Kurum ya da işletmelerde tutulan farklı türdeki (firewall, dhcp, web sunucu, ftp vb.) log kayıtlarının merkezi bir noktada toplanarak analiz edilmesi / yorumlanması işlemine log yönetimi denilmektedir. Kısaca SIEM kavramına da değinecek olursak; Security Information and Event Management olarak adlandırılan SIEM’in türkçe karşılığı Bilgi güvenliği Tehdit ve Olay Yönetimi ya da Güvenlik Bilgi ve Kayıt Yönetimi şeklinde karşımıza çıkmaktadır. Bu mekanizma hazırlanırken ilgili işletme ya da kurumun ihtiyacına göre dizayn edilmelidir.
Log kayıtlarının düzenli ve detaylı bir şekilde toplanarak saklanması ve analiz edilmesi; kanuni bir zorunluluk olmasının yanı sıra, sistem yöneticilerine ayrıca herhangi bir saldırı ya da sorun ile karşılaşıldığı zaman bilgi edinme, delil toplama aşamalarında oldukça fayda sağlamaktadır.
Bilişim sistemlerine yönelik olarak işlenen suçlarda saldırının adli olarak incelenebilmesi için log kayıtları kontrol edilir, bunun neticesinde saldırı ne zaman, kim tarafından, nasıl gerçekleştirildiği hatta saldırı neticesinde saldırganın nerelere kadar erişebildiği yönünde bilgiler edinilebilir. Log kayıtlarının düzenli olarak takibinin yapılması, aynı zamanda risk taşıyan eylemlerde kurallar oluşturarak belirli alarmların alınması olay öncesinde oldukça büyük önem taşımaktadır.
Günümüzde işletmeler kendi ihtiyaçlarına göre log yönetimi politikaları belirleyerek log kayıtlarının en doğru şekilde nasıl toplanacağı, analiz edileceğini belirlemelidir. Log kayıtlarının yönetimi hem FISMA, HIBAA, SOX, COBIT, ISO 27001gibi uluslarası standartlar hem de ülkemizde 5651 sayılı kanun gereği tutulması zorunlu kılınmıştır. Gelişen teknolojiye bağlı olarak artan siber tehditler, güvenlik ihlalleri log kavramını daha da ön plana çıkarmakta, olayların çözümü, analizi için gerekli kılmaktadır.
SIEM Neden Bu Kadar Önemli?
SIEM ürünleri tüm sistemler tarafından üretilen log kayıtlarını merkezi olarak toplayan, saklayan, analiz eden ve gerçek zamana yakın bir şekilde sunan sistemlerdir. Farklı formatlardaki log kayıtlarının ortak bir veriye dönüştürülmesi işlemine normalleştirme, olaylar arasında bağlantı kurulmasına korelasyon, birden fazla kaydı tutulan olayın teke indirilmesini sağlayarak verinin boyutunu düşürme işlemine ise birleştirme denilmektedir.
Günümüzde siber alanda artan tehditler, her geçen gün yeni varyantlarla karşımıza çıkmakta ve önlenmesi oldukça zor bir hal almaktadır. Bu aşamada SIEM ürünleri oldukça detaylı yapılandırma ayarları ve raporlama seçenekleri sayesinde toplanan veriler üzerinden hızlı analiz, raporlama, alarmlar üretme ve farkı güvenlik olaylarını ilişkilendirme yeteneğine sahiptir. Bu sayede karşılaşılan bir saldırı ya da herhangi bir olayda izlenecek adımlar, yapılması gerekenler noktasında sistem yöneticilerine yol gösterici niteliktedir.
SIEM, işletme ihtiyacına göre belirlenen politika ve kurallar sayesinde olaylar arasında bağlantılar kurarak (korelasyon) saldırıların tespit edilmesini / önlenmesini sağlamaktadır.