SIEM Nedir?
SIEM (Security Information Event Management) sistemleri, sistemlerin, ağ cihazlarının, güvenlik ürünlerinin(IDS, IPS, Firewall vb.) ve uygulamaların ürettikleri log(günlük) kayıtlarını, saklayabilen, gelen kayıtlar içerisinde ilişkilendirme yapabilen(korelasyon) ve bu günlük kayıtları içerisinde sorgulamalar yapabilmenizi sağlayan güvenlik ürünleridir.
Standart bir SIEM ürününde bulunması gereken özellikler şu şekilde sıralanabilir.
- Log toplama ve saklama
- Aggregation
- Normalizasyon
- Korelasyon
- Önceliklendirme
- Alarm, rapor, dashboard
- Incident Response
Özetle, günlük kayıtlarını toplayacak, saklayacak, aynı günlük kayıtları var ise bunları tek bir olay olarak gösterecek ardından günlük kayıtlarını insanın okuyup anlayabileceği bir formata getirecek daha sonra bunları kategorize edip, gelen birçok olay arasında bir ilişki kuracak ve buna göre de alarmlar ve dashboardlar üretecektir. Tüm bu işlemlerden sonra ise önceliklendirme yaparak hangi olayın diğerlerine oranla daha önemli olduğu bilgisini de vermektedir.
Piyasada şu an çok sayıda SIEM ürünü bulunmaktadır. Bunlardan en çok satın alınanları şöyledir, IBM QRadar, Splunk, HP Arcsight, McAfee vb.
Korelasyon Nedir?
İyi bir SIEM ürünün tanımı herkese göre değişebilir. Kimileri en çok satanı en iyi SIEM ürünü olarak tanımlarken, kimileri korelasyon yetenekleri üzerinden ölçümleme gerçekleştirebilir. Birçok faktör SIEM çözümü seçiminde etkili olsada, bir SIEM ürününün en büyük gücü korelasyondan yeteneklerinden gelmektedir.
En basit tanımı ile korelasyon, farklı ürünlerden elde edilen log(günlük) kayıtlarının, farklı zamanlarda oluşan olaylar ile ilişkilendirilmesi ve analiz edilmesi olarak tanımlanabilir. En basit örneklerle ve sık sık duyduğumuz olaylardan birkaçı şöyle olabilir,
- Port tarama tespiti
- 5 dakika içerisinde X kere başarısız oturum açma isteği
- DDoS Saldırısı tespiti
- HTTP flood atak tespiti
Benzeri örnekler ile liste uzatılabilir fakat bunlara tam olarak korelasyon demek mümkün değil, bunlar daha çok alarm diye bahsedilir, zira bir korelasyon şu şekilde olabilir,
- Bir kullanıcı oluşturulduktan sonra aynı kullanıcı 15 dakika içinde silinirse uyar.
- Arada hiç başarılı oturum açmadan aynı kullanıcı 10 dakika içinde 3 defa başarısız oturum açarsa uyar.
İşte bunlar korelasyon kurallarına örnektir. Tabi ki buna benzer kuralları referans alarak bir SIEM çözümünü iyi veya kötü şeklinde yorumlamak mümkün değil fakat, ikinci senaryo korelasyon motoru olmayan ürünler için zor bir kural, çünkü “Arada hiç başarılı olmadan” diye bir koşul var.
Peki bir SIEM çözümü seçilirken nelere dikkat edilmesi gerekiyor?
SIEM Çözümü Seçilirken Dikkat Edilmesi Gerekenler
Doğru bir SIEM çözümü, işletmenin güvenlik politikalarına, bütçesine ve diğer faktörlere göre değişiklik gösterebilir. Ancak bir SIEM çözümünün sunması gereken belli özellikler bulunmalıdır. Bu özellikleri şöyle sıralayabiliriz.
Ölçeklenebilirlik
Bir SIEM çözümü büyük, orta, küçük veya herhangi bir kuruluşa ölçeklenebilir olmalıdır.
Log (Günlük) Formatı Uyumluluğu
Kullanılacak SIEM çözümünü beslemek için birçok farklı günlük formatı bulunmaktadır. Ürünlerin ürettikleri çıktılar, sizlerin vermiş olduğunuz veriler ile doğru orantılıdır, bu yüzden kuruluşunuza ait verilerin iyi bilinmesi gerekiyor. Birçok SIEM ürünü onlarca farklı günlük formatını desteklemektedir.
Korelasyon
Korelasyonun, SIEM çözümlerinde çok büyük bir yerinin olduğunu belirtilmişti. Kurallar oluşturulurken eşit senaryolarda oluşturulmaz ve hem basit hem gelişmiş yani ileri seviye kuralların kullanım durumlarını destekleyen bir çözüm bulunması o kadar kolay olmayabilir. Bu sebeple korelasyon yeteneklerinin tespiti için detaylı analizler gerekebilir. Bir SIEM ürünü içerisinde barındırdığı korelasyonların çeşitliliği ve daha önce görülmemiş olanları tespit edebilme yetenekleri kadar güçlüdür.
Forensic(Adli) Yetenekleri
Ponemon Institute tarafından IBM adına yapılan en son çalışma raporuna göre, bir saldırganın ağınızda etkin olduğu ortalama süre 280 gündür. Bu sebeple günlük kayıtlarının en az 280 gün saklı tutulması ileride yapılabilecek bir analiz için bir çok kolaylık sağlayabilir. Geriye dönük günlük kayıtlarında en çok kullanılan hash(MD5, SHA1, SHA256) değerlerinin hesaplanıp deliller sağlama alınmalıdır. Bu sebeple SIEM çözümlerinin avantajları ve dezavantajları bulunmaktadır.
Dashboardlar
Farklı kaynaklardan gelen günlük kayıtları farklı dashboardlar üzerinde yer alır. Özet veriler ile kurum bünyesinden gerçekleşen olayları, grafikler ve tablolar ile görmenize imkan tanımaktadır. Bu dashboardların bir çoğu ön tanımlı olarak gelir ve ilerleyen zamanlarda istenildiği gibi özelleştirilebilmektedir. Dashboardlar, kurum envanterinde günlük kayıtlarının gerçek zamanlı olarak izlemek için iyi bir yoldur. Bunları yapılandırması basit ve kullanıcı dostu olabilmektedir.
Olay Müdahale
Kullanılan SIEM çözümünün şüpheli aktivitelere veya saldırılara aktif yanıt vermesi gerekmektedir. Bu müdahaleler kimi zaman şüpheli bir IP adresi engellemesi olabileceği gibi kimi zaman ise, oturumu kapat, işlemi sonlandır vb. müdahaleler olabilir.
Raporlama
Modern bir SIEM çözümü seçiminde raporlama altyapısı bir diğer faktörlerden birisidir. Önceden tanımlanmış raporlama altyapısı kullanıcı dostu ve hızlı bir şekilde sonuç sunması bir avantajdır.
Performans
SIEM ürün tercihine etkisi olan bir diğer başlık ise, performans. Ürünün ihtiyaç duyduğu kaynaklar bunlar(RAM, CPU, DISK) olarak sıralanabilir. Ürünün burada gösterdiği performans değerlendirme açısından önemli olabilir.
Bir SIEM çözümü satın alınırken sıklıkla yapılan hatalar mevcuttur. Makalenin bundan sonrası yapılan hataların bir listesi ile devam etmektedir.
SIEM Çözümü Seçiminde Yapılan Yanlışlar
- Ürünü sadece tek bir amaca yönelik alıp, denetimlerden kurtulmak adına SIEM ürünümüz var diye düşünülmesi.
- İsmi duyulan bir marka alıp, SIEM’i kendi halinde çalışmasına bırakmak.(Kur/Unut)
- Teknik değerlendirmelerin yapılmaması.
- SIEM korelasyonları var deyip, üzerine eklemeler yapmamak.
- Tavsiyeler üzerine ürünü satın almak.