OzzTech - Loglama ve SIEM Nedir?

Loglama ve SIEM Nedir?

Loglama ve SIEM nedir açıklamaya başlamadan önce teker teker loglama ve SIEM nedir açıklayalım.

Loglama

Log takibi önemli networkler ve sistemlerden kullanılan cihaz ve uygulamalardan toplanan olay kayıtlarının parse edilerek anlaşılır bir şekilde tutulup analiz edilmesi işlemidir. Toplanan log kayıtlarının detaylı ve anlaşılır bir şekilde tutulması ve orijinal halinin bozulmaması önemli bir husustur. Log, hem sisteme yapılan saldırıların tespiti hem KVKK hem de sistemsel sorunların kolay bir şekilde bulunması için kullanılabilir. Siber saldırıya uğrayan sistemlerde saldırgana ait delil ve izlerin bulunmasında en büyük rolü log kayıtları üstlenir. Loglama sayesinde log kayıtlarının anlık olarak güvenli bir alana aktarılması sistem güvenliği için önemli rol izler.

Loglama işlemi nasıl daha verimli hale getirilir?

  • Tutulan logların analiz ve detaylandırılması için kullanılan yazılımın kaliteli olması.
  • Log aramalarında isteğe yapılan geri dönüş hızının yüksek olması.
  • SIEM ürünlerinde tutulan log’un tehdit durumunu iyi analiz edebilen bir SIEM ürünü olması.
  • SIEM ürününün alarm çeşitliliğinin fazla olması ( Mail ile uyarı, SMS ile uyarı, Telefon ile uyarı vb.)
  • SIEM ürününü yöneten personelin güvenlik konusunda yeterliliği.
  • Sistemsel eksikliklerin tespiti ve bu eksikliklere uygun korelasyonların hazırlanması.

SIEM (Security Information and Event Management)

SIEM, loglama işleminin daha gelişmiş hali olarak bilinir. Toplanan logların daha detaylı bir şekilde incelenmesi, anlamlandırılması ve raporlanması gibi fonksiyonlar sunar. SIEM ürünlerinin en büyük kullanım amacı ise güvenliktir. Birbirinden bağımsız cihaz ve uygulamalar üzerinden gelen logların birbiri ile ilişkilendirilip çözülmesi zor saldırıların tespitinde yardımcı olarak kullanılır. SIEM ürünleri de log cihazları gibi ağda bulunan ve log üretimi yapan bir çok cihazdan log toplayabilir. Toplanan loglarda inceleme yaparak saldırı olabilecek olayların tespiti ve alarm üretimine korelasyon denir. Ön tanımlı veya elle oluşturulabilen korelasyonlar, her türlü saldırı senaryosuna uygun olarak düzenlenebilir ve olayın gerçekleşmesi durumunda alar üretimi sağlanabilir. Farklı cihazlardan gelen logların ortak bir veri formatına getirilmesi işlemine Normalizasyon denir. Aggregation işlemi ise bir olaya ait birden fazla olay kaydı bulunuyorsa o olayı bir kayıta indirerek log analizi sırasında sistemsel yavaşlamaların önüne geçilmesini sağlamaktır.

SIEM Çalışma Analizi:

  • Gelen logların standart bir formatta ayrıştırılması (Parse Edilmesi) ve loglara göre daha öncesinde gelen saldırılara uygun sınıflandırmaların yapılması ile normalizasyon ve kategorileme işlemlerini yerine getirmek.
  • Birbiri ile alakasız gibi duran olayların ilişkilendirilmesi ve bağlantılı olmaları durumunda ilişkilendirme işleminin yapılması.
  • Oluşan uyarıların tespiti ve ilgili birime (Mail,SMS,Telefon ile) aktarımını sağlamak.
  • Gerçekleşen olayların anlaşılır bir düzeyde analiz edilmesi ve raporlanmasını sağlamak.

Neden SIEM Ürünü Kullanılır?

SIEM ürünleri güvenliğin önemli olduğu alanlarda ve KVKK kapsamına giren yerlerde log cihazları gibi kullanılabilir. Gerçekleşen olayları analiz edebilme, mesai saati dışında bile sistem takibi yapabilme, belirlenen politikalara göre hareket edebilme özellikleri sayesinde gözden kaçabilecek olayların tespitini sağlarlar. Çok fazla kaynağın bulunduğu sistemlerde kaynak yönetimi ve kaynak güvenliğini sağlamak için kullanılabilir.SIEM ürünleri KVKK sürecinde yaşanacak hukuki sorunlarda delil olarak kullanılabilecek imzalı logların oluşturulmasını sağlar. Oluşturulan imzalı loglar mahkemeler tarafından geçerli delil olarak kabul görmektedir. Siber saldırılarda saldırgana ait bilgilerin de bulunabileceği log kayıtlarının imzalı olması yine sistem yöneticileri için güvenilir bir delil niteliğine sahiptir..


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.