27 Kasım 2018 Salı

SIEM Nedir ve Bileşenleri Nelerdir?



SIEM uzun adı ile; Security information and event management.

Güvenlik olay yönetimi olarak Türkçe'leştirebileceğimiz, ağ ve bilgi güvenliği alanında kurumlara kuşbakışı bir takip mekanizması sunan araçları basitçe SIEM olarak tanımlarız.

Dünya çapında birçok firma bu işi yapmakta ve yapabildiğini iddia etmektedir.

SIEM ülkemizde en çok log yönetimi ile karıştırılmakta ve 5651 no'lu yasanın bir gereği olarak düşünülmektedir. Halbuki bu olay bir yarış atını tarla işlerinde kullanmaktan farksızdır. Yeteneklerini kurumsal anlamda güvenliğe birebir dahil olacak şekilde kullanmak biz güvenlik çalışanlarına büyük kolaylık sağlayacaktır.

Bu ufak girizgahtan sonra SIEM neler yapabilir sorusunun cevabını birlikte bulalım.


SIEM Neler Yapabilir?


  • Sistemlerden logları toplar ve belirtilen tarihe kadar üzerinde saklar
  • Topladığı logları alanlarına ayırarak anlamlı hale getirir. 
  • Anlamlı hale gelmiş logları belli bir modelde birleştirerek elindeki veriyi zenginleştirir. 
  • Bu verileri korelasyon kuralları ile istatistiksel olarak takip eder ve tanımlanan anomali durumlarında bayrak kaldırarak güvenlikçileri uyarır
  • Belirtilen zamanlarda raporlar sunarak ağınız ve veriniz hakkında normal sınırları(baseline) çizebilmenizde yardımcı olur. 
  • Başka kaynaklardan besleme alarak dinamik bir atak vektörü oluşturur ve uyarılarını yapar. 
  • İleri seviyeleri için davranışsal analizler ve makina öğrenmesi gibi araçlarla daha kapsamlı güvenlik denetim faaliyetlerini yürütebilir 
  • Olay müdahelede, ilk adımı olayı tespit ederek SIEM atar. 

SIEM Bileşenleri







1. Veri Toplama


Siem ürünleri logları toplar ve üzerinde belirtilen tarihe kadar kayıtlı olarak tutar. Log toplama işi ajanlıve ajansız(ajansız toplama için syslog ve wmi gibi araçlarla) olarak yapılmaktadır.

2. İşleme ve Normalizasyon


Toplanan loglar alanlarına göre ayrılır (genelde parse etmek olarak günlük hayatta kullanılır.). Parse etme işlemi tamamlandıktan sonra bir hareket için gelen bir sürü logu sadeleştirme/birleştirme işlemi yapılır(Aggregation dedikleri). Bu şekilde işlenmiş loglar kategorilerine göre ayırılıp birlikte analiz edilebilsin diye SIEM ürünümüz bunlar üzerinde normalizasyon işlemi yapar. 
Normalizasyon işlemi ile ilgili daha sonra kapsamlı makaleler yazmayı planlıyorum. Ancak her SIEM ürününün kullandığı bir normalizasyon metodu var. Ve bu metoda göre işlem yapılır. 
Normalizasyon işlemi için basit bir örnek vermek gerekirse;

Güvenlik duvarından kullanıcı adı için user_name alanı geliyor 
Active Directory'den kullanıcı adı için sAMAccountName alanı geliyor. 
Bu iki alanı usr_name adı altında yeni bir takma alan adı ile karşılıyor ve usr_name araması yapıldığında o kullanıcının sistem üzerindeki tüm hareketlerine erişebiliyoruz.

3. Korelasyon


SIEM'i SIEM yapan belki de en önemli özellik. Dinamik arama yapabilme özelliği de diyebiliriz. Yani bir sürü kaynaktan gelen loglar üzerinde analiz işlemi yapıp herhangi bir tanımlı olay örgüsüne(use case) göre arama yapma işlemidir korelasyon. 
Bir olay örgüsü örneği;

"Bir kullanıcı birbirinden farklı makinelere 1 dakika içinde 5 kez bağlantı isteği gönderdiyse alarm üret."

4. Alarm Üretme


Yukarıda anlatmaya çalıştığım senaryolara göre yazılan sorgular sonucunda 1 değeri dönerse sistem alarm üretecek ve olay bulgusu raporu çıkartacaktır. Buna incident detection da deniyor. 
Alarm üretme yalnızca korelasyon kuralının çıktısı değildir her arama için alarm üretilebilir. Üretilen alarmları önceliklendirmek de (prioritization) yine bu aşamada yapılabilir. Bu işlem varlıklarınızın risk değerlendirmesine göre sizin tarafınızdan ya da SIEM'in öğrenmesi gibi yöntemlerle yapılabilir.

5. Görselleştirme ve Sunum


Sürecin sonunda bir soruşturma olacaktır. Bu soruşturmanın daha rahat anlaşılabilmesi ve okunabilir çıktılar verebilmesi için bu aşamada işlemlere tabi tutulur. Bu başlık altında akla gelecek terim dashboard'dur.



Öğrendiklerim ve tecrübe edindiklerimin ışığında parmaklarım el verdiğince SIEM'i anlatmaya çalıştım. Umarım yararlı olur. 



KAYNAKLAR:

https://www.linkedin.com/pulse/1-siem-nedir-2-neden-al%C4%B1n%C4%B1r-episode-1-evren-pazoglu/

 Dr. Ertuğrul AKBAŞ muhtelif yayınlar


Gönderen zaman:
Etiketler: , , , , , , , , ,

1 yorum:

Kaydol: Kayıt Yorumları (Atom)