Security Information and Event Management (SIEM) Sistem yöneticisi veya IS uzmanı tarafından daha fazla analiz ve sınıflandırma için bilgi toplayan bir sistemdir.
SIEM başlangıçta iki alandan oluşuyordu: Bilgi güvenliğinden sorumlu olan Güvenlik Bilgi Yönetimi ve güvenlik olaylarını kontrol eden Güvenlik Olay Yönetimi. 2005 yılında kavramlar birleştiriliyor ve Güvenlik Bilgileri ve Etkinlik Yönetimi ortaya çıkıyor.
SIEM için veriler çeşitli kaynaklardan gelmektedir. Bunlar şunları içerir:
- işletim sistemi veya üçüncü taraf bir uygulama tarafından günlüğe kaydedilen olay günlükleri
- ağ ekipmanı (yönlendiriciler, proxy’ler, ağ geçitleri vb.
- güvenlik duvarları
- güvenlik açığı tarayıcıları – altyapıdaki güvenlik açıklarını bulan özel yazılımlar
- CRM sistemleri
- kullanıcı iş istasyonları
- antivirüs yazılımı
- olayları kaydeden ve bunları aracılar aracılığıyla veya yerleşik yollarla iletebilen diğer kaynaklar
Bilgi Güvenliği Denetimi
Çalışma prensibi
SIEM, gelen bilgileri izlemek ve analiz etmek için kullanılır, ancak altyapıyı dış ve iç tehditlerden korumaz. Toplanan analizler, olayları belirlemek ve şirketin savunmasını optimize etmek için kullanılır.
Altyapının durumunun değerlendirildiği kriterler belirlenir. SIEM tarafından izlenecek ekipman reçete edilir. Yapılandırılmış kalıpların ötesine geçen bir olay meydana gelirse, SIEM değişikliğe yanıt verir ve olayı kaydeder.
Test için önce sistemi az sayıda cihaza dağıtmanız önerilir. Yöneticiler performansını kontrol eder, kuralları düzenler ve ardından çalışma modunda çalıştırırlar.
Sistemin ek yeteneği: Elde edilen verilere dayanarak, saldırganların eylemleri analiz edilir. Başka bir deyişle, olayların kaydedilmesi bu tür olayların araştırılmasına yardımcı olur.
Yerleşik uyarı işlevi, yöneticilere e-posta, SMS ve haberciler aracılığıyla ihlaller veya sorunlar hakkında bilgi verir.
YAZILIM, kullanıcının talep ve isteklerine göre yapılandırılabilen esnek bir araçtır.
SIEM bileşenleri
Yazılım çözümü şartlı olarak iki bileşene ayrılır. İlki izleme ajanlarını içerir. Bunlar, ifadelerin alındığı bilgi sisteminin unsurlarına monte edilir. İkinci öğe sunucu kısmıdır. Temsilcilerden gelen bilgileri işler, olayları ve olayları belirtilen kurallara göre kaydeder. Bilgi işleme ve olay kaydı kalıpları, yapılandırma sırasında IS uzmanları tarafından belirlenir
SIEM sistemleri
Bildirilen olayların daha fazla analizi de İB departmanına aittir. Yerleşik araçları kullanarak raporlar oluştururlar, olaylara yanıt verirler, olayların gelecekte tekrarlanmasını önlemeye çalışırlar.
Ara elemanlar da entegre edilir — toplayıcılar ve korelatörler. İlki normal depolar olarak kurulur. Çekimleri ve boş kayıtları ayıklayarak verileri filtreliyorlar. İkincisi, gerekli verileri birçok olay arasında izole eder. Bilgilerin farklı formatlarda ve farklı türlerde sunulduğu göz önüne alındığında, SIEM sistemi onu toplar ve tek bir görünüme götürür.
Ünlü SIEM’LER:
- Splunk Enterprise Security
- HPE ArcSight
- McAfee NitroSecurity
- Qradar
- Tibco Loglogic
- MaxPatrol
- AlienVault Usm
- NPO Echelon’dan “KOMRAD”