İnsanların en çok vakit geçirdiği yerlerden birisi internettir. İnternet sayesinde birçok bilgiye ulaşılabilirlik fazlasıyla kolay bir hale geldi. Bu kolay ulaşılabilir bilgiler arasında insanların ve firmaların kişisel verileri de yer almaktadır. Kolay ulaşılabilirlik söz konusu olduğunda dijital tehditler kişisel veriler için bir güvenlik tehdidi oluşturmaktadır. Her geçen gün daha önemli bir hala gelen siber güvenlik konusunda özellikle kurumsal firmaların güvenlik tehditlerini izleme, analiz etme, yönetme ve raporlama gibi ihtiyaçları doğmaktadır. Bu yazıda SIEM nedir? SIEM uygulamaları ve SIEM ürünleri sorularının cevaplarını veriyor olacağız.

SIEM Nedir?

SIEM, sunucu ve bilgisayar güvenliğini korumak ve izlemek isteyen işletmeler için yüksek öncelikli bir güvenlik çözümüdür. Bulunduğu sistemde çalışmakta olan bütün donanım ve yazılımlardan (sunucular, ağ cihazları, güvenlik duvarları, IPS/IDS sistemleri, antivirüs yazılımları ve uygulamalar gibi) bilgileri toplayıp analiz ederek potansiyel tehditleri tespit eder ve bu tehditlere karşı sizi hızla uyarır. SIEM, siber saldırılara karşı erken uyarı sistemi gibi çalıştığı için gün geçtikçe artan siber saldırılardan dolayı büyük önem taşımaktadır.

SIEM Açılımı

SIEM, “Security Information and Event Management” ifadesinin, Türkçe karşılığıyla “Güvenlik Bilgisi ve Olay Yönetimi” ifadesinin kısaltmasıdır. Bu sistem, ağ ve güvenlik yönetimi için iki ana fonksiyonu birleştirir: Güvenlik Bilgisi Yönetimi (Security Information Management – SIM) ve Güvenlik Olayı Yönetimi (Security Event Management – SEM). SIM, güvenlik loglarını toplar ve arşivlerken, SEM, gerçek zamanlı tehditleri izler ve analiz eder.

SIEM Ürünleri

SIEM ürünleri hem küçük hem de büyük işletmelerin ihtiyaçlarına göre özelleştirilebildiği için her işletme ve her seviye için etkin bir güvenlik sağlar.

SIEM ürünlerinin temel işlevleri log toplama, analiz etme, anomali tespiti ve olay müdahalesi olarak ayrılmaktadır. Bu ürünler log kayıtlarını toplayarak oluşabilecek tehditlere karşı sistemi 7 gün 24 saat gerçek zamanlı olarak izler ve analiz sonuçlarına göre önceliklendirerek dijital güvenlik ekiplerine önemli tehditler için hızlı müdahalede bulunmalarını sağlar.

SIEM Nedir?

SIEM Ürünleri Özellikleri

  • Log Yönetimi: SIEM ürünleri çeşitli kaynaklardan gelen log kayıtlarını toplayarak merkezi bir platformda saklar. Bu sayede verilerin daha kolay analiz edilmesini ve raporlanmasını sağlar.
  • Gerçek Zamanlı İzleme: SIEM ürünleri, sürekli olarak ağ aktivitelerini izler ve şüpheli davranışları anında tespit eder.
  • Tehdit İstihbaratı: Çoğu SIEM ürünü, global tehdit istihbaratını entegre ederek güncel siber tehditlere karşı önceden uyarılar verir.
  • Olay Müdahalesi ve Otomasyon: Olaylar tespit edildiğinde, SIEM ürünleri otomatik olarak uyarılar gönderir ve hatta bazı durumlarda, tehditleri izole etmek için otomatik aksiyonlar alabilir.
  • Uyumluluk Raporları: Özellikle KVKK, 5651 Sayılı Kanun gibi yasal düzenlemelere uyum sağlamak için kapsamlı raporlama özellikleri sunar.

SIEM ürünleri, aşağıdaki gibi çeşitli kaynaklardan güvenlik olayları toplar:

  • Güvenlik duvarları: Gelen ve giden ağ trafiğini filtreler ve şüpheli veya izinsiz trafiği tespit eder.
  • SIEM Uygulamaları: Güvenlikle ilgili olayları üretir, örneğin bir kullanıcı hesabı şifresini yanlış girdiğinde veya bir dosya izinsiz olarak değiştirildiğinde.
  • Cihazlar: Ağ cihazları, güvenlikle ilgili olayları üretir, örneğin bir sunucu çöktüğünde veya bir ağ bağlantısı kesildiğinde.

SIEM ürünleri, toplanan olayları çeşitli teknikler kullanarak analiz eder. Bu teknikler şunları içerir:

  • Olay eşleştirme: Belirli bir olay kalıbını veya davranışını arayan kurallar kullanır. Örneğin, bir SIEM sistemi, bir kullanıcının birden fazla kez yanlış şifre girdiğini tespit ederek bir kimlik avı saldırısını tespit edebilir.
  • Normallik analizi: Normal davranışı tanımlamak için geçmiş verileri kullanır. Örneğin, bir SIEM sistemi, bir sunucunun normal işlem yükünden daha fazla trafik aldığını tespit ederek bir saldırıyı tespit edebilir.
  • Yapay zekâ ve makine öğrenimi: Yapay zekâ ve makine öğrenimi kullanarak daha karmaşık olayları tespit edebilir. Örneğin, bir SIEM sistemi, normal olmayan bir davranış kalıbını tespit ederek bir saldırıyı tespit edebilir.

5651 Sayılı Kanun ve KVKK

5651 Sayılı Kanun, internet hizmet sağlayıcılarının ve toplu internet kullanımı sunan kurumların, belirli bir süre boyunca log kayıtlarını tutmalarını zorunlu kılar.

KVKK (Kişisel Verilerin Korunması Kanunu), kişisel verilerin korunması ve izinsiz kullanılmasını engelleyen düzenlemeler içerir.

SIEM ürünleri 5651 sayılı kanun uyarınca log kayıtlarını zaman damgasıyla imzalayarak saklar ve KVKK uyarınca da veri ihlallerini tespit ederek hızlı müdahale olanağı sunar. SIEM bu her iki kanuna da tam uyumlu bir şekilde çalışarak güvenlik ve veri koruma süreçlerini en iyi hale getirir.

Sonuç olarak LogAlarm SIEM+ ürünleri sistemlerin güvenlik sorunlarını çözmelerinde merkezi bir rol oynayarak siber tehditlere ve saldırılara karşı korunmada önemli bir etkendir. Yasal düzenlemelere uyumluluğunun yanı sıra birçok gelişmiş ürünleri ile sistemleri güven altında tutar.