Menü
  • Kurumsal
    • Hakkımızda
    • Kişisel Verilerin Korunması
      • Kişisel Veri Politikası
      • Aydınlatma Metni
      • Gizlilik ve Çerez Politikası
      • KVKK Başvuru Formu
  • İletişim
    • Bize Yazın
    • KVKK Eğitimi
    • KVKK Ölçer
    • KVKK Danışmanlık
  • Yazı Gönder
  • info@nitelikliveri.com
  • Facebook
  • Instagram
  • Twitter
  • LinkedIn
  • Youtube
Nitelikli Veri

Nitelikli Veri

Kişisel Verileri Koruma Platformu

Menü
  • Anasayfa
  • Blog
  • KVKK Mevzuat
    • Tüm KVKK Mevzuatı
    • Kişisel Verilerin Korunması Hukuku Gelişim Süreci
    • 6698 Sayılı Kişisel Verilerin Korunması Kanunu
    • Veri Sorumluları Sicili (VERBİS) Hakkında Yönetmelik
    • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
    • Kişisel Sağlık Verileri Hakkında Yönetmelik
    • Disiplin Amirleri Yönetmeliği
    • Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme ve Unvan Değişikliği Yönetmeliği
    • Kişisel Verileri Koruma Uzmanlığı Yönetmeliği
    • Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
  • KVKK Kavramlar
    • Özet KVKK Kavramlar
    • Aydınlatma Metni Nasıl Hazırlanır?
    • Açık Rıza Beyanı Nasıl Hazırlanır?
    • Gizlilik ve Çerez Politikası Nedir?
    • ilgili Kişi Başvuru Formu Nasıl Hazırlanır?
    • Kişisel Verilerin Korunması ile İlgili Temel Bilgileri
    • Kişisel Verileri Koruma Sisteminin İşleyişi
    • Veri Sorumlusu, Veri Sorumlusu Temsilcisi ve İrtibat Kişisinin Yükümlülükleri
    • Kamera Aydınlatma Afişi
    • VERBİS’e Kayıt Zorunluluğundan Muaf Olan Kurumlar (İstisna)
    • Kamera Aydınlatma metni
    • Çalışanlardan Alınacak Muvafakatname Örneği
    • Veri Sorumlusunun Alması Gereken İdari ve Teknik Tedbirler Nelerdir?
    • Kanunlara Göre Kişisel Verilerin Saklanma Süreleri
    • VERBİS Kayıt
  • KVKK Dosyalar
    • Tüm Dosyalar
    • Aydınlatma Metni Örneği
    • Açık Rıza Beyanı Örneği
    • Başvuru Formu Örneği
    • Kişisel Verilerin Korunması ve İşlenmesi Politikası Örneği
    • Gizlilik ve Çerez Politikası Örneği
    • Kamera Aydınlatma Afişi Örneği
    • Güvenlik Kamerası Aydınlatma metni Örneği
    • Çalışanlardan Alınacak Muvafakatname Örneği
    • Kişisel Verileri İşleme Envanteri Örneği
    • Veri Sorumlusundan Veri İşleyene Aktarım Taahhütnamesi
    • Kişisel Veri İhlal Bildirim Formu
    • Veri Sorumlusundan Veri Sorumlusuna Aktarım Taahhütnamesi
    • KVKK Şikayet Modülü Kılavuzu
  • KVKK Diğer Konular
    • Tüm Diğer Konulara Erişim
    • KVKK Danışmanlık Hizmetleri
    • KVKK Eğitimi
    • Kişisel Verileri Koruma ile İlgili Kitap ve Kitapçıklar
    • Kişisel Verilerin Korunması Kanunu (KVKK) Sizi Kapsıyor mu
    • KVKK Uyum Sürecinde Yapılacak İşlemler
    • GDPR – 2016- Avrupa Birliği Kişisel Verileri Koruma Kurumu
    • KVKK Risk Analizi Nasıl yapılır-1?
    • KVKK İç Denetim Politikası Nasıl Hazırlanır 1
    • Kişisel Verilerin işlenmesinde Anonimleştirme Nasıl Yapılır 1
    • Kişisel Verilerin işlenmesinde Kimliksizleştirme Ne Derece Güvenlidir -1 ?
    • Kişisel Veri Barındıran Web Sitelerinin Durumu Ne Olacak -1 ?
    • Kişisel Veri İhlal Bildirimi Nasıl yapılır ?
    • Kişisel Verilerin Yurt Dışına Aktarılmasında Yapılacak Sözleşmeler Nasıl Olmalıdır ?
    • 5651 NEDİR ?
    • Log Kayıtlarıyla SIEM Nasıl Yapılır ?
    • Kişisel Veri Bankası
    • Kişisel Veri İşleme Sözleşmesi
    • Sorumluluk Matrisi – RACI Matrix
    • Sızma Testi Nedir -1 ?
    • Penetrasyon Testi / Pentest – Sızma Testi Nasıl yapılır ? -2
    • VERBİS İçin İdari ve Teknik Tedbirler
Log Kayıtlarıyla SIEM Nasıl Yapılır ?

Log Kayıtlarıyla SIEM Nasıl Yapılır ?

Log Kayıtları ve SIEM: 5651 Sayılı internet erişiminin kontrol altına alınmasını sağlamak amacıyla çıkarılan kanun kapsamında kurumlarda internet kullanımı esnasında kayıt altına alınan log kayıtlarının SIEM metoduyla analiz edilmesiyle kayıtların aralarında ilişki olup olmadığını ve nasıl bir ilişki olduğunu ortaya çıkarmak mümkündür.

Loglama

Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır.  Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.

Log yönetiminin daha verimli gerçekleştirilebilmesi için:

– Büyük hacimli log kayıtlarının hızlı arama ve çabuk erişim sağlama seçenekleriyle saklanması verimliliği artırır.
– Olayların erken tespiti saldırının etkilerinin azaltılabilmesi adına hızlı bir şekilde karşılık verilmesini ve aksiyon alınmasını sağlar.
– Olayları tespit yeteneğinin gelişmiş olması doğru aksiyonları araştırma ve uygun yanıtı kararlaştırma için kontrol mekanizmaları sunar.
– İhlalleri, sızmaları ve yetkilendirilmemiş erişimleri tespit; analiz için veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok rutinin otomatize bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarının belirlenmesi fayda sağlar.

SIEM Nedir? 

SIEM kısaca; tüm kullanıcı, veritabanı, uygulama, güvenlik ve ağ cihazları kayıt dosyaları için yönetim çözümleridir.
Sahip olduğunuz farklı yazılım ve donanımlar gerçekleşen olayların kayıtlarını (log) üretir ve gerektiğinde kullanılmak üzere saklarlar. Bu kayıtların takip edilebilir, sorgulanabilir, raporlanabilir bir formatta ve merkezi bir yapıda tutulması işlemi SIEM (Security Information and Event Management) olarak isimlendirilebilir.

Bu teknoloji sayesinde birbirinden bağımsız olarak çalışan tüm sistemler tek merkezden takip edilebilir bir hale gelir.

Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir.  Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme (aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.

SIEM’in çalışma mekanizması:

– Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
– Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
– Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
– Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
– SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek

SIEM’in Önemi

SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır.  Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.

SIEM Ürünü Seçimi

Seçeceğiniz SIEM ürünü KVKK için ise aşağıdaki konulara dikkat etmeniz gerekir:
1. Normalize edilmiş (Parse edilmiş) logları geriye doğru kaç yıl saklayabilirsiniz? KVKK bunu kaç yıl saklamanızı istiyor? Saklanacak normalize edilmiş log miktarında 200 milyon gibi bir sınır var mı? 50-80 kullanıcı arası bir firmada kabaca ortalama 250 EPS log olur ve bu hesap ile 200 milyon sınırına 10 günde ulaşırsınız.
2. Sınır varsa bu sınırı aşmak için ek lisans ve modül almak gerekir mi? Bu ek maliyet midir? ilk modül satılırken bu ek modül maliyeti belirtildi mi?
3. Bu sınırı aşmak için kullandığınız modül normalize edilmiş logu mu saklıyor ? yoksa logun ham halini mi?
4. Bu ek modülde 1 TB vb.. disk kapasitesi limiti var mıdır?
5. Böyle bir limit varsa bunu aşmak için ayrıca lisans almak gerekir mi? Bu ek maliyet midir? baştan maliyet bilgisi paylaşıldı mı?
6-Bütün bu maliyetlere katlansak bu sefer storage maliyeti ne olur?

Sanırım en önemli soru KVKK için SIEM ürünü seçenlere ürünü satan, projelendiren veya uygulayanlar bu tür bilgileri paylaştı mı? Yoksa her şeyi yaparız, hiçbir kısıtı yok tek kısıt storage mı dediler. O zaman seçtiğiniz SIEM ürünün kullanıcı ve kurulum kılavuzlarını okumanızı öneririm.

SIEM Uzmanı Yetkin Personel İstihdamı

Günümüzde çok çok büyük yapılara sahip ve ekonomik olarak buna bütçe ayırabilecek büyüklükte firmalar haricinde firmalar şu veya bu sebepten siber güvenlik alnında yeterli ve yetkin personel yatırımı yapmamakta.
Hal böyle olunca aynı zamanda domain yöneten, firewall yönetimi de kendisinde olan ve diğer güvenlik çözümlerinin yönetimi de kendisinden beklenen bir yâda birkaç kişilik bir ekibe bir de SIEM gibi bir yük yüklemiş olursunuz. Bu durumda projenin log toplamadan öteye geçmesi çok zor. Bu zorluğun 5 ana sebebi var:
Bir kullanıcının işi sadece güvenlik değilse ve mesaisinin önemli bölümünü loga ayırmıyor ise bütün üreticilerin bütün log kombinasyonlarını bilmesi imkânsız.
Özellikle seyrek oluşan loglarla ilgili farkındalığı olmuyor. Bunların içerisinde cihaz, marka ve modeline göre binlerce kritik olayın logu var. Loglara veya raporlara baktığı zaman gördüğü loglar aslında en çok oluşan ve toplam oluşan logların %80 i ni oluşturan aynı çeşit loglar. Mesela dosya erişimleri veya firewall üzerinden erişilen siteler. Ama bahsedilen logların baskınlığından dolayı ekranda göremediği ve 50–100 satırlık yüzlerce, binlerce arama veya raporlama ekranına bakarak veya pdf okuyarak gözle görmek imkansız.
Farklı üreticilerin farklı loglarını birleştirmek zorunda kaldığın da çok fazla iş yükü çıkıyor. Bir sürü query yazmak ve iki veya daha fazla üreticideki indikatörleri bilmek gerekiyor
Anlamlı loglar, loglar akarken (Stream analysis) otomatik olarak tespit edilemiyorsa daha sonra arama süresi, ne aradığını bilme ve gerekli sorguyu tasarlayabilme zorluklarından dolayı vaktinin sadece %10 ununu buna ayırabilen bir ekip tarafından bulunamaz oluyor.
Özellikle ülkemizdeki ekonomik koşullar rekabeti fiyat noktasında yapmak zorunda bırakıyor o da rekabeti vasata çekiyor.
Örnek bir senaryo vermek gerekirse ben kullanıcının daha önce hiç yapmadığı bir şeyi yapması durumunu tespit etmek istesem ki bu ilk isteyeceğim şey olurdu. Eğer elimde derinlemesine topolojik analiz yapan bir SIEM ürünü yok ise bunu tespit etmek işkence olur. Neden mi?
Öncelikle sistemde kullanıcı veya cihazların yaptığı bütün aktiviteleri sınıflandıran bir sisteme ihtiyaç var. Buna taxonomy diyoruz. Ayrıca bu sınıflandırma linuxdaki login olayı ile windows daki login olayını son kullanıcıya login oldu diyecek şekilde tekilleştirebilmeli.

Bu aşamadan sonra bir de bize bu davranışsal değişikliği anlayacak ikinci bir mekanizma gerekli.
Beş dakikada şu kadar başarısız oturum açarsa
Evet code bu olursa
yapısındaki korelasyon mekanizmaları yeterli olmayacaktır.
Bu tür analizleri yapabilecek ve bunu kolay bir şekilde yapabilecek bir mekanizmaya daha ihtiyaç olacaktır.

Dolayısı ile bütün sorumluluğu güvenlik ve log olmayan ekiplerin faydalanabilmesi için seçilecek SIEM ile zaten bu konuda dedike bir veya daha fazla tam eğitilmiş insana sahip ekipler için seçilecek SIEM ürünleri farklıdır.

 

Etiketler: 5651, KVKK, Log, Login, marka, Siber Güvenlik, SIEM, Yönetim

En Çok Okunan Yazılar

  • Web Sitemiz Yenilendi! - 851 Kez Okundu
  • Anasayfa - 37.076 Kez Okundu
  • İnternette izinsiz fotoğraf kullanımı Kişisel Veri İhlali mi - 35.513 Kez Okundu
  • Kanunlara Göre Kişisel Verilerin Saklanma Süreleri - 29.415 Kez Okundu
  • Aydınlatma Metni Nasıl Hazırlanır? - 18.533 Kez Okundu
  • Açık Rıza Beyanı Nasıl Hazırlanır? - 17.840 Kez Okundu
  • Gizlilik ve Çerez Politikası Nedir? - 12.655 Kez Okundu
  • Hangi Kişisel Verilerin Paylaşılması Suçtur - 12.328 Kez Okundu
  • Çalışanlardan Alınacak Muvafakatname Örneği - 9.893 Kez Okundu
  • KVK Kanuna Göre Cezai Yaptırımlar - 8.706 Kez Okundu
  • Başvuru Formu Örneği-1 - 8.379 Kez Okundu
  • Kişisel Verilerin İhlalinde Tazminat Hakkı - 8.262 Kez Okundu
  • Sorumluluk Matrisi – RACI Matrix - 6.215 Kez Okundu
  • Şirketler için Uyarı: KVKK da Son Tarih 30 Haziran 2020 - 5.628 Kez Okundu
  • ISO 27701 Standardı ve Kişisel Verilerin Korunması - 5.292 Kez Okundu
  • Veri Sorumlusunun Alması Gereken İdari ve Teknik Tedbirler Nelerdir? - 5.137 Kez Okundu
  • KVKK İdari ve Teknik Tedbirler Kontrol Listesi - 4.683 Kez Okundu
  • Kamera Aydınlatma metni - 4.502 Kez Okundu
  • Dijital Pazarlama ve E-Ticaret Portalı Hazırlama - 4.476 Kez Okundu
  • KVKK Risk Analizi Nasıl yapılır-1? - 4.442 Kez Okundu
  • KVKK Kurul Kararı: SMS atan avukata 125 bin TL para cezası - 4.428 Kez Okundu

Güncel yazılar

MEB’e öğrenci fotoğrafları konusunda KVKK’dan uyarı

MEB’e öğrenci fotoğrafları konusunda KVKK’dan uyarı

14/07/2021 Kapalı
Apartman aidat borç listesini panoya asmak kişisel veri ihlali sayıldı

Apartman aidat borç listesini panoya asmak kişisel veri ihlali sayıldı

14/07/2021 Kapalı
Akbank: Kişisel veri güvenliği Sorunu Oluşmadı

Akbank: Kişisel veri güvenliği Sorunu Oluşmadı

14/07/2021 Kapalı
Restoran ve Kafe Yazılımları KVKK Uyumlu mu?

Restoran ve Kafe Yazılımları KVKK Uyumlu mu?

04/07/2021 Kapalı
IKEA’ya 1 Milyon Euro Kişisel Veri İhlali Para Cezası

IKEA’ya 1 Milyon Euro Kişisel Veri İhlali Para Cezası

21/06/2021 Kapalı
GDPR’nin kestiği kişisel veri ihlali cezaları 284 Milyon Euro’yu geçti

GDPR’nin kestiği kişisel veri ihlali cezaları 284 Milyon Euro’yu geçti

17/06/2021 Kapalı
Nitelikli Veri gururla sunar |