Loglama ve SIEM çözümleri

     
Loglama ve SIEM çözümleri

Loglama nedir? Ne işe Yarar?

Bilgisayarımızın açılışından kapanışına kadar olan aralıkta olay ve aktivitelerin işletim sistemi üzerinden kayıtlanmasıyla oluşur. Diğer bir deyişle Log izleme de diyebiliriz. Log yönetimi sisteminizde bulunan  tüm kritik ağlar ve cihazları kapsar.

Bu kayıtlar nelerdir?

Bilgisayarda oluşan hataları, izinsiz hareketleri, donanımların stabil çalışmasını, kullanıcıların oturumlardaki hareketlerini ve sistemdeki daha bir çok olay ve hareketi kayıt altına almasıyla bizi bilgilendirir.

Log Analizi

Bilgisayar ağlarında kullanılan ağ cihazları gerçekleşen eylemler hakkında kayıt yapma özelliğine sahiptirler. Loglama yani Log katıtlarının en büyük yararı  ağ üzerinde kayda geçen bu eylemlerin takip edilmesi ve tehlikeli ,zararlı olabilecek durumlarda ise gerekli önlemlerin alınması sağlanmaktır. Bu anlattığımıza ise Log Analizi denilmektedir.Logların kapsamlı bir şekilde toplanması, birleştirilmesi, bozulmadan ve veri kaybı olmaksızın saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının veya tehditin göstergelerini ve delillerini elde etmemizi sağlamaktadır.

Bunları sağlarken, bunun yanında saldırıların adli olarak incelenmesine, oluşabilecek adli bir olay için kayıt ve kanıt olarak verileri saklaması da yardımcı olarak saldırının hangi kanallardan, ne zaman ve nasıl gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden başlatıldığına dair önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenirler. İzleme devam ederken Sistem yöneticisi yada Güvenlik sistemleri sorumlusunun yüksek riskli olaylar için gerçek zamanlı alarmlar kurması gerekmektedir.

Loglama dendiğinde Türkiye'de ilk akla gelen 5651 loglama yasasıdır. Bu yasa ile beraber loglama kurumlar için zorunlu bir hal almıştır. 5651 sayılı yasanın iki temel amacı bulunmaktadır. Bunların ilki içerik sağlayıcı, yer saylayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları belirlenirken,

ikinci esasta internet ortamında işlenen siber yada diğer internet ortamındaki suçlara içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

5651 sayılı kanun maddesi ve TİB (Telekomünikasyon İletişim Başkanlığı) yönetmelikleri gereği her kurum erişim kayıtlarını 2 yıl boyunca tutmakla yükümlüdür.

Loglama sayesinde şirket içi hareketler kayıt altına alınırken diğer bir yandan ise analiz edilerek aktif olarak faydalarından yararlanmak için ise Log analizinden SIEM teknolojisine gelmiş oluyoruz. 

SIEM Nedir?

SIEM denildiğinde İngilizce dilince ve bilinen açılımı ile Security Information and Event Management olarak  karşımıza çıkmaktadır. Türkçe manası Bilgi Güvenliği ve Kayıt Yönetimi şeklinde açıklanabilir. Adından da anlaşılabileceği gibi Bilgi güvenliğini sağlamak ve sistemdeki hareketlerin kayıt altına alınmasını amaçlayan bir teknoloji diyebiliriz.  SIEM log üretmez, logları toplayarak bunların analiz eden yani anlamlandıran ve alarm üreten bileşenleri barındırır. Çoğu kurum sadece SIEM kurarak yerel ağdaki anormalliklerden haberdar olacağını düşünür. Fakat bir hesap makinesi misali, sizin yönlendirmeniz olmaz ise doğru direktifleri vermez iseniz çıktılar tahmin ettiğiniz gibi yada beklediğiniz gibi olmayacaktır. Log analizine göre ince detaylı araştırması ve gelişmiş sistemiyle daha iyi raporlama seçenekleri sunmaktadır. Bir kuruluşun güvenliği ile ilgili birçok veri birden fazla yerde oluşturulmuştur ve SIEM sistemi, tüm bu verileri tek bir bakış açısıyla analiz edebilmeyi, trendleri tespit etmeyi ve sıradan olmayan modelleri görmeyi kolaylaştırır.SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.  Bir SIEM sistemi, analiz için günlük veri analizlerini ve güvenlikle ilgili birçok belgeyi tek bir platformda toplar. Bir işletmeyi karmaşık siber tehditlerden korumak çok zor bir süreçtir. İlişkili olmayan olaylar gibi görünen güvenlik tehditleri hakkında görünürlük ve eyleme dönüştürülebilirlik, güvenli bir danışmanlık hizmeti olmadan yapılmaya çalışılırsa, kuruluş için hem itibar hem de mali açıdan risk oluşturur.

SIEM sistemlerinde,Farklı formatlardaki log kayıtlarının ortak bir veriye dönüştürülmesi işlemine normalleştirme,

olaylar arasında bağlantı kurulmasına korelasyon,

birden fazla kaydı tutulan Log kaydının teke indirilmesini sağlayarak verinin boyutunu düşürme işlemine ise birleştirme denilmektedir.

SIEM’in Önemi

Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır.Bu ağlara bağlanan cihazların sayısındaki artış ile ağlara sızılması olasılığının da artmasına neden olmaktadır. Bu durumda şirketler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda yapılacak güvenlik adımlarını kararlaştırmak durumundadırlar.Bu durumda Ekibimiz, ağlar, ana bilgisayarlar ve kritik uygulamalardaki güvenlik olaylarından meydana gelen logları toplar, ilişkilendirir, analiz eder ve depolar. Bunun ile birlikte eksiksiz ve etkili tehdit algılama, olay yanıtı ve uyumluluk yönetimi için gerekli olan temel güvenlik özelliklerini kullanır. Sertifikalı güvenlik uzmanlarımız, herhangi bir zararlı etkinliği tespit etmek, araştırmak ve gerçek zamanlı olarak tehditlere anında yanıt vermek için çalışırlar. SIEM / Log yönetim hizmetlerimiz ağınızda meydana gelen güvenlikle ilgili olayları daha iyi görmenizi sağlar.Bununla beraber,FISMA,FFIEC, PCI DSS, GLBA,COBIT, ISO 2700, HIPAA ve SOX gibi endüstri yönetmelikleri, kuruluşların BT altyapısındaki log verilerini koruma, yedekleme ve analiz etmelerini zorunlu kılmaktadır.

SIEM Aşamalarımız:

  • Boyutlandırma, raporlama ve uyumluluk gereksinimlerinin girişi
  • Log/ SIEM altyapısının uygulanması
  • Raporlama ve uyarı işlevlerini yapılandırma desteği
  • Sistem işlemleri veya gerektiğinde yönetilen hizmet için destek
  • Sürekli destek ve altyapının düzenli optimizasyonu, günlüğe kaydetme ve raporlama
  • Arşivleme ve toplanan günlüklere erişim kontrolü

SIEM ve Loglama İlişkisi

Loglar sistemdeki her türlü aktivitiye kayıt altına aldığından, metin olarak analizi ve sunumunu kolaylaştırırak log yönetimini elverişli hale getirir. Bu sayade de log yönetimiyle saldırı ve kanıtları kayıt altına almış oluruz. bu kayıtlar sayesinde saldırıların adli olarak incelensine yardımcı olmaktala kalmaz, saldırının hangi kanallardan ne zaman gerçekleştirildiği, nasıl bir yol izlediği hangi protokolleri delerek yapıldığı ve atağın başlama adresi gibi önemli bilgileri elde etmemize olanak sağlamaktadır. Logların günlük olarak izlenmeli,  yüksek riskli olaylara karşı gerçek zamanlı alarmlar kurulmalıdır. İyi bir  loglama donanımsal ve yazılımsal olarak log kayıtları tutmasından dolayı bir olay karşısında o olayın nasıl olduğuna, olayın sebebine, ilgili bilgisayar ve sunucuların tesbitine buloglardan erişilebilmektedir.

SIEM Loglama nazaran daha gelşmiş bir sistem olarak kabul görmektedir. Loglamadan daha ayrıntılı bir analiz sistemine sahip olan SIEM aynı zamanda Raporlama konusunda da daha fazla detay verebilmektedir.  SIEM’in daha ileri seviyede kabul görmesinin en önemli nedeni ise belli politika ve kuralların yardımıyla bağımsız gibi görünen olgu ve durumlar arasında  kurduğu anlamlı bağlantılar ile muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniği olduğunu söyleyebiliriz.

SIEM  tekilleştirme, korelasyon,  raporlama,alarm oluşturma ve hızlı arama gibi özelliklere sahiptir olan profesyonel bir çözüm sistemidir. 

Karya Teknoloji ve Danışmanlık olarak firmanızın Loglama ve SIEM konusunda yapacağımız inceleme ve testlerle gerekli ihtiyaclarıınızı belirleyerek en doğru sistem ürün ve kurulum hizmetiyle sizlerin ihtiyaçlarını gidermekteyiz.