SIEM
Değerli arkadaşlar, merhaba! Bu yazımızda sizlere, siber dünya içerisinde bulunan herkesin ne işe yaradığını bilmesi gerektiğini düşündüğümüz SIEM'i anlatacağız. Ancak bu yazıyı, 'Network' kategorisine mi yoksa 'Bilgi Güvenliği | Siber Güvenlik' kategorisine mi koyacağımız konusunda aklımız karıştı ve bunu, 'Bilgi Güvenliği | Siber Güvenlik' kategorisine koymaya karar verdik.
Açılımı, 'Security Information and Event Management'; Türkçe karşılığı ise 'Güvenlik Bilgileri ve Olay Yönetimi' şeklindedir. SIEM, aslında tek bir yapı değildir. Yani SIEM, 'SIM (Security Information Management - Güvenlik Bilgi Yönetimi)' ve 'SEM (Security Event Management - Güvenlik Olay Yönetimi)' isimli iki farklı yapının birleşmesinden meydana gelmiştir.
Bildiğiniz üzere 'teknoloji', 'veri akışı', 'ağ' dediğimiz yapılar ilk zamanlara göre inanılmaz derecede büyümüştür. Hâl böyle olunca bu yükü azaltmak veya daha rahat kontrol etmek adına çeşitli teknolojiler de geliştirilmiştir. Bu noktada SIEM, bir BT (Bilgi Teknolojileri - IT) ortamındaki güvenlik olaylarına yönelik 'hızlandırılmış algılama ve yanıt' sağlarlar. Bütün bunlarla beraber SIEM, bir BT altyapısının güvenlik duruşunun kapsamlı ve merkezi bir görünümünü sağlar. Bu özelliği sayesinde siber güvenlik uzmanlarının BT ortamlarındaki faaliyetlere ilişkin öngörü geliştirmelerini sağlar.
SIEM, aslında bir yazılımdır ve bu yazılım; bulut sistemleri, uygulamalar, ağ, güvenlik duvarları ve antivirüs gibi güvenlik birimlerine kadar tüm BT altyapısı boyunca oluşturulan günlük verileri toplar (log tutar). Daha sonra SIEM, topladığı bu veriler sayesinde olayları 'tanımlar', 'sınıflandırır' ve 'analiz eder'. Kritik iş ve yönetim birimine/birimlerine gerçek zamanlı uyarılar, göstergeler ve raporlar sunar.
Bu noktada SIEM'in ne iş yaptığını daha net anlamak adına 'SOC' dediğimiz yapıları anlamamız gerekir. SOC (Security Operation Center - Güvenlik Operasyon Merkezi), güvenlik sorunlarıyla kurumsal ve tekniksel anlamda ilgilenen merkezi bir birimdir. İşte, SOC ekipleri bu şekilde güvenlik sorunlarıyla ilgilenirken gerçek anlamda bir netlik durumu ister ve bu durumda maksimum başarıya erişirler; ne de olsa bir sorunu çözmenin yolu o sorunu iyi tanımaktır. Bu noktada güvenlik analistleri, SIEM olmadan her uygulama ve güvenlik kaynağı için milyonlarca farklı veriden geçmek zorundadır. Yukarıdaki paragraflarda da özelliklerini anlattığımız üzere SIEM, bu konuda SOC'a oldukça yardımcı olur. Ancak daha kısa ve net bir şey gerekirse; SIEM yazılımı, güvenlik olaylarına yanıt olarak hız ve doğruluğa yardımcı olur ve merkezi toplama, sınıflandırma, algılama, korelasyon ve analiz yetenekleri sağlar. Bu, ekiplerin BT altyapısını gerçek zamanlı olarak izlemesini ve sorun gidermesini kolaylaştırır.
'Risk Analizi ve Bilginin Sınıflandırılması' isimli blogu okuduysanız hatırlarsınız; bir işletmenin varlıklarının sınıflandırılması ve risk düzeyinin belirlenmesi gerekir. Eğer korunması gereken bir bilgi korunamaz, sıkı bir şekilde korunmaması gereken bilgi ise sıkı şekilde korunursa bu durum; olası bir tehdit durumunda şirkete hem maddi hem de manevi zarar verebilir. Bu noktada SIEM'in sağladığı bu özelliklerin avantajlarından biri de, alarm yoğunluğuna ve şirketin güvenlik kaynaklarına öncelik verilmesi konusunda kafa karışıklığına engel olmasıdır; neyin ne olduğunu bilirseniz korkmaz, ona göre önlem alırsınız.
Modern SIEM teknolojilerinde yapay zekâ da vardır. Hatta bu sayede SIEM; iç tehditleri, kimlik avı saldırılarını, SQL enjeksiyonlarını, DDoS saldırılarını, veri hırsızlığını ve benzeri tehlikeleri büyük ölçüde azaltabilir.
Yayınlanma Tarihi: 2022-09-25 13:17:23
Son Düzenleme Tarihi: 2022-09-30 14:18:13