SIEM Nedir? Nasıl Çalışır ve Doğru SIEM nasıl seçilir?

SIEM Yazılımı Nedir?

SIEM, kurumsal güvenlik uzmanlarına BT ortamlarındaki faaliyetler hakkında hem içgörü hem de geçmiş performans sağlar. 

SIEM teknolojisi, başlangıçta günlük yönetimi disiplininden gelişerek on yıldan fazla bir süredir varlığını sürdürmektedir. Tehdit izleme, olay korelasyonu ve olay yanıtı sağlamak için günlük ve olay verilerini gerçek zamanlı olarak analiz eden güvenlik olay yönetimini (SEM), günlük verilerini toplayan, analiz eden ve raporlayan güvenlik bilgileri yönetimi (SIM) ile birleştirilmiştir.        

SIEM Nasıl Çalışır?

SIEM, ana bilgisayar sistem uygulamaları, ağ ve güvenlik duvarları ve antivirüs filtreleri gibi güvenlik cihazlarına kadar kuruluşun teknoloji altyapısı genelinde oluşturulan günlük verilerini toplar.

Daha sonra olayları tanımlar, sınıflandırır ve analiz eder. SIEM, iki ana hedefe odaklanır:

• Başarılı ve başarısız oturum açma işlemleri, kötü amaçlı yazılım etkinliği ve diğer olası kötü amaçlı etkinlikler gibi güvenlikle ilgili olaylar ve olaylar hakkında raporlar sağlamak
• Bir etkinliğin önceden belirlenmiş kural kümelerinin dışında çalıştığını ve bu nedenle olası bir güvenlik sorununu belirler ise uyarılar göndermek.

Uzmanlar, daha yüksek güvenlik önlemlerine yönelik kurumsal talebin son yıllarda artığını ve SIEM pazarının hızlı bir gelişim gösterdiğini söylemektedir.

Analitik ve Zeka

Güvenlik operasyonları için SIEM yazılımının kullanılmasının arkasındaki ana faktörlerden biri, piyasadaki birçok üründe bulunan yeni yeteneklere dayanmaktadır.

Artık birçok SEIM teknolojisi, geleneksel günlük verilerine ek olarak tehdit istihbaratı işlemi yapan ve bir etkinliğin kötü amaçlı olup olmadığı konusunda daha fazla bilgi vermek için ağ davranışına ve kullanıcı davranışına bakan güvenlik analitiği yeteneklerine sahip birden çok SIEM ürünü var.

Nitekim, teknoloji araştırma şirketi Gartner, dünya çapındaki SIEM pazarına ilişkin Mayıs 2017 raporunda SIEM araçlarındaki zekaya dikkat çekerek, “SIEM pazarındaki yenilik, daha iyi bir tehdit algılama aracı oluşturmak için heyecan verici bir hızda ilerliyor” açıklamasını yapmıştır.

Gartner raporu, satıcıların ürünlerine makine öğrenimi, gelişmiş istatistiksel analiz ve diğer analitik yöntemleri tanıttığını, bazılarının da yapay zeka ve derin öğrenme yeteneklerini denediğini belirtiyor.

Gartner’a göre satıcılar, daha hızlı algılama oranları sağlayabilen yetenekler gibi ilerlemeleri pazarlıyor. Ancak Gartner, işletmelerin bu yeteneklerin kuruluşa yeni getiriler sağlayıp sağlamadığı konusunda henüz net olmadığına dikkat çekiyor. Yapay zeka ve makine öğrenimi ile çıkarım ve model tabanlı izleme ve uyarı yapabilmektedir.

Forrester Research’te baş analist ve BT yönetimine odaklanan uluslararası bir meslek örgütü olan ISACA’nın eski yönetim kurulu başkanı Rob Stroud, bu tür teknolojilerin umut vaat ettiğini söylüyor.

“Yapay zeka ve makine öğrenimi sayesinde, çıkarım ve model tabanlı izleme ve uyarı yapabiliriz, ancak gerçek fırsat tahmine dayalı geri yükleme. Bu, artık piyasadaki geçiş. Bir izleme aracından [yazılım sağlayan] iyileştirme önerilerine geçiyor ”diyen Stroud, SIEM yazılımının gelecekte düzeltmeyi bile otomatikleştirmesini beklediğini ekliyor.

İşletmelerde SIEM

Gartner’a göre SIEM yazılımı, dünya çapında kurumsal güvenliğe harcanan toplam paranın yalnızca küçük bir bölümünü kapsıyor. Gartner, SIEM yazılımının yaklaşık 2,4 milyar dolar kazanmasıyla, kurumsal güvenlik için küresel harcamaların 2017 için yaklaşık 98,4 milyar dolar olacağını tahmin ediyor. Gartner, SIEM teknolojisine yapılan harcamaların mütevazı bir şekilde artarak 2018’de yaklaşık 2,6 milyar dolara ve 2021’de 3,4 milyar dolara çıkacağı tahminini Covid etkisi olsa bile sürdürüyor.

Analistlere göre, SIEM yazılımı çoğunlukla büyük kuruluşlar ve kamu şirketleri tarafından kullanılıyor .

Bazı orta ölçekli şirketler de SIEM yazılımı olsa da, küçük şirketler buna ihtiyaç duymaz ve yatırım yapmak istemezler. Analistler, yıllık maliyeti on binlerce dolardan 100.000 doların üstüne çıkabileceğinden, genellikle kendi çözümlerini satın almanın dışında fiyatlandırıldıklarını söylüyorlar. Ek olarak, küçük şirketler SIEM yazılımını sürekli olarak sürdürmek için gereken yetenekleri işe alma becerisine ve bütçeye sahip değildir.

Bununla birlikte, analistler, bazı küçük ve orta ölçekli işletmelerin, bu hizmeti KOBİ müşterilerine satabilecek kadar büyük dış kaynak sağlayıcıları aracılığıyla bir hizmet olarak yazılım teklifi olarak SIEM’i sunduğunu da not ediyorlar.

Şu anda, büyük kurumsal kullanıcılar, sistemden geçen verilerin bir kısmının hassasiyeti nedeniyle, SIEM yazılımını her zaman şirket içinde çalıştırma eğilimindedir. GlaxoSmithKline’ın ABD Güvenlik Operasyonları Merkezi’nin baş analisti ve bir güvenlik kuruluşu olan SANS Enstitüsü’nde bir eğitmen olan John Hubbard, “Hassas şeyleri günlüğe kaydediyorsunuz ve bu, insanların internet üzerinden göndermek için fazla istek duydukları bir şey değil” diyor.

Bununla birlikte, SIEM ürünlerindeki makine öğrenimi ve yapay zeka yetenekleri arttıkça, bazı analistler SIEM tedarikçilerinin bazı analitiklerin bulutta çalıştığı hibrit bir seçenek sunmasını bekliyor.

SIEM araçları ve satıcı seçimi

SIEM pazarında, dünya çapındaki satışlara dayanan, özellikle IBM, Splunk ve HPE gibi birkaç baskın satıcı vardır. Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds ve Trustwave gibi en az birkaç büyük oyuncu daha var.

Secromix SIEM ile kuralları ve kalıpları tespit etmek için önceden tanımlanmıştır. Sürekli geliştirilir ve özelleştirilir. Kodlama çerçevesi, korelasyon motorunun SIEM kuralı olarak herhangi bir mantık geliştirme yeteneklerini içerir.

SecroMix SIEM ile KVKK Uyumluluğu

• KVKK teknik tedbirlerinde belirtilen aşağıdaki maddeleri karşılar:
• Erişim Logları
• Log Kayıtları
• Yetki Kontrolü
• Saldırı Tespit ve Önleme (Kural/Korelasyonlar ile)
• Silme Yok Etme veya Anonim Hale Getirme (FIM modülü ile)
• Ayrıca toplanılan loglar GDPR ‘ın ilgili maddeleri ile etiketlenir

SecroMix SIEM ile Regülasyonlar

SIEM çözümleri KVKK, PCI DSS gibi regülasyonlar uyumluluklar konusunda kurumlara yardımcı olur.

• Toplanılan loglar regülasyonlar ile uyumlu olarak toplanır ve etiketlenir
• Regülasyonlara göre hazır arayüzler sağlanır
• Desteklenen regülasyonlar
• PCI-DSS (Payment Card Industry Data Security Standard)
• GDPR (General Data Protection Regulation)
• HIPAA (Health Insurance Portability and Accountability Act)
• NIST (National Institute of Standards and Technology)

SecroMix SIEM ile Saldırı Tespiti Özeti

• Logların toplanması (EventID=4625)
• Anlamlandırılması (4625=Logon Failed)
• Sınıflandırılması (Logon-Failure)
• Seviyelendirilmesi (Logon-Failure=Level5)
• Kural/Korelasyon
• 2 dakiada 16 kere Logon-Failure olması = Level10 – Multiple Logon Failure
• Multiple Logon Failure sonrası aynı kaynakta, aynı kullanıcının logon-success olması = Level 12
• Alarm (Level12 = Multiple authentication failures followed by a success)

Ürün teknik desteği aşağıdaki hizmetleri içerir:

SecroMix SIEM Teknik Destek

• Ürün çalıştırma sorunlarının çözümü, işlevselliğini kullanmada yardım;
• Arızanın nedenini bulma ve müşteriyi bulunan sorunlar hakkında bilgilendirme dahil olmak üzere ürün arızalarının teşhisi;
• Gerekli tüm performansı koruyarak ürün sorunlarını çözmek veya geçici çözümler sağlamak;
• Üründeki hataların giderilmesi (ürün güncellemelerinin yayınlanmasının bir parçası olarak);
• Web adresimizdeki iletişim formundan veya telefonla teknik destek alabilirsiniz.
• Teknik destek Türkçe olarak verilmektedir.