Siber Saldırı Tespitinde SIEM Kullanımı

 

SIEM (Security Information and Event Management)

Türkçede Bilgi Güvenliği ve Olay Yönetimi, Tehdit ve Olay Yönetimi gibi isimlerle anılır. Sistemdeki logları toplayıp bir arada saklayan, aralarında ilişki kuran ve analizini yapabilen sistemlerdir. SIEM sayesinde bir merkezden sisteminizin güvenliği ile ilgili olayları yönetebilirsiniz. 

Log yönetimini büyük ölçüde kolaylaştırır. Farklı olaylar arasında bağlantı kurabildiği gibi aynı olaydan birden fazla k
ayıt tutulduğunda da bunları tek bir olay gibi düşünüp işlemleri daha pratik hale getirir. Yöneticinin isteklerine göre alarmlar üretir ve çeşitli yollarla geribildirim sağlar, bu alarmlara göre işlemler yapılır. SIEM kullanan firmalar elde edilen veriler yardımıyla olası tehditlere karşı önlem alarak saldırıları daha gerçekleşmeden önleyebilirler.
Kısaca SIEM log analizini basitleştirir ve muhtemel saldırıları tespit etmeye olanak sağlar.

 ( ! ) Sistemin nasıl çalışacağı, kuralları (neye göre alarm üreteceği) vs. önceden belirlenir. Bu sebeple SIEM uygulamalarının başına uzman kişileri getirmekte fayda vardır.

Splunk, HP Arcsight, Logsign, Mcafee SIEM ve IBM Qradar piyasada yaygın olan SIEM hizmetlerine örnek verilebilir.

SIEM uygulamaları veri toplama, toplanılan veriyi sınıflandırma, veriler arası bağlantı kurma, alarm üretme, güncel veriler içeren panel hizmeti sağlama ve rapor verme gibi temel özelliklere sahiptir.

Geribildirimlerin fazlaca olması durumunda bu veriler dashboardlardan yönetilir. Bu sayede verileri gözden kaçırma korkusu olmadan rahatlıkla siteminizi yönetebilirsiniz.

Aşağıda SIEM hizmetine ait örnek bir dashboard tasarımını görüyorsunuz.