SIEM (Security Incident and Event Management) nedir ?


SIEM (Security Incident and Event Management) nedir ?

SIEM, Security Information and Event Management olarak ifade edilen ve genelde Bilgi güvenliği Tehdit ve Olay Yönetimi şeklinde çevrilen ürünlerdir. Sistem odasındaki bütün cihazlardan (Firewall, IDS, IPS, aktif cihaz logları, Sistem logları, uygulama logları vb) toplanmış loglar üzerinden tanımlanmış kurallara göre loglar arasında anlamlı ilişkiler kurarak bilgi sistem yöneticilerini uyaran, yönlendiren pasif önleyici sistemlerdir.




SIEM ne fayda sağlar?
SIEM, işletmelerin network sisteminde konumlanan güçlü bir yazılımdır.
Saldırı Tespit Sistemleri (Intrusion Detection System - IDS) yalnızca Paketleri, Protokolleri ve IP Adreslerini anlar. Son kullanıcı güvenlik sistemleri (Endpoint Security) dosyaları, kullanıcı adlarını ve ana bilgisayarları görür. Servis loglarınız kullanıcı girişlerini, servis aktivitesini ve yapılandırma değişikliklerini gösterir. Varlık Yönetim sistemleri uygulamaları, iş süreçlerini ve sahiplerini görür. Ancak bu sistemlerin hiçbiri kendi başınıza iş süreçlerinizin sürekliliğini sağlamak açısından işinizde neler olduğunu anlatamaz, ama SIEM ile birlikte bu sağlanabilir.
SIEM ile işletmeler, aşağıdaki şekillerde kendilerine fayda sağlar:
  • Tek merkezde logların toplanması sağlanır. Mevcut sistemlerde bulunan bilgileri birleştirir, tek bir arabirimden analiz edilmesini ve çapraz referans alınmasını sağlar.
  • Merkezi olarak toplanan loglar üzerinde korelasyon yapılarak istenen her türlü kural seti çalıştırılarak aktif izleme sağlanır.
  • Her bir sistemin logları ayrı ayrı toplandığında elde edilecek sezişten daha fazla anlamlı çıkarımlar sağlanır. Yani farklı kaynaklardan gelen eventler, tek bir cihazdayken görünmez olan davranış kalıplarını tanımlamak için birleştirilebilir ve karşılaştırılabilir.
  • Toplanan loglar işinize özel bilgilerle de eşleştirilebilirler.
  • Korelasyon (ilişki motoru), ağınızda oluşmaması gereken anormalliklerin tespitini otomatikleştirmenizi sağlar.
  • Ağınız, çok miktarda günlük verisi üretir ve saklar. Kötü şeyler aramak adına bu günlüklerin her satırını okumak için yeterince insanı işe alamazsınız.
  • SIEM, sistemlerden gelen loğlarla, sistemlere kendilerine erişim vermeden anlamlı bilgisine erişebilmenizi sağlar.
  • Altyapınızdaki olaylar hakkında uyarmak için güvenlik bilgisini, olaylar ve varlık bilgileri boyunca otomatik aramalarla kodlamanıza ve bir günlük veri denizinde insan analizine bir başlangıç noktası oluşturulmasına olanak tanır.

SIEM TOPLADIĞINIZ BİLGİLER KADAR FAYDALIDIR.
SIEM, mevcut sistemlerinizin ve güvenlik kontrollerinin üzerinde bir yönetim katmanından başka bir şey değildir.
Mevcut sistemlerde bulunan bilgileri birleştirir, analiz edilmesini ve tek bir arabirimden çapraz referans alınmasını sağlar.


Yorumlar