Bilgisayarımızın açılışından kapanışına kadar olan aralıkta olay ve aktivitelerin işletim sistemi üzerinden kayıtlanmasına Loglama denir. Yani bilgisayarımızın açılışından kapanışına kadar olan aralıkta olay ve aktivitelerin işletim sistemi üzerinden kayıtlanmasıyla oluşur. Diğer bir deyişle Log izleme de diyebiliriz. Log yönetimi sisteminizde bulunan tüm kritik ağlar ve cihazları kapsar.
Bilgisayarda oluşan hataları, izinsiz hareketleri, donanımların stabil çalışmasını, kullanıcıların oturumlardaki hareketlerini ve sistemdek daha bir çok olay ve hareketi kayıt altına almasıyla bizi bilgilendirir.
Kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının yani loglarının belirlenmiş kurallara göre analiz edilmesi Log izleme denir. Logların toplanması, metin olarak analizi birleştirilmesi, orijinal haliyle saklanması ve sunumu gibi aşamalardan oluşan log yönetimi ise saldırıların göstergelerini ve delillerini elde etmemizi sağlar. Bir de saldırıların adli olarak incelenmesine de yardımcı olurken saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokolleri kullanıldığı ve atağın nerden başlatıldığı gibi önemli bilgileri elde etmemize yardımcı olur. Logların günlük olarak izlenmelidir ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulmalıdır.
Bilgisayar ağlarında kullanılan ağ cihazları gerçekleşen eylemler hakkında kayıt yapma özelliğine sahiptirler. Loglama yani Log kayıtlarının en büyük yararı ağ üzerinde kayda geçen bu eylemlerin takip etmesidir. Bunun yanında tehlikeli ,zararlı olabilecek durumlarda ise gerekli önlemlerin alınması sağlanmaktır. Bu anlattığımıza ise Log Analizi denilmektedir. Log yönetimi; logların toplanması, birleştirilmesi, bozulmadan ve kayıpsız saklanması, metin olarak analizi, sunumu gibi adımlardan oluşur. Saldırının veya tehditin göstergelerini ve delillerini elde etmemizi sağlamaktadır.
Bunun yanında saldırıların adli olarak incelenmesine, oluşabilecek adli bir olay için kayıt ve kanıt olarak verileri saklamasına yardımcı olur. Saldırının nereden, ne zaman ve nasıl gerçekleştirildiği, hangi protokollerin kullanıldığı hakkında bilgileri verir. Loglar günlük olarak izlenirler. İzleme devam ederken bunlar Sistem yöneticisi yada Güvenlik sistemleri sorumlusunun kontrolündedir. Yüksek riskli olaylar için gerçek zamanlı alarmlar kurmaları gerekmektedir.
Loglama dendiğinde Türkiye’de ilk akla gelen 5651 loglama yasasıdır. Bu yasa ile beraber loglama kurumlar için zorunlu bir hal almıştır. 5651 sayılı yasanın iki temel amacı bulunmaktadır. Bunların ilki içerik sağlayıcı, yer saylayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları belirlenirken,
ikinci esasta internet ortamında işlenen siber yada diğer internet ortamındaki suçlara içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.
Loglama sayesinde şirket içi hareketler kayıt altına alınırken diğer bir yandan ise analiz edilerek aktif olarak faydalarından yararlanmak için ise Log analizinden SIEM teknolojisine gelmiş oluyoruz.
– Büyük hacimli log kayıtları gerektiğinde kolay ve çabuk erişim sağlanacak şekilde saklanmalıdır.
– Olayları erken tespit etmeliyiz ki, yapılan saldırının etkilerini en aza indirebilmesi için hızlı bir şekilde karşılık verilmeli ve aksiyon alınmalıdır.
– Log yönetim sisteminin olaylarını tespil edebilme yeteneğinin gelişmiş olmalıdır, çünkü doğru aksiyonları araştırma ve en doğru yanıtı kararlaştırma için kontrol mekanizmaları sunulabilsin.
– Loglama da Log yönetiminin; İhlalleri, sızmaları ve yetkisi olmayan erişimleri tespit;- ve analiz edilebilmesi adına veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok yapılması gereken şartların otomatik bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarını belirlenmemiz dahafaydalı olacaktır.
SIEM ise loglama analizine oranla daha gelişmiş ve kapsamlı, daha ince detaylı yapılandırma ve raporlama seçenekleriyle karşımıza çıkmaktadır. SIEM’in en önemli özelliklerinden biri belirlenmiş politika ve kurallar yardımıyla bağımsız gibi görünen olaylar arasında anlamlı ilişkiler kurarak gerçekleşmesi muhtemel olan saldırıları tespit etmeye yardımcı olan bir korelasyon tekniğidir. SIEM sistemi; ürünleri çevre birimleri olan daonanımlardan en uçtaki kullanıcılara kadar sistemlerin ürettiği logları merkezde biraraya getiren, saklayan ve analiz etmemizi sağlar. SIEM’in çok farklı sistemlerden loglanan çeşitli formatlardaki olay kayıtlarını benzer bir veri modeline dönüştürmesine Loglama ‘da normalleştirme denir. Korelasyon aşaması önceden belirlenen kuralların yardımıyla birbirinden farklı uygulama veya sistemlerden gelen olayları ilişkilendirerek, güvenlik tehditlerini tespit eder ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation); olayların birden fazla sayıda kaydı tutulmuş ise, bunları bir araya getirip tek bir kayıta dönüşmesini sağlayarak analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırılmasına yardımcı olur.
SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. Bir SIEM sistemi, analiz için günlük veri analizlerini ve güvenlikle ilgili birçok belgeyi tek bir platformda toplar. Bir işletmeyi karmaşık siber tehditlerden korumak çok zor bir süreçtir. İlişkili olmayan olaylar gibi görünen güvenlik tehditleri hakkında görünürlük ve eyleme dönüştürülebilirlik, güvenli bir danışmanlık hizmeti olmadan yapılmaya çalışılırsa, kuruluş için hem itibar hem de mali açıdan risk oluşturur.
SIEM sistemlerinde,Farklı formatlardaki log kayıtlarının ortak bir veriye dönüştürülmesi işlemine normalleştirme,
olaylar arasında bağlantı kurulmasına korelasyon,
birden fazla kaydı tutulan Log kaydının teke indirilmesini sağlayarak verinin boyutunu düşürme işlemine ise birleştirme denilmektedir.
– Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygular,
– Bağımsız gibi görünen olayları birbiriyle ilişkilendirir ya da olayları veriyle bağlar,
– Yönetici olarak gösterilen kullanıcılara mail, SMS veya SNMP mesajları yolu ile bildirim veya alarm sağlar,
– Toplamış olduğu veri ve korelasyon sonuçlarını, gerçek zamana yakın bir şekilde güvenlik uzmanlarına gösteren bir paneli vardır,
– SIEM ürünü tarafından toplanan verinin analiz etaplarını kapsayan rapor üretebilir bir yapısı vardır.
Önceki açıklamalardan da bahsettiğimiz üzere; SIEM ürünleri gerçek zamanlı raporlama yeteneği ve güvenlik olaylarını analiz edebilme yetenekleriyle ağlara karşı gerçekleştirilebilecek en son tehditleri tespit edebilme imkânını sunarlar. SIEM de aynı zamanda uzaktan erişim noktaları bulunur. Bu noktalardan ağlara bağlanan cihazların sayısındaki artış ağlara sızma kanallarınında da armasına neden olur. Bilişimciler ağda sistemin karşı karşıya kaldığı tehditleri algılayabilmek için birden çok kaynaktan toplanan verileri analiz etmek, analiz sonucunda bunlara karşı atılacak adımları kararlaştırlıdırlar. Saldırıların tespiti, dijital delillerin koruma altında olmasına olanak verecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması yapabilmesi aynı zamanda güvenlik tehditlerinin gerçek zamanlı olarak izlemeye olanak sağlayan SIEM ürünleri, ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik bilişim Teknolojileri bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor sunabilecek yetenek ve özelliğe sahiptiler.
Loglar sistemdeki her türlü aktivitiye kayıt altına aldığından, metin olarak analizi ve sunumunu kolaylaştırırak log yönetimini elverişli hale getirir. Bu sayade de log yönetimiyle saldırı ve kanıtları kayıt altına almış oluruz. bu kayıtlar sayesinde saldırıların adli olarak incelensine yardımcı olmaktala kalmaz, saldırının hangi kanallardan ne zaman gerçekleştirildiği, nasıl bir yol izlediği hangi protokolleri delerek yapıldığı ve atağın başlama adresi gibi önemli bilgileri elde etmemize olanak sağlamaktadır. Logların günlük olarak izlenmeli, yüksek riskli olaylara karşı gerçek zamanlı alarmlar kurulmalıdır. İyi bir loglama donanımsal ve yazılımsal olarak log kayıtları tutmasından dolayı bir olay karşısında o olayın nasıl olduğuna, olayın sebebine, ilgili bilgisayar ve sunucuların tesbitine buloglardan erişilebilmektedir.
SIEM Loglama nazaran daha gelşmiş bir sistem olarak kabul görmektedir. Loglamadan daha ayrıntılı bir analiz sistemine sahip olan SIEM aynı zamanda Raporlama konusunda da daha fazla detay verebilmektedir. SIEM’in daha ileri seviyede kabul görmesinin en önemli nedeni ise belli politika ve kuralların yardımıyla bağımsız gibi görünen olgu ve durumlar arasında kurduğu anlamlı bağlantılar ile muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniği olduğunu söyleyebiliriz.
Karya Teknoloji ve Danışmanlık olarak firmanızın Loglama ve SIEM konusunda yapacağımız inceleme ve testlerle gerekli ihtiyaclarıınızı belirleyerek en doğru sistem ürün ve kurulum hizmetiyle sizlerin ihtiyaçlarını gidermekteyiz.
Bilişim sistemlerinde yaşanabilecek sorun ve güvenlik problemi IT cihazları ve sistemlerinden alınacak düzenli log kayıtları ile tespit edilirken Bu bağlamda kurumsal firmalar merkezi log yönetimi sistemini kullanırlar.
Oluşabilecek güvenlik durumlarına karşı hangi logları toplaması gerektiğini tespit edemeyen işletmeler ve birden fazla güvenlik probleminin bir araya gelerek ne denli büyük bir tehdit oluşturabileceğini önceden farkına varamayan işletmeler, büyük risklerle karşı karşıyadır.
Siem ve Log Korelasyon hizmetlerinin temel sorununun başlangıcı merkezi olarak log kayıtlarını toplamaktır. Toplanan log kayıtlarından tek başına anlamlı verileri elde edilemez. Buradaki sıkıntı kurumların hangi güvenlik olaylarına karşı hangi log kaydını toplaması gerektiğinbelirlememesi ve birden fazla güvenlik probleminin bir araya geldiğinde nasıl bir tehdit oluşturabileceğini ön görememsi olarak açıklanabilir.
İlk olarak SIEM sisteminde bulunan ağ cihazlarının erişebilir olması gerekmektedir. Erişimde bir kesinti olmadığından emin olunduktan sonra, logların SIEM’e iki temel aktarılma yöntemi vardır;
Örneğin; bir güvenlik duvarı loglarını syslog vb. log aktarım protokollerinden uygun olanı kullanarak SIEM’e göndermesi daha uygun olacakken, Microsoft Server’daki DHCP loglarını SIEM’in çekmesi daha uygundur.
SIEM üzerinde toplanan farklı cihaz ve uygulamaların loglarını birbiri ile ilişkilendirir ve oluşabilecek siber saldırılara karşı alarm üreterek, müdahale zamanını en aza indirmek amaçlanır. Bu ilişki kurma işlemine korelasyon denir. Alarmlar ise, Korelasyon sonrasında yazılan korelasyon kuralları olarak adlandırılır.
Korelasyona örnek verecek olursak;
Dıştan bağlanılan bir networkden içerideki bir mail sunucusuna gelen bir paket için güvenlik duvarından gelen Firewall Permit (Erişime izin verildi) logu ile mail sunucusundan Login Failure (Hatalı Giriş Denemesi) logları 10 saniye içerisinde 5 ve 5’den fazla kez log gelirse, alarm üret kuralı , bir korelasyon sonucu oluşturulan bir kuraldır.
SIEM/LOG Korelasyon hizmetleri işletmelerin ilerleyen zamanlarda hangi tip loglara ihtiyaç duyabileceğine ve bu logların ilgili sistemlerden alınıp merkezde toplandıktan sonra analiz edildikten sonra daha anlamlı verilerin elde edilmesi, daha iyi açıklanması için yorumlanmasına yönelik çalışmalar olarak tanımlanabilir.
SIEM/LOG Korelasyon hizmetlerinin kapsamındaki başlıklar kapsamında aşağıdaki ilgili çalışmalar yapılmaktadır.
olarak sıralanabilir.
Adres: Esentepe Mah.
Kore Şehitleri Cad. No:38/7
Şişli/İstanbul
Tel: +90 212 217 35 35
Fax: +90 212 283 10 11
info@karyabt.com
