SIEM (Security Information & Event Management) Nedir?

Tüm dünyanın gündeminde olan ve nihayet Türkiye’de de ciddi olarak konuşulmaya başlanan konulardan birisi “Siber Güvenlik” (Hele şükür!).

Siber Güvenlik akımı sayesinde Türkiye’de son 4-5 yıldır konuşulan konulardan birisi de SIEM (Security Information and Event Management).

SIEM Nedir? Neden Gereklidir? Nasıl Olmalıdır? şeklinde konuyu detaylandırmadan önce aslında SIEM’e neden ihtiyaç duyuyoruz biraz bundan bahsetmekte fayda var.

Aslında her şey “Biz bu sistemleri yönetiyoruz, sorun olduğu zamanda açıp Loglara bakıyoruz ama bu her kaynak için zor oluyor, ayrıca bunları bir de insanların herkesin okuyabileceği bir hale getirsek de işimiz kolaylaşsa ve yine aynı zamanda bunları merkezi bir yerde toplasak da oradan baksak…” düşüncesiyle başlamış. Üstüne bir de değişen güvenlik trendleri ve sistem logları ile güvenlik loglarının birbirinden farklı anlam ve değerleri olduğu düşüncesi ortaya atılıp, haklı bulununca, logları Rsyslog ile merkezi bir sunucuda toplama düşüncesi daha da evrimleşerek olay günümüzdeki SIEM düşüncesini doğurmuş.

İşin içine bir de Korelasyon, Alarm, IPS, IDS, Firewall, Router, Switch, Antivirus, Mail Gateway vs. gibi olaylar da eklenince loglara tek tek bakıp her bir kaynak için farklı aksiyonlar almak insan üstü bir gayret gerektirdiğinden, tüm bu işlemleri yapabilen kabiliyette günümüzde Log Management ve SIEM ürünü olarak adlandırdığımız yazılımlar ortaya çıkmış.

Evet kısaca olaya böyle giriş yaptık, Peki SIEM Nedir?

Network sisteminizdeki tüm yazılım ve donanımların (parmak izi okuyucu, rfid kart, IoT cihazı vs de dahil buna) ürettiği logların bir merkezde toplanmasını, farklı ve dağınık formatlarda gelen logları insanların anlayabileceği tek bir formata getirerek, bu formatın üzerinde sorgu, raporlama, kural/korelasyonlarla, alarm, tehdit önleme, tehdit sezme gibi aksiyonlar üretmeyi sağlayan yazılımlardır.

SIEM Nasıl Olmalıdır?

Tanımını böyle yaptıktan sonra aslında bir yazılıma SIEM denebilmesi için neler yapması gerekiyor ona bakalım.

  • Log Management & Storage
  • Normalisation
  • Correlation
  • Prioritazion
  • Aggregation
  • Alarm
  • Reports
  • Dashboards
  • Security Analytics (yeni nesil Siem’lerde mevcut)
  • Threat Intelligence (yeni nesil Siem’lerde mevcut)
  • Time Generetad

Bu saydığım konulardan fazlasını ya da eksiğini yapanlara da SIEM deniliyor ama bunların hepsini yaptığı zaman tadından yenmez bir SIEM olmuş oluyor.

SIEM Neden Gereklidir?

SIEM bu ve bahsettiğim tüm aksiyonları alabilen bir yazılım, ancak tabii siz SIEM’e ne verirseniz onu alıyor. Yani herhangi bir SIEM ürününü alıp, sisteminize kurup, kaynaklarınızı ekleyip, hoop direk tüm bu konularda aksiyon almış oluyor musunuz? Tam olarak evet veya hayır değil. Belirli yasaları düşünerek (örneğin 5651 sayılı kanun) olaya bakarsanız, evet ama olaya komplike olarak baktığınızda SIEM ürünleri kendilerine bağlı kaynakların kendilerine log gönderme yeteneklerine göre onları değerlendirirler. Bir de olayın yorumlama kısmı var ki bu da yeni nesil SIEM ürünlerinde Security Analytics, Threat Intelligence gibi kavramların arka tarafta çalışmasıyla oluyor.

Tüm bu aksiyonları senaryoya dökecek olursak aslında; bir IP adresinin hangi kullanıcıya ait olduğunu, hangi MAC adresini aldığını (birden fazla MAC’de olabilir), hangi web sitelerine trafik yaptığını, ne kadar yaptığını, ne kadar trafik harcadığını, hangi porttan hangi atak saldırının geldiğini, hangi portun dışarıdan ve hangi ülkelerden tarandığını, hangi bilgisayarlarda hangi zararlı yazılımların tespit edilip, IPS, IDS gibi güvenlik ürünlerince tespit edilip, taramasının yapılıp yapılmadığını, Ahmet isimli şahsın evden iş yerindeki bilgisayarına bağlanıp (VPN Connection), Domain Controller’de (Active directory) oturum açıp, aynı zamanda sabah iş yerinde kart bastığını (burada bi sıkıntı var demektir, Ahmet aynı anda iki farklı yerde olamayacağına göre), Domain Controller’e login olmayı deneyen ve kendini Admin yapmak için yırtan kullanıcının kim olduğunun tespit edilmesi gibi türlü türlü aklınıza gelebilecek senaryolarda SIEM yazılımları bizleri bilgilendirmek için rapor, alarm vb. özelliklerini kullanırlar.

İşin bir de doğru yorumlanması kısmı var. Bu kısım aslında olayın kendisi kadar kritik. Yani sizin 22 ssh portunuza dışarıdan çok fazla istek geliyor ve siz bunu görüyor ama ne olduğunu yorumlayamıyorsanız ve buna göre güvenlik aksiyonu alamıyorsanız aslında burada eksiklik üründe değil, maalesef yorumlayan sistemin başındaki kişide oluyor. Yani SIEM’i sadece log management için değil, security bazlı da kullanmak için ya security bilgisine ihtiyacınız olmalı ya da security tarafında size destek olabilecek security uzmanları olan bir SIEM ürününü tercih etmelisiniz.

Konunun sonuna doğru gelirken, dünyaca tanınmış ve kabul görmüş, sektörün liderleri olan SIEM ürünlerinden bazılarına göz atalım istiyorum. Liste uzun ancak ben aralarından kullandığım ve bence iyi olanlarını seçerek sizlere Top 5 SIEM listesi hazırladım.

Top 5 SIEM Listesi

Splunk
Splunk is software for searching, monitoring, and analyzing machine-generated big data, via a web-style interface. It captures, indexes and correlates real-time data in a searchable repository from which it can generate graphs, reports, alerts, dashboards and visualizations.

QRadar Security – IBM

IBM Security QRadar is security information and event management (SIEM) Software.

 

LogRhythm

LogRhythm, from the company of the same name in Boulder, Colorado, is security information and event management (SIEM) software.

Alien Vault

AlienVault aims to help mid-size organizations that lack sufficient staff, security expertise, technology or budget defend against modern threats. According to the vendor, this Unified Security Management (USM) platform provides all of the essential security controls required for complete security.

Logsign (Türk Milli Yazılımı)

Logsign is a full-feature, all-in-one SIEM solution focused on Cyber Security Intelligence. Unifies Log Management, Security Analytics and Compliance. Smartly designed, NoSQL and hdfs embedded architecture keeps the capabilities of clustering, vertical and horizontal scalability, support for both centralized and distributed scenarios, fast indexing and real time monitoring. Simplified and flexible deployment, user-friendly platform and diligent technical support team are our hints of being the most preferred SIEM solution in Turkey. Logsign aims to offer the best affordable enterprise wide solution so you can improve your security by generating higher ROI. Logsign established at 2010 and upgraded to next generation architecture at 2012. Since then, hundreds of SMBs and more than 400 local and global enterprises have installed Logsign, and we still focus on creating value for our customers.

Pin It

2 thoughts on “SIEM (Security Information & Event Management) Nedir?

  1. Ertuğrul AKBAŞ 21 Aralık 2016 at 22:03 - Reply

    Bu makalede yaklaşım eksik. SIEM=Korelasyon ve şimdilerde UBA analizi. İlk 5 olarak verilen ürünlerin bazılarında ne korelasyon motoru ne de UBA var. Aynı korelasyon !!! kategorisinde NASDAQ a açık ürün(ler) listede yok iken bu ürünlerin en ilkel hallerini temsil eden ürün(ler) listede. Sanırım makale olaya sadece log Search ve rapor olarak bakmış. Bu açıdan en azındna ELK yı eklemeliydi diye düşünüyorum. Mesela Neden Splunk yok ? Alien Vault u Intel in önüne geçiren ne? vb..

  2. Ticari kaygılarla yazılmış, Türk milli:)) öpen source çözümlerden bahsedilmemiş hiç

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.