SIEM ve Korelasyon Çözümleri

     
SIEM ve Korelasyon Çözümleri

Loglama Ve Korelasyon Çözümleri

Loglama ve korelasyon Nedir?

Bilgisayarımızın açılışından kapanışına kadar olan aralıkta olay ve aktivitelerin işletim sistemi üerinden kayıtlanmasına Loglama adı verilir.

Bu kayıtlar nelerdir?

Bilgisayarda oluşan hataları, izinsiz hareketleri, donanımların tabil çalışmasını, kullanıcıların oturumlardaki hareketlerini ve sistemdek daha bir çok olay ve hareketi kayıt altına almasıyla bizi bilgilendirir. 

Kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının yani loglarının belirlenmiş kurallara göre analiz edilmesi Log izleme denir.  Logların toplanması,  metin olarak analizibirleştirilmesi, orijinal haliyle saklanması ve sunumu gibi aşamalardan oluşan log yönetimi ise saldırıların göstergelerini ve delillerini elde etmemizi sağlar. Bir de  saldırıların adli olarak incelenmesine de yardımcı olurken saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokolleri kullanıldığı ve atağın nerden başlatıldığı gibi önemli bilgileri elde etmemize yardımcı olur. Logların günlük olarak izlenmelidir ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulmalıdır.
Log yönetiminin daha faydalı olmasını istiyorsak:

- Büyük hacimli log kayıtları gerektiğinde kolay ve çabuk erişim sağlanacak şekilde saklanmalıdır. 
- Olayları erken tespit etmeliyiz ki, yapılan saldırının etkilerini en aza indirebilmesi için hızlı bir şekilde karşılık verilmeli ve aksiyon alınmalıdır.
- Log yönetim sisteminin olaylarını tespil edebilme yeteneğinin gelişmiş olmalıdır, çünkü doğru aksiyonları araştırma ve en doğru yanıtı kararlaştırma için kontrol mekanizmaları sunulabilsin.
- Loglama da Log yönetiminin; İhlalleri, sızmaları ve yetkisi olmayan erişimleri tespit;- ve analiz edilebilmesi adına veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok yapılması gereken şartların otomatik bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarını belirlenmemiz dahafaydalı olacaktır.

SIEM (Security Information and Event Management) 

SIEM ise loglama analizine oranla daha gelişmiş ve kapsamlı, daha ince detaylı yapılandırma ve raporlama seçenekleriyle karşımıza çıkmaktadır. SIEM’in en önemli özelliklerinden biri belirlenmiş politika ve kurallar yardımıyla bağımsız gibi görünen olaylar arasında anlamlı ilişkiler kurarak gerçekleşmesi muhtemel olan saldırıları tespit etmeye yardımcı olan bir korelasyon tekniğidir. SIEM sistemi; ürünleri çevre birimleri olan daonanımlardan en uçtaki kullanıcılara kadar sistemlerin ürettiği logları merkezde biraraya getiren, saklayan ve analiz etmemizi sağlar. SIEM’in çok farklı sistemlerden loglanan çeşitli formatlardaki olay kayıtlarını benzer bir veri modeline dönüştürmesine Loglama 'da normalleştirme denir.  Korelasyon aşaması önceden belirlenen kuralların yardımıyla birbirinden farklı uygulama veya sistemlerden gelen olayları ilişkilendirerek, güvenlik tehditlerini tespit eder ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation); olayların birden fazla sayıda kaydı tutulmuş ise, bunları bir araya getirip tek bir kayıta dönüşmesini sağlayarak analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırılmasına yardımcı olur.

SIEM’in çalışma mekanizması:

- Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygular,
- Bağımsız gibi görünen olayları birbiriyle ilişkilendirir ya da olayları veriyle bağlar,
- Yönetici olarak gösterilen kullanıcılara  mail, SMS veya SNMP mesajları yolu ile bildirim veya alarm sağlar,
- Toplamış olduğu veri ve korelasyon sonuçlarını,  gerçek zamana yakın bir şekilde güvenlik uzmanlarına gösteren bir paneli vardır,
- SIEM ürünü tarafından toplanan verinin analiz etaplarını kapsayan rapor üretebilir bir yapısı vardır.

SIEM’in Önemi

Önceki açıklamalardan da bahsettiğimiz üzere; SIEM ürünleri gerçek zamanlı raporlama yeteneği ve güvenlik olaylarını analiz edebilme yetenekleriyle ağlara karşı gerçekleştirilebilecek en son tehditleri tespit edebilme imkânını sunarlar. SIEM de aynı zamanda  uzaktan erişim noktaları bulunur. Bu noktalardan ağlara bağlanan cihazların sayısındaki artış ağlara sızma kanallarınında da armasına neden olur. Bilişimciler ağda sistemin karşı karşıya kaldığı tehditleri algılayabilmek için birden çok kaynaktan toplanan verileri analiz etmek, analiz sonucunda bunlara karşı atılacak adımları kararlaştırlıdırlar. Saldırıların tespiti, dijital delillerin koruma altında olmasına olanak verecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması yapabilmesi aynı zamanda güvenlik tehditlerinin gerçek zamanlı olarak izlemeye olanak sağlayan SIEM ürünleri, ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik bilişim Teknolojileri bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor sunabilecek yetenek ve özelliğe sahiptiler.