Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümü, birçok noktadan ve yüzlerce cihazdan aldığı log’lar (ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur) ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki log’ları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.
SIEM Çözümü Neden Gereklidir?
Log Yönetimi Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) önemli bir parçasıdır. ISO 27001, Bilgi Güvenliği (BG) Yönetim Standardında log (iz kaydı) yönetimin önemi vurgulanmaktadır. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunlu kılmaktadır. Ayrıca ülkeden ülkeye değişin kanuni zorunluluklar da log yönetimini şart koşmaktadır. Log’lara bakarak aşağıdaki sorulara cevap bulabiliriz:
- Kim hangi bağlantıları kurdu?
- USB bellek kullanımı oldu mu?
- Belirli zaman aralıklarında kimler oturum açtı?
- Sistem yöneticileri takip ediliyor mu?
- Bilgisayar adı, IP adresi, MAC adresi değişikliği oldu mu?
- Kimler hangi IP adresini aldı?
- Bu IP adresleri ile nerelere erişildi?
- Sisteme uzak bağlantı sağlandı mı?
- Kimler hangi saatle VPN bağlantısı kurdu?
- Donanım değişikliği yapıldı mı?
- P2P program kullanan var mı?
- Kim hangi dosyaya erişti?
- Erişilen dosyalardan silinen var mı?
- Başarılı password değişiklikleri?
- Bilgisayar hesabı ya da kullanıcı hesabı yaratıldı mı?
- Port scan yapıldı mı?
- Kimler hangi dokümanları print etti? (print server mimarisi ile)
- Domain admin hesabına kullanıcı eklendi mi?
- Virüs bulaştı mı?
- Virüslü bir siteye erişim denemesi oldu mu?
BT altyapısını oluşturan log kayıtlarını toplayan, inkar edilemez bir şekilde saklayan, analiz yapan log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır. Her ne kadar, log yönetim sistemleriyle log’ları toplamak gerekli olsa da yeterli değildir. Toplanan bu log’ların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekmektedir ki tehdit ve zafiyetler tespit edilebilsin ve bu sebeple SIEM sistemleri büyük önem taşımaktadır. Tanımlanan koşulların oluşması durumunda haber veren gerçek bir SIEM çözümü kurmak gerekir.
SIEM Çözümü Almanın Avantajları Nelerdir?
SIEM çözümü, birçok noktadan ve yüzlerce cihazdan aldığı log’lar ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki log’ları ilişkilendirmesi; false positive olayların sayısını düşürmesi gibi özellikleri ile sistem yöneticileri için çok büyük avantaj sağlar.
Ortalama büyüklükteki bir ağda ayda milyarlarca log oluşur. Bu log’lar arasında oluşabilecek kombinasyonları düşünürsek birikmiş log’ların üzerinden arama tarama, raporlama ve arşivleme ile herhangi bir tehditlerin yakalanması mümkün değildir. Bunun için gerçek bir korelasyon özelliğine sahip SIEM ürünlerinin gücüne başvurmak gerekir. Böylece aşağıdaki gibi tehdit içeren durumları milyarlarca veri içerisinden anında tespit etmek mümkün olur:
- Aynı IP’den farklı kullanıcı adları ile aynı bilgisayara 15 dakikada 5 adet başarısız oturum denemesi yapıldıktan sonra aynı IP’den herhangi bir makinaya oturum açıldı ise uyar.
- Bir IP’den tarama yapıldı ise ve sonrasında aynı IP’den başarılı bir bağlantı kuruldu ise ve ardından bağlantı kurulan IP’den tarama yapılan IP’ye geriye bağlantı kuruldu ise uyar.
- Birbirinden tamamen farklı dış IP’lerden aynı hedef IP’ye dakikada 100 adetten fazla bağlantı oluşuyorsa uyar.
- Aynı Dış IP ve farklı portlardan aynı hedef IP’ye dakikada 100 adet bağlantı olursa uyar.
- Aynı kullanıcı, aynı makineye saatte 3’ten fazla başarısız oturum açmayı denerse uyar.
- Bir kullanıcı herhangi bir sunucuya login olamayıp authentication failure’a sebep olduktan sonra 2 saat içerisinde aynı kullanıcı aynı sunucuya başarılı oturum açmazsa uyar.
- Aynı kaynak IP’den 1 dakikada 100 adet paket UTM/FireWall tarafından bloklanıyor ise bir defa uyar ve bir saat içerisinde tekrar uyarma. (DDOS atağı oluştu ise saatte milyonlarca paket bloklanır. Hepsi için mail gönderirse kendi kendinizi DDOS’a maruz bırakmış olursunuz)
- UnusualUDPTraffic üreten kaynak IP’yi bildir.
- IPReputation Listesindeki bir kaynaktan veya o kaynağa bir trafik oluşursa uyar.
- Ulusal Siber Olaylara Müdahale (USOM) Merkezi tarafından yayınlanan “Zararlı Bağlantılar” listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar.
- Birisi Networkünüzde DHCP server’ı açtıysa ya da farklı bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu 67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP’si kayıtlı DHCP sunucular listesinde olmayan bir trafik olursa uyar.
- Bir IP taraması olursa uyar.
- WEB üzerinden SQL atağı olursa uyar.
- Mesai saatleri dışında sunuculara ulaşan olursa uyar.
- Aynı kullanıcı, birbirinden tamamen farklı makinelere dakikada 3’ten fazla başarısız oturum açmayı denerse uyar.
SIEM Çözümü ile Neler Yapabilirsiniz?
- Sistem ve network’lerinizdeki mevcut tehdit ve zaafiyetlerin tespiti, gerçekleşen olayların takibi
- Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve takibi
- Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi
- Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım sağlanması
- Kurumsal güvenlik standart ihlallerinin takibi
- ISO 27001, SOX, PCI, HIPAA, NERC, FFIEC, FISMA, GLBA, NCUA, COBIT vb. uyumluluk (Compliance) raporlama ve denetimleri
- SOME uygulamaları için uygun raporlama olanakları
- USOM tarafından yayınlanan zararlı bağlantı listeleri ile “online” entegrasyonlar ve sistemleriniz için denetleme olanakları
- Threat Intelligence özelliği ile dinamik olarak zararlı IP ve Domain listelerine erişim yapılınca otomatik uyarının sağlanması
Bkz. Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri