Log Yönetimi:
Logların Anlamlandırılması Nasıl Yapılır?
Log Yönetimi, cihazlar ve uygulamalar tarafından üretilen zaman damgalı kayıtları (logları) standartlaştırılmış bir şekilde toplama, saklama ve erişilebilir hale getirme sürecidir.
Toplama: Ağdaki tüm kaynaklardan (ağ cihazları, işletim sistemleri, uygulamalar) loglar, genellikle Syslog veya API'ler aracılığıyla merkezi bir SIEM sistemine yönlendirilir.
Normalleştirme (Normalization): Farklı formatlarda gelen ham loglar, SIEM tarafından ortak ve okunabilir bir formata dönüştürülür. Örneğin, bir güvenlik duvarı logundaki "blok" kelimesi ile bir sunucu logundaki "izin reddedildi" ifadesi, SIEM içinde aynı eylem (örneğin, "reddedilen_bağlantı") olarak etiketlenebilir.
Korelasyon (Correlation): SIEM'in kalbi buradadır. Normalleştirilmiş loglar, belirli bir zaman diliminde ve belirli kurallara göre ilişkilendirilir. Örneğin: "Bir kullanıcı hesabı 5 farklı sunucuda art arda hatalı şifre girdi (birinci log) ve hemen ardından aynı kullanıcının bir saat içinde beklenmedik bir coğrafyadan başarılı bir VPN bağlantısı kurduğu tespit edildi (ikinci log)." Bu iki alakasız olay, SIEM tarafından tek bir yüksek önem düzeyli güvenlik olayı olarak ilişkilendirilir.
Depolama ve Saklama: Kanuni gereklilikler (örneğin, Türkiye'de 5651 sayılı kanun) ve adli bilişim ihtiyacı için loglar güvenli ve değişmez bir şekilde uzun süre saklanır (bkz. Log Yönetimi ve 5651 Sayılı Kanuna Uygun Zaman Damgası).
Logların anlamlandırılması, ham verinin güvenlik bağlamında değerli bilgiye dönüştürülmesi sürecidir:
Kural Tabanlı Analiz: SIEM'e önceden tanımlanmış kuralların (örneğin, "tek bir kaynaktan 10 saniye içinde 50'den fazla hatalı oturum açma girişimi") uygulanması.
Davranışsal Analiz (UEBA - User and Entity Behavior Analytics): Kullanıcı ve varlıkların normal (baseline) davranış kalıplarının öğrenilmesi ve bu kalıplardan sapmaların (anormalliklerin) tespit edilmesi. Örneğin, normalde yalnızca mesai saatlerinde oturum açan bir yöneticinin gece 03:00'te yüksek hacimli veri transferi başlatması.
Tehdit İstihbaratı Entegrasyonu: Dış kaynaklardan (örneğin, bilinen kötü niyetli IP adresleri, alan adları) gelen Siber Tehdit İstihbaratı (CTI) verilerinin loglarla eşleştirilmesi. Logdaki bir kaynak IP adresi, bilinen bir kötü amaçlı sunucu IP'si ise, uyarı önem düzeyi otomatik olarak yükseltilir.
Sonuç
SIEM, modern siber savunmanın temel taşıdır. Logların sadece toplanmasını değil, aynı zamanda gerçek zamanlı korelasyonu ve anlamlandırılmasını sağlayarak, siber saldırıları geleneksel güvenlik araçlarının ötesinde, olayın parçalarını birleştirerek tespit etme yeteneği sunar. Etkili bir SIEM kullanımı, bir kuruluşun görünürlüğünü ve tehditlere karşı tepki süresini önemli ölçüde artırır.
SIEM Nedir? Log Yönetimi ve Anlamlandırma Nasıl Yapılır?