Nedir Şu SIEM? Ne işe Yarar ?

Tuncay ÖZER Tuncay ÖZER


Nisan 2020 Siber Güvenlik (12) 0


Nedir Şu SIEM? Ne işe Yarar ?

Korona virüsün etkili olduğu şu günlerde, Siber Güvenlikte gelişen teknolojiye istinaden siber saldırganlarında saldırı yöntemlerinin her geçen gün değişime uğraması ve saldırganların siber güvenlikçilere göre normalde 1 adım önde olduğu kaçınılmaz olmuştur. Önceleri bilgi teknolojileri log gereksinimi yalnızca sistemler üzerindeki hataların kaynağını tespit etmeye yönelik olması ve bu kontroller manuel olarak personeller tarafından yapılmaktaydı.

Korona virüsün etkili olduğu şu günlerde, Siber Güvenlikte gelişen teknolojiye istaneden siber saldırganlarında saldırı yöntemlerinin her geçen gün değişime uğraması ve saldırganların siber güvenlikçilere göre normalde 1 adım önde olduğu kaçınılmaz olmuştur. Önceleri bilgi teknolojileri log gereksinimi yalnızca sistemler üzerindeki hataların kaynağını tespit etmeye yönelik olması ve bu kontroller manuel olarak personeller tarafından yapılmaktaydı. Daha sonraları gelişen teknoloji ile birlikte ortaya çıkan yeni sistemler, beraberinde çok fazla veri ile bu verilerin standartının olmamasından dolayı gerçek problemleri tespit etmeyi zorlaştırdı. 

Saldırı tekniklerinin her geçen zaman içinde gelişip değişik bir yapı alması hem de saldırganların yöntem ve araçlarını sürekli değiştirmeleri elde edilen istihbaratın ve toplanan bilgilerin hala güncelken zamanında ve etkin bir şekilde değerlendirilmesi ihtiyacı doğmaktadır. 

Saldırıların sistemlerde bıraktığı izler genelde IP adresleri, host ve domain isimleri, e-posta adresleri, dosya isimleri ve dosya hash’leri olarak karşımıza çıkmaktadır. Şimdi genel bir tanım yapalım. 

SIEM (Security Information Event Management), türkçe olarak bilişim dünyasında Siber Olay Bilgilerini Yönetme,  tüm kuruluşun altyapısını oluşturan sistem verilerinin merkezi olarak toplanıp standartize edildiği, tehditlerin önceliklendirme yoluyla analiz edildiği, farklı sistem loglarının birleştirilerek (korelasyon) kurallar yazıldığı ve güvenlik tehditlerinin gerçek zamanlı izlendiği bir teknoloji olarak ortaya çıkmıştır.

Yukarıda kısmi altyapı donanımları ve yazılımlarının olduğu şekilde görüldüğü üzere bilgi teknolojisi altyapılarında oluşturulan rol ve alarmların gerçek zamanlı olarak log kayıtlarının tutulması zorunluluğu ve log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun nerede, ne zaman, ne şekilde yapıldığını büyük bir efor harcayarak sağlayabilir veya eksik bilgi elde edebilme ihtimalini artırmaktadır. 

Cihazlar üzerinde oluşan alarmlara göre aksiyonlar belirlenip uygulanır ve Logların tek bir merkezde toplanıp analiz edilmesi işlemi güvenlik analisti için oldukça kolay gözüksede yapı büyüdükçe karmaşık bir hal almaya başlamaktadır. 

Kurumlar; tehdit aktörleri, istismar kodları, zararlı yazılımlar, zafiyetler, göstergeler, tehditin kapasitesi, arkaplanı/altyapısı, motivasyonu, amacı, kaynağı gibi kritik unsurlara ait verilerin toplanıp değerlendirilmesi ve bunların bir saldırıya dönüşemeden savunma mekanizmalarının harekete geçirilmesi gibi süreçleri kapsayan, siber güvenlik tehditlerini daha gerçekleşmeden önlenmesini sağlayarak güvenlik seviyelerini taktiksel ve stratejik anlamda güçlendirme amacındadır. Bu amaç ayrıca süreç tehdit profillerinin çıkarılmasını, sabit veya tekrarlayan tehdit vektörlerine karşı proaktif savunma yöntemlerinin geliştirilmesinde, tehdit istihbaratı güvenliğinde alınacak kararlarda önemli bir operasyonel süreçleri ve analizlerini belirler. 

SIEM bu hususta oluşturulacak rollerin ve bu rollere ilişkin yapılacak alarm loglarını toplar, loglar üzerinden oluşturulacak korelasyon kapsamında sistemler üzerindeki anormal davranışların tespit edilmesini sağlar. Böylece merkezi bir güvenlik izleme sistemi oluşarak gerçek zamanlı analiz yapılmasını sağlamaktadır. 

Temel olarak SIEM şunları sağlar :

Saklama (Retention): Verilerin uzun süre saklanmasını sağlar.
Gösterge Tabloları (Dashboards): Verileri görselleştirerek anlamlandırır.
Korelasyon (Correlation): Farklı kaynaklardan gelen verileri analiz edip benzer ve ortak özellikleri paylaşan paketleri sıralayarak güvenlik tehditlerinin tespit edilmesini kolaylaştırır.
Uyarı (Alerting): Yazılan kurallara eşleşen alarmları e-posta , kısa mesaj ya da kontrol paneline bildirim olarak gönderir.
Veri Toplama (Data Aggregation): SIEM üzerinde toplanan aynı verilerin tekilleştirilmesini sağlar.
Uyumluluk (Compliance): Uyum standartlarına uygun protokoller oluşturulabilir.

SIEM'de oluşturulabilecek kural ve alarm türlerine örnek olarak;

  • Oluşturduğunuz VPN ağına, Dışarıdan şirket ağına VPN aracılığıyla yabancı bir ip adresi ile bağlanılırsa alarm oluştur.
  • Şirket web sitesine aynı ip adresinden 10 saniye içerisinde 100’dan fazla GET isteği gelir ise alarm oluştur.
  • Resmi tatil günlerinde sunucularda hesap ve/veya uygulamada oturum açılır ise alarm oluştur.
  • Mail sunucusundan çok fazla mail gönderiliyor ise alarm oluştur.
  • vb. ihtiyaçlarınıza göre kural ve alarmlar oluşturabilirsiniz.

SIEM ile yapılabilecekler; [1]

- Kurum ağında kendi komuta-kontrol merkezleri ile haberleşen makineleri, botları veya zararlıları saptamak
- Tehdit istihbaratı platformları tarafından tanımlanan “kötü” kaynaklara işaret eden alarmların öncelik sırasını yükselterek korelasyon kurallarını denetlemek ve baseline ayarlarını iyileştirmek
- Tehdit istihbaratı kaynaklarından gelen veriler baz alınarak bir olayla ilişkilendirilmiş olan öğeleri karakterize etmek (örn. bu IP’nin geçmişi nedir?)
- Geçmiş log verilerini güncel tehdit istihbaratı verileriyle tarihsel olarak eşleştirmek
- Geçmiş tehdit istihbaratı verilerini olaylar ve alarmlar açısından gözden geçirmek (örn. eski tehdit istihbaratı feed’lerinde bu IP ile ilgili herhangi bir girdi var mı?)
- Tehdit tarihçesini ve Tİ verilerini aynı anda gözden geçirmek, SIEM raporlarını ve trendleri izleyerek tarihsel Tİ veri havuzunu analiz etmek

- Tehdit istihbaratı verilerini baz alarak otomatik aksiyon seçeneğini devreye almak
- SIEM’de Tİ verimliliğini ölçen raporlama üretmek
- Web sunucu loglarından kaynak IP adresine göre ziyaretçilerin profilini çıkarmak ve kısıtlamaları kötü listelerde yer alan sitelere indirgemek
- Tİ verilerini alarmlar, raporlar ve aramalarda kullanmak ve diğer monitoring görevleri için bağlam olarak kullanmak

Kaynaklar:

[1] - https://www.beyaz.net/tr/guvenlik/makaleler/siber_tehdit_istihbarati_ve_siem.html

siem , siber güvenlik ,