SIEM (Security Information Event Management) sistemleri; sistemlerin, ağ cihazlarının, güvenlik ürünlerinin(IDS, IPS, Firewall vb.) ve uygulamaların ürettikleri log(günlük) kayıtlarını saklayabilen, gelen kayıtlar içerisinde ilişkilendirme yapabilen(korelasyon) ve kayıtlar içerisinde sorgulamalar yapabilmenizi sağlayan güvenlik ürünleridir.

 

SIEM’in Özellikleri Nelerdir?

Standart bir SIEM ürününde bulunması gereken özellikler şu şekilde sıralanabilir.

  • Log toplama ve saklama
  • Aggregation
  • Normalizasyon
  • Korelasyon
  • Önceliklendirme
  • Alarm, rapor, dashboard
  • Incident Response

Özetle bir SIEM sistemi; günlük kayıtlarını toplar ve saklar, aynı kayıtları tek bir olay olarak gösterir, ardından günlük kayıtlarını bir insanın okuyup anlayabileceği bir formata getirerek kategorize edip, gelen birçok olay arasında bir ilişki kurar ve buna göre de alarmlar ve dashboardlar üretir. Tüm bu işlemlerden sonra ise; önceliklendirme yaparak hangi olayın diğerlerine oranla daha önemli olduğu bilgisini sağlar.

Piyasada şu an çok sayıda SIEM ürünü bulunmaktadır. Bunlardan en yaygın kullanılanlar; IBM QRadar, Splunk, HP Arcsight, McAfee vb.

siem ürünü

Korelasyon Nedir?

İyi bir SIEM ürünün tanımı herkese göre değişebilir. Kimileri en çok satanı en iyi SIEM ürünü olarak tanımlarken, kimileri korelasyon yetenekleri üzerinden ölçümleme gerçekleştirebilir. Birçok faktör SIEM çözümü seçiminde etkili olsa da, bir SIEM ürününün en büyük gücü korelasyon yeteneklerinden gelmektedir.

siem korelasyon

En basit tanımı ile korelasyon; farklı ürünlerden elde edilen log(günlük) kayıtlarının, farklı zamanlarda oluşan olaylar ile ilişkilendirilmesi ve analiz edilmesi olarak tanımlanabilir. Örnek olarak;

  • Port tarama tespiti
  • 5 dakika içerisinde X kere başarısız oturum açma isteği
  • DDoS Saldırısı tespiti
  • HTTP flood atak tespiti

ve benzeri maddeler ile liste uzatılabilir fakat bu örnekleri korelasyondan ziyade alarm olarak nitelendirmek daha doğru olacaktır. Zira korelasyon kurallarını net olarak açıklayacak örnekler daha çok;

  • Bir kullanıcı oluşturulduktan sonra aynı kullanıcı 15 dakika içinde silinirse uyar.
  • Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde 3 defa başarısız oturum açarsa uyar.

şeklinde olacaktır. Tabii ki yalnızca bu gibi kuralları referans alarak bir SIEM çözümünü yeterli veya yetersiz olarak nitelendirmek doğru bir yaklaşım olmayacaktır.

Peki bir SIEM çözümü satın alınırken hangi hususlara dikkat edilmesi gerekiyor?

 

SIEM Çözümü Seçilirken Dikkat Edilmesi Gerekenler

Doğru bir SIEM çözümü, işletmenin güvenlik politikalarına, bütçesine ve diğer faktörlere göre değişiklik gösterebilir. Ancak bir SIEM çözümünün sunması gereken belli özellikler bulunmalıdır. Bu özellikleri şöyle sıralayabiliriz.

 

Ölçeklenebilirlik

Bir SIEM çözümü büyük, orta, küçük veya herhangi bir kuruluşa ölçeklenebilir olmalıdır.

 

Log (Günlük) Formatı Uyumluluğu

 Kullanılacak SIEM çözümünü beslemek için birçok farklı günlük formatı bulunmaktadır. Ürünlerin ürettikleri çıktılar, sizlerin vermiş olduğunuz veriler ile doğru orantılıdır, bu yüzden kuruluşunuza ait verilerin iyi bilinmesi gerekiyor. Birçok SIEM ürünü onlarca farklı günlük formatını desteklemektedir. 

 

Korelasyon

Korelasyonun, SIEM çözümlerinde çok büyük bir yerinin olduğunu belirtilmişti. Kurallar oluşturulurken eşit senaryolarda oluşturulmaz ve hem basit hem gelişmiş yani ileri seviye kuralların kullanım durumlarını destekleyen bir çözüm bulunması o kadar kolay olmayabilir. Bu sebeple korelasyon yeteneklerinin tespiti için detaylı analizler gerekebilir. Bir SIEM ürünü içerisinde barındırdığı korelasyonların çeşitliliği ve daha önce görülmemiş olanları tespit edebilme yetenekleri kadar güçlüdür.

 

Forensic (Adli) Yetenekleri

 Ponemon Institute tarafından IBM adına yapılan en son çalışma raporuna göre, bir saldırganın ağınızda etkin olduğu ortalama süre 280 gündür. Bu sebeple günlük kayıtlarının en az 280 gün saklı tutulması ileride yapılabilecek bir analiz için bir çok kolaylık sağlayabilir.  Geriye dönük günlük kayıtlarında en çok kullanılan hash(MD5, SHA1, SHA256) değerlerinin hesaplanıp deliller sağlama alınmalıdır. Bu sebeple SIEM çözümlerinin avantajları ve dezavantajları bulunmaktadır. 

 

Dashboardlar

Farklı kaynaklardan gelen günlük kayıtları farklı dashboardlar üzerinde yer alır. Özet veriler ile kurum bünyesinden gerçekleşen olayları, grafikler ve tablolar ile görmenize imkan tanımaktadır. Bu dashboardların bir çoğu ön tanımlı olarak gelir ve ilerleyen zamanlarda istenildiği gibi özelleştirilebilmektedir. Dashboardlar, kurum envanterinde günlük kayıtlarının gerçek zamanlı olarak izlemek için iyi bir yoldur. Bunları yapılandırması basit ve kullanıcı dostu olabilmektedir.

 

Olay Müdahale

 Kullanılan SIEM çözümünün şüpheli aktivitelere veya saldırılara aktif yanıt vermesi gerekmektedir. Bu müdahaleler kimi zaman şüpheli bir IP adresi engellemesi olabileceği gibi kimi zaman ise, oturumu kapat, işlemi sonlandır vb. müdahaleler olabilir.

 

Raporlama

Modern bir SIEM çözümü seçiminde raporlama altyapısı bir diğer faktörlerden birisidir. Önceden tanımlanmış raporlama altyapısı kullanıcı dostu ve hızlı bir şekilde sonuç sunması bir avantajdır.

 

Performans

SIEM ürün tercihine etkisi olan bir diğer başlık ise, performans. Ürünün ihtiyaç duyduğu kaynaklar bunlar(RAM, CPU, DISK) olarak sıralanabilir. Ürünün burada gösterdiği performans değerlendirme açısından önemli olabilir.

 Bir SIEM çözümü satın alınırken sıklıkla yapılan hatalar mevcuttur. Makalenin bundan sonrası yapılan hataların bir listesi ile devam etmektedir

 

SIEM Çözümü Seçiminde Yapılan Yanlışlar

  1. Ürünü sadece tek bir amaca yönelik alıp, denetimlerden kurtulmak adına SIEM ürünümüz var diye düşünülmesi.
  2. İsmi duyulan bir marka alıp, SIEM’i kendi halinde çalışmasına bırakmak.(Kur/Unut)
  3. Teknik değerlendirmelerin yapılmaması.
  4. SIEM korelasyonları var deyip, üzerine eklemeler yapmamak.
  5. Tavsiyeler üzerine ürünü satın almak.