SIEM ve Log Yönetim Çözümleri
Sistemlerin, network cihazlarının, uygulamaların ürettiği logları saklayan ve bu loglar üzerinde detaylı ilişkilendirme ve sorgular yapabilen sistemlerdir.
Sıem Yönetimi
SIEM gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânı sunmaktadır. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır. Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış, ağlara sızma noktalarının da çoğalmasına neden olmaktadır.
Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.
Sıem Yönetimi
Log kayıtlarının düzenli ve detaylı bir şekilde toplanarak saklanması, analizi vb. kanuni bir zorunluluk olmasının yanı sıra, sistem yöneticilerine ayrıca herhangi bir saldırı ya da sorun ile karşılaşıldığı zaman bilgi edinme, delil toplama aşamalarında oldukça fayda sağlamaktadır.
Bilişim sistemlerine yönelik olarak işlenen suçlarda saldırının adli olarak incelenebilmesi için log kayıtları kontrol edilir, bunun neticesinde saldırı ne zaman, kim tarafından, nasıl gerçekleştirildiği hatta saldırı neticesinde saldırganın nerelere kadar erişebildiği yönünde bilgiler edinilebilir. Log kayıtlarının düzenli olarak takibinin yapılması oldukça önem taşımaktadır.
Başarılı Sıem ve Log Yönetim Çözümü için Gerekli Adımlar,
Gereksinimlerin Tespiti, Kapsam Belirleme ve Proje Yönetimi
Her kurumun log alma ihtiyacı konumuna ve ihtiyacına göre farklılıklar göstermektedir. Başarılı bir log/siem projesi için öncelikle kapsamın ve temel seviye ihtiyaçların belirlenmesi ve ardından bu gereksinimlere uygun ürün seçimiyle birlikte projenin başlatılması gerekmektedir.
Log Kaynaklarının Belirlenmesi
İlk adımda belirlenen kapsam ve gereksinimlere göre kurumdaki hangi IT sistemlerinden logların alınacağının belirlenmesi aşamasıdır.
Genellikle orta ve büyük ölçekli kurumlarda log kaynaklarının tespiti proje yönetimi aşamasında gerçekleştirilir. Bu aşamada belirleyeceğiniz kaynaklar proje sonrası ortaya çıkacak güvenlik görselliğinizi doğrudan etkileyecektir.
Kaynaklardan Alınacak Logların Detay ve İçeriğinin Belirlenmesi
Log kaynaklarının belirlenmesinden sonra hangi log kaynağından ne tip bir log toplanacağı da aynı derecede önem arzetmektedir. Gereğinden fazla log toplayarak sistemin çalışmaması ve gerektiği kadar log toplamayarak saldırı analizinde logların yetersiz kalması da sık karşılaşılan durumlardır.
Log Anlamlandırma, Etiketleme ve Seviyelendirme Çalışması
Bu aşamada gelen logların kurum için seviyelendirmesi ve etiketlenmesi gerçekleştirilecektir. Log etiketleme ve anlamlandırma IT sistemlerinin ürettiği spesifik kayıtların standart bir güvenlik uzmanının anlayacağı hale getirilmesidir.
Gelişmiş Korelasyon Kurallarının Oluşturulması
Toplanan logların gerçek manada değer ifade edebilmesi için kurum ortamına özel kurallarının tanımlanması ve destek alınan firmayla iş birliği içinde kullanılan SIEM çözümüne aktarılması gerekmektedir. Bu adımda kurumla birlikte ihtiyaç duyulabilecek kurallar tanımlanarak sisteme giriş yapılacaktır.
Siber Saldırı Simülasyon ve SOME Tatbikat Çalışması
Kurulan bir Sıem/Log sisteminin gerçek saldırılar karşısında ne kadar efektif olduğunu ölçmenin en kolay yanı kurum ortamına sanal bir saldırı simülasyonu gerçekleştirmek ve bu esnada siem sistemini izlemektir. Aksi halde yazılan ve doğru zamanda çalışıp alarm üreteceği düşünülen korelasyon kurallarının sizi yolda bırakma ihtimali %100’dür. Korelasyon kuralları yazıldıktan sonra mutlaka farklı senaryolarla tetiklenerek hatalı ya da eksik durumlar giderilmeli ve doğru zamanda doğru alarm üreteceğinden emin olunmalıdır
Gerçek Zamanlı Security Dashboard Tasarımı – Log Görselleştirme
Genellikle log / siem sistemleri gün boyu tespit ettiği anormallikleri kaydedip e-posta ya da benzeri sekilde yöneticilere gönderir fakat ortalama EPS değerlerinin 2000-3000 civarında ve üzerinde olduğu ortamlarda genellikle körlük oluşmaktadır. Bu aşamada tek bir ekranda Sıem/Log çözümün topladığı ve yorumladığı logların anlaşılabilir şekilde gösterileceği SOC (Security Operation Center) ekranının tasarlanması ve devreye alınması gerçekleştirilecektir. Bu ekranın amacı kurum sistemlerine yönelik bir siber saldırının veya sistemler üzerindeki anormalliklerin anlık olarak tespit edilmesi ve aksiyon alınmasına yardımcı olunmasıdır.
Parma Bilişim; gelişmiş, yüksek performanslı ve raporlarında üst sıralarda yer bulmuş ürünleri müşterilerinin hizmetine sunmaktadır. SIEM çözümünün diğer güvenlik sistemleri ile entegrasyonları ve yasal uyumluluk çözümleri uzman ekibimiz tarafından yapılmaktadır.