İçereği Atla

SIEM Nedir? Log Yönetimi ve Anlamlandırma Nasıl Yapılır?

Güvenlik Bilgileri ve Olay Yönetimi (Security Information and Event Management - SIEM), bir kuruluşun güvenlik altyapısındaki log ve olay verilerini toplayan, analiz eden ve korele eden merkezi bir yazılım sistemidir. SIEM, özünde iki ana bileşenin birleşimidir: SIM (Security Information Management): Uzun vadeli saklama ve raporlama için log verilerinin toplanması, depolanması ve analizi.  SEM (Security Event Management): Gerçek zamanlı olay izleme, korelasyon ve uyarı oluşturma. SIEM'in temel amacı, farklı kaynaklardan (güvenlik duvarları, sunucular, uygulamalar, antivirüsler vb.) gelen milyonlarca veri noktasını alıp, bunların içindeki anormallikleri, potansiyel saldırı göstergelerini (Indicators of Compromise - IoC) ve güvenlik olaylarını otomatik olarak tespit etmektir.
11 Aralık 2025 yazan
SIEM Nedir? Log Yönetimi ve Anlamlandırma Nasıl Yapılır?
Ayşe CAN
 
  1. Log Yönetimi:

  2. Log Yönetimi, cihazlar ve uygulamalar tarafından üretilen zaman damgalı kayıtları (logları) standartlaştırılmış bir şekilde toplama, saklama ve erişilebilir hale getirme sürecidir.

     Toplama: Ağdaki tüm kaynaklardan (ağ cihazları, işletim sistemleri, uygulamalar) loglar, genellikle Syslog veya API'ler aracılığıyla merkezi bir SIEM sistemine yönlendirilir.

     Normalleştirme (Normalization): Farklı formatlarda gelen ham loglar, SIEM tarafından ortak ve okunabilir bir formata dönüştürülür. Örneğin, bir güvenlik duvarı logundaki "blok" kelimesi ile bir sunucu logundaki "izin reddedildi" ifadesi, SIEM içinde aynı eylem (örneğin, "reddedilen_bağlantı") olarak etiketlenebilir.

     Korelasyon (Correlation): SIEM'in kalbi buradadır. Normalleştirilmiş loglar, belirli bir zaman diliminde ve belirli kurallara göre ilişkilendirilir. Örneğin: "Bir kullanıcı hesabı 5 farklı sunucuda art arda hatalı şifre girdi (birinci log) ve hemen ardından aynı kullanıcının bir saat içinde beklenmedik bir coğrafyadan başarılı bir VPN bağlantısı kurduğu tespit edildi (ikinci log)." Bu iki alakasız olay, SIEM tarafından tek bir yüksek önem düzeyli güvenlik olayı olarak ilişkilendirilir.

     Depolama ve Saklama: Kanuni gereklilikler (örneğin, Türkiye'de 5651 sayılı kanun) ve adli bilişim ihtiyacı için loglar güvenli ve değişmez bir şekilde uzun süre saklanır (bkz. Log Yönetimi ve 5651 Sayılı Kanuna Uygun Zaman Damgası).

  3. Logların Anlamlandırılması Nasıl Yapılır?

Logların anlamlandırılması, ham verinin güvenlik bağlamında değerli bilgiye dönüştürülmesi sürecidir:

 Kural Tabanlı Analiz: SIEM'e önceden tanımlanmış kuralların (örneğin, "tek bir kaynaktan 10 saniye içinde 50'den fazla hatalı oturum açma girişimi") uygulanması.

 Davranışsal Analiz (UEBA - User and Entity Behavior Analytics): Kullanıcı ve varlıkların normal (baseline) davranış kalıplarının öğrenilmesi ve bu kalıplardan sapmaların (anormalliklerin) tespit edilmesi. Örneğin, normalde yalnızca mesai saatlerinde oturum açan bir yöneticinin gece 03:00'te yüksek hacimli veri transferi başlatması.

 Tehdit İstihbaratı Entegrasyonu: Dış kaynaklardan (örneğin, bilinen kötü niyetli IP adresleri, alan adları) gelen Siber Tehdit İstihbaratı (CTI) verilerinin loglarla eşleştirilmesi. Logdaki bir kaynak IP adresi, bilinen bir kötü amaçlı sunucu IP'si ise, uyarı önem düzeyi otomatik olarak yükseltilir.

Sonuç

SIEM, modern siber savunmanın temel taşıdır. Logların sadece toplanmasını değil, aynı zamanda gerçek zamanlı korelasyonu ve anlamlandırılmasını sağlayarak, siber saldırıları geleneksel güvenlik araçlarının ötesinde, olayın parçalarını birleştirerek tespit etme yeteneği sunar. Etkili bir SIEM kullanımı, bir kuruluşun görünürlüğünü ve tehditlere karşı tepki süresini önemli ölçüde artırır.

SIEM Nedir? Log Yönetimi ve Anlamlandırma Nasıl Yapılır?
Ayşe CAN 11 Aralık 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment