SIEM Sıkça Sorulan Sorular
Veri depolamak için ne kadar sabit disk alanı gerekir?
SIEM için Sabit disk alanı, kaynak sayısına, olay oluşturma yoğunluğuna (kullanıcı sayısına bağlı) ve belirli bir satıcının veri alış verişine bağlı olarak hesaplanır. Genellikle her satıcının “donanım” ve “bulut” seçenekleri mevcuttur. Ancak birçok kuruluş yurt dışından bulut teknolojisini kabul etmek istemeyebilir.
Siem ile çalışmak zor mu?
SIEM ile çalışmak zor değildir. Modern SIEM’lerde, bir WEB uygulaması gibi tüm ara yüz sezgiseldir. Çoğu bir tarayıcı aracılığıyla çalışır. Gerekirse, rollere erişebileceğiniz farklı bölümler arasında ayrım yapabilirsiniz.
Hangi satıcıyı seçmelisiniz?
Normal bir entegratör genellikle müşterinin altyapısını inceler, ihtiyaçlarının neler olduğuna bakar, ne kadar para vermeye hazır olduğunu öğrenir. Sonra satıcı teklifini yapar. Size düşen Siem hakkında gerekli bilgiyi almak ve korelasyon yeteneklerini sormaktır. Çünkü bir SIEM yeteneklerini korelasyonlardan alır. Bir çok açık kaynak kodlu sistemde korelasyon tanımlama kısıtlıdır.
Özet
Son makalelerde ortak bazı soruların cevaplarını yazmaya çalıştım. Ne yazık ki, SIEM’lerin tamamının özelliklerini ve soyut bir organizasyon için çeşitli rakamlar (fiyat, performans) vermek zordur.
Siem firmalarını karşılaştırmak ve uygun projeyi bulmak için şu soruların cevaplarını vermeniz gerekir:
- Sonuçta SIEM’in uygulanmasından ne bekliyorum?
- Toplam kullanıcı sayısı kaçtır?
- Olaylar da dikkate alınması gereken coğrafi olarak uzak şubeler var mı?
- Hangi bilgi güvenlik sistemlerine sahibiz?
- Ağ akışlarını analiz etmeyi planlıyor musunuz?
- Sunuculardan, kullanıcı iş istasyonlarından olay çekmeyi planlıyor musunuz?
- Altyapıda, olayların da dikkate alınması gereken belirli cihazlar var mı?
- Olaylar ne sıklıkla müdahale / soruşturma gerektirir? (<10 olay / gün, 10 … 50 olay / gün, 50 … 100 olay / gün,> 100 olay / gün)
- Herhangi bir standarda uygunluğu kontrol etmeniz mi gerekiyor? Öyleyse nasıl?
- Olayları ele almaktan kim sorumlu olacak?
- Ne kadar süre somut bir sonuç almayı bekliyorum?
- SIEM uygulaması ve tedariki için ne kadar harcama yapmak istiyoruz?
- SIEM’i kim destekleyecek ve destek için ne kadar ödemeye hazırız?
SIEM ürünlerini, projeleri KVKK için, ISO27001 için, PCI/DSS denetimi için lazım diyerek alınırsa SIEM tek başına hiçbir şeyi önleyemez. Bir olay kayıtlıysa, o zaman zaten meydana gelmiştir. Başka şekilde dersek, DLP iletiyi engeller, antivirüs Trojan’ı öldürür, kullanıcı bilgi sızdırmak için ilk uyarıdan sonra fikrini değiştirir. Farklı yöntemler arar. SIEM size dahili gösterilerde, mahkemede kullanılabilecek veya suçluya gösterebilecek kanıtlar sunar.
Siem ve Koralasyon Kavramı
Siber güvenlik tehditleri arttıkça ve devam eden düzensizlikler için dijital ortamları agresif bir şekilde izleyebilen güvenlik bilgileri ve olay yönetimi (SIEM) araçlarına yönelmektedir. SIEM teknolojisi sadece log tutma değil. Tutulan logları belirli kurallar çerçevesinde inceleyip rapor sunmaktır. SIEM araçları, aslında potansiyel tehditlerin gerçek zamanlı bir resmini çekmek için kuruluşunuzdaki veri akışlarına dayanır.
SIEM tanım sistemi Korelasyon (İlişki, bağıntı), Kural, Hiyerarşik Yapı, Grup, Kategori, Ayarlar, Skorlama (Risk Hesaplama), Kod Tablosu, Aksiyonlar gibi parçalardan oluşmaktadır.
Siem sistemi nerelerde kullanılır?
- Sistem ve ağlardaki mevcut tehdit ve zaafiyetlerin tespiti,
- Gerçekleşen olayların takibi,
- Çalışanların ve sistem yöneticilerin kayıtlarının tutulması ve belli korelasyonlarda uyarıların verilmesi
- Oturum (şifre/kullanıcı)takibi,
- Yönetmelik (KVKK, 5651 yönetmelikleri) ve Standartlara (ISO27001, SoX, PCI, Nerc) göre raporlama,
- Zafiyet tarama,
Korelasyon Nedir?
Korelasyon SIEM’in işlevsel yeteneklerinin ayrılmaz bir parçasıdır. Dijital ortamınızdaki bilgiler bir SIEM platformuna beslenirken, bu platform olası sorunları tanımlamak için korelasyon kullanır. Bunu, etkinlik dizilerini, SIEM satıcısı tarafından ayarlanmış veya sizin ve ekibiniz tarafından oluşturulan özel ayarlarla önceden belirlenmiş kurallarla karşılaştırarak yapar.
Örneğin “aynı anda” operatörü ile bir çok korelasyon düşünülebilir:
- “Aynı IP adresinden birden fazla oturum açma girişimine” bakabilir, böylece yalnızca unutkan bir çalışan mı yoksa sisteminizi ihlal etmeye devam eden bir girişim mi olduğunu belirleyebilirler.
- “Aynı kullanıcı aynı anda farklı sunuculardan birine oturum açarken başka birine da oturum açmayı deneyip başarısız oluyorsa uyar” kuralı ile sisteme bir sızma girişimi olup olmadığına bakılır.
- “Aynı kullanıcı gün içinde farklı bilgisayarlarda oturum açıyorsa uyar” kişisel verilerin güvenliği ile ilgili şüphe uyandırır.
Korelasyon kuralını kendim yazabilir miyim?
Evet, çoğu SIEM’de kuralların oluşturulması maksimum düzeyde görselleştirilmiştir. Çoğu durumda normal ifadelerin söz dizimi standarttır. Örneğin bir kişi perl’e aşina ise söz dizimsel olarak yetkin düzenli bir ifade yazabilir. Buradaki ana zorluk, işin mantığını bir bütün olarak hayal etmeniz gerektiğinden, kuralların eklenmesi, bir olaya neden olan diğer kuralların mantığında bir değişiklik yapılmasını gerektirebilir.
Secromix SIEM ile kurallar kalıpları tespit etmek için önceden tanımlanmıştır. Sürekli geliştirilir ve özelleştirilir. Kodlama çerçevesi, korelasyon motorunun SIEM kuralı olarak herhangi bir mantık geliştirme yeteneklerini içerir.