SIEM Nedir ve Neden Önemlidir?
SIEM sistemleri; firewall, sunucu, endpoint, IDS/IPS ve uygulamalardan gelen logları merkezi bir noktada toplar ve analiz eder.
Temel amaçlar:
- Olayları korele etmek
- Şüpheli aktiviteleri tespit etmek
- Olay müdahalesini hızlandırmak
Ancak SIEM’in asıl gücü, anomali tespiti ile ortaya çıkar.
Anomali Tespiti Nedir?
Anomali tespiti, sistemdeki normal davranışın dışına çıkan aktivitelerin belirlenmesidir.
Örnekler:
- Kullanıcının alışılmadık saatlerde giriş yapması
- Aynı kullanıcıdan kısa sürede farklı ülkelerden erişim
- Normalden yüksek veri transferi
Bu tür sapmalar genellikle aşağıdaki tehditlerin göstergesidir:
- İç tehditler (insider threat)
- Hesap ele geçirme (account takeover)
- Yatay hareket (lateral movement)
- Veri sızdırma (data exfiltration)
SIEM’de Anomali Tespiti Yöntemleri
1. Baseline (Normal Davranış) Oluşturma
İlk adım, sistemde normal davranışın belirlenmesidir.
Örnek baseline verileri:
- Kullanıcı giriş saatleri
- Ortalama veri transfer miktarı
- Bağlanılan IP aralıkları
SIEM, geçmiş logları analiz ederek bu davranış profillerini oluşturur.
2. Threshold (Eşik) Tabanlı Tespit
Belirli bir eşik değerin aşılması durumunda alarm üretilir.
Örnek:
- 5 dakika içinde 10 başarısız giriş denemesi
- 1 saat içinde yüksek veri transferi
Bu yöntem basit ve etkilidir, ancak yanlış alarm üretme ihtimali yüksektir.
3. Davranış Analizi (UEBA)
UEBA (User and Entity Behavior Analytics), kullanıcı ve sistem davranışlarını analiz ederek sapmaları tespit eder.
Örnek:
- Normalde belirli bir lokasyondan bağlanan kullanıcı farklı bir ülkeden giriş yapar
- Sınırlı erişimi olan bir kullanıcı kritik sistemlere erişmeye çalışır
Bu yöntem özellikle hesap ele geçirme ve iç tehditlerin tespitinde etkilidir.
4. Korelasyon Kuralları
Farklı log kaynaklarından gelen veriler ilişkilendirilerek anlamlı sonuçlar elde edilir.
Örnek senaryo:
- Birden fazla başarısız giriş denemesi
- Ardından başarılı giriş
- Sonrasında yüksek veri transferi
Bu tür bir olay zinciri, brute-force sonrası veri sızdırma girişimini gösterebilir.
5. Makine Öğrenmesi Destekli Tespit
Gelişmiş SIEM çözümleri, makine öğrenmesi algoritmaları kullanarak anormal davranışları otomatik olarak tespit edebilir.
Avantajları:
- Dinamik öğrenme yeteneği
- Daha düşük yanlış alarm oranı
- Bilinmeyen saldırıların tespiti
Ancak doğru yapılandırma ve veri kalitesi kritik öneme sahiptir.
Örnek Anomali Senaryosu
Bir kullanıcı davranışı şu şekilde olsun:
- 09:00 – Normal giriş
- 09:05 – Yetki yükseltme talebi
- 09:10 – Kritik sunucuya erişim
- 09:12 – Yüksek miktarda veri transferi
Tek başına değerlendirildiğinde bu aktiviteler normal görünebilir. Ancak SIEM sistemi bu olayları ilişkilendirdiğinde şüpheli bir davranış modeli ortaya çıkar ve alarm üretir.
Anomali Tespitinde Yapılan Hatalar
- Aşırı alarm üretimi (alert fatigue)
- Normal davranışın doğru tanımlanmaması
- Eksik log toplama
- SIEM’in sadece log deposu olarak kullanılması
- Korelasyon kurallarının güncellenmemesi
En İyi Uygulamalar
- Kritik tüm sistemlerden log toplanmalıdır
- Use-case odaklı kurallar oluşturulmalıdır
- MITRE ATT&CK framework ile eşleştirme yapılmalıdır
- Yanlış alarmlar düzenli olarak optimize edilmelidir
- Threat hunting süreçleri uygulanmalıdır
Sonuç
SIEM loglarından anomali tespiti, siber güvenlik operasyonlarının temel taşlarından biridir. Sadece log toplamak yeterli değildir; bu verilerin doğru analiz edilmesi ve anlamlandırılması gerekir.
Doğru yapılandırılmış bir SIEM sistemi sayesinde saldırılar erken aşamada tespit edilir, müdahale süresi kısalır ve kurumsal risk önemli ölçüde azaltılır.
SIEM Loglarından Anomali Tespiti Nasıl Yapılır?