi durumda, yalnızca kendinize değil yakın çevrenize, iş yerinize ve belki de (konumunuza göre) ülkenizi dahi zarara uğratabilirsiniz. Bu anlamda önce bilinçli, sonra profesyonel olmak gerekmektedir.

Profesyonelliği sağlamak için ise global çapta bilinen ve otoritesini sağlamlaştırmış ürünleri iyi tanımak, kullanmak ve bilmek gerekir. Ayrıca yerli teknolojinin gelişimi için elimizden ne geliyorsa fazlasıyla ortaya koymaktan çekinmemeliyiz. Toplumumuza katkı sağlamak amacıyla yaptığım bu girizgahtan sonra içeriğimize odaklanalım.

Hepimizin verileri kıymetlidir. Bu yadsınamaz bir gerçek. Peki, verilerimizin güvenli bir şekilde muhafaza edilmesi, tarafımıza gelen veya ulaşmaya çalışan iletişim kanallarının güvenilir olup olmaması için ne yapmalıyız? Bunun için operasyonel bir çözüm var mı? Elbette ki var. Özellikle SIM(Security Information Management) ve SEM(Security Event Management) terimlerinin birleşimi olan SIEM(Security Information and Event Management) ile bu mümkündür. Öyleyse ‘SIEM Nedir’ sorusu ile keşfetmeye başlayalım.

SIEM Nedir, Ne İşe Yarar?

Gerçek dünya ile siber dünya arasında örnekler vermeyi seviyorum, böylece iki tarafın arasındaki algoritmanın çok daha sağlam temellere oturduğu görüşündeyim. Öyleyse yine bir örnekle devam edeyim.

Bu yazıyı okuyan herkesin şu ana değin edindikleri iyisiyle ve kötüsüyle belirli tecrübe birikimi vardır. Size bu noktada bir soru sormak istiyorum. Çocukluğunuzdan itibaren yaşadığınız tüm kötü olayların listesini çıkartabilir misiniz? Ya da bu olayları nasıl yönetmeniz gerektiğini söyleyen veya bunu sizin için yapan birileri oldu mu? Eğer olduysa ne âlâ, olmadıysa da tecrübe hanenize artı bir puan eklemişsinizdir. Şimdi bu durumu bir de siber dünyada ele alalım. Ağınıza gelebilecek her türlü iletişimin detayını tutan, varlıklarını ve verilerinizi koruyan, muhtemel güvenlik zafiyetlerini tespit edip sizi bilgilendiren bir teknoloji var; SIEM. İsminden ve örneklerimden de anlaşılacağı üzere güvenlik olaylarını yönetmek için kullanılan teknolojidir.

SIEM’in ne işe yaradığını birlikte ele alıp değerlendirmeye ne dersiniz?

Merkezi Yönetim

Bir kurumun bütün envanterinden, ağ trafiğinden ve uygulamalarından gelen logları tek bir platformda toplanmasına olanak tanımaktadır. Bu durum SOC ekipleri için büyük bir kolaylık tanımasının yanı sıra iş süreçleri için de uyumluluk sağlamaktadır.

Anomali Tespiti

Araçla giderken birden ikaz ışığı yanıyorsa ne yaparsınız? En azından bir şeylerin yolunda gitmediğini hemen anlayabiliriz, değil mi? SIEM’de de benzer şekilde anormal durumların olması halinde bunun tespiti yapılır ve alarm oluşturulur.

siem ne işe yarar,

Olay Yanıtları

Anomali tespitini yapan SIEM çözümü, anlık olarak aksiyon alabilmektedir. Örneğin, şirketinizin kariyer sayfasına tekil bir IP’den 1 dakika içerisinde 20’den fazla giriş denemesi yapılıyor. Bu durum takdir edersiniz ki çok da normal bir davranış değil. Tam da bu noktada SIEM devreye girip bu potansiyel tehdidi tespit ederek ilgili IP adresinin bağlantısını doğrudan engelleyebilmektedir. Keza bu olayın alarmını oluşturup bilgilendirmesini yapabilmektedir.

Siber Güvenlikte SIEM’in Önemi

Sizce SIEM olmadan siber güvenliğin durumu ne olurdu? Biraz zihnimizde canlandıralım. Kafede otururken, anlık olarak dikkat dağınıklığınızı istismar eden kötü niyetli bir kişi, masadaki telefonunuzu (ç)aldı. Telefonunuzun olmadığını fark ettiğinizde, yapacağınız ilk şey ne olurdu? Polisi aramak veya kafenin kamera kayıtlarını incelemek değil mi? Peki, kafenin kamera kullanmadığını öğrendiğinizde, tepkiniz ne olurdu? Büyük bir hüsran… Çünkü artık maddi ve hatta telefonunuzun içindeki verilere bağlı olarak manevi zarara uğramış olurdunuz. Siber Dünya’da da SIEM’in rolü benzer şekildedir. Şimdi gelin bunları maddeler halinde ele alalım.

Erken Tespit ve Müdahale

Erken teşhis hayat kurtarır! Sizce de öyle değil mi? Kötü niyetli bir kişi şu an da akıllı telefonunuza veya bilgisayarınıza erişmişse ve siz bunun farkında değilseniz olabilecekleri düşünebiliyor musunuz? Bundan dolayı SIEM ürünleri, anomali durumlarını ve absürt etkinlikleri erkenden tespit ederek müdahalede bulunabilmektedir. Keza ilgili ekiplere bunun alarmını/sms’ini gönderebilmektedir. Dolayısıyla yerinde müdahale için gerekli aksiyonları almanıza olanak tanımaktadır.

Maksimum Verimlilik

Bir elma fabrikasında çalıştığınızı düşünün. Her bir elmayı boyutlarına göre kategorize etmeniz gerekmekte. Saniyede 10 elmayı bu şekilde ayırt etmeniz gerektiğini düşünelim. Bunu yapabilir misiniz? Verdiğim bu örnek, gerçek hayattan ancak bir SIEM ürünün saniyede binlerce hatta trafiğin boyutuna göre milyonlarca veriyi analiz edip ayrıştırmasını gerçekleştirmektedir. Dolayısıyla arka plandaki iş yükünü büyük ölçüde azaltıp SOC ekiplerine daha geniş bir operasyon alanı tanımaktadır.

Görünürlük

Bir kurumun tüm endpoint cihazlarından uygulamalarına değin bütün topolojiyi gözler önüne serebilen ve bunlar arasındaki bağıntıyı anlayıp aksiyon alabilmektedir. Hal böyleyken de tam bir görünürlüğün olduğu yerde, beklenmedik olayları görmek çok daha kolay olacaktır. Ormanın içerisinde yangın başladığında, hemen fark edilebiliyor değil mi?

siem nedir ne işe yarar,

Raporlama

SIEM, halihazırda regülasyonlar için de kullanılması gerektiği konusunda hemfikir olduğumuzu düşünüyorum. Bununla birlikte sizden bir isteğim olacak. Bir kurumda çalışıyorsunuz ve bu kurumun haftalık tehdit sayılarını içeren bir rapor hazırlamanız gerekiyor. Ya da daha spesifik bir örnek ile yetkisiz erişimleri listelemeniz gerekmekte. Nerede, nasıl aksiyon alırsınız? Yanıt, artık oldukça aşikar.

En Çok Tercih Edilen SIEM Ürünleri

Kendi içerisinde birçok alt kırılımı olan ve ürün bazında özelleştirilebilen, farklı ihtiyaçlara yanıt verebilen SIEM ürünleri nelerdir? En çok hangileri tercih ediliyor ve piyasaya kimler yön veriyor? Bu soruların yanıtını detaylı olarak öğrenmek için internet üzerinden kaynak araştırmasında bulunabilirsiniz.

  • IBM QRadar,
  • Splunk,
  • Microsoft Azure Sentinel,
  • ArcSight,
  • SolarWinds,
  • McAfee,
  • Elastic SIEM,
  • Comodo SIEM
  • Crypto SIM
  • Harp Arge Cyber Defence Platform(HACDP)

Peki, siz hangi SIEM ürününü kullanıyorsunuz? Deneyimlerinizi ve görüşlerinizi aşağıda yorumlar kısmından paylaşabilirsiniz. Ayrıca yukarıdaki listelediğim ürünlerden kaç tanesi yerli SIEM ürünü? Doğru yanıtı veren ilk 3 kişiye bir sürprizim olacak :). Başka bir içeriğimde görüşmek dileğiyle. Sağlıkla ve güvenle kalın.

İşinize Yarayabilir

bluekeep nedir,

Uzaktan Tehlike: BlueKeep Nedir?

Sizin zayıf yönlerinizi bilen birileri var mı? Yanıtınız, muhtemelen ‘evet’ olacaktır. Kuvvetli bir ihtimal olarak …

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir