SIEM Nedir?
SIEM (Security Information and Event Management), Türkçe’ye çevrilmiş hali ile Güvenlik Bilgileri ve Olay Yönetimi, SIM (security information management)(güvenlik bilgi yönetimi) ve SEM (security event management)(güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetim sisteminde birleştiren bir güvenlik yönetim sistemidir. SIEM terimi 2005 yılında Mark Nicolett ve Amrit Williams tarafından Gartner’ın SIEM raporunda ortaya çıktı. Önceki nesillere dayanarak yeni bir güvenlik bilgi sistemi önerdiler.
- Güvenlik Bilgi Yönetimi (SIM), geleneksel günlük toplama ve yönetim sistemlerinin üzerine inşa edilmiş ilk nesildir. SIM, günlük verileri ve tehdit istihbaratı ile birleştirilmiş günlükler üzerinde uzun süreli depolama, analiz ve raporlamayı tanıttı.
- Güvenlik Olay Yönetimi (SEM) güvenlik olaylarını ele alarak inşa edlilmiş ikinci nesildir. Antivirüs, güvenlik duvarları ve İzinsiz Giriş Algılama Sistemleri (IDS) gibi güvenlik sistemlerinden gelen olayların yanı sıra doğrudan kimlik doğrulama, SNMP tuzakları, sunucular, veritabanları vb. sistemlerde kullanılır.
Her SIEM sisteminin temel ilkeleri, birden fazla kaynaktan ilgili verileri toplamak, normdan sapmaları belirlemek ve uygun eylemi yapmaktır. Örneğin, olası bir sorun algılandığında, bir SIEM sistemi ek bilgileri günlüğe kaydedebilir, bir uyarı oluşturabilir ve diğer güvenlik denetimlerine bir etkinliğin ilerlemesini durdurmasını söyleyebilir.
En temel düzeyde, bir SIEM sistemi kurallara dayalı olabilir veya olay günlüğü girişleri arasında ilişki kurmak için istatistiksel bir korelasyon altyapısı kullanabilir. Gelişmiş SIEM sistemleri, kullanıcı ve varlık davranış analitiği (UEBA) ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) içerecek şekilde gelişti.
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) uyumluluğu başlangıçta büyük işletmelerde SIEM benimsemesini sağladı, ancak gelişmiş kalıcı tehditlerle (ATS) ilgili endişeler, daha küçük kuruluşların SIEM tarafından yönetilen güvenlik hizmeti sağlayıcılarının (MSP’ler) sunabileceği avantajlara bakmasına neden oldu. Güvenlikle ilgili tüm verilere tek bir açıdan bakabilmek, her boyuttaki kuruluşun olağan dışı desenleri tespit etmesini kolaylaştırır.
SIEM sistemleri, güvenlik duvarları, virüsten koruma veya izinsiz giriş önleme sistemleri (IPS) gibi özel güvenlik ekipmanlarının yanı sıra son kullanıcı cihazlarından, sunuculardan ve ağ ekipmanlarından güvenlikle ilgili olayları toplamak için hiyerarşik bir şekilde birden fazla toplama aracısı dağıtarak çalışır. Toplayıcılar, olayları, güvenlik analistlerinin gürültüyü inceleyerek noktaları birleştirdiği ve güvenlik olaylarına öncelik verdiği merkezi bir yönetim konsoluna iletir.
SIEM nasıl çalışır?
SIEM’in temel işlevi tehdit tespiti ve tehdit yönetimidir. SIEM, tehdit algılama, soruşturma, tehdit avı ve müdahale ve düzeltme faaliyetlerini içeren bir Güvenlik Operasyon Merkezi’nin (SOC) olay müdahale yeteneklerini destekler. SIEM, ana bilgisayar sistemleri, ağlar, güvenlik duvarları ve virüsten koruma güvenlik aygıtları da dahil olmak üzere bir kuruluşun BT ve güvenlik çerçevesi genelinde olay kaynaklarından veri toplar ve birleştirir. Bir kuruluş içindeki olası güvenlik sorunlarını belirlemek için uç nokta, ağ ve bulut varlıkları arasında toplanan verilerin güvenlik kurallarına ve gelişmiş analizlere göre analizini gerçekleştirir.
Bir olay tespit edildiğinde, analiz edildiğinde ve kategorize edildiğinde, SIEM rapor ve bildirimleri kuruluş içindeki uygun paydaşlara sunmak için çalışır. Ayrıca, bir SIEM, denetçilere sürekli izleme ve raporlama özellikleri aracılığıyla kuruluşlarının uyumluluk durumu hakkında bir görünüm sağlayarak mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olur.