.

SIEM (Security Information and Event Management) olarak bilinen SIEM Türkçeye  Güvenlik Bilgileri ve Olay Yönetimi olarak adlandırılmıştır. Fakat Türkçe terim ile ifade edildiğini pek çok yerde göremeyiz. SIEM’in amacı güvenlik ile ilgili olayları tek bir noktadan yönetmek, analiz etmek ve gerektiğinde Olay Müdahale ( Incident Response) süreçlerini takip etmek için kullanılan bir araçtır. Standart bir SIEM ürününün aşağıdaki bileşenlere sahip olması gerekmektedir.

  • Log toplama ve saklama
  • Aggregation
  • Normalisation
  • Correlation
  • Prioritazion
  • Alarm, Rapor, Dashboard vb.
  • Incident Response

Açıklamak gerekirse logları toplayacak, saklayacak, aynı logtan çok fazla geliyorsa bunları tek bir olay olarak gösterecek, logları okunacak hale getirecek, yapılan işlemleri kategorilere ayıracak, bir çok olay arasında ilişki kurabilecek ve bu ilişkilere göre raporlar, dashboardlar ve alarmlar üretecek sonrasında bu oluşan olayları yönetecek bir araç olarak ürün olarak tanımlanacaktır.

Sadece bunlarla kalmayacak, olayları önceliklendirecek, hangi olay diğerinden daha önemli ya da daha öncelikli bunları sıralaması gerekmektedir. Nedeni bir güvenlik analisti işine nereden başlayacağını önceliklendirmeye göre yapması gerekeceğini belirtilmesi gerekmektedir. Bir diğer husus elimde SIEM ürünü var kullanıyorum demek ile güvenlik olmadığını belirtmek isterim. Gözlemlerim sonucu SIEM ürününde ayarlamaların olası durumlara karşı hazır hale getirilmesi ve takibinin son derece titizlik ile yapılması gerektiğini belirtmek isterim.

SIEM’in Faydaları

SIEM ürünleri, güçlü bir tehdit algılama yöntemi ve gerçek zamanlı raporlama ve güvenlik günlüklerini ve olaylarının uzun süre analizini sağlar. SIEM ürünleri büyük Kurum ve Kuruluşları siber saldırılara karşı korumakta yararlı olabilir. SIEM’in faydaları aşağıdakileri içerir:

  • Verimliliği arttırmak
  • Potansiyel güvenlik tehditlerini önleme
  • Güvenlik ihlallerinin etkisini azaltmak
  • Maliyetleri Azaltmak
  • Raporlama, günlük analiz ve saklama gibi işlemleri yapmak

Şeklinde faydalarını göstermektedir. Başka bir faydasını burada anlatmak istedim bir sistem üzerinde birden fazla uygulama ve cihazdan olay günlüklerini toplayabildiğinden, BT personellerinin olası güvenlik ihlallerini daha hızlı belirlemesine, incelemesine ve bunlara yanıt vermesine kolaylık sağlamaktır.

Yerli SIEM Ürünleri

Ülkemizde ve global çapta azımsanmayacak seviyede pazar payı bulunan SIEM ürünleri bulunmaktadır. Bu ürünlerden bazıları şunlardır ;

  • AlienVault
  • ArcSight
  • Micro Focus

Ülkemizdeki yerli ve milli olarak üretilen SIEM ürünlerimiz de mevcuttur. Global çapta üretilen SIEM ürünleri ile yarışabilecek teknik kabiliyetlere sahip yerli ürünlerimiz şunlardır ;

  • Cryptosim
  • Logsign
  • SureLog

Lider SIEM Ürünleri

IBMQRadar

Artıları: Birçok dağıtım ve kullanım senaryosu seçeneğine sahip zengin, tam özellikli bir ürün Sofistike bir ürün için iyi kullanım kolaylığı Yüksek güvenlik ihtiyaçları için iyi

Eksileri: Soruşturma ve olay yönetimi ekstra maliyetler Yerel EDR eksikliği Lisanslama karmaşık olabilir.

Splunk

Artıları: Hemen hemen her şeyi doğru yapar: Dağıtım, güvenlik ve yönetim en önemli konulardır Dağıtım ve özelliklerde esneklik Raporlama ve uyarılar yüksek not alır.

Eksileri: Pahalı olabilir IDPS, EDR, veritabanı izleme, dosya bütünlüğü ve güvenlik açığı izleme ekstra maliyet

Exabeam

Artıları: Güçlü davranış analizi Kullanım kolaylığı ve otomasyon özellikleri Kullanıcı bazlı fiyatlandırma Eksileri: EDR, IDPS, güvenlik açığı izleme gibi bazı genel özellikler eksik Dağıtım daha basit olabilir.

RAPID7

Artıları: Basit SaaS tabanlı dağıtım Güçlü davranışsal izleme Yönetilen hizmetler ve ek güvenlik ürünleri mevcuttur.

Eksileri: Veritabanı, e-posta, veri yerleşimi ve IoT izleme eksik özelliklerdir Güvenlik açığı yönetimi, uygulama güvenliği ve SOAR ek ürünler gerektirir.

FORTINET

Artıları: Güçlü güvenlik Tam özellikli Uyumluluk, varlık keşfi ve tehdit istihbaratı özellikle güçlü yönlerdir.

Eksileri: EDR, IDPS ve güvenlik açığı izleme ekstra maliyet Desteğin iyileştirme için yeri var

SECURONIX

Artıları: Güçlü davranış ve veri izleme ile tam özellikli Nispeten kolay kullanım Kararlı fiyatlandırma modeli

Eksileri: IDPS , EDR , varlık keşfi ve adli tıp ekstra maliyet Destek ortalama

McAfee

Artıları: Kullanım Kolaylığında Üstler Otomatik yanıt özellikleri Her yerde sağlam yetenekler.

Eksileri: Davranışsal yetenekler geliştirilmeli Veri yerleşimi izleme yok IDPS, EDR ve dosya bütünlüğü izleme ekstra maliyetlidir.

RSA

Artıları: En iyi bilinen güvenlik markalarından birinden kapsamlı bir teklif Makine öğrenimi, adli tıp ve tehdit avcılığı özellikle güçlüdür.

Eksileri: IDPS, EDR, davranış analizi ve varlık keşfi ekstra maliyet Dosya bütünlüğü izleme eksik bir özelliktir Değer ve Kullanım Kolaylığı iyileştirilmesi gerek en alanlardır.

LogRhyth

Artıları: Yanıt, Tespit ve Yönetimde Zirveler – kurumsal güvenliğin üçlüsü Dağıtım ve kullanım kolaylığı, kurumsal sınıf bir güvenlik ürünü için şaşırtıcı derecede yüksek notlar alıyor Tam özellikli – kullanıcılara bir SIEM ürününde mümkün olan hemen hemen her şeyi sunar.

Eksileri: UEBA ve ağ izleme ekstra maliyet Biraz pahalı olabilir.

 

Kaynaklar

https://www.beyaz.net/tr/guvenlik/makaleler/siem_nedir_lider_siem_urunleri_nelerdir.html

https://www.forcepoint.com/tr/cyber-edu/siem

https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html

, , , , , , , , ,