SIEM teknoloji testi nedir sorusu sorulduğu anda SIEM açılımı merak edilir. SIEM açılımı ise Security Information and Event Management (SIEM) şeklindedir. Bilgi güvenliğini hedef alan, Kişisel Verilerin Korunması Kanunu için önemli tutulanlar incelendiğinde hemen hepsi loglama ve SIEM konularına önem vermiş ve bu konularda aksiyon alınmasını zorunlu tutmuştur.

SIEM, log yönetimine göre daha detaylı analiz ve raporlama seçenekleri sunan bir sistemdir. Network cihazlarının veya uygulamaların oluşturduğu logları saklar ve değişkenler arasında doğrusal bir bağlantı kurabilir, sorgulama gerçekleştirebilir. Diğer bir deyişle, veri güvenliği ile ilgili olayları tek bir noktadan yönetmek, analizlerini gerçekleştirmek ve gerektiğinde olaya müdahale süreçlerini yönetmek için kullanılır.

SIEM teknoloji testi nedir, loglama ve SIEM teknoloji testi arasındaki fark nedir sorularını soran görsel

Loglama hakkında daha detaylı bilgi almak istiyorsanız "KVKK İçin Önemli Loglama ve SIEM Nedir?" başlıklı yazımıza göz atabilirsiniz.

Standart bir SIEM ürününün şu bileşenlere sahip olması gerekir:

  • Log toplama ve saklama
  • Birleştirme
  • Normalleştirme
  • Bağıntı kurma
  • Önceliklendirme
  • Alarm, rapor ve gösterge tablosu,
  • Olay müdahalesi

İdeal bir SIEM platformu temel olarak şu başlıkları loglamalı ve herhangi bir olaya karşı alarmlar üretebilmelidir:

  • İzinsiz ve yetkisiz girişler,
  • Kötü amaçlı yazılım tespiti,
  • Şifrelerdeki değişiklikler,
  • Yazılım saldırıları,
  • Dışa aktarılan veriler,
  • Hizmet reddi saldırıları,
  • Güvenlik duvarı yanı sıra açık ve kapalı bağlantı noktaları taraması,
  • Dosya adlarındaki değişiklikler,
  • Ağ cihazları ile ilgili hatalar,
  • Paylaşılan erişim aktiviteleri,
  • Dosyaların bütünlüğünde meydana gelen değişimler,
  • Dosya denetimleri,
  • Çalışan işlemlerinin durması ya da yeni işlemlerin başlaması,
  • Bağlantısız olaylar,
  • Yeni hizmetlerin kurulumu,
  • Yeni kullanıcı hesapları,
  • Kayıt defterine ait değerlerin değiştirilmesi.

kodların arasında malware yazıyor.

SIEM Çalışma Mekanizması

SIEM teknoloji testi nedir sorusunun bir diğer cevabı olarak çalışma mekanizmasından bahsedebiliriz. SIEM sisteminde toplanan datalar, küresel tarzda kullanılan bir formata dönüştürülür ve olaylar saldırı tipine göre sınıflandırılır. Bağımsız gibi görünen olaylar birbiri ile bağdaştırılır. Ayrıca meydana gelen olaylar sistemdeki veriler ile ilişkilendirilir. Toplanan data ve korelasyon sonuçları, gerçek zamanlı olarak güvenlik uzmanlarına izleme paneli üzerinden sunulur. Bu esnada da yöneticilere SMS, e-posta ve SNMP mesajları ile bildirim (alarm) sağlanır.

Yaygın Loglama ve SIEM Ürünleri
Kurumsal Ürünler:

  • Log Sign
  • HP Arcsight
  • McAffee
  • IBM Qradar

Açık Kaynaklı Ürünler:

  • Fluentd: Log toplayıcı
  • Wazuh: Log yönetimi, IDS/IPS, log korelasyonu
  • Elastichsearch: Genellikle log indeksleme, depolama ve analiz
  • Flume: Dağınık log toplama ve birleştirme sistemi
  • Graylog3: Alarm verilebilir sistemler ile etkinlik analiz sunucusu ve günlük loglama
  • Heka: Log toplama için kullanılabilecek akış işleme sistemi
  • Kibana: Logları zaman damgalı veri olarak toplama
  • Logstash: Olaylar ve günlükleri yönetme aracı.
  • Octopussy: Log yönetim çözümü (görselleştirme/uyarı/raporlama)

"SIEM Teknoloji Testi Nedir? Loglama ve SIEM Teknoloji Testi Arasındaki Fark Nedir?" başlıklı yazımızı beğendiyseniz paylaşmayı unutmayın!