SIEM (Security Information and Event Management), bir kurumun farklı sistemlerinden (sunucular, ağ cihazları, güvenlik duvarları, uygulamalar) gelen log ve olay verilerini merkezi bir platformda toplayan, ilişkilendiren ve anlamlı güvenlik uyarılarına dönüştüren bir sistemdir.
Neden Tek Bir Sistemden Log İzlemek Yetmez?
Bir saldırı genelde tek bir sistemde değil, birden fazla sistemde iz bırakır: bir kullanıcı hesabına başarısız giriş denemeleri (Active Directory logu), ardından şüpheli bir ağ bağlantısı (firewall logu), ardından bir sunucuda anormal süreç aktivitesi (EDR logu). Bu izler ayrı ayrı incelendiğinde önemsiz görünebilir ama SIEM bunları zaman çizelgesinde birleştirdiğinde, gerçek bir saldırı paterni ortaya çıkabilir.
SIEM'in Temel İşlevleri
| İşlev | Açıklama |
|---|
| Log Toplama | Farklı kaynaklardan (sunucu, ağ, güvenlik cihazları) merkezi log toplama |
| Korelasyon | Farklı kaynaklardaki olayları zaman/bağlam bazında ilişkilendirme |
| Uyarı (Alerting) | Belirlenen kurallara uyan şüpheli davranış paternlerinde otomatik uyarı |
| Uyumluluk Raporlama | KVKK, ISO 27001 gibi düzenlemeler için gerekli log saklama ve raporlama |
Neden Backup Altyapısı da SIEM'e Dahil Edilmeli?
Ransomware saldırılarının çoğu, önce backup altyapısını devre dışı bırakmaya çalışır. Backup sistemlerindeki (silme işlemleri, yetkisiz erişim denemeleri, retention politikası değişiklikleri gibi) olayların SIEM'e entegre edilmesi, bir saldırının erken aşamada (veri şifrelenmeden önce) tespit edilmesini sağlayabilir.
KVKK Uyumluluğu ile İlişkisi
Türkiye'de kurumsal veri koruma gereksinimleri kapsamında, güvenlik olaylarının izlenebilir ve raporlanabilir olması önemli bir kontrol maddesidir. Bu konuyu KVKK'ya uygun backup altyapısı rehberinde de ele aldık.
Özet
SIEM, dağınık sistemlerden gelen güvenlik verilerini merkezi olarak toplayıp ilişkilendirerek, tek başına fark edilmeyecek saldırı paternlerinin erken tespit edilmesini sağlayan kritik bir güvenlik operasyon aracıdır.