ozztech_logo_white

Loglama ve SIEM Nedir?

Loglama ve SIEM nedir açıklamaya başlamadan önce teker teker loglama ve SIEM nedir açıklayalım.

Loglama

Log takibi önemli networkler ve sistemlerden kullanılan cihaz ve uygulamalardan toplanan olay kayıtlarının parse edilerek anlaşılır bir şekilde tutulup analiz edilmesi işlemidir. Toplanan log kayıtlarının detaylı ve anlaşılır bir şekilde tutulması ve orijinal halinin bozulmaması önemli bir husustur. Log, hem sisteme yapılan saldırıların tespiti hem KVKK hem de sistemsel sorunların kolay bir şekilde bulunması için kullanılabilir. Siber saldırıya uğrayan sistemlerde saldırgana ait delil ve izlerin bulunmasında en büyük rolü log kayıtları üstlenir. Loglama sayesinde log kayıtlarının anlık olarak güvenli bir alana aktarılması sistem güvenliği için önemli rol izler.

Loglama işlemi nasıl daha verimli hale getirilir?

  • Tutulan logların analiz ve detaylandırılması için kullanılan yazılımın kaliteli olması.
  • Log aramalarında isteğe yapılan geri dönüş hızının yüksek olması.
  • SIEM ürünlerinde tutulan log’un tehdit durumunu iyi analiz edebilen bir SIEM ürünü olması.
  • SIEM ürününün alarm çeşitliliğinin fazla olması ( Mail ile uyarı, SMS ile uyarı, Telefon ile uyarı vb.)
  • SIEM ürününü yöneten personelin güvenlik konusunda yeterliliği.
  • Sistemsel eksikliklerin tespiti ve bu eksikliklere uygun korelasyonların hazırlanması.

SIEM (Security Information and Event Management)

SIEM, loglama işleminin daha gelişmiş hali olarak bilinir. Toplanan logların daha detaylı bir şekilde incelenmesi, anlamlandırılması ve raporlanması gibi fonksiyonlar sunar. SIEM ürünlerinin en büyük kullanım amacı ise güvenliktir. Birbirinden bağımsız cihaz ve uygulamalar üzerinden gelen logların birbiri ile ilişkilendirilip çözülmesi zor saldırıların tespitinde yardımcı olarak kullanılır. SIEM ürünleri de log cihazları gibi ağda bulunan ve log üretimi yapan bir çok cihazdan log toplayabilir. Toplanan loglarda inceleme yaparak saldırı olabilecek olayların tespiti ve alarm üretimine korelasyon denir. Ön tanımlı veya elle oluşturulabilen korelasyonlar, her türlü saldırı senaryosuna uygun olarak düzenlenebilir ve olayın gerçekleşmesi durumunda alar üretimi sağlanabilir. Farklı cihazlardan gelen logların ortak bir veri formatına getirilmesi işlemine Normalizasyon denir. Aggregation işlemi ise bir olaya ait birden fazla olay kaydı bulunuyorsa o olayı bir kayıta indirerek log analizi sırasında sistemsel yavaşlamaların önüne geçilmesini sağlamaktır.

SIEM Çalışma Analizi:

  • Gelen logların standart bir formatta ayrıştırılması (Parse Edilmesi) ve loglara göre daha öncesinde gelen saldırılara uygun sınıflandırmaların yapılması ile normalizasyon ve kategorileme işlemlerini yerine getirmek.
  • Birbiri ile alakasız gibi duran olayların ilişkilendirilmesi ve bağlantılı olmaları durumunda ilişkilendirme işleminin yapılması.
  • Oluşan uyarıların tespiti ve ilgili birime (Mail,SMS,Telefon ile) aktarımını sağlamak.
  • Gerçekleşen olayların anlaşılır bir düzeyde analiz edilmesi ve raporlanmasını sağlamak.

Neden SIEM Ürünü Kullanılır?

SIEM ürünleri güvenliğin önemli olduğu alanlarda ve KVKK kapsamına giren yerlerde log cihazları gibi kullanılabilir. Gerçekleşen olayları analiz edebilme, mesai saati dışında bile sistem takibi yapabilme, belirlenen politikalara göre hareket edebilme özellikleri sayesinde gözden kaçabilecek olayların tespitini sağlarlar. Çok fazla kaynağın bulunduğu sistemlerde kaynak yönetimi ve kaynak güvenliğini sağlamak için kullanılabilir.SIEM ürünleri KVKK sürecinde yaşanacak hukuki sorunlarda delil olarak kullanılabilecek imzalı logların oluşturulmasını sağlar. Oluşturulan imzalı loglar mahkemeler tarafından geçerli delil olarak kabul görmektedir. Siber saldırılarda saldırgana ait bilgilerin de bulunabileceği log kayıtlarının imzalı olması yine sistem yöneticileri için güvenilir bir delil niteliğine sahiptir..

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »