SIEM NEDIR? #1

Siber güvenlik alanında bir kariyer hedefleyen kimsenin iş hayatında mutlaka SIEM ürünlerin birkaçı çıkacaktır. Elbette bu alanda ilgilenen herkesin kulağına bu terim gelmiş. Ben de uzun bir süredir SIEM hakkında eğitim alıyorum ve bilgi topluyorum. Bu toplamış olduğum bilgileri de sizler ile paylaşıp SIEM hakkında bilmediğiniz noktaları aydınlatmaya çalışacağım.

Ama öncelikle bu yazım bir eğitim yazısı olduğu için ve bilmeyen arkadaşlar için de yardımcı olması için bazı noktalarda farklı alanlarda bilgi verip açıklama yapacağım.

SIEM hakkında bilgi vermeye başlamadan önce iki temel kavram üzerinde açıklama ve bilgi vermek istiyorum:

1) Loglama

2) Siber Tehditler


Loglama nedir?

  1. Log, bir cihaz üzerinde gerçekleşen olayın veya akışın kaydını tutmaktır.
  2. Log izleme, kritik ağları ve cihazları kapsayan sistemlerin ürettiği log’ları belirlenen kural ve yöntemlere göre analiz edilmesi olarak söylenebilir.
  3. Log’ların günlük periyotlar ile izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.

Siber Tehditler Nelerdir ?

  1. PHISHING(OLTALAMA) SALDIRILARI
  2. BRUTE FORCE(KABA KUVVET) SALDIRILARI
  3. MALWARE SALDIRILARI
  4. DEEPFAKES SALDIRILAR
  5. YAPAY ZEKA DESTEKLİ SALDIRILAR
  6. DOS/DDOS SALDIRILARI
  7. WEB SALDIRILARI
  8. MAN-IN-THE-MIDDLE SALDIRILARI

Phishing saldırıları için bize gelen kargoların üzerlerinde bulunan ve bize ait bilgileri yok edilmiş şekilde çöpe atmamız gerekmektedir. Çünkü buradan elde edilen veriler ile yaptığımız alışveriş sonrası bize mail yolu phishing saldırıları düzenlenebilir. Ayrıca phishing saldırıların kapılmamak için bize gönderilen linkere çok dikkat etmemiz gerekir. Gönderen kişinin güvenilirliğinden emin değil isek bu linklere girmemiz gerekir. İleride bir kurumda siber güvenlik uzmanı olarak çalışırsak veya başka kurumlara siber güvenlik alanında hizmet verirsek öncelikle dışarıdaki tehditler kadar iç kısmımızda bulunan tehditlerin önlemini almamız gerekmektedir.

Bizim için en tehlikeli kişi içerideki kullanıcıdır. Neden peki?

Anti-virüs sistemi kursak da firewall kursak da dışardan gelen veya saldırıları engellemeye çalışsak da engelleyemeyeceğimiz şey son kullanıcının yapacağı hareketlerdir. Bunun için oldukça fazla farkındalık eğitimi vermek gerekir.


Siber Tehditlerin Arkasındaki Motivasyon Nelerdir?

Bu tehditlerin arkasında bir sürü neden ve motivasyon bulunmaktadır.

Bunları bir grup halinde toplamak gerekirse:

  1. Siyaset
  2. Savaş çıkarma
  3. İdeolajik faaliyetler
  4. Para Kazanma
  5. İtibar ve ünlü olma isteği
  6. Eğlence amaçlı

Buraya kadar olan kısımda sizler için faydalı olacak bilgiler vermeye çalıştım. Şimdi ise konu ile alakalı bir bazı noktalara değinmek istiyorum 🙂


SIEM hakkında vereceğim bilgilerde geçen bazı terimleri ve bunlar hakkında bilgi vermek istiyorum. Bu sayede daha iyi anlayabileceğinizi umut ediyorum

  1. SIEM
  2. SOAR (Security Orchestration Automation and Responce)
  3. UEBA (User and Entity Behaviour Analytics)
  4. PARSER
  5. KORELASYON
  6. SINIFLANDIRMA
  7. NORMALIZASYON

SOAR; diyelim ki SIEM tarafında çok güzel bir metodoloji uyguladınız ve oluşabilecek bütün trafikleri veya tehditleri korelasyon ile algıladınız ve uyarı haline getirdiniz. Bunun bir engelleyicisi ya da bunun diğer ürünler ile ortak çalıştırılabilecek bir yapıya ihtiyaç vardır. Buna da SOAR diyoruz.


PARSER: Her log kaynağından log alıcaz.Bunlar aynı formatta veya aynı düzende olmayabilir. Bunları anlamlı hale getirebilmek için belli alanlarını parse etmemiz gerekmektedir. Bunu yapan ise Parser’dır.


Korelasyon: Log yönetimidir. Yani firewall’dan aldığım bir log ile active directory’den aldığım bir log’un birbiri ile kesiştiği noktayı bulmam gerekiyor. Bunları korele etmem gerekiyor ki bir anlamlı uyarı üretebileyim.


Sınıflandırma (Taksonomi) : Büyük bir veride bir satır ile gruplanmış data’ları görebilmemizi sağlar. Örneğin authentication işlemi bir gruptur. Authentication işlemi altında login işlemi bir gruptur.login’nin altında da fail durumu veya success durumu da bir gruptur. Örneğin bir bilgiayara giriş yaptığımda authention-accountlogin-success olarak göreceğiz. Tek bir satıra indirgenmiş oldu. Genel mimaride başarılı bir giriş olduğunu göreceğiz.


Normalizasyon : Log’ların içindeki bazı data’lar son kullanıcının anlayabileceği şekilde gelmeyebilir. Bunları son kullanıcın anlayacağı şekilde normalize eder.


UEBA : Kullanıcı ve varlık davranış analizi olarak bilinen UEBA aslında kullanıcı ve kimliklerin kullanım modellerini profil analizi ile öğrenip daha sonra anormal davranışların sergilenmesinde durumunda bunların raporlanmasını sağlar.


Umarım şimdiye kadar olan kısımda anlamadığınız bir şey kalmamıştır. Şimdi ise artık asıl konumuza başlayabiliriz 🙂

SIEM Nedir?

  • SIEM, log izleme anlamanı gelmektedir.
  • Peki sadece log izleme ile yetinen bir şey midir?
  • Log’ları topladıktan sonra onları anlamlı hale getiren, üzerinde analizler yapıp alarm üretmeyi başaran bir sistem topluluğudur.
  • SIEM yazılımı anlık olarak ağda bulunan cihazlarda gerçekleşen olayların görülmesinde yardımcı olur.
  • Bu olayları log verilerini toplar, gerçekleşebilecek saldırıları tespit etmek için bu log’ları ilişkilendirir ve analiz eder.
  • İhtiyaç duyulması üzere bu bilgileri depolar.
  • Peki bu bilgileri neden depoluyor ?
  • Eğer bir saldırı gerçekleşirse, daha sonra adli açıdan incelenmesine yardımcı olmak için veya saldırının nasıl, nerede ve hangi bileşenler üzerinde etkili olduğunu öğrenmek için kullanılabilir.
  • SIEM cihazları başarılı bir şekilde yapılandırılır ve sürekli olarak güncel sistem durumu ile bilgilendirilse iç ve dış tehditleri algılamada, siber tehditlere karşı koruma sağlamada ve sağlıklı raporlar ve alarmlar üretmeye yardımcı olur.

SIEM’in Çalışma Mekanizması Nedir?

  1. Elde edilen logların belli bir formata dönüştürülmesi
  2. Olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirilmese
  3. Bağımsız gibi görünen olayları birbiriyle bağlantı kurulması ya da olayların veri ile ilişkilendirilmesi
  4. Sorumlu kişileri bilgilendirmek için alarm üretmek
  5. Elde edilen veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunmak
  6. SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek

Açık Kaynak SIEM Cihazları Nelerdir ?

  1. OSSIM
  2. OSSEC (en çok kullanılanı)
  3. Sagan
  4. Splunk Free
  5. Snort
  6. Elasticsearch
  7. MozDef
  8. ELK Stack
  9. Wazuh
  10. Apache Metron

Lisanslı SIEM Cihazları Nelerdir ?

  1. SolarWinds Security Event Manager
  2. Micro Focus ArcSight ESM
  3. SolarWinds Threat Monitor
  4. Splunk Enterprise Security
  5. LogRhythm NextGen SIEM
  6. IBM QRadar
  7. AlienVault Unified Security Management
  8. Sumo Logic
  9. RSA NetWitness Suite
  10. McAfee Enterprise Security Manager
  11. CRYPTOSIM

Evet arkadaşlar buraya kadar SIEM hakkında temel bilgiler vermeye çalıştım. Ama SIEM hakkında çok fazla teknik detayı bu yazımda paylaşmak istemedim. SIEM hakkında daha fazla teknik detay öğrenmek isterseniz bu konu hakkındaki bir sonraki yazımı okuyabilirsiniz. Umarım iş hayatınızda, mülakatanızda size SIEM cihazı hakkında soru sorulduğunda rahatlıkla cevap verebilirsiniz 🙂

Bu konu hakkında benim anlatacaklarım ve bulduklarım bu kadar arkadaşlar. Umarım konuyu bir bütün olarak anlatabilmişimdir. Umarım sizler için faydalı olmuştur. Soru, görüş ve geri bildirimleriniz için fatihturgutegitim@gmail.com adresine mail atabilirsiniz.

Ayrıca bana linkedin üzerinden de ulaşabilirsiniz. Okuyan herkese teşekkür eder sağlıklı günler dilerim. Bir sonraki yazımda görüşmek üzere…

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da Blog Oluşturun.

Yukarı ↑

%d blogcu bunu beğendi: