SIEM Nedir? Nasıl Çalışır? Türleri Nelerdir?

Sistem altyapısında çalışan SIEM aracı, ağ cihazları, sunucular, etki alanı denetleyicileri vb. bilişim sistemlerinden güvenlik verilerini toplayarak, eğilimleri keşfeder. Altyapıda ortaya çıkan tehditleri tespit etmek ve şirketlerin herhangi bir uyarıyı araştırmasını sağlamak için bu verileri depolar, anlamlı bir hâle getirir, toplar ve bu verilerin analizini yapar. Sisteminizde yer alan iyi yapılandırılmış bir SIEM, siber güvenlik ekibine, oluşabilecek tehditlere karşı aktif bir bakış açısı kazandırmaktadır.

SIEM aracısının şirket altyapınızda olması için önemli bir başka konu da yasal olarak uyum sağlamada kolaylık tanımasıdır. Her kurum kendi bulunduğu ülkenin yasalarına tabidir ve bu yasalara uymak zorundadır. Ülkemizde kurumlar Kişisel Verilerin Korunması Kanunu’na (KVKK) uyum sağlamalıdır ve bu Kanun uyarınca bireylerin bilgilerini koruma altına almaktan ve verilerin güvende kalarak üçüncü kişilerin eline geçmemesinden sorumludur. Bu kapsamda bazı tedbirler almak zorundadırlar. SIEM bu Kanun’un gerektirdiği tedbirleri önleyici senaryolar üzerinden tanımlamanıza imkân vermektedir. SIEM üzerinden oluşturulabilen kodlar vasıtasıyla KVKK ile uyumlu maddeler oluşturularak sistem altyapınız Kanun ile uyumlu hâle getirilmektedir. Bu sayede Kanun’un amacı olan veri kaybının önlenmesi sağlanmış olur.

SIEM nasıl çalışır?

SIEM olay müdahale ekibine iki temel olanak sağlamaktadır. Bunlar;

1. Güvenlik tehditleri hakkında raporlama
2. Güvenlik sorununu belirten ve tüm sorunlar tespit edilip anlamlı bir hâle getirildiğinde analizlere dayalı uyarıları gösterme

SIEM temelinde bir veri toplayıcı, arama ve raporlama sistemidir. SIEM, tüm ağ ortamınızdan büyük miktarda verileri toplar, birleştirir, analiz ile anlamlı bir bütün hâline getirir ve bu verileri insanlar tarafından erişilebilir hâle sokar. Kategorize edilmiş ve parmaklarınızın ucunda düzenlenmiş verilerle, veri güvenliği ihlallerini gerektiği kadar ayrıntılı olarak araştırmanıza imkân sunar.

SIEM ürünlerinde gerçek zamanlı logların (günlüklerin) izlenmesini kolaylaştıran dashboard denilen görsel tablolar mevcuttur. Loglara ait verilerden oluşan paneller vasıtasıyla analistler işlerini daha kolay yapmaktadırlar. Büyük boyutlardaki logları zamana endeksli okuyup anlamlandırmak zordur. SIEM aracı bu zorluğu giderme üzerine de dashboardlar ile çözüm sunar. SIEM aracı üzerinde oluşturulan dashboard ekranlarının amacı aslında olası bir siber saldırıdan erken haberdar olmak ya da ortaya çıkan anormal durumun tespitini görsel anlamda kolaylaştırmaktır.

SIEM türleri nelerdir?

SIEM’i bir kuruluşun siber güvenliğinin parçası olarak uygulamak üç şekilde mümkündür:

1. Şirket içi
2. Bulut tabanlı
3. Gözetimli

Şirket içi SIEM: Bu kurulumda şirket, SIEM çözümü üzerinde nihai kontrol sahibidir. Şirket içi SIEM’i fiziksel tesislerinde uygulamak için gerekli donanım ve yazılımı satın alır. Genel bir uygulama olarak SIEM, bir kuruluşun Güvenlik Operasyonları Merkezi’nin (Security Operation Center, SOC) bir parçası hâline gelir. Bu şekilde kuruluşlar, bu şirket içi SIEM’i güvenlik ihtiyaçlarını karşılayacak ve istediği gibi güncellemeleri gerçekleştirecek şekilde özelleştirebilir.

SIEM’in bu şekilde kullanımında üçüncü tarafların katılımı söz konusu değildir ve güvenlikle ilgili tüm bilgiler şirket içinde kalmaktadır. Kurum içi bir SIEM kurulumunu mevcut sistemlerle entegre etmekten, log kaynaklarını yapılandırmaktan, uyarıları özelleştirmekten ve çalışanları eğitmekten sadece kuruluşun kendisi sorumludur. Şirket içi SIEM kurulumları, yüksek bir yatırım ve bakım maliyeti gerektirmektedir. Ayrıca kullanımı takip eden süreçte yamalar ve güncellemeler için gider kalemi oluşturmak gerekir.

Bulut tabanlı SIEM (Cloud-based SIEM): Bulut tabanlı SIEM kurulumu kullanımı, bulut bilişim teknolojisinin küresel olarak benimsenmesiyle önemli bir popülerlik kazanmıştır. Bulut tabanlı SIEM çözümleri abonelik satın alarak kullanılmaktadır ve donanımın bakımına ilişkin sorumluluklar kurumlar için minimum düzeydedir. Şirket içi SIEM’deki gibi büyük miktarda ilk yatırım yapmak yerine, aylık ya da yıllık abonelikler ile kurulum yapılmaktadır. Kuruluşların bu modelde SIEM çözümlerinin tüm potansiyelini kullanamadığı düşünülmektedir. Şirket içi SIEM aracı kullanımında tüm sistem, kuruluşun altyapısına uygun hâle getirilmektedir. Ancak burada bulut teknolojisi kullanıldığı için bilgiler kuruluşa tamamen ait olmayan ya da kuruluş tarafından kontrol edilmeyen yerlerde bulunmaktadır. Bu da tüm süreçten haberdar olmayı ve etkin olmayı şirket içi SIEM kullanımına göre daha az sağlamaktadır.

Gözetimli SIEM (Managed SIEM): Bu model, şirket içi SIEM veya bulut tabanlı SIEM uygulamasını da içerebilir ancak hizmet sağlayıcının uzmanlığının yardımı gerekmektedir. SIEM aracı sağlayıcı yani satıcı, uygulama sırasında kuruma destek sağlar, SIEM çözümü satın alan kurumun kendi güvenlik ekibinin sorumluluğunun olması gerekmez. Yönetilen bir SIEM çözümü, satıcının sunucusunda barındırılır ve olası güvenlik tehditleri için istemci ağını izleyerek gözetimli SIEM modunu oluşturur. Yönetilen SIEM çözümlerini seçmenin birçok sebebi bulunmaktadır. Başlıca nedenlerini şöyle sıralayabiliriz; daha hızlı dağıtım, sistem bakımının düzenli olarak sağlanması, esnek fiyatlandırma seçenekleri ve ihtiyaç üzerine SIEM uzmanlarının bulunması.