SIEM, denilen bileşen, sistemlerden logları toplar, anlamlandırıp alarm üretir ve raporlar. SIEM ‘in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.
Örnek olarak kartlı girişe sahip bir ofis düşünelim. O gün ofise gelmemiş bir personelin ofis bilgisayarından 4624 logon type 2 logu gelmesi muhtemel bir saldırıdır. 4624 logon type 2 logu interaktif bir şekilde bilgisayara login olma logudur.
SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.
SIEM’in Çalışma Mekanizması Nedir?
- Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
- Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
- Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
- Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
- SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek
Lider SIEM Ürünleri Nelerdir?
SIEM (Security Information and Event Management) Türkçe olarak “Güvenlik Bilgileri ve Olay Yönetimi” olarak çevrilir. SIEM çözümleri, bir ağda real time olarak neler olduğuna dair bütünsel bir görünüm sağlar ve BT ekiplerinin güvenlik tehditlerine karşı mücadelesinde daha proaktif olmalarını sağlar. SIEM, açılımları “Güvenlik Bilgi Yönetimi” olan SIM ve “Güvenlik Olay Yönetimi” olan SEM’in birleştirilmiş halidir.
SIEM, özünde bir veri toplayıcı, arama ve raporlama sistemidir. SIEM, ağ ortamından çok büyük miktarda veri toplar(log), bu verileri birleştirir ve insanlar tarafından erişilebilir hale getirir. Verileri kategorilere ayırır ve düzenleyerek, güvenlik kuralları yazmaya uygun hale getirir. SIEM’in bilinen diğer özellikleri şu şekildedir;
- Temel Güvenlik İzleme
- Gelişmiş Tehdit Algılama
- Adli Bilişim ve Olay Müdahalesi
- Günlük Toplama
- Normalleştirme
- Bildirimler ve Uyarılar
- Güvenlik Olayı Tespiti
- Tehdit Yanıtı İş Akışı
Lider SIEM Ürünleri Nelerdir?
SIEM için yayınlanan güncel rapora göre, lider sınıfına giren yerli ve yabancı 16 SIEM ürünü şu şekilde sıralayabiliriz:
- IBM QRadar
- Splunk
- FortiSIEM
- Exabeam
- LogRhythm
- Rapid7
- Securonix
- Dell/RSA
- McAfee ESM
Ülkemizde ve global çapta azımsanmayacak seviyede pazar payı bulunan SIEM ürünleri bulunmaktadır. Bu ürünlerden bazıları şunlardır:
- AlienVault
- ArcSight
- Micro Focus
Ülkemizdeki yerli ve milli olarak üretilen SIEM ürünlerimiz de mevcuttur. Global çapta üretilen SIEM ürünleri ile yarışabilecek teknik kabiliyetlere sahip yerli ürünlerimiz şunlardır:
- Cryptosim
- Logsign
- SureLog
- LogRhythm
Hem ülkemizde hem global çapta FortiSIEM, QRadar ve Splunk gibi lider SIEM ürünleri; kullanım kolaylıkları, işlevsel ve grafiksel raporlama yetenekleri, log aggregation (toplama) özellikleri ile diğer SIEM ürünlerinden EPS değeri olarak daha düşük değer göstermeleri ve buna bağlı olarak daha hesaplı lisanslama ücretleri sağlar. Ayrıca beslendikleri threat intelligence (tehdit istihbaratı) kaynaklarının fazlalığı ve bu kaynakların güvenirliği, default gelen korelasyon sayısı gibi çeşitli artılar sayesinde kendilerini diğer ürünlerden ön plana çıkarır.
Yerli SIEM ürünleri ise global ürünlerden farklı olarak fiyat, destek süresi, yerli yasal regülasyonları karşılama(KVKK, 5651) gibi çeşitli avantajlara sahiptir. Günümüzde SOC hizmeti veren büyük çaplı entegratör firmaların da yerli SIEM ürünlerini tercih ettiğini göze alarak yerli ürünlerin de yeterli bir hizmet sağladıklarını söylemek mümkündür.