Loglar Yalan Söyler mi?
SIEM Sistemlerinde Yanıltıcı Kayıt Problemi
Siber güvenlik dünyasında sıkça duyulan bir cümle vardır:
“Log yoksa olay da yoktur.”
Peki ya log varsa ama gerçeği yansıtmıyorsa?
Ya da daha kötüsü, loglar sizi yanlış bir sonuca sürüklüyorsa?
Bu makalede, SIEM sistemlerinin bel kemiğini oluşturan logların neden her zaman gerçeği anlatmadığını, yanıltıcı kayıtların nasıl oluştuğunu ve bu problemin kurumlar için neden ciddi bir risk olduğunu derinlemesine ele alacağız.
Log Nedir, Neden Bu Kadar Önemlidir?
Loglar; sistemlerin, uygulamaların, ağ cihazlarının ve güvenlik ürünlerinin ürettiği olay kayıtlarıdır.
Bir kullanıcı giriş yaptığında, bir servis durduğunda, bir bağlantı reddedildiğinde ya da bir dosya değiştirildiğinde arkasında bir log bırakır.
SIEM (Security Information and Event Management) sistemleri ise bu logları:
- Toplar
- Normalize eder
- Korelasyon kurallarıyla analiz eder
- Anlamlı alarmlara dönüştürür
Kısacası SIEM’in gördüğü dünya, logların anlattığı kadardır.
Loglar Yalan Söyler mi?
Kısa cevap: Evet, söyleyebilir.
Ama bu, logların bilinçli olarak yalan söylediği anlamına gelmez. Çoğu zaman sorun:
- Eksik
- Yanlış
- Bağlamdan kopuk
- Manipüle edilmiş
olmalarından kaynaklanır.
Yanıltıcı Log Kayıtları Nasıl Oluşur?
1. Eksik Loglama (Incomplete Logging)
Birçok sistem, performans veya disk tasarrufu için:
- Sadece kritik olayları
- Ya da sınırlı seviyede detayları loglar
Örneğin:
- Başarısız girişler loglanırken
- Başarılı girişlerin loglanmaması
Bu durumda SIEM, saldırganın sisteme nasıl girdiğini değil, sadece denemeleri görür.
2. Yanlış Zaman Damgaları (Time Drift Problemi)
Log analizinde zaman, her şeydir.
Ancak:
- NTP yapılandırması olmayan
- Saatleri senkron olmayan sistemler
olayları farklı zamanlarda olmuş gibi gösterebilir.
Bu da SIEM korelasyonlarının:
- Yanlış sırayla
- Yanlış bağlamda
çalışmasına neden olur.
3. Log Formatı ve Normalizasyon Hataları
Farklı üreticiler:
- Aynı olayı farklı isimlerle
- Farklı alanlarda
- Farklı formatlarda
loglayabilir.
Eğer SIEM bu logları doğru normalize edemezse:
- Kullanıcı alanı boş kalabilir
- IP adresi yanlış eşleşebilir
- Olay tipi hatalı sınıflandırılabilir
Sonuç: Yanlış alarm veya hiç alarm üretmemek.
4. Gürültü ve Yanlış Pozitifler
Aşırı log üretimi, gerçek tehdidi görünmez kılar.
Özellikle:
- Yanlış yapılandırılmış cihazlar
- Hatalı uygulamalar
- Sürekli hata üreten servisler
SIEM’i log çöplüğüne dönüştürür.
Bu gürültü içinde:
- Gerçek saldırılar kaçabilir
- SOC ekipleri alarm yorgunluğu yaşar
5. Saldırgan Tarafından Manipüle Edilen Loglar
Gelişmiş saldırganlar logların değerini bilir. Bu yüzden:
- Log siler
- Logları değiştirir
- Log servislerini durdurur
- Sahte log üretir
Eğer log bütünlüğü korunmuyorsa, SIEM tamamen yanıltıcı bir resim çizebilir.
SIEM Loglara Körü Körüne Güvenirse Ne Olur?
- Yanlış olaylara odaklanılır
- Gerçek ihlal gözden kaçar
- Olay müdahalesi gecikir
- Hukuki ve adli süreçler zayıflar
- Güvenlik ekiplerine olan güven sarsılır
Kısacası:
Yanlış log, yanlış karar demektir.
Yanıltıcı Log Problemi Nasıl Azaltılır?
1. Doğru Log Politikası Oluşturulmalı
- Ne loglanacak?
- Hangi detay seviyesi?
- Ne kadar süre saklanacak?
Bu sorular net cevaplanmalıdır.
2. Zaman Senkronizasyonu Zorunlu Olmalı
Tüm sistemler:
- Aynı NTP kaynağını kullanmalı
- Saat sapmaları düzenli kontrol edilmelidir
3. Log Bütünlüğü Sağlanmalı
- Loglar write-once alanlarda tutulmalı
- Hash ve imzalama kullanılmalı
- Yetkisiz erişim engellenmelidir
4. SIEM Korelasyon Kuralları Sürekli İyileştirilmeli
Statik kurallar yerine:
- Ortama özel
- Davranış odaklı
- Zaman bazlı
kurallar tercih edilmelidir.
5. SIEM + EDR + XDR Entegrasyonu
Tek başına log yeterli değildir.
Uç nokta, ağ ve kullanıcı davranışı birlikte analiz edilmelidir.
Loglar Yalan Söylemez, Eksik Konuşur
Aslında loglar çoğu zaman yalan söylemez.
Ama:
- Yanlış toplanır
- Yanlış yorumlanır
- Yanlış bağlamda analiz edilirse
gerçeği gizler.
SIEM sistemleri, sadece log toplayan araçlar değil;
doğru soruları soran ve doğru bağlamı kuran sistemler olmalıdır.
Sonuç: Gerçek Güvenlik, Loglara Şüpheyle Bakabilmektir
Olgun bir SOC ekibi şunu bilir:
“Bir alarm gördüğümüzde önce loglara değil,
logların neden böyle göründüğüne bakarız.”
Çünkü siber güvenlikte en tehlikeli şey,
yanlış bir güven duygusudur.
Loglar Yalan Söyler mi? SIEM Sistemlerinde Yanıltıcı Kayıt Problemi