Bu makalemde sizlere kısaca SIEM‘in ne olduğundan bahsedeceğim ve bu konuda bir kaç örnek kural belirteceğim.
SIEM(Security Information and Event Management) olarak adlandırılıyor. Türkçesi’de tehdit ve olay yönetimi, tabi türkçesini pek kullanan görmek mümkün olmuyor.
Loglar oldukça fazla olmaya başladığında gel zaman git zaman bunların kontrol edilmesi ve aksiyon belirlenmesi gerekiyor. Burada SIEM devreye geliyor. Kurallar yazılıyor ve alarmlar üretiliyor.
Üretilen alarmlara göre aksiyonlar belirlenip uygulanıyor. Logların tek bir merkezde toplanıp analiz edilmesi işlemi oldukça kolay gözüksede yapı büyüdükçe karmaşık bir hal almaya başlıyor.(uygulamalar ile oldukça basit)
Log yönetimi herşeydir log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun nerede, ne zaman, ne şekilde yapıldığını bilemezsiniz. Haliyle bilmediğiniz birşey içinde aksiyon yapamaz sorunları çözemezsiniz.
Gelin örnek kurallar ile makalemize devam edelim. Karışık bir şekilde başlangıç için güzel bir liste oluşturdum.
- Kurum dışı gönderilen maillerin içeriğinde TC kimlik numarası ve(veya) kredi kartı numarası varsa alarm oluştur.
- Dışarıdan şirket ağına VPN aracılığıyla yabancı bir ip adresi ile bağlanılırsa alarm oluştur.
- Mail sunucusundan çok fazla mail gönderiliyor ise alarm oluştur.
- Mail hesaplarına yurt dışından erişim olur ise alarm oluştur.
- Şirket web sitesine aynı ip adresinden 20 saniye içerisinde 30’dan fazla GET isteği gelir ise alarm oluştur.
- Mesai saatleri dışında sunucularda hesap ve/veya uygulamada oturum açılır ise alarm oluştur.
Bu ve bunun gibi pek çok alarm oluşturabilirsiniz. Kullandığınız yapıda ihtiyaçlarınıza göre kural setleri oluşturabilirsiniz. Hazır sistemler kullanıyorsanız. Kendinize göre kuralları özelleştirebilirsiniz.