5651 Loglama ,SIEM ve Log Korelasyon Çözümleri

     
5651 Loglama ,SIEM ve Log Korelasyon Çözümleri

SIEM Ve Log Korelasyon Çözümleri

Loglama ve korelasyon Nedir?

Bilgisayarımızın açılışından kapanışına kadar olan aralıkta olay ve aktivitelerin işletim sistemi üerinden kayıtlanmasına Loglama adı verilir. Diğer bir deyişleilgisayarımızın açılışından kapanışına kadar olan aralıkta olay ve aktivitelerin işletim sistemi üzerinden kayıtlanmasıyla oluşur. Diğer bir deyişle Log izleme de diyebiliriz. Log yönetimi sisteminizde bulunan  tüm kritik ağlar ve cihazları kapsar.

Bu kayıtlar nelerdir?

Bilgisayarda oluşan hataları, izinsiz hareketleri, donanımların tabil çalışmasını, kullanıcıların oturumlardaki hareketlerini ve sistemdek daha bir çok olay ve hareketi kayıt altına almasıyla bizi bilgilendirir. 

Kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının yani loglarının belirlenmiş kurallara göre analiz edilmesi Log izleme denir.  Logların toplanması,  metin olarak analizibirleştirilmesi, orijinal haliyle saklanması ve sunumu gibi aşamalardan oluşan log yönetimi ise saldırıların göstergelerini ve delillerini elde etmemizi sağlar. Bir de  saldırıların adli olarak incelenmesine de yardımcı olurken saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokolleri kullanıldığı ve atağın nerden başlatıldığı gibi önemli bilgileri elde etmemize yardımcı olur. Logların günlük olarak izlenmelidir ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulmalıdır.

Log Analizi

Bilgisayar ağlarında kullanılan ağ cihazları gerçekleşen eylemler hakkında kayıt yapma özelliğine sahiptirler. Loglama yani Log katıtlarının en büyük yararı  ağ üzerinde kayda geçen bu eylemlerin takip edilmesi ve tehlikeli ,zararlı olabilecek durumlarda ise gerekli önlemlerin alınması sağlanmaktır. Bu anlattığımıza ise Log Analizi denilmektedir.Logların kapsamlı bir şekilde toplanması, birleştirilmesi, bozulmadan ve veri kaybı olmaksızın saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının veya tehditin göstergelerini ve delillerini elde etmemizi sağlamaktadır.

Bunları sağlarken, bunun yanında saldırıların adli olarak incelenmesine, oluşabilecek adli bir olay için kayıt ve kanıt olarak verileri saklaması da yardımcı olarak saldırının hangi kanallardan, ne zaman ve nasıl gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden başlatıldığına dair önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenirler. İzleme devam ederken Sistem yöneticisi yada Güvenlik sistemleri sorumlusunun yüksek riskli olaylar için gerçek zamanlı alarmlar kurması gerekmektedir.

Loglama dendiğinde Türkiye'de ilk akla gelen 5651 loglama yasasıdır. Bu yasa ile beraber loglama kurumlar için zorunlu bir hal almıştır. 5651 sayılı yasanın iki temel amacı bulunmaktadır. Bunların ilki içerik sağlayıcı, yer saylayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları belirlenirken,

ikinci esasta internet ortamında işlenen siber yada diğer internet ortamındaki suçlara içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

5651 sayılı kanun maddesi ve TİB (Telekomünikasyon İletişim Başkanlığı) yönetmelikleri gereği her kurum erişim kayıtlarını 2 yıl boyunca tutmakla yükümlüdür.

Loglama sayesinde şirket içi hareketler kayıt altına alınırken diğer bir yandan ise analiz edilerek aktif olarak faydalarından yararlanmak için ise Log analizinden SIEM teknolojisine gelmiş oluyoruz. 

Log yönetiminin daha faydalı olmasını istiyorsak:

- Büyük hacimli log kayıtları gerektiğinde kolay ve çabuk erişim sağlanacak şekilde saklanmalıdır. 
- Olayları erken tespit etmeliyiz ki, yapılan saldırının etkilerini en aza indirebilmesi için hızlı bir şekilde karşılık verilmeli ve aksiyon alınmalıdır.
- Log yönetim sisteminin olaylarını tespil edebilme yeteneğinin gelişmiş olmalıdır, çünkü doğru aksiyonları araştırma ve en doğru yanıtı kararlaştırma için kontrol mekanizmaları sunulabilsin.
- Loglama da Log yönetiminin; İhlalleri, sızmaları ve yetkisi olmayan erişimleri tespit;- ve analiz edilebilmesi adına veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok yapılması gereken şartların otomatik bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarını belirlenmemiz dahafaydalı olacaktır.

SIEM (Security Information and Event Management) 

SIEM ise loglama analizine oranla daha gelişmiş ve kapsamlı, daha ince detaylı yapılandırma ve raporlama seçenekleriyle karşımıza çıkmaktadır. SIEM’in en önemli özelliklerinden biri belirlenmiş politika ve kurallar yardımıyla bağımsız gibi görünen olaylar arasında anlamlı ilişkiler kurarak gerçekleşmesi muhtemel olan saldırıları tespit etmeye yardımcı olan bir korelasyon tekniğidir. SIEM sistemi; ürünleri çevre birimleri olan daonanımlardan en uçtaki kullanıcılara kadar sistemlerin ürettiği logları merkezde biraraya getiren, saklayan ve analiz etmemizi sağlar. SIEM’in çok farklı sistemlerden loglanan çeşitli formatlardaki olay kayıtlarını benzer bir veri modeline dönüştürmesine Loglama 'da normalleştirme denir.  Korelasyon aşaması önceden belirlenen kuralların yardımıyla birbirinden farklı uygulama veya sistemlerden gelen olayları ilişkilendirerek, güvenlik tehditlerini tespit eder ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation); olayların birden fazla sayıda kaydı tutulmuş ise, bunları bir araya getirip tek bir kayıta dönüşmesini sağlayarak analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırılmasına yardımcı olur.

SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.  Bir SIEM sistemi, analiz için günlük veri analizlerini ve güvenlikle ilgili birçok belgeyi tek bir platformda toplar. Bir işletmeyi karmaşık siber tehditlerden korumak çok zor bir süreçtir. İlişkili olmayan olaylar gibi görünen güvenlik tehditleri hakkında görünürlük ve eyleme dönüştürülebilirlik, güvenli bir danışmanlık hizmeti olmadan yapılmaya çalışılırsa, kuruluş için hem itibar hem de mali açıdan risk oluşturur.

SIEM sistemlerinde,Farklı formatlardaki log kayıtlarının ortak bir veriye dönüştürülmesi işlemine normalleştirme,

olaylar arasında bağlantı kurulmasına korelasyon,

birden fazla kaydı tutulan Log kaydının teke indirilmesini sağlayarak verinin boyutunu düşürme işlemine ise birleştirme denilmektedir.

 

SIEM’in çalışma mekanizması:

- Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygular,
- Bağımsız gibi görünen olayları birbiriyle ilişkilendirir ya da olayları veriyle bağlar,
- Yönetici olarak gösterilen kullanıcılara  mail, SMS veya SNMP mesajları yolu ile bildirim veya alarm sağlar,
- Toplamış olduğu veri ve korelasyon sonuçlarını,  gerçek zamana yakın bir şekilde güvenlik uzmanlarına gösteren bir paneli vardır,
- SIEM ürünü tarafından toplanan verinin analiz etaplarını kapsayan rapor üretebilir bir yapısı vardır.

SIEM’in Önemi

Önceki açıklamalardan da bahsettiğimiz üzere; SIEM ürünleri gerçek zamanlı raporlama yeteneği ve güvenlik olaylarını analiz edebilme yetenekleriyle ağlara karşı gerçekleştirilebilecek en son tehditleri tespit edebilme imkânını sunarlar. SIEM de aynı zamanda  uzaktan erişim noktaları bulunur. Bu noktalardan ağlara bağlanan cihazların sayısındaki artış ağlara sızma kanallarınında da armasına neden olur. Bilişimciler ağda sistemin karşı karşıya kaldığı tehditleri algılayabilmek için birden çok kaynaktan toplanan verileri analiz etmek, analiz sonucunda bunlara karşı atılacak adımları kararlaştırlıdırlar. Saldırıların tespiti, dijital delillerin koruma altında olmasına olanak verecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması yapabilmesi aynı zamanda güvenlik tehditlerinin gerçek zamanlı olarak izlemeye olanak sağlayan SIEM ürünleri, ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik bilişim Teknolojileri bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor sunabilecek yetenek ve özelliğe sahiptiler.

 

SIEM ve Loglama İlişkisi

Loglar sistemdeki her türlü aktivitiye kayıt altına aldığından, metin olarak analizi ve sunumunu kolaylaştırırak log yönetimini elverişli hale getirir. Bu sayade de log yönetimiyle saldırı ve kanıtları kayıt altına almış oluruz. bu kayıtlar sayesinde saldırıların adli olarak incelensine yardımcı olmaktala kalmaz, saldırının hangi kanallardan ne zaman gerçekleştirildiği, nasıl bir yol izlediği hangi protokolleri delerek yapıldığı ve atağın başlama adresi gibi önemli bilgileri elde etmemize olanak sağlamaktadır. Logların günlük olarak izlenmeli,  yüksek riskli olaylara karşı gerçek zamanlı alarmlar kurulmalıdır. İyi bir  loglama donanımsal ve yazılımsal olarak log kayıtları tutmasından dolayı bir olay karşısında o olayın nasıl olduğuna, olayın sebebine, ilgili bilgisayar ve sunucuların tesbitine buloglardan erişilebilmektedir.

SIEM Loglama nazaran daha gelşmiş bir sistem olarak kabul görmektedir. Loglamadan daha ayrıntılı bir analiz sistemine sahip olan SIEM aynı zamanda Raporlama konusunda da daha fazla detay verebilmektedir.  SIEM’in daha ileri seviyede kabul görmesinin en önemli nedeni ise belli politika ve kuralların yardımıyla bağımsız gibi görünen olgu ve durumlar arasında  kurduğu anlamlı bağlantılar ile muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniği olduğunu söyleyebiliriz.

SIEM  tekilleştirme, korelasyon,  raporlama,alarm oluşturma ve hızlı arama gibi özelliklere sahiptir olan profesyonel bir çözüm sistemidir. 

Karya Teknoloji ve Danışmanlık olarak firmanızın Loglama ve SIEM konusunda yapacağımız inceleme ve testlerle gerekli ihtiyaclarıınızı belirleyerek en doğru sistem ürün ve kurulum hizmetiyle sizlerin ihtiyaçlarını gidermekteyiz.

SIEM / LOG Korelasyon Hizmetleri

Bilişim sistemlerinde yaşanabilecek sorun ve güvenlik problemi IT cihazları ve sistemlerinden alınacak düzenli log kayıtları ile tespit edilirken Bu bağlamda kurumsal firmalar merkezi log yönetimi sistemini kullanırlar.

Oluşabilecek güvenlik durumlarına karşı hangi logları toplaması gerektiğini tespit edemeyen işletmeler  ve birden fazla güvenlik probleminin bir araya gelerek ne denli büyük bir tehdit oluşturabileceğini önceden farkına varamayan işletmeler, büyük risklerle karşı karşıyadır.

Siem ve Log Korelasyon hizmetlerinin temel sorununun başlangıcı merkezi olarak log kayıtlarını toplamaktır. Toplanan log kayıtlarından tek başına anlamlı verileri elde edilemez. Buradaki sıkıntı kurumların hangi güvenlik olaylarına karşı hangi log kaydını toplaması gerektiğinbelirlememesi ve birden fazla güvenlik probleminin bir araya geldiğinde nasıl bir tehdit oluşturabileceğini ön görememsi olarak açıklanabilir. 

 

SIEM Nasıl Log Toplar?

İlk olarak SIEM sisteminde bulunan ağ cihazlarının erişebilir olması gerekmektedir. Erişimde bir kesinti olmadığından emin olunduktan sonra, logların SIEM'e iki temel aktarılma yöntemi vardır; 

Birinci yöntem, uygulamanın ya da sistemin logları doğrudan SIEM’e gönderir.

İkinci yöntem, SIEM’in uygulamaya, sisteme ya da veri tabanına ulaşarak logları kendisi tarafından çekilmesidir. Log kayıtlarının alınacağı sisteme göre bu yöntemlerden en uygun olanı seçilir.

Örneğin; bir güvenlik duvarı loglarını syslog vb. log aktarım protokollerinden uygun olanı kullanarak SIEM’e göndermesi daha uygun olacakken, Microsoft Server’daki DHCP loglarını SIEM’in çekmesi daha uygundur.

Korelasyon Nedir ve Nasıl Yapılır?

SIEM üzerinde toplanan farklı cihaz ve uygulamaların loglarını birbiri ile ilişkilendirir ve oluşabilecek siber saldırılara karşı alarm üreterek, müdahale zamanını en aza indirmek amaçlanır. Bu ilişki kurma işlemine korelasyon denir. Alarmlar ise, Korelasyon sonrasında yazılan korelasyon kuralları olarak adlandırılır.

Korelasyona örnek verecek olursak;

Dıştan bağlanılan bir networkden içerideki bir mail sunucusuna gelen bir paket için güvenlik duvarından gelen Firewall Permit (Erişime izin verildi) logu ile mail sunucusundan Login Failure (Hatalı Giriş Denemesi) logları 10 saniye içerisinde 5 ve 5’den fazla kez log gelirse, alarm üret kuralı , bir korelasyon sonucu oluşturulan bir kuraldır.

SIEM / LOG Korelasyon Hizmetleri - KaryaBT

SIEM/LOG Korelasyon hizmetleri işletmelerin ilerleyen zamanlarda hangi tip loglara ihtiyaç duyabileceğine ve bu logların ilgili sistemlerden alınıp merkezde toplandıktan sonra analiz edildikten sonra daha anlamlı verilerin elde edilmesi, daha iyi açıklanması  için yorumlanmasına yönelik çalışmalar olarak tanımlanabilir.

SIEM/LOG Korelasyon hizmetlerinin kapsamındaki başlıklar kapsamında aşağıdaki  ilgili çalışmalar yapılmaktadır.

  • Örnek log incelemesi
  • Log kaynaklarının belirlenmesi
  • Gelişmiş korelasyon kurallarının oluşturulması
  • Siber saldırı simülasyon ve SOME tatbikat çalışması
  • Log anlamlandırma, etiketleme ve seviyelendirme çalışması
  • Gereksinimlerin tespiti, kapsam belirleme ve proje yönetimi
  • Kaynaklardan alınacak loglar için detay ve içeriğinin belirlenmesi
  • Log toplanacak sistemlerin tespit edilerek korelasyon kurallarının hazırlanması
  • Korelasyon kurallarının yazılımı sonrası pratikte test edilerek çalışıp çalışmadığının belirlenmesi
  • Log yönetim sistemi tarafından tanınmayan veya özel olarak geliştirilmiş uygulamalara ait sarmal aracı yazılımların geliştirilmesi

olarak sıralanabilir.