SIEM Log Yönetimi Politikası ve Yazılımları

Log kayıtlarının düzenli ve detaylı bir şekilde toplanarak saklanması, analizi vb. kanuni bir zorunluluk olmasının yanı sıra, sistem yöneticilerine ayrıca herhangi bir saldırı ya da sorun ile karşılaşıldığı zaman bilgi edinme, delil toplama aşamalarında oldukça fayda sağlamaktadır. Bilişim sistemlerine yönelik olarak işlenen suçlarda saldırının adli olarak incelenebilmesi için log kayıtları kontrol edilir, bunun neticesinde saldırı ne zaman, kim tarafından, nasıl gerçekleştirildiği hatta saldırı neticesinde saldırganın nerelere kadar erişebildiği yönünde bilgiler edinilebilir. Log kayıtlarının düzenli olarak takibinin yapılması, aynı zamanda risk taşıyan eylemlerde kurallar oluşturarak belirli alarlamların alınması olay öncesinde oldukça önem taşımaktadır.

Günümüzde işletmeler kendi ihtiyaçlarına göre log yönetimi politikaları belirleyerek log kayıtlarının en doğru şekilde nasıl toplanacağı, analiz edileceğini belirlemelidirler. Log kayıtlarının yönetimi hem FISMA, HIBAA, SOX, COBIT, ISO 27001gibi uluslarası standartlar hemde ülkemizde 5651 sayılı kanun gereği tutulması zorunlu kılınmıştır. Gelişen teknolojiye bağlı olarak artan siber tehditler, güvenlik ihlalleri log kavramını daha da önplana çıkarmakta, olayların çözümü,analizi için gerekli kılmaktadır.

SIEM (Security Information and Event Management) Kavramı

Açılımı Security Information and Event Management olarak adlandırılan SIEM’in türkçe karşılığı Bilgi güvenliği Tehdit ve Olay Yönetimi ya da Güvenlik Bilgi ve Kayıt Yönetimi şeklinde karşımıza çıkmaktadır.

SIEM’in Neden Bu Kadar Önemli ?

SIEM ürünleri tüm sistemler tarafından üretilen log kayıtlarını merkezi olarak toplayan, saklayan, analiz eden ve gerçek zamana yakın bir şekilde sunan sistemlerdir. Farklı formatlardaki log kayıtlarının ortak bir veriye dönüştürülmesi işlemine normalleştirme, olaylar arasında bağlantı kurulmasına korelasyon, birden fazla kaydı tutulan olayın teke indirilmesini sağlayarak verinin boyutunu düşürme işlemine ise birleştirme denilmektedir.

Günümüzde siber alanda artan tehditler, her geçen gün yeni varyantlarla karşımıza çıkmakta ve önlenmesi oldukça zor bir hal almaktadır. Bu aşamada SIEM ürünleri oldukça detaylı yapılandırma ayarları ve raporlama seçenekleri sayesinde toplanan veriler üzerinden hızlı analiz, raporlama, alarmlar üretme ve farkı güvenlik olaylarını ilişkilendirme yeteğine sahiptir. Bu sayede karşılaşılan bir saldırı ya da herhangi bir olayda izlenecek adımlar, yapılması gerekenler noktasında sistem yöneticilerine yol gösterici niteliktedir.

SIEM, işletme ihtiyacına göre belirlenen politika ve kurallar sayesinde olaylarar asında bağlantılar kurarak (korelasyon) saldırıların tespit edilmesini / önlenmesini sağlamaktadır.

Site Footer