Güvenlik merkezinizin neden bir SIEM kompleksinden daha fazlasına ihtiyacı var?
Siber suçlar her geçen gün daha karmaşık hale geliyor. Bu tür olaylardan kaynaklanan kayıplar, fidye miktarları ve yasanın öngördüğü para cezaları da artıyor. Şüphesiz, artık tehditleri hızlı bir şekilde tanımak için SIEM kompleksine dayalı ayrı bir sistem kurma ihtiyacı şiddetli bir şekilde artıyor. Bir sızma testi yaptırdıktan sonra SIEM bugünün tehditleriyle mücadele etmek için yeterli mi?
SOC ve SIEM
BT uzmanları dijital risk korumasını sağlayan SOC ve SIEM kavramlarına aşina olabilirken, yöneticilerin büyük olasılıkla güncel duruma aşina hale gelmesi için bilgilendirme yapılması gerekecektir.
SOC, (Security Operations Center) Güvenlik Operasyon Merkezi anlamına gelen kısaltmadır. Siber güvenliği yalnızca pasif yöntemlerle (güvenlik duvarları veya IDS sistemleri gibi) sürdürmek, bir kalenin etrafına bir duvar inşa etmeye ve düşmanın bir boşluk bulamayacağını veya yukarıdan atlayamayacağını beklemeye benzer. SOC teriminin birçok yorumu vardır, ancak çoğu durumda SOC, bir şirketin veya kuruluşun güvenlik kontrol merkezi olarak hareket eder. Bir SOC’un oluşturulması, profesyonellerden oluşan bir ekibin işe alınmasını, sunucu ve / veya tüm ağ için izleme süreçlerinin oluşturulmasını ve olaylar durumunda bir dizi müdahale önlemini içerir. Bazen bu merkezin işlevleri sadece bir kişiye bağlıdır, ancak bu tür durumlar daha çok istisnadır.
Her SOC, güvenlik olaylarını algılamak ve yönetmek için gereken bilgileri elde etmeye yönelik bir yardımcı program koleksiyonu olan SIEM (Güvenlik Bilgileri ve Olay Yönetimi) gibi araçları gerektirir.
Daha doğrusu, SIEM sistemi çeşitli kaynaklardan veri toplar ve düzenler. Bilgi mesaj günlüklerinden (syslog), işletim sistemi günlüklerinden, son cihazlardan, güvenlik duvarlarından / IDS’den veya ağdan alınabilir. SIEM, gelen tüm verileri analiz eder ve ilgisiz bilgileri kaldırır. Başka bir deyişle, böyle bir işleme normalleştirme denir. İlk işlemenin ardından SIEM, olaylar arasındaki bağlantıları vurgulamak için akıllı korelasyon kuralları kullanır ve bunlar daha sonra BT destek ekibi tarafından analiz edilir. Ayrıca uzmanlar, anormalliklerin nedenlerini bulmak için NetFlow analizi ve diğer teknikler gibi çeşitli teknikler uygular ve BT altyapısını korumak için gerekli önlemler alır.
Her SOC için SIEM tarzı uygulamaları kullanmanın yanı sıra, bu yardımcı programlar, Siber Olay Müdahale Ekipleri (CIRT’ler) tarafından ve güvenlikle ilgili diğer BT hizmetlerinin bir parçası olarak da kullanılır.