SIEM neden gerekli ?

 


SIEM neden gerekli?

  • Kim hangi bağlantıları kurdu? 
  • Kim hangi dosya ya erişti ? 
  • Kimler hangi dokümanları print etti? (print server mimarisi ile) 
  • Kimler hangi IP adresini aldı? 
  • Kimler hangi saatle VPN bağlantısı kurdu? 
  • Başarılı password değişiklikleri ? 
  • Belirli zaman aralıklarında kimler oturum açtı? 
  • Bilgisayar adı, IP adresi, 
  • Bilgisayar hesabı ya da kullanıcı hesabı yaratıldı mı? 
  • Bu IP adresleri ile nerelere erişildi? 
  • Domain admin hesabına kullanıcı eklendi mi? 
  • Donanım değişikliği yapıldı mı? 
  • Erişilen dosyalardan silinen var mı? 
  • MAC adresi değişikliği oldu mu?
  • P2P program kullanan var mı? 
  • Port scan yapıldı mı? 
  • Sistem yöneticileri takip ediliyor mu? 
  • Sisteme uzak bağlantı sağlandı mı?
  • USB bellek kullanımı oldu mu? 
  • Virüs bulaştı mı?
  • Virüslü bir siteye erişim denemesi oldu mu? 

Yukarıdaki soruları çoğaltabiliriz...

Log yönetimi; Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği (BG) Yönetim Standardında log (iz kaydı) yönetiminin önemi vurgulanmaktadır.

ISO 27001, COBIT, FISMA, SOX, gibi uluslar arası standartlar log yönetimini zorunlu kılmaktadır. Ülkeden ülkeye değişen kanuni zorunluluklar da log yönetimini şart koşmaktadır. İşte bu Log'lara bakarak yukarıdaki sorulara cevap bulabiliriz.

Log yönetim sistemleri ile bu log'lar toplanabilir fakat firmalar için bu yeterli değildir.

Toplanan bu log’ ların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin bu sebeple SIEM (Security Information and Event Management) sistemleri büyük önem taşımaktadır.

Yukarıda saydığımız olaylar ile ilgili olarak tanımlanan koşulların oluşması durumunda bu durumları haber veren bir yapının olması gerekiyor işte SIEM de bu noktada devreye girerek avantaj sağlıyor.

Ağımızda birçok noktadan ve yüzlerce cihazdan alınan log’ lar ile ;

  • Ağ tehditleri gerçek zamanlı olarak izlenip yakalanması, 
  • Analiz edilmesi, hızlı bir şekilde aksiyon alınmasının sağlaması, 
  • Adli soruşturmaların hızlıca ve kolayca yapılmasının sağlaması,
  • Log’ların ve event’lerin raporlanması ve Grafik Kullanıcı Arayüzü tabanlı gösterilmesi,
  • Ağda bulunan farklı cihazlardan alınan farklı biçimlerdeki log’ ların anlamlı olarak ilişkilendirilmesi,
  • False Positive olayların sayısını düşürülmesi vb... özellikleri ile sistem yöneticileri için çok büyük kolaylıklar ve avantajlar sağlar. 

Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur.

Bu log' lar arasında oluşabilecek kombinasyonları göz önünde bulundurursak birikmiş log'ların üzerinden arama-tarama, raporlama ve arşivleme ile herhangi bir tehdidin yakalanması mümkün değildir. 

Bunun için gerçek anlamlandırma yapılmalı (korelasyon) ve bun anlamlandırma özelliğine sahip SIEM ürünlerinin kullanılması gerekmektedir. 

Bir SIEM çözümü aşağıdaki durumlar gibi tehdit içeren milyarlarca veriyi tarayıp anlamlandırıp tespit edebilir. 

Bu durumlara kısaca örnekler vermek gerekirse;

    1.Aynı IP den farklı kullanıcı adları ile aynı bilgisayara 10 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP den herhangi bir makinaya oturum açıldı mı? "evet" ise uyar !

    2. Bir IP den tarama yapıldı ise ve sonrasında aynı IP den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP den tarama yapılan IP ye geriye bağlantı kuruldu mu? "evet" ise uyar ! 

    3. Birbirinden tamamen farklı dış IP lerden aynı hedef IP ye dakikada100 adetten fazla bağlantı oluşuyor mu? "evet" ise uyar !

    4. Aynı dış IP ve farklı portlar dan aynı hedef IP ye dakikada100 adet bağlantı oluşuyor mu? "evet" ise uyar! 

    5. Aynı kullanıcı, aynı makineye saatte 3 den fazla başarısız oturum açmayı denedi mi "evet" ise uyar !

    6. Aynı kaynak IP den 1 dakikada100 adet paket UTM/FireWall tarafından bloklanıyor mu? "evet" ise bir defa uyar! ve bir saat içerisinde tekrar uyarma.(DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. 


Hepsi için mail gönderirse kendi kendinizi DDOS a maruz bırakmış olursunuz) 

Yukarıdaki sorular çoğaltılabilir, ağımızda bunun benzeri bir çok olay oluşuyor işte bunları anlamlı hale getirip işlemler yapmak IT yöneticilerinin ne kadar zamanını alacağını ve bunlara yetişip yetişemeyeceğini göz önünde bulundurursanız ne kadar bir risk ile karşı karşıya olduğunuzu da anlamış olursunuz.


Bir insanın, bir ekibin bu dataları anlamlı hale getirmesi mümkün belki fakat bunları anlamlı hale getirene kadar kaybedilen zaman, sisteminizin çoktan riske maruz kalması ve önemli bilgilerin kaybolması , sistemin durması gibi kritik süreçleri oluşturacaktır.


İşte tam bu noktada devrede olan SIEM çözümleri sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespitini ve erken uyarısını oluşturarak bu riskleri bertaraf etmenizi sağlar.


Logsign SIEM&SOAR




Orjinal : https://www.linkedin.com/pulse/siem-neden-gerekli-ufuk-dilek/




Yorumlar