Siber güvenlik tehditleri arttıkça ve devam eden düzensizlikler için dijital ortamları agresif bir şekilde izleyebilen güvenlik bilgileri ve olay yönetimi (SIEM) araçlarına yönelmektedir. SIEM teknolojisi sadece log tutma değil. Tutulan logları belirli kurallar çerçevesinde inceleyip rapor sunmaktır. SIEM araçları, aslında potansiyel tehditlerin gerçek zamanlı bir resmini çekmek için kuruluşunuzdaki veri akışlarına dayanır.
SIEM tanım sistemi Korelasyon (İlişki, bağıntı), Kural, Hiyerarşik Yapı, Grup, Kategori, Ayarlar, Skorlama (Risk Hesaplama), Kod Tablosu, Aksiyonlar gibi parçalardan oluşmaktadır.
Siem sistemi nerelerde kullanılır?
- Sistem ve ağlardaki mevcut tehdit ve zaafiyetlerin tespiti,
- Gerçekleşen olayların takibi,
- Çalışanların ve sistem yöneticilerin kayıtlarının tutulması ve belli korelasyonlarda uyarıların verilmesi
- Oturum (şifre/kullanıcı)takibi,
- Yönetmelik (KVKK, 5651 yönetmelikleri) ve Standartlara (ISO27001, SoX, PCI, Nerc) göre raporlama,
- Zafiyet tarama,
Korelasyon Nedir?
Korelasyon SIEM’in işlevsel yeteneklerinin ayrılmaz bir parçasıdır. Dijital ortamınızdaki bilgiler bir SIEM platformuna beslenirken, bu platform olası sorunları tanımlamak için korelasyon kullanır. Bunu, etkinlik dizilerini, SIEM satıcısı tarafından ayarlanmış veya sizin ve ekibiniz tarafından oluşturulan özel ayarlarla önceden belirlenmiş kurallarla karşılaştırarak yapar.
Örneğin “aynı anda” operatörü ile bir çok korelasyon düşünülebilir:
- “Aynı IP adresinden birden fazla oturum açma girişimine” bakabilir, böylece yalnızca unutkan bir çalışan mı yoksa sisteminizi ihlal etmeye devam eden bir girişim mi olduğunu belirleyebilirler.
- “Aynı kullanıcı aynı anda farklı sunuculardan birine oturum açarken başka birine da oturum açmayı deneyip başarısız oluyorsa uyar” kuralı ile sisteme bir sızma girişimi olup olmadığına bakılır.
- “Aynı kullanıcı gün içinde farklı bilgisayarlarda oturum açıyorsa uyar” kişisel verilerin güvenliği ile ilgili şüphe uyandırır.
Korelasyon kuralını kendim yazabilir miyim?
Evet, çoğu SIEM’de kuralların oluşturulması maksimum düzeyde görselleştirilmiştir. Çoğu durumda normal ifadelerin söz dizimi standarttır. Örneğin bir kişi perl’e aşina ise söz dizimsel olarak yetkin düzenli bir ifade yazabilir. Buradaki ana zorluk, işin mantığını bir bütün olarak hayal etmeniz gerektiğinden, kuralların eklenmesi, bir olaya neden olan diğer kuralların mantığında bir değişiklik yapılmasını gerektirebilir.
Secromix SIEM ile kurallar kalıpları tespit etmek için önceden tanımlanmıştır. Sürekli geliştirilir ve özelleştirilir. Kodlama çerçevesi, korelasyon motorunun SIEM kuralı olarak herhangi bir mantık geliştirme yeteneklerini içerir.
SIEM çözümleri hakkında daha fazla bilgi edinmek ister misiniz? SIEM güvenliğini ve izlemeyi nasıl iyileştirebileceğinizi görmek için ürün paketimizi inceleyin.
