SIEM Nedir? Nasıl Çalışır? Türleri Nelerdir?
SIEM bütün IT altyapısı genelinde birçok farklı kaynaktan gelen etkinlikleri toplayan ve analiz eden bir yazılım aracıdır. SIEM, Security Information and Event Management’ın kısaltmasıdır.
Sistem altyapısında çalışan SIEM aracı, ağ cihazları, sunucular, etki alanı denetleyicileri vb. bilişim sistemlerinden güvenlik verilerini toplayarak, eğilimleri keşfeder. Altyapıda ortaya çıkan tehditleri tespit etmek ve şirketlerin herhangi bir uyarıyı araştırmasını sağlamak için bu verileri depolar, anlamlı bir hâle getirir, toplar ve bu verilerin analizini yapar. Sisteminizde yer alan iyi yapılandırılmış bir SIEM, siber güvenlik ekibine, oluşabilecek tehditlere karşı aktif bir bakış açısı kazandırmaktadır.
SIEM aracısının şirket altyapınızda olması için önemli bir başka konu da yasal olarak uyum sağlamada kolaylık tanımasıdır. Her kurum kendi bulunduğu ülkenin yasalarına tabidir ve bu yasalara uymak zorundadır. Ülkemizde kurumlar Kişisel Verilerin Korunması Kanunu’na (KVKK) uyum sağlamalıdır ve bu Kanun uyarınca bireylerin bilgilerini koruma altına almaktan ve verilerin güvende kalarak üçüncü kişilerin eline geçmemesinden sorumludur. Bu kapsamda bazı tedbirler almak zorundadırlar. SIEM bu Kanun’un gerektirdiği tedbirleri önleyici senaryolar üzerinden tanımlamanıza imkân vermektedir. SIEM üzerinden oluşturulabilen kodlar vasıtasıyla KVKK ile uyumlu maddeler oluşturularak sistem altyapınız Kanun ile uyumlu hâle getirilmektedir. Bu sayede Kanun’un amacı olan veri kaybının önlenmesi sağlanmış olur.
SIEM nasıl çalışır?
SIEM olay müdahale ekibine iki temel olanak sağlamaktadır. Bunlar;
- Güvenlik tehditleri hakkında raporlama
- Güvenlik sorununu belirten ve tüm sorunlar tespit edilip anlamlı bir hâle getirildiğinde analizlere dayalı uyarıları gösterme
SIEM temelinde bir veri toplayıcı, arama ve raporlama sistemidir. SIEM, tüm ağ ortamınızdan büyük miktarda verileri toplar, birleştirir, analiz ile anlamlı bir bütün hâline getirir ve bu verileri insanlar tarafından erişilebilir hâle sokar. Kategorize edilmiş ve parmaklarınızın ucunda düzenlenmiş verilerle, veri güvenliği ihlallerini gerektiği kadar ayrıntılı olarak araştırmanıza imkân sunar.
SIEM ürünlerinde gerçek zamanlı logların (günlüklerin) izlenmesini kolaylaştıran dashboard denilen görsel tablolar mevcuttur. Loglara ait verilerden oluşan paneller vasıtasıyla analistler işlerini daha kolay yapmaktadırlar. Büyük boyutlardaki logları zamana endeksli okuyup anlamlandırmak zordur. SIEM aracı bu zorluğu giderme üzerine de dashboardlar ile çözüm sunar. SIEM aracı üzerinde oluşturulan dashboard ekranlarının amacı aslında olası bir siber saldırıdan erken haberdar olmak ya da ortaya çıkan anormal durumun tespitini görsel anlamda kolaylaştırmaktır.
SIEM türleri nelerdir?
SIEM'i bir kuruluşun siber güvenliğinin parçası olarak uygulamak üç şekilde mümkündür:
- Şirket içi
- Bulut tabanlı
- Gözetimli
Şirket içi SIEM: Bu kurulumda şirket, SIEM çözümü üzerinde nihai kontrol sahibidir. Şirket içi SIEM’i fiziksel tesislerinde uygulamak için gerekli donanım ve yazılımı satın alır. Genel bir uygulama olarak SIEM, bir kuruluşun Güvenlik Operasyonları Merkezi'nin (Security Operation Center, SOC) bir parçası hâline gelir. Bu şekilde kuruluşlar, bu şirket içi SIEM'i güvenlik ihtiyaçlarını karşılayacak ve istediği gibi güncellemeleri gerçekleştirecek şekilde özelleştirebilir.
SIEM’in bu şekilde kullanımında üçüncü tarafların katılımı söz konusu değildir ve güvenlikle ilgili tüm bilgiler şirket içinde kalmaktadır. Kurum içi bir SIEM kurulumunu mevcut sistemlerle entegre etmekten, log kaynaklarını yapılandırmaktan, uyarıları özelleştirmekten ve çalışanları eğitmekten sadece kuruluşun kendisi sorumludur. Şirket içi SIEM kurulumları, yüksek bir yatırım ve bakım maliyeti gerektirmektedir. Ayrıca kullanımı takip eden süreçte yamalar ve güncellemeler için gider kalemi oluşturmak gerekir.
Bulut tabanlı SIEM (Cloud-based SIEM): Bulut tabanlı SIEM kurulumu kullanımı, bulut bilişim teknolojisinin küresel olarak benimsenmesiyle önemli bir popülerlik kazanmıştır. Bulut tabanlı SIEM çözümleri abonelik satın alarak kullanılmaktadır ve donanımın bakımına ilişkin sorumluluklar kurumlar için minimum düzeydedir. Şirket içi SIEM’deki gibi büyük miktarda ilk yatırım yapmak yerine, aylık ya da yıllık abonelikler ile kurulum yapılmaktadır. Kuruluşların bu modelde SIEM çözümlerinin tüm potansiyelini kullanamadığı düşünülmektedir. Şirket içi SIEM aracı kullanımında tüm sistem, kuruluşun altyapısına uygun hâle getirilmektedir. Ancak burada bulut teknolojisi kullanıldığı için bilgiler kuruluşa tamamen ait olmayan ya da kuruluş tarafından kontrol edilmeyen yerlerde bulunmaktadır. Bu da tüm süreçten haberdar olmayı ve etkin olmayı şirket içi SIEM kullanımına göre daha az sağlamaktadır.
Gözetimli SIEM (Managed SIEM): Bu model, şirket içi SIEM veya bulut tabanlı SIEM uygulamasını da içerebilir ancak hizmet sağlayıcının uzmanlığının yardımı gerekmektedir. SIEM aracı sağlayıcı yani satıcı, uygulama sırasında kuruma destek sağlar, SIEM çözümü satın alan kurumun kendi güvenlik ekibinin sorumluluğunun olması gerekmez. Yönetilen bir SIEM çözümü, satıcının sunucusunda barındırılır ve olası güvenlik tehditleri için istemci ağını izleyerek gözetimli SIEM modunu oluşturur. Yönetilen SIEM çözümlerini seçmenin birçok sebebi bulunmaktadır. Başlıca nedenlerini şöyle sıralayabiliriz; daha hızlı dağıtım, sistem bakımının düzenli olarak sağlanması, esnek fiyatlandırma seçenekleri ve ihtiyaç üzerine SIEM uzmanlarının bulunması.
Sıkça Sorulan Sorular
SIEM, Security Information and Event Management’ın kısaltmasıdır. Güvenlik bilgileri ve olay yönetimi anlamına gelir. SIEM aracı, işletmelerin altyapısında bulunan ve güvenlikle ilgili tüm olayları izleyerek, analiz etmek için kullanıcı, sunucu, ağ cihazları ve güvenlik duvarları tarafından oluşturulan logları toplamak, depolamak ve analiz etmek için kullanılan merkezi bir sistemdir.
SIEM sıklıkla SIM ve SEM olarak da anılır ve bu kavramlar genellikle birbirinin yerine kullanılmaktadır.
SIM (Güvenlik bilgileri yönetimi): Depolama, analiz ve uyumluluk için log toplama ve yönetimine öncelik verir. Log kayıtlarının toplanması ve raporlanması odaklıdır.
SEM (Güvenlik olayı yönetimi): Gerçek zamanlı izleme, uyarı, tehdit algılama ve güvenlik olaylarının izlenmesi söz konusudur.
SIM’de bilgilerin raporlanması söz konusu iken SEM’de olayların izlenmesi söz konusudur. Ancak ikisinin de birbirinin yerine kullanıldığı sıklıkla görülmektedir.
Şirketin altyapısındaki faaliyetleri incelemek için SIEM aracı işlem yapacaktır. Altyapıdaki olaylar incelenerek tehdit algılanabilecek hareketler belirlenecektir. Araç tarafından tespit edilen tehdidin uygun bir şekilde yok edilmesiyle siber saldırıların önüne geçilmiş olacaktır. Bu sayede veriler korunacak, şirket altyapısına zarar verilmesi engellenmiş olacaktır.
SIEM, bütün veri kaynakları tarafından oluşturulan olay loglarını ve log verilerini kendinde toplayarak çalışmaktadır. Sunucular, ağ cihazları, kullanıcılar, uygulamalar IP’ler ve güvenlik duvarların, olay loglarını birleştirmek, kategorilere ayırmak, tanımlayarak anlamlı bir bütün hâline getirmek için tek bir merkezi sistemde toplanmasını sağlar. Temelinde olay logları bir altyapıda olan bütün etkinliklerin (hataların, bilgi mesajlarının ve uyarıların) bir kaydıdır. Kötü amaçlı olabilecek yazılım etkinlikleri, başarısız oturum açma girişimleri gibi, her şeyi içerebilir.
SIEM aracı, log toplama, log işleme, log analizi ve uyarı analizi başlıklarında işlem yapar. Log toplama adımında uygulamalar, ana bilgisayarlar, ağ cihazları ve ağ trafiği tarafından oluşturulan log ve olay verileri SIEM tarafından toplanır. Log işleme adımında, toplanan veriler, yapılandırılmış bir konuda saklanabilmesi için işlenir (Zaman zaman ayrıştırma işlemi olarak da adlandırılmaktadır). Log analizinde, toplanan veriler gösterge panosuna genel bir bakış kazandırmak ve tehditlerin anlamlı bir bütün oluşturularak çözümlenmesi için analiz edilir. Uyarı analizi adımının bir siber güvenlik uzmanı tarafından gerçekleştirilmesi gerekmektedir. Bir uyarı söz konusu olduğunda, SIEM, bir siber saldırı olup olmadığını belirlemek için daha fazla analiz yapmak üzere siber güvenlik personelini bilgilendirebilir.
SIEM aracının sizin için sunacağı çözümün şirket altyapınızla uyumlu olması gerekmektedir. Şirketinizin için SIEM'in dağıtıldığı şirket içi makinelerin kurulması mı yoksa bulut tabanlı bir SIEM çözümünü kullanmak mı daha uygun? Bunu tespit etmek önemlidir.
SIEM aracı çözümlerinin maliyetleri ve bakımı farklılık gösterebilmektedir. Bulut tabanlı SIEM araçlarının buluta alınan veri miktarına bağlı olarak ek maliyetleri olabilir. Bazı SIEM araçlarında lisans tabanlı abonelikler olabilir.
SIEM'deki algılama kurallarının şirketinizin güvenlik ihtiyaçlarını karşılayacak şekilde yapılandırılması gerekmektedir. SIEM'in varsayılan algılama kuralları kullanılabilir ve genellikle çok çeşitli bilinen saldırıları kapsar. Ancak, her şirketin korunmaya ihtiyacı olan kendi altyapısı vardır. Bu çözümü bir siber güvenlik uzmanı hazırlamalıdır.
SIEM'deki uyarıları takip etmek için özel bilgi ve deneyim gerekmektedir. Bir SIEM aracının bir siber saldırıyı önleyebileceği yanlış bir yaygın inançtır. Hâlbuki SIEM aracında sorun çözümü bu şekilde ilerlemez. SIEM aracı, siber tehditleri erken bir aşamada tespit edebilir ve böylece daha fazla veri kaybının ve güvenlik ihlalinin önüne geçilebilir. Şüpheli bir davranış tespit edildiğinde, siber güvenlik uzmanı tarafından analiz edilerek hangi eylemlerin gerekli olup olmadığı belirlenmelidir. Sistem, bir uzmanın bulunmadığı ortamda kendi başına tehditlerin önüne geçemez.
Ücretsiz SIEM araçları da bulunmaktadır. Lakin hizmet verici kurumlar için ücretsiz SIEM araçlarının kullanılması tavsiye edilmemektedir. Çünkü ücretsiz SIEM araçları genellikle müşteri desteğine sahip değildir veya olsa da çok sınırlıdır. Ayrıca, bu tür SIEM araçları ücretli muadillerine kıyasla daha az kullanıcı dostu ve daha az gelişmiştir. İşletmede kullanılan SIEM aracının maliyeti işletmenin büyüklüğüne bağlıdır. Yazılım maliyetleri, donanım, kurulum ve devam eden hizmetler için personel yükü, bakım maliyeti, siber saldırıların tespit edilmesinden sonra gerekli işlemleri yapacak personel ve bu personellerin eğitimi gibi başka bazı kalemler de SIEM’in maliyetindeki diğer değişkenlerdir.