Webinar’a Katılın | Siber Tehditlere Karşı Güçlü Koruma

Log Analizi

Bilgisayar ağlarında kullanmış olduğumuz ağ cihazları gerçekleşen olaylar hakkında kayıt yapma özelliğine sahiptirler.Bu kayıtlar ile ağ üzerinde gerçekleşen olayların teyit edilmesi ve zarar verecek olaylarda ise gerekli önlemlerin alınması sağlanmaktadır.Bu anlattığımıza ise Log Analizi denilmektedir.Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır.

 

Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ve ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden başlatıldığına dair önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.

SIEM(Security Information and Event Management)

SIEM türkçe karşılığı Bilgi Güvenliği ve Kayıt Yönetimi şeklinde karşımıza çıkmaktadır.Log analizine göre ince detaylı araştırması ve gelişmiş sistemiyle daha iyi raporlama seçenekleri sunmaktadır.Bir kuruluşun güvenliği ile ilgili birçok veri birden fazla yerde oluşturulmuştur ve SIEM sitemi, tüm bu verileri tek bir bakış açısıyla analiz edebilmeyi, trendleri tespit etmeyi ve sıradan olmayan modelleri görmeyi kolaylaştırır.SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.  Bir SIEM sistemi, analiz için günlük veri analizlerini ve güvenlikle ilgili birçok belgeyi tek bir platformda toplar. Bir işletmeyi karmaşık siber tehditlerden korumak çok zor bir süreçtir. İlişkili olmayan olaylar gibi görünen güvenlik tehditleri hakkında görünürlük ve eyleme dönüştürülebilirlik, güvenli bir danışmanlık hizmeti olmadan yapılmaya çalışılırsa, kuruluş için hem itibar hem de mali açıdan risk oluşturur.

SIEM sistemlerinde,Farklı formatlardaki log kayıtlarının ortak bir veriye dönüştürülmesi işlemine normalleştirme, olaylar arasında bağlantı kurulmasına korelasyon, birden fazla kaydı tutulan olayın teke indirilmesini sağlayarak verinin boyutunu düşürme işlemine ise birleştirme denilmektedir.

 

SIEM’in Önemi

Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır.Bu ağlara bağlanan cihazların sayısındaki artış ile ağlara sızılması olasılığının da artmasına neden olmaktadır. Bu durumda şirketler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda yapılacak güvenlik adımlarını kararlaştırmak durumundadırlar.Bu durumda Ekibimiz, ağlar, ana bilgisayarlar ve kritik uygulamalardaki güvenlik olaylarından meydana gelen logları toplar, ilişkilendirir, analiz eder ve depolar. Bunun ile birlikte eksiksiz ve etkili tehdit algılama, olay yanıtı ve uyumluluk yönetimi için gerekli olan temel güvenlik özelliklerini kullanır. Sertifikalı güvenlik uzmanlarımız, herhangi bir zararlı etkinliği tespit etmek, araştırmak ve gerçek zamanlı olarak tehditlere anında yanıt vermek için çalışırlar. SIEM / Log yönetim hizmetlerimiz ağınızda meydana gelen güvenlikle ilgili olayları daha iyi görmenizi sağlar.Bununla beraber,FISMA,FFIEC, PCI DSS, GLBA,COBIT, ISO 2700, HIPAA ve SOX gibi endüstri yönetmelikleri, kuruluşların BT altyapısındaki log verilerini koruma, yedekleme ve analiz etmelerini zorunlu kılmaktadır.

SIEM Aşamalarımız:

  • Boyutlandırma, raporlama ve uyumluluk gereksinimlerinin girişi
  • Log/ SIEM altyapısının uygulanması
  • Raporlama ve uyarı işlevlerini yapılandırma desteği
  • Sistem işlemleri veya gerektiğinde yönetilen hizmet için destek
  • Sürekli destek ve altyapının düzenli optimizasyonu, günlüğe kaydetme ve raporlama
  • Arşivleme ve toplanan günlüklere erişim kontrolü

 

SIEM & LOG Yönetimi Hakkında Merak Edilen Sorular

Neden SIEM & Log Yönetimi Hizmeti Kullanmalıyım?

SIEM hizmetinin bir ihtiyaçtan çok bir zorunluluk olduğunu düşünüyoruz, çünkü SIEM ürünlerinin faydaları bir kuruluşun kurum genelinde güvenlik olaylarının “büyük resmini” görmesini sağlar. SIEM, kurumsal güvenlik denetimlerinden, ana bilgisayar işletim sistemlerinden, uygulamalardan ve diğer yazılım bileşenlerinden güvenlik günlüğü verilerini bir araya getirerek, içinde gizlenen saldırıları ve tehlikeleri belirlemek için büyük miktarda güvenlik günlüğü verilerini analiz edebilir. Bir SIEM genellikle, başka hiçbir ana bilgisayarın tanımlayamadığı kötü amaçlı etkinlikleri tanımlayabilmektedir, çünkü SIEM, kurum çapında görünürlüğü olan tek güvenlik kontrolüdür.

SIEM ve Log Yönetimi Arasındaki Fark Nedir?

Bazı yönlerden, güvenlik bilgileri ve olay yönetimi (SIEM), işletmelerin ağ güvenlik açığı ve performansına bakmak için kullandıkları normal, ortalama olay günlüğü (event log) yönetiminden farklıdır. Bununla birlikte, çeşitli teknolojileri bir arada ifade edebileceğimiz bir terim olarak SIEM, olay günlüğü yönetimi (event log management) ve izlemenin temel prensibi üzerine inşa edilmiştir. En büyük fark, ilgili teknikler ve özellikler olabilir.

SIEM ve Log Yönetimi Hizmetinde Hangi Yazılım Araçları Kullanılır?

SIEM ve Log Yönetimi hizmetinde kullanılan yazılım araçlarına;SolarWinds Security Event Manager ManageEngine EventLog Analyzer Micro Focus ArcSight ESM Splunk Enterprise Security LogRhythm Security Intelligence Platform AlienVault Unified Security Management RSA NetWitness IBM QRadarörnekleri verilebilir.