Siem Nedir Genel SIEM nedir?

SIEM nedir?



SIEM – Security Information ve Event Management kelimelerinin kısaltılmasıdır. Adından da anlaşılacağı gibi, SIEM korelasyonlar olmadan “tek başına” hiçbir şeyi önleyemez veya koruyamaz. Bu sistem, DLP, IDS, anti virüsler, çeşitli donanımlar (Güvenlik duvarı, yönlendiriciler vb.) gibi çeşitli diğer sistemlerden gelen bilgileri analiz etmek ve bazı kriterlere göre normlardan sapmaları daha da tanımlamak için tasarlanmıştır. Bir sapma tespit eder etmez, bir olay üretir. SIEM’in çalışmasının merkezinde, neredeyse çıplak matematik ve istatistikler vardır. Yani sadece sistem olarak (senaryosuz)  SIEM’in herhangi bir koruyucu işlevi yoktur.

Neden SIEM?

SIEM tam olarak bilgi toplamak ve analiz etmek için gereklidir. Bilgi, DLP sistemleri, IDS, yönlendiriciler, güvenlik duvarları, kullanıcı iş istasyonları, sunucular gibi çeşitli kaynaklardan gelir… Çok sayıda kaynaktan günlükleri manuel olarak görüntülemek oldukça zahmetlidir. Çeşitli kaynaklardan alınan görünüşte zararsız olayların, toplamda bir tehdit taşıdığı durumlar vardır. Şirket için hassas veri içeren bir e-postanın, bunu yapma hakkına sahip bir kişi tarafından ne zaman gönderildiğini, ancak gönderdiği kişinin adres hinterlandı dışındaki bir adrese gönderdiğini varsayalım. DLP sistemi bunu yakalamayabilir, ancak birikmiş istatistikleri kullanarak SIEM zaten buna dayalı bir olay oluşturacaktır.

Diyelim ki olay oldu. Ama bilgi sızdıran çalışan hiçbir şekilde bunu kabul etmiyor. Peki, bu durumda olay nasıl açığa çıkartılır? SIEM, hem iç soruşturmalar hem de mahkeme için gerekli tüm kanıt tabanını sağlayabilir. Aslında, bu onun ana görevlerinden biridir. Tüm paydaşlar olayın yaratıldığı tarihte haberdar edilecektir.

Ve bir ekleme daha yaparsak, periyodik olarak herhangi bir standarda veya yönetmeliğe (KVKKIso27001GDPR gibi) uygunluk için denetimler yapmak gerekir. SIEM bunu da otomatik yapabilir. Ek özelliklerden, uygulamadan sonra, SIEM başka bir bilgi güvenliği aracının ek olarak satın alınmaması için daha az para harcamaya yardımcı olabilir: örneğin, bir raporu gerekçelendirme olarak eklersiniz, alınan olayların çoğunun talep ettiğiniz araç tarafından ikili, üçlü korelasyonu yapılamaz. Başarılı bir Log Yönetimi ve SIEM Projeleri için gereksinimlerin tespiti yapılarak, kapsam belirleme ve proje yönetimi ile yapılmalıdır.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir