GÜVENLİK BİLGİLERİ OLAY YÖNETİMİ
SIEM açılımı ‘’Security Information an Event Management’’ demektir. Gelişmiş bir sistem olan SIEM diğer analiz sistemlerine kıyasla daha detaylı bir yapılandırma ve raporlama alternatiflerine sahiptir. SIEM’in en can alıcı niteliklerinden biri de belirlenmiş kural ve politikaların yardımıyla bağımsız gibi gözüken olaylar arasında anlaşılır bağlantılar kurup muhtemel saldırıların tespit edilmesini sağlayan korelasyon tekniğinin olmasıdır.
SIEM elemanları çevredeki birimlerden tutunda en uzaktaki kullanıcıları kapsayan sistemlerin üretmiş olduğu log merkezi bir biçimde toparlayan, analiz edip saklayan önemli sistemlerdir. SIEM’in birçok sistemden loglanmış farklı türden olay kayıtlarını ortak veri modeline dönüştürmesi işlemleri normalleştirme olarak bilinir. Korelasyon süreci daha önceleri belirlenmiş olan politika ve kurallar yardımıyla farklı sistemlerden ya da uygulamalardan gelen olayları bağlantılı hale getirip güvenlik saldırılarının tespiti ve harekete geçilmesine yardım eder. Birleştirmeyse olayların çok sayıda kaydının tutulmuş olması ve bunların tek kayda indirgenerek analiz edilen verilerin hacmini düşürüp, işlemleri hızlanmasına yardımcı olur.
SIEM Çalışma Sistemi
-
Toplanmış logların bütünsel bir formata dönüştürülmesi, olayların saldırı tarzına göre sınıflandırılması tekniklerini kullanıp, normalleştirme ve kategorize adımlarının uygulanmasını sağlamak,
-
Bağımsız olayların arasındaki bağlantının sağlanması ya da olayların bilgilerle ilişkilendirilmesi,
-
Yönetime SNMP ya da SMS mesajlarıyla bildirim ve alarm oluşturmak,
-
Toplanmış olan veriler ve korelasyon sonuçlarının gerçek zamanlı olmasını sağlamak ve güvenlik uzmanlarına bunun sunulması için bir panel oluşturmak,
-
SIEM ürünlerinin toplamış oldukları bilgilerin analiz süreçlerini ele alan raporların üretilmesi.
SIEM Neden Önemlidir?
SIEM ürünleri gerçek zamanlı güvenlik analizi ve raporlama sağlayıp ağlara ait bütün tehditlerin tespit edilmesini sağlarlar. Ağ güvenliğiyle alakalı tehlikeler hızlı bir biçimde yayılır ve her geçen gün yenileri ortaya çıkar. Uzaktan erişim noktaları ve ağlara bağlanmış cihazların sayısındaki artışın ağlara sızma noktalarının çoğalmasına sebep olur. Bilişim sektöründeki uzmanlar ise ağların karşılaştıkları tehditleri algılamak adına birçok kaynaktan toplanmış verilerin analizi ve sonucunda atılması gereken adımların karara bağlanması durumunda kalırlar. Saldırı tespiti, sanal izlerin kaybedilmesine imkân tanımayacak biçimde daha çok zararın engellenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehdidinin gerçek zamanlı şekilde gözlemlenmesi gibi önemli faaliyetleri oluşturan SIEM tabanlı ürünler, sunucu, güvenlik duvarı, ağ geçitleri ve diğer tüm kritik BT bileşenlerinin saldırı tehdidiyle alakalı rapor hazırlarlar.