SIEM Nedir? Log Yönetimi ve Güvenlik İzleme Platformları

SIEM Nedir?

SIEM (Security Information and Event Management — Güvenlik Bilgi ve Olay Yönetimi), farklı ağ cihazları, sunucular, uygulamalar ve güvenlik araçlarından gelen log verilerini merkezi olarak toplayan, normalleştiren, ilişkilendiren ve analiz eden platformdur.

SIEM, iki eski teknolojinin birleşimidir: SIM (Security Information Management — log toplama ve saklama) + SEM (Security Event Management — gerçek zamanlı izleme ve uyarı). Modern SIEM'ler bu iki işlevi tek platformda sunar.

SIEM Nasıl Çalışır?

• 1. Veri Toplama: Firewall, IDS/IPS, endpoint, Active Directory, VPN, web proxy, cloud hizmetleri gibi kaynaklardan Syslog, API, agent veya log collector aracılığıyla loglar toplanır.
• 2. Normalleştirme: Farklı formatlardaki loglar (CEF, LEEF, JSON, Syslog) ortak bir veri modeline dönüştürülür.
• 3. Korelasyon: Tek başına anlamsız görünen olaylar birleştirilerek tehdit örüntüleri tespit edilir. Örnek: "Başarısız giriş → Başarılı giriş → Büyük veri transferi" dizisi şüpheli olarak işaretlenir.
• 4. Alarm Üretme: Korelasyon kuralları veya ML modeli eşiği aşıldığında SOC analistlerine uyarı iletilir.
• 5. Soruşturma ve Yanıt: Analist alarmı araştırır; SIEM detaylı log arama ve zaman çizelgesi sunar. SOAR entegrasyonuyla otomatik yanıt mümkün olur.

SIEM'in Temel Yetenekleri

• Gerçek Zamanlı İzleme: Tüm altyapının canlı güvenlik durumu tek ekranda.
• Tehdit Tespiti: Bilinen saldırı imzaları + davranış analizi (UEBA) ile iç ve dış tehditleri tespit.
• Log Saklama: Log verilerini uyumluluk gereksinimlerine göre (ISO 27001, PCI DSS, KVKK) uzun süreli saklama ve erişilebilir kılma.
• Adli Analiz (Forensics): Bir olay sonrasında geriye dönük log araması ile saldırı zincirinin yeniden oluşturulması.
• Uyumluluk Raporlaması: Denetçiler için hazır uyumluluk raporları (PCI DSS, ISO 27001, HIPAA).
• UEBA (User and Entity Behavior Analytics): Kullanıcı ve varlık davranışının temel profilini çıkararak anormallik tespiti. İçeriden tehdit ve hesap ele geçirme senaryolarında etkilidir.

SIEM Mimarisi

• Log Collector / Agent: Kaynaklardan log toplayan ve merkeze ileten bileşen.
• SIEM Engine: Toplanan verileri normalleştiren, indeksleyen ve korelasyon kurallarını çalıştıran ana bileşen.
• Arama ve Analiz Motoru: Milyonlarca log satırında saniyeler içinde arama yapılmasını sağlar (Elasticsearch tabanlı çözümler yaygındır).
• Dashboard ve Raporlama: Görsel panolar, trend analizleri ve yönetim raporları.

Yaygın SIEM Çözümleri

• FortiAnalyzer: Fortinet ekosistemi için entegre SIEM ve log yönetimi. FortiGate, FortiMail, FortiWeb loglarını analiz eder.
• Microsoft Sentinel: Bulut tabanlı SIEM; Azure, Microsoft 365 ve çok sayıda üçüncü taraf entegrasyonu.
• Splunk: Endüstrinin en olgun ve kapsamlı SIEM platformu; büyük ölçekli kuruluşlar için.
• IBM QRadar: Kurumsal sınıf SIEM; davranış analizi ve tehdit istihbaratı entegrasyonu.
• Elastic SIEM: Açık kaynak tabanlı; özelleştirilebilir ve maliyet-etkin.
• Wazuh: Açık kaynak SIEM + EDR; KOBİ'ler için erişilebilir alternatif.

SIEM ve SOAR Entegrasyonu

SOAR (Security Orchestration, Automation and Response), SIEM'in ürettiği alarmları otomatik olarak işleyerek SOC analistlerinin yükünü azaltır:

• Şüpheli IP adresi tespitinde otomatik engelleme (firewall kural güncelleme)
• Zararlı yazılım tespitinde endpoint karantinaya alma
• Bilet oluşturma ve ilgili analistlere atama
• Tehdit istihbaratı platformlarıyla otomatik sorgulama

Sonuç

SIEM, modern SOC'un (Güvenlik Operasyon Merkezi) merkez bileşenidir. Doğru yapılandırılmış SIEM, ortalama tehdit tespit süresini (MTTD) ve yanıt süresini (MTTR) dramatik biçimde kısaltır. Lider Network, FortiAnalyzer kurulumu, SIEM kural tasarımı ve SOC danışmanlığı konularında hizmet sunmaktadır.