Log Kayıtlarıyla SIEM Nasıl Yapılır ?

Log Kayıtları ve SIEM: 5651 Sayılı internet erişiminin kontrol altına alınmasını sağlamak amacıyla çıkarılan kanun kapsamında kurumlarda internet kullanımı esnasında kayıt altına alınan log kayıtlarının SIEM metoduyla analiz edilmesiyle kayıtların aralarında ilişki olup olmadığını ve nasıl bir ilişki olduğunu ortaya çıkarmak mümkündür.

Loglama

Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır.  Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.

Log yönetiminin daha verimli gerçekleştirilebilmesi için:

– Büyük hacimli log kayıtlarının hızlı arama ve çabuk erişim sağlama seçenekleriyle saklanması verimliliği artırır.
– Olayların erken tespiti saldırının etkilerinin azaltılabilmesi adına hızlı bir şekilde karşılık verilmesini ve aksiyon alınmasını sağlar.
– Olayları tespit yeteneğinin gelişmiş olması doğru aksiyonları araştırma ve uygun yanıtı kararlaştırma için kontrol mekanizmaları sunar.
– İhlalleri, sızmaları ve yetkilendirilmemiş erişimleri tespit; analiz için veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok rutinin otomatize bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarının belirlenmesi fayda sağlar.

SIEM Nedir? 

SIEM kısaca; tüm kullanıcı, veritabanı, uygulama, güvenlik ve ağ cihazları kayıt dosyaları için yönetim çözümleridir.
Sahip olduğunuz farklı yazılım ve donanımlar gerçekleşen olayların kayıtlarını (log) üretir ve gerektiğinde kullanılmak üzere saklarlar. Bu kayıtların takip edilebilir, sorgulanabilir, raporlanabilir bir formatta ve merkezi bir yapıda tutulması işlemi SIEM (Security Information and Event Management) olarak isimlendirilebilir.

Bu teknoloji sayesinde birbirinden bağımsız olarak çalışan tüm sistemler tek merkezden takip edilebilir bir hale gelir.

Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir.  Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme (aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.

SIEM’in çalışma mekanizması:

– Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
– Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
– Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
– Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
– SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek

SIEM’in Önemi

SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır.  Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.

SIEM Ürünü Seçimi

Seçeceğiniz SIEM ürünü KVKK için ise aşağıdaki konulara dikkat etmeniz gerekir:
1. Normalize edilmiş (Parse edilmiş) logları geriye doğru kaç yıl saklayabilirsiniz? KVKK bunu kaç yıl saklamanızı istiyor? Saklanacak normalize edilmiş log miktarında 200 milyon gibi bir sınır var mı? 50-80 kullanıcı arası bir firmada kabaca ortalama 250 EPS log olur ve bu hesap ile 200 milyon sınırına 10 günde ulaşırsınız.
2. Sınır varsa bu sınırı aşmak için ek lisans ve modül almak gerekir mi? Bu ek maliyet midir? ilk modül satılırken bu ek modül maliyeti belirtildi mi?
3. Bu sınırı aşmak için kullandığınız modül normalize edilmiş logu mu saklıyor ? yoksa logun ham halini mi?
4. Bu ek modülde 1 TB vb.. disk kapasitesi limiti var mıdır?
5. Böyle bir limit varsa bunu aşmak için ayrıca lisans almak gerekir mi? Bu ek maliyet midir? baştan maliyet bilgisi paylaşıldı mı?
6-Bütün bu maliyetlere katlansak bu sefer storage maliyeti ne olur?

Sanırım en önemli soru KVKK için SIEM ürünü seçenlere ürünü satan, projelendiren veya uygulayanlar bu tür bilgileri paylaştı mı? Yoksa her şeyi yaparız, hiçbir kısıtı yok tek kısıt storage mı dediler. O zaman seçtiğiniz SIEM ürünün kullanıcı ve kurulum kılavuzlarını okumanızı öneririm.

SIEM Uzmanı Yetkin Personel İstihdamı

Günümüzde çok çok büyük yapılara sahip ve ekonomik olarak buna bütçe ayırabilecek büyüklükte firmalar haricinde firmalar şu veya bu sebepten siber güvenlik alnında yeterli ve yetkin personel yatırımı yapmamakta.
Hal böyle olunca aynı zamanda domain yöneten, firewall yönetimi de kendisinde olan ve diğer güvenlik çözümlerinin yönetimi de kendisinden beklenen bir yâda birkaç kişilik bir ekibe bir de SIEM gibi bir yük yüklemiş olursunuz. Bu durumda projenin log toplamadan öteye geçmesi çok zor. Bu zorluğun 5 ana sebebi var:
Bir kullanıcının işi sadece güvenlik değilse ve mesaisinin önemli bölümünü loga ayırmıyor ise bütün üreticilerin bütün log kombinasyonlarını bilmesi imkânsız.
Özellikle seyrek oluşan loglarla ilgili farkındalığı olmuyor. Bunların içerisinde cihaz, marka ve modeline göre binlerce kritik olayın logu var. Loglara veya raporlara baktığı zaman gördüğü loglar aslında en çok oluşan ve toplam oluşan logların %80 i ni oluşturan aynı çeşit loglar. Mesela dosya erişimleri veya firewall üzerinden erişilen siteler. Ama bahsedilen logların baskınlığından dolayı ekranda göremediği ve 50–100 satırlık yüzlerce, binlerce arama veya raporlama ekranına bakarak veya pdf okuyarak gözle görmek imkansız.
Farklı üreticilerin farklı loglarını birleştirmek zorunda kaldığın da çok fazla iş yükü çıkıyor. Bir sürü query yazmak ve iki veya daha fazla üreticideki indikatörleri bilmek gerekiyor
Anlamlı loglar, loglar akarken (Stream analysis) otomatik olarak tespit edilemiyorsa daha sonra arama süresi, ne aradığını bilme ve gerekli sorguyu tasarlayabilme zorluklarından dolayı vaktinin sadece %10 ununu buna ayırabilen bir ekip tarafından bulunamaz oluyor.
Özellikle ülkemizdeki ekonomik koşullar rekabeti fiyat noktasında yapmak zorunda bırakıyor o da rekabeti vasata çekiyor.
Örnek bir senaryo vermek gerekirse ben kullanıcının daha önce hiç yapmadığı bir şeyi yapması durumunu tespit etmek istesem ki bu ilk isteyeceğim şey olurdu. Eğer elimde derinlemesine topolojik analiz yapan bir SIEM ürünü yok ise bunu tespit etmek işkence olur. Neden mi?
Öncelikle sistemde kullanıcı veya cihazların yaptığı bütün aktiviteleri sınıflandıran bir sisteme ihtiyaç var. Buna taxonomy diyoruz. Ayrıca bu sınıflandırma linuxdaki login olayı ile windows daki login olayını son kullanıcıya login oldu diyecek şekilde tekilleştirebilmeli.

Bu aşamadan sonra bir de bize bu davranışsal değişikliği anlayacak ikinci bir mekanizma gerekli.
Beş dakikada şu kadar başarısız oturum açarsa
Evet code bu olursa
yapısındaki korelasyon mekanizmaları yeterli olmayacaktır.
Bu tür analizleri yapabilecek ve bunu kolay bir şekilde yapabilecek bir mekanizmaya daha ihtiyaç olacaktır.

Dolayısı ile bütün sorumluluğu güvenlik ve log olmayan ekiplerin faydalanabilmesi için seçilecek SIEM ile zaten bu konuda dedike bir veya daha fazla tam eğitilmiş insana sahip ekipler için seçilecek SIEM ürünleri farklıdır.