Günlükler, kuruluşunuzun BT ortamında gerçekleştirilen her şeyin kaydını içerir. Bunlar tipik olarak ağınızdaki tüm etkinlikler hakkında birinci elden bilgi veren, bir dizi zaman damgalı mesajdan oluşur.

Ağdaki her cihaz ve uygulama, ağ trafiğini izlemek için kullanılan NetFlow verileriyle birlikte günlük verileri oluşturur. Günlükler, güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri için ana girdi kaynağıdır. Bir SIEM çözümü, temelde, güvenlik analizleri ve uyarıları, içeriden kaynaklanan risklerin azaltılmasına yönelik faaliyetler, yanıt otomasyonu, tehdit avcılığı ve uyumluluk yönetiminin de gerçekleştirildiği bir günlük yönetimi platformudur.

Günlük yönetimi nedir?

Günlük yönetimi, günlüklerin raporlar ve uyarılar oluşturmak üzere toplanmasını, depolanmasını, normalleştirilmesini ve analiz edilmesini içerir. Günlük yönetimi, günlüklerde gizlenen ağ etkinliği verilerinin anlamlı, eyleme geçilebilir güvenlik bilgilerine dönüştürülmesini sağlar. Günlük yönetimi, ağ ve güvenlik yöneticilerinin ağı izlemesi ve ağın güvenliğini sağlaması için bir ön koşuldur. SIEM günlüğü, olay günlüklerini kullanıcılar, varlıklar, tehditler ve güvenlik açıkları ile ilgili bağlamsal bilgilerle bir araya getirerek bunları algoritmalar, kurallar ve istatistikleri kullanarak işleme alır.

Günlük yönetimi zor bir iştir. Günlük verilerinin hacmi ve ağdaki cihaz sayısından bağımsız olarak, kuruluşların günlük verilerini gerçek zamanlı olarak toplamak ve işlemek için sağlam bir günlük yönetim mekanizmasına ihtiyacı vardır. Nihayetinde, günlük yönetiminin tüm ağ cihazlarını ve uygulamalarını barındıracak esneklikte olması gerekir.

Günlük toplama

Günlük toplama, günlük yönetiminin ilk adımıdır. SIEM çözümü, ağdaki çeşitli sistemlerden günlükleri ve olayları toplayarak bunları tek bir konumda bir araya getirir. Günlükler tipik olarak iş istasyonlarından, sunuculardan, etki alanı denetleyicilerinden, ağ cihazlarından, IDS'lerden, IPS'lerden, uç nokta güvenlik çözümlerinden, veritabanlarından, web sunucularından, genel bulut altyapısından ve bulut platformlarından toplanır.

Her ağda olay günlükleri, syslog'lar ve diğer uygulama günlükleri gibi çeşitli biçimlerde günlükler oluşturan farklı sistemler ve ortamlar bulunur. Günlük toplama araçlarının tüm ağ cihazlarını ve uygulamalarını barındıracak esneklikte olması gerekir.

Günlükler aşağıdaki şekillerde toplanabilir:

  • Aracı tabanlı günlük toplama.
  • Aracısız günlük toplama.

Aracı tabanlı günlük toplama

Aracı tabanlı günlük toplama, günlükleri oluşturan cihazlarda bir aracı dağıtımının yapılmasını gerektirir. Aracı yalnızca günlükleri toplayıp filtrelemekle kalmaz, aynı zamanda günlükleri günlük toplama sunucusuna iletmeden önce ayrıştırarak başka biçimlere dönüştürür.

Windows, Unix ve başka sistemlerin çoğu, günlükleri görüntüleme, döndürme veya yeniden yerleştirme için yüksek düzeyde ayrıcalıklar gerektiren dosya sistemi alanlarında oluşturur. Aracılar, güvenlikle ilgili bilgileri yerel sistemden toplamak ve ardından bunları ağ üzerinden merkezi bir toplama aracına iletilmeye uygun bir biçime dönüştürmek amacıyla geliştirilmiştir. Aracılar, günlük kaydı alt sistemini izlemek ve yönetmek için yeterli ayrıcalıklara sahip şekilde arka planda çalışacak ve günlükleri toplamak, işlemek, filtrelemek ve SIEM ana bilgisayarına asgari düzeyde ek yük oluşturacak biçimde göndermek için yalnızca gerekli sistem kaynaklarını kullanacak şekilde tasarlanmıştır.

Aracı tabanlı günlük toplama, günlüklerin WAN'lar ve güvenlik duvarları üzerinden toplanmasında kullanışlıdır. Ayrıca ağınızda DMZ'ler gibi kısıtlı bölgelerde bulunan cihazlardan günlüklerin toplanmasına yardımcı olur. Günlük toplama için bir aracı kullanılması, sunucunun CPU kullanımını azaltır ve böylece saniye başına olay oranı üzerinde daha fazla kontrol sağlanmış olur. Windows Server, NXLog ve OSSEC, günlük toplama için sıklıkla kullanılan aracılardan bazılarıdır.

Aracı, ağdaki veya alt ağdaki herhangi bir sunucuya ve her türden işletim sistemine dağıtılabilir. Bu, ilgili sunucuya bir hizmet olarak yüklenir. Aracı, günlükleri uzaktan toplar, önceden işler ve gerçek zamanlı ve kesintisiz bir biçimde sunucuya aktarır.

Bir aracının işleyişi:

  • Bir aracı bir cihaza yüklendikten sonra, cihazın dahili etkinliklerine erişebilir ve buradan günlük verilerini alabilir.
  • Günlük verileri toplandıktan sonra, aracı bunları ön işlemeden geçirir ve alan ayıklama işlemini gerçekleştirir. Ardından günlük verilerini sıkıştırarak ve güvenli bir şekilde SIEM sunucusuna gönderir.
  • Sunucu daha sonra günlükleri dizinleyerek devam eder.

Aracı tabanlı günlük toplamanın sunduğu avantajlar:

  • Aracılar TLS ve SSL'yi kullanarak merkezi günlük sunucusuyla iletişim kurabildiğinden günlük iletimi güvenli ve güvenilir bir biçimde gerçekleştirilebilir.
  • Günlük verileri genellikle sıkıştırılmış gruplar halinde gönderilerek arabelleğe alınır; bu şekilde iletim sırasında hiçbir olayın kaybolmaması sağlanır.
  • Günlükler işlenir ve gerçek zamanlı olarak, hızlı ve verimli bir biçimde SIEM'e gönderilir.
  • Günlük filtreleme işlevi, aracı tabanlı günlük toplamada çok daha kullanışlıdır.
  • Bu işlem, çeşitli uyumluluk gerekliliklerinin karşılanmasına yardımcı olur.
  • Aracılar, Windows, Linux ve diğer sistemler gibi çeşitli platformlardan günlükleri toplayarak bunları kullanılabilir bir biçimde kaydedebilir.
  • Günlük filtreleri ile gereksiz günlük verileri kaldırılır ve toplanan günlük verileri kompakt bir hale getirilir. Bu şekilde, aracılar daha az bant genişliği ve kaynak kullanır.

Aracısız günlük toplama

SIEM çözümlerinde, günlükleri toplamak için yaygın olarak kullanılan yöntem aracısız günlük toplamadır. Aracısız denetim, dinamik bulut ortamlarında maliyetleri düşürme, görünürlüğü sağlama ve dağıtım hızını artırma konularında kritik öneme sahiptir.

Buralarda, üçüncü taraf yazılım kurulumunun desteklenmediği yönlendiriciler, yazıcılar, anahtarlar ve güvenlik duvarları gibi katıştırılmış cihazlar bulunur. Yüksek düzeyde düzenlemelere tabi sistemlerde, ek yazılım kurulumuna izin verilmez. Bu durumlarda, bunun yerine aracısız günlük toplama yaklaşımı benimsenebilir ve böylece cihazların günlükleri uzak bir veri toplayıcısına göndermesi mümkün olur. Günlük toplama için aracıları dağıtılmaya zorlayan bir faktör de kurulmuş bir ağ bağlantısının olmamasıdır.

Aracısız günlük toplamada, cihazlar tarafından oluşturulan günlük verileri bir SIEM sunucusuna otomatik olarak ve güvenli bir şekilde gönderilir; günlükleri toplamak için ek bir aracıya ihtiyaç duyulmaması da cihazlar üzerindeki yükü azaltır.

Aracısız günlük toplamanın işleyişi:

  • Bir istemci, ana bilgisayar, sistem veya cihaza daha önceden yazılım yüklenmiştir veya çoğu durumda olduğu gibi, gerekli tüm verileri toplamak için gereken programlama bunlarda zaten mevcuttur. Bu yazılım veya programlama günlük verilerini toplamak için kullanılır.
  • Günlük verileri, SNMP yakalama, WECS, WMI ve syslog'lar gibi yerel protokoller kullanılarak iletilir.
  • Günlük oluşturan ana bilgisayar, günlüklerini doğrudan SIEM'e iletebilir veya syslog sunucusu gibi bir ara günlük sunucusu bu sürece dahil olabilir.

Aracısız günlük toplamanın sunduğu avantajlar:

  • Herhangi bir yazılım kurulumu gerektirmediğinden daha kolay ve hızlı bir biçimde dağıtılabilir.
  • Herhangi bir aracı olmadığından yazılım veya sürüm güncellemesi gerekmez ve bu nedenle bakım maliyeti de daha düşüktür.
  • Herhangi bir yazılım kurulumu, bakımı veya işlemi gerekli olmadığından aracısız günlük toplama, yönetimin sarf etmesi gereken eforu önemli ölçüde azaltabilir.

Aracı tabanlı veya aracısız günlük toplamanın biri diğerinden daha iyi değildir. Seçim, kuruluşun ihtiyaçları dikkate alınarak yapılmalıdır. Dolayısıyla, hem aracı tabanlı hem de aracısız günlük toplama yöntemlerinin kullanılabileceği bir SIEM çözümüne sahip olmak en iyisidir.

Log360, tüm günlük yönetimi ve ağ güvenliği sınamaları için tek noktadan çözümünüzdür. Ağ güvenliğinizi yönetmenize, Active Directory denetimini ve genel bulut yönetimini kolaylıkla gerçekleştirmenize yardımcı olmak için, EventLog Analyzer, ADAudit Plus ve Cloud Security Plus'ı tek bir konsolda birleştiren tümleşik bir çözümdür. EventLog Analyzer, ağdaki tüm cihazlar ve uygulamalar ile uyumluluk için hem aracı tabanlı hem de aracısız günlük toplama mekanizmalarını destekleyecek biçimde geliştirilmiştir.

Aşağıdaki tabloda bazı önemli günlük kaynakları ve bu günlüklerin Log360'ta toplanması için hangi yöntemlerin kullanılabileceği listelenmiştir.

Günlük kaynağı Aracı tabanlı günlük toplama Aracısız günlük toplama
Çekirdek Windows altyapısı onay işareti onay işareti
Veritabanı platformları iptal onay işareti
Uç nokta güvenliği çözümleri iptal onay işareti
Güvenlik duvarları, NGFW'ler, IDS'ler ve IPS'ler iptal onay işareti
Hipervizörler iptal onay işareti
Linux ve Unix sistemleri onay işareti onay işareti
Yönlendiriciler ve anahtarlar iptal onay işareti
Güvenlik açığı tarayıcıları iptal onay işareti
Web sunucuları iptal onay işareti
Sunucular onay işareti onay işareti
İş İstasyonları onay işareti onay işareti
Bulut platformları iptal onay işareti

Log360 hakkında daha fazla bilgi edinin veya ürün ile ilgili sorularınız için support@log360.com adresinden destek ekibimize ulaşın.

Bir SIEM çözümüne göz atmak ister misiniz?

EN SON İÇERİKLERE ABONE OLUN

En güncel bilgilere sahip olmak istiyorum

İlgili Yazılar

Ana Sayfa »