SIEM NEDİR? NE AMAÇLA KULLANILIR? - SİBER GÜVENLİK EĞİTİMİ

NELER VAR

11 Aralık 2019 Çarşamba

SIEM NEDİR? NE AMAÇLA KULLANILIR?

, ,

Merhaba bugünkü yazımda sizlere SIEM'den bahsedeceğim. Siem(Security Informatin and Event Management), Türkçesi'de "tehdit ve olay yönetimi" anlamına gelmektedir. İşletim sistemlerimiz, üzerinde yaptığımız işlemleri arkaplanda kayıt etmektedir yani loglamaktadır. Örneğin Windows işletim sisteminde bu "event log(kayıt günlüğü)" diye geçmektedir. Windows işletim sisteminde loglar, olay görüntüleyici alanında tutulur. Bu klasöre ulaşmak için arama tab'ına "olay görüntüleyici" yazabilirsiniz. Loglar neden önemli? Çünkü sistemde ya da uygulamada gerçekleşen bir hareket kritik öneme sahip olabilir ve bu tür bilgiler kayıtlar incelenerek sistem yöneticisi, gerekli bilgileri edinmenin yanı sıra herhangi bir saldırı fark ettiğinde önlem alabilir. Kali Linux işletim sisteminde ise log kayıtları "/etc/var/log" adresinde bulunmaktadır. Terminal ekranından ya da "Yerler" kısmından bu alanı görüntüleyebilirsiniz.
Kendi bilgisayarımızdaki logları nispeten kontrol edebilmek mümkündür. Fakat loglar fazlalaştıkça, kontrol edilmesi ve bir takım aksiyonlar belirlenmesi gerekiyor. Bir güvenlik mühendisinin makalesinde şu satırlar geçiyor;
"O zaman 200 tane ağ cihazı ve sunucunun loglarını syslog sunucu üzerine basıyordum, her sabah işe gelince kırmızıları (error) okuyordum. Sonra bu kırmızılar artmaya başladı, hata nerde başlamış nerede durmuş bulamıyorum, her birinin saati farklı ayarlanmış, biri Türkiye saati diğeri Pakistan hadi çık işin işinden.  Sonra işler daha da karmaşıklaşmaya başladı. İşin içine diğer ürünler de girdi. Kimlik doğrulama sistemi, IPS, Güvenlik duvarı, anti-virus, mail gateway... Bir olay oluyor içerde ama takip etmek mümkün değil. Hatalı kullanıcı denemeleri, güvenlik ürünlerindeki alarmlar, virus aktiviteleri, spamler, sunucu problemleri bunlar bir güvenlik olayından mı kaynaklanıyor yoksa başka bir sıkıntı mı var anlamak mümkün değil, çünkü çok fazla log geliyor ve bu logları gözle takip etmek için 10 12 tane daha göz lazım. O nedenle bana binlerce log içerisinden sadece güvenlik olaylarını süzecek ve bana anlamlı veriler, raporlar, alarmlar, dashboard'lar üretecek bir ürün gerekiyor diye düşünmeye başladım."
İşte o güvenlik mühendisinin düşündüğü şeyin ismi SIEM'dir. SIEM, bu tür log işleri fazlalaştıkça, karmaşık hale geldikçe ortaya çıkmaya başlamıştır.
SIEM 

Güvenlik ile ilgili olayları tek bir noktadan yönetmek, analiz etmek ve gerektiğinde olay müdahale süreçlerini takip eden bir araçtır. Daha ince detaylı yapılandırma ve raporlama yapmaktadır. SIEM'in en önemli özelliklerinden birisi belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünü aşağıdaki bileşenlerden oluşmaktadır;
  • Log toplama ve saklama 
  • Normalleştirme 
  • Korelasyon 
  • Alarm ve raporlama 
  • Olay Tepkisi (Incident Response) 
Yani SIEM, kaynaklardan gelen (firewall, ips, ids, sandbox, edr, endpoint) logları toplayacak, saklayacak, aynı loglardan çok fazla geliyorsa bunları tek bir olay(event) gibi gösterecek, kategorilere ayıracak, birçok olay arasında ilişki kurabilecek ve bu ilişkilere göre alarmlar üretebilecektir. Tabi bunları yaparken olayları sınıflandırması ve öncelik vermeside SIEM'in görevlerinden biridir. SIEM, 3 temel noktadan oluşuyor aslında.
  1. Teknoloji 
  2. İnsan
  3. Süreç 
Teknoloji noktasında firewall, ips, ids, edr, endpoint, dlp gibi kaynakları kapsar. İnsan noktasında bu logları kontrol edebilmek için SOC(Security Operation Center) kurulmuştur. S0C, kurumlara gelen tehditleri analiz etme, önleme gibi görevleri bulunmaktadır. SOC'de çalışanlar 4 gruba ayrılıyor.
L1- Security Analyst: Kuruma gelen saldırılarda alarmları takip eder, tehditin gerçekliği doğrulanır ve tüm bulgular kanıtlarla birlikte L2'ye aktarılır.
L2- Incident Responder: L1'den gelen rapor doğrultusunda, olayların derinlemesine incelenmesi, araştırılması ve analizinden sorumludur. Etkilenen sistemler, saldırının kapsamı ve iyileştirme süreci L2 tarafından yapılır.
L3- Expert Security Analyst: Tehditlerin sisteme yönelik etkilerinin kaldırılmasında insiyatif alırlar. Zararlı yazılımın izleri sürülerek saldırının vektörleri tespit edilir.
SOC Manager: SOC ekibinin faaliyetlerini denetler. Olay raporlarını gözden geçirir.
Süreç kısmında ise burada kritik nokta gelen vakaların örneğin adware, malware gibi vakaları öncelik sırasına koymak ve sınıflandırmaktır.
Log yönetimi her şeydir. Bir sistemde log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun nerede, ne zaman, ne şekilde yapıldığını bilemezsiniz.
Bazı SIEM Kuralları
Örnek kurallara bir bakalım.
  • Kurum dışı gönderilen maillerin içeriğinde TC Kimlik Numarası ve(veya) kredi kartı numarası varsa alarm oluştur. 
  • Dışarıdan şirket ağına VPN aracılığıyla yabancı bir ip adresi ile bağlanılırsa alarm oluştur.
  • Mail sunucusundan çok fazla mail geliyor ise alarm oluştur.
  • Şirket web sitesine aynı ip adresinden 20 saniye içerisinde 30'dan fazla GET isteği gelirse alarm oluştur. 
  • Mesai saatleri dışında sunucularda, hesap ve uygulamalarda oturum açılır ise alarm oluştur. 
Bu ve bunun gibi birçok alarm oluşturabilirsiniz. Hazır sistemler kullanıyorsak kendimize göre bu kuralları özelleştirebiliriz.
SIEM'in Önemi  
SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkanını sunarlar. Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri SIEM sunmaktadır.

Bu yazımda SIEM'in ne olduğu, hangi amaçla kullanıldığı, SIEM'i kimlerin kullandığını ve bazı SIEM kurallarını anlatmaya, aktarmaya çalıştım. Bir sonraki yazımda görüşmek üzere.

Referanslar:
https://www.beyaz.net/tr/guvenlik/makaleler/loglama_ve_siem_nedir.html
https://mertcangokgoz.com/siem-nedir-ne-amac-icin-kullanilir-ornek-kurallar-nelerdir/
https://www.linkedin.com/pulse/1-siem-nedir-2-neden-al%C4%B1n%C4%B1r-episode-1-evren-pazoglu/
https://furkankayar.net/siber-guvenlik-merkezinin-bir-parcasi-olmak/

Read more
Author Image

About Sergen YANMIŞ
SoraTemplates is a blogger resources site is a provider of high quality blogger template with premium looking layout and robust design. The main mission of SoraTemplates is to provide the best quality blogger templates.

By zaman:
Etiketler: , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)