SIEM mimarisinin bileşenleri

İşletmeler, her gün giderek artan sayıda siber saldırıyla karşılaştıklarından kendilerini sürekli olarak savunmak zorundadır. Güvenlik bilgileri ve olay yönetimi (SIEM), ağlarını bu siber saldırılara karşı korumak üzere çeşitli işletmeler tarafından yaygın olarak benimsenen bir güvenlik sistemidir.

Bir SIEM çözümü, ağ cihazlarını ve olaylarını sürekli olarak izleyip bunlar üzerinde analizler gerçekleştirerek güvenlik ekiplerinin veri ihlallerini ve kötü amaçlı faaliyetleri tespit etmesine yardımcı olan çeşitli bileşenlerden oluşur. Bu makalede, bir SIEM mimarisindeki farklı bileşenler ayrıntılı olarak açıklanmaktadır.

Bir SIEM mimarisinin 9 bileşeni

• 1. Veri toplama

  SIEM çözümünün bu bileşeni, sunucular, veri tabanları, uygulamalar, güvenlik duvarları, yönlendiriciler, bulut sistemleri ve daha fazlası gibi bir kurumsal ağ içindeki birden fazla kaynak tarafından oluşturulan günlük verilerini toplamaktan sorumludur. Belirli bir cihazda veya uygulamada gerçekleşen tüm olayların kaydını içeren bu günlükler, merkezi bir konumda ya da veri deposunda toplanır ve saklanır.

  Çeşitli SIEM günlük toplama teknikleri aşağıdakileri içerir:

  • Aracı tabanlı günlük toplama:

    Bu teknikte, günlük oluşturan her ağ cihazına bir aracı yüklenir. Bu aracılar, günlükleri cihazlardan toplamaktan ve bunları merkezi SIEM sunucusuna iletmekten sorumlu olur. Bu aracılar, bu sorumluluklara ek olarak günlük verilerini önceden tanımlanmış parametrelere göre cihaz düzeyinde filtreleyebilir, ayrıştırabilir ve iletmeden önce bunları uygun bir biçime dönüştürebilirler. Bu özelleştirilmiş günlük toplama ve iletme tekniği, bant genişliğinin en iyi şekilde kullanılmasına yardımcı olur.

    Aracı tabanlı günlük toplama yöntemi, temel olarak iletişimin kısıtlandırılmış olduğu kapalı ve güvenli bölgelerde kullanılır.

  • Aracısız günlük toplama:

    Bu teknik, herhangi bir ağ cihazına aracı dağıtımı yapılmasını içermez. Bunun yerine, oluşturulan günlüklerin güvenli bir şekilde merkezi SIEM sunucusuna gönderilebilmesi için cihazda yapılandırma değişiklikleri yapılması gerekir. Anahtarlar, yönlendiriciler, güvenlik duvarları vb. cihazlarda, genellikle günlük toplama için üçüncü taraf araçlarının kurulumunun yapılması desteklenmediğinden günlük verilerini bir aracıyla toplamak zordur. Bu durumlarda, aracısız günlük toplama tekniği kullanılabilir. Bu aynı zamanda, ek bir aracı dağıtımı gerekmediğinden ağ cihazı üzerindeki yükü de azaltır.

  • API tabanlı günlük toplama:

    Bu teknikte, günlükler uygulama programlama arayüzlerinin (API'ler) yardımıyla doğrudan ağ cihazlarından toplanabilir. Sanallaştırma yazılımı, SIEM çözümünün sanal makinelerden günlükleri uzaktan toplamasını sağlayan API'leri sağlar. Ayrıca, şirketler kurum içi yazılımlardan bulut tabanlı çözümlere geçiş yaptığında, hizmetler herhangi bir fiziksel altyapıya bağlı olmadığından günlükleri doğrudan SIEM'e göndermek zorlaşır. Bu durumda, bulut tabanlı SIEM çözümleri ağ günlüklerini toplamak ve sorgulamak için aracı olarak API'lerden faydalanır.

• 2. Güvenlik verisi analizleri (raporlar ve panolar)

  SIEM çözümleri, temel olarak güvenlik verilerini grafikler ve çizelgeler biçiminde sezgisel olarak sunan canlı panolar içeren bir güvenlik analizleri bileşeniyle sunulur. Bu panolar otomatik güncellenir ve güvenlik ekibinin kötü amaçlı etkinlikleri hızlıca belirleyerek güvenlik sorunlarını hızla çözmesine yardımcı olur. Güvenlik analizi uzmanları, bu panoların yardımıyla verilerdeki olası anormallikleri, korelasyonları, kalıpları ve eğilimleri tespit edebilir ve böylece gerçekleşen olaylar hakkında gerçek zamanlı olarak çeşitli içgörüler elde edebilir. SIEM çözümleri, kullanıcılara kendi panolarını oluşturma ve özelleştirme seçeneği de sunar.

  Bu güvenlik analizleri bileşeninin bir diğer yönü de önceden tanımlanmış raporlardır. SIEM çözümleri çoğunlukla güvenlik olaylarına dair görünürlük sağlamaya, tehditleri tespit etmeye ve güvenlik ve uyumluluk denetimlerini kolaylaştırmaya yardımcı olmak üzere yüzlerce önceden tanımlanmış rapor içeren biçimde sunulur. Çoğunlukla bilinen güvenlik ihlali göstergelerine (IoC'ler) dayalı olarak oluşturulan bu raporlar, kurum içi güvenlik ihtiyaçlarıyla uyumluluğu sağlayacak biçimde özelleştirilebilir.

  Çoğu SIEM çözümü, bunlara ek olarak kullanıcılara bu raporları filtreleme, arama ve ayrıntılı inceleme, kullanıcının ihtiyaçlarına uygun raporlar oluşturma zamanlamaları ayarlama, verileri tablo ve grafik biçiminde görüntüleme ve raporları farklı biçimlerde dışa aktarma seçeneklerini sunar.

• 3. Korelasyon ve güvenlik olayı izlemesi

  Korelasyon motoru, bir SIEM çözümünün en önemli bileşenlerinden biridir. Toplanan günlük verileri, önceden tanımlanmış veya kullanıcı tanımlı korelasyon kuralları kullanılarak farklı ağ etkinlikleri, ortak öznitelikler veya mevcut olabilecek düzenler arasında var olan herhangi bir ilişki açısından analiz edilir. Korelasyon motorları, güvenlik saldırılarına bir bütün olarak bakılabilmesini sağlamak üzere farklı güvenlik olaylarını bir araya getirebilir. Bunlar ağdaki şüpheli etkinlikleri, güvenlik ihlalleri veya olası ihlal belirtilerini erken tespit edebilir ve SIEM sistemi bu etkinlikler için de uyarılar oluşturur.

  Aşağıda korelasyon kuralı için bir örnek bulabilirsiniz:

  "Kısa bir süre içinde birden fazla başarısız oturum açma girişiminin ardından bir kullanıcı başarıyla oturum açtığında, bir uyarı tetiklenir."

  Birçok SIEM çözümü, IoC'lere dayalı olarak oluşturulmuş önceden tanımlanmış korelasyon kurallarını içeren biçimde sunulur. Ancak saldırganlar bir sistemi ele geçirmek amacıyla her geçen gün daha gelişmiş teknikler kullandığından, kuralların düzenli olarak değiştirilmesi ve iyileştirilmesi gerekir, aksi takdirde bunlar etkisini kaybeder. Korelasyon kurallarının oluşturulması için bir saldırganın davranışları ve taktikleri hakkında derinlemesine bir anlayış sahibi olunmalıdır.

• 4. Ayrıntılı neden analizi

  SIEM çözümünün bu bileşeni, bir temel neden analizi gerçekleştirmek ve bir saldırı girişiminin ya da devam eden bir saldırının ayrıntılı analizini sunan ve kuruluşların anında uygun düzeltici eylemleri uygulamasına yardımcı olan bir olay raporu oluşturmak amacıyla kullanılır.

  En iyi savunma mekanizmalarına sahip olsa dahi bir kuruluşun tüm siber saldırıları engellemesi her zaman mümkün olmamaktadır. Ancak, bir kuruluş suç mahallerini canlandırmak ve ihlalin temel nedenini belirlemek için bir ayrıntılı neden analizi gerçekleştirebilir. Günlük verileri belirli bir cihazda veya uygulamada gerçekleşen tüm olayların kaydını içerdiğinden, bu günlük, kötü amaçlı saldırganların geride bıraktığı izler açısından analiz edilebilir.

  SIEM sistemleri, güvenlik ekibinin günlükleri taramasına, ayrıntılı neden analizi raporları oluşturmasına ve belirli bir güvenlik ihlalinin meydana geldiği zamanı, tehlikeye atılan sistemleri ve verileri, kötü niyetli etkinliğin arkasındaki saldırganları ve erişimin sağlandığı noktayı keşfetmesine yardımcı olur.

  Bu bileşen ayrıca kuruluşların günlük verilerinin uzun süreli depolaması ve arşivlemesinin yanı sıra bunlar üzerinde ayrıntılı neden analizi yürütme özelliği gibi uyumluluk ile ilgili belirli talimatların gereklerini yerine getirmesine yardımcı olur.

• 5. Olay tespiti ve olaylara müdahale

  Olay tespiti

  Bu SIEM çözümü modülü güvenlik olaylarının tespit edilmesiyle ilgilidir. Bir güvenlik olayı, yetkisiz bir tarafın ağda gerçekleştirdiği veya başarılı olan bir veri ihlalini veya bir kuruluşun güvenlik ilkelerinin ihlalini ifade eder. Hizmet reddi saldırıları, verilerin ve kaynakların kötüye kullanılması, ayrıcalıkların yetki sahibi olmayan taraflarca yükseltilmesi ve kimlik avı saldırıları güvenlik olaylarına dair verilebilecek yaygın örnekler arasındadır. Bu olaylar tespit ve analiz edilmeli, iş operasyonlarının sürekliliğini sağlarken güvenlik sorununu çözmek üzere uygun adımlar atılmalıdır. Olay tespiti sırasında kuruluşlar, saldırganların neden olduğu hasarı azaltmak amacıyla ortalama tespit süresini (MTTD) mümkün olduğunca kısa tutmaya çalışır.

  Olay tespiti aşağıdaki teknikler kullanılarak yapılabilir:

  • Olay korelasyonu
  • Tehdit bilgileri
  • Kullanıcı ve varlık davranışı analizleri (UEBA)

  Olay yanıtı

  Bu SIEM çözümü modülü, tespit sonrasında güvenlik olaylarının çözülmesi için gerçekleştirilen düzeltici eylemlerden sorumludur. İşletmelerin her gün birçok güvenlik sorunuyla karşılaşması ve saldırganların her geçen gün daha karmaşık teknikler kullanması nedeniyle, olay yanıtı zorlu bir girişim haline gelmiştir. Ortalama çözüm süresini (MTTR) kısaltmak her işletme için önemli bir önceliktir.

  Bazı olay yanıtı teknikleri aşağıdaki gibidir:

  • İş akışlarıyla olay müdahalesini otomatikleştirme
  • Ayrıntılı neden incelemesinin yürütülmesi

• 6. Gerçek zamanlı olay yanıtı müdahalesi veya uyarı konsolu

  SIEM çözümleri günlük toplama ve ilişkilendirme faaliyetlerini gerçek zamanlı olarak gerçekleştirir; herhangi bir şüpheli etkinlik tespit edildiği takdirde anında uyarı verilir ve olay yanıtı ekibi saldırıyı hafifletmek veya önlemek için anında harekete geçer.

  Uyarı bildirimleri ayrıca gerçek zamanlı olarak e-posta veya SMS yoluyla gönderilebilir ve yüksek, orta veya düşük olarak öncelikli olarak kategorilere ayrılabilir. Bir uyarı verildiğinde ilgili iş akışının otomatik yürütülmesi için güvenlik olaylarına iş akışları atanabilir.

• 7. Tehdit bilgileri

  Tehdit bilgileri, farklı siber güvenlik tehditlerini tanımlamak ve bunları önlemek, çözmek veya azaltmak üzere uygun adımları atmak için gereken bağlamsal bilgileri sağlar. Saldırının kaynağı, arkasında yatan neden, saldırıyı gerçekleştirmek için kullanılan stratejiler ve yöntemlerin yanı sıra tehlikeye dair belirtileri anlayan kuruluşlar tehdidi daha de iyi anlayabilir, böylece riskleri değerlendirerek ve sağlam bilgilere dayanan kararlar alabilir.

  Şirketler, bağlamsal bilgi eklemek üzere üçüncü taraf sağlayıcılardan tehdit akışlarını alabilir veya STIX/TAXII biçiminde sunulan açık kaynaklı tehdit akışlarını derleyip kullanabilir. Tehdit türü anında tanımlanabilir ve düzeltme eylemleri başlatılabilir; böylece MTTR kısaltılmış olur.

  Bu bileşen ayrıca güvenlik yöneticilerinin, güvenlik sistemini atlatabilecek herhangi bir tehdit veya IOC için ağın tamamında aktif arama yapma süreci olarak tanımlanabilecek tehdit avcılığını gerçekleştirmesine yardımcı olur.

• 8. Kullanıcı ve varlık davranışı analizleri (UEBA)

  Bu bileşen, güvenlik olaylarının tespit edilmesine yardımcı olur. Saldırganlar ağlara yetkisiz olarak erişmek için sürekli olarak yeni teknikler geliştirmekte olduğundan, geleneksel güvenlik sistemleri hızla etkisini kaybetmektedir. Ancak makine öğrenimi tekniklerinin yardımıyla kuruluşların her türlü siber tehdide karşı kendilerini savunması mümkündür.

  UEBA bileşenleri, bir kuruluştaki kullanıcıların ve makinelerin normal davranışlarına dayalı bir davranış modeli geliştirmek için makine öğrenimi tekniklerinden faydalanır. Bu davranış modeli, her kullanıcı ve kuruluş için çeşitli ağ cihazlarından elde edilen büyük miktarda verinin işlenmesi yoluyla geliştirilir. Bu davranış modelinden sapan her türlü olay bir anormallik olarak kabul edilir ve olası tehditler açısından ek değerlendirmelere tabi tutulur. Kullanıcıya veya kuruluşa bir risk puanı atanır; bu risk puanı ne kadar yüksek olursa şüphe de bir o kadar büyük olur. Risk puanına dayalı olarak bir risk değerlendirmesi yapılır ve düzeltici faaliyetler gerçekleştirilir.

  Bir korelasyon motoru ile UEBA arasındaki farkın ne olduğunu merak ediyor olabilirsiniz. Birincisi olay ve tehditleri tespit etmek için kullanılan kural tabanlı bir sistemken, ikincisi, adından da anlaşılacağı gibi, şüpheli olayları davranışların analizine dayalı olarak tespit eder. Bir kuruluşun saldırıları etkili bir şekilde engelleyebilmesi için hem geleneksel kural tabanlı mekanizmalara hem de modern davranış analizlerine dayalı olarak hareket etmesi gerekir.

• 9. BT uyumluluk yönetimi

  Verilerin korunması ve güvenliği söz konusu olduğunda, genellikle bir şirketin çeşitli düzenleyici kurumların uyguladığı zorunlu standartlar, düzenlemeler ve yönergelerin gerekliliklerini karşılaması beklenir. Bu düzenleyici talimatlar, faaliyet gösterdikleri sektör türüne ve bölgeye bağlı olarak her şirket için farklılık gösterir. Bunlara uymadığı takdirde, şirket cezalarla karşı karşıya kalır.

  SIEM çözümleri, bir kuruluşun hassas verileri korumak üzere resmi kurumlarca belirlenmiş tüm uyumluluk gerekliliklerini karşıladığından emin olmak için bir uyumluluk yönetimi bileşeni ile birlikte sunulur. Hassas verilerin tehlikeye atılmasını önlemek üzere anormallikleri, düzenleri ve siber tehditleri belirlemek için çeşitli teknikler kullanmak gibi proaktif tedbirler de alınmalıdır.

  SIEM çözümleri, denetçilerin denetim izlerini kontrol edebilmelerini sağlamak üzere günlük verilerini uzun süreli olarak saklayabilir ve arşivleyebilir. Bu çözümler, ayrıca, günlük toplama ve analizi yoluyla HIPAA, SOX, PCI DSS, GDPR, ISO 27001 gibi uyumluluk raporları ve talimatlarda belirtilen ilgili gerekliliklere uygun şekilde kullanıma hazır raporlar da üretebilir.

Tüm bu SIEM bileşenleri, güvenlik ekibine yardımcı olmak üzere ağda görülebilecek farklı tehdit türleri, saldırı düzenleri ve kötü amaçlı faaliyetler hakkında içgörüler sağlayarak iş birliği içerisinde hareket eder ve herhangi bir güvenlik sorununun ele alınması için atılması gereken adımlar ile izlenecek yolu belirler.