SIEM, belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM çözümleri, bir ağda gerçek zamanlı olarak bütünsel bir görünüm sağlar ve BT ekiplerinin güvenlik tehditlerine karşı mücadelede daha proaktif olmalarına yardımcı olur.
SIEM ele alındığında temel olarak cihaz loglarına ihtiyacı vardır. Cihazlardan gelen logları anlamlandırması, birbirleri arasında ilişki kurabilmesi, tehdit ve zafiyetleri tespit edebilmesi gerekmektedir. ISO 27001 standardı ve 5651 gibi yasalar gereğide logların yönetimi, saklanması ve önemi vurgulanmaktadır. Bu tür regülasyonların yerine getirilmesi için SIEM oldukça gerekli bir üründür. Regülasyonların içeriği tamamen SIEM’in yapabildiği özelliklerden oluşmaktadır.
SIEM ürünlerinin en önemli özelliği korelasyondur. SIEM’de dilinde en basit korelasyon, belli sürede belli şartları sağlayan birden fazla sisteme ait belli sayıda logun oluşması durumunda alarm tetiklenmesi ve bu alarmın aksiyonu olarak ise alarmların mail olarak iletilmesi, help-desk tarafına talep açılması veya bir kod çalıştırıp ilgili sistemler üzerinde daha derin işlemler yapılmasını sağlamak örnek olarak gösterilebilir.
SIEM ürününün diğer önemli özelliklerini şu şekilde sıralayabiliriz;
Öncelikle SIEM ürününün log toplayabilmesi için ağ cihazlarına erişebilir olması gerekmektedir. Erişim olduktan sonra loglar iki temel yöntemle SIEM’e aktarılır. Birinci yöntemde sistemin logları doğrudan ya da ajanlarla toplayıp, SIEM’e aktarmasıdır. İkinci yöntem ise SIEM’in uygulamaya, sisteme ya da veri tabanına ulaşarak logları çekmesidir. Logu alınacak sisteme göre bu yöntemlerden en uygun olanı seçilir. Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygular. Daha sonra SIEM’in en önemli özelliği olan, olayları birbiriyle bağlantılandırarak ilişkilendirir. Oluşturulan alertlerin tetiklenmesinin ardından yöneticilere mail, SMS ya da SNMP mesajları ile bildirim veya alarm üretebilir.
Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına bir dashboard ile sunar. Tüm bu işlemleri de SIEM raporlayabilir.
SIEM gibi SOAR da güvenlik ekiplerinin makine hızlarında sonsuz alarmları yönetmesine ve bunlara yanıt vermesine yardımcı olmak için tasarlanmıştır.
Güvenlik düzenleme, otomasyon ve yanıt (SOAR), Gartner tarafından benimsenen terminolojidir ve güvenlik operasyonlarının verimliliğini, etkinliğini ve tutarlılığını artırmak için günümüzde kullanılan güvenlik operasyonları ve olay yanıtına yönelik bir yaklaşımdır.
SOAR platformları, kuruluşlara gelişmiş kapsamlı savunma yeteneklerini uygulama yeteneği sağlamak için kapsamlı veri toplama, vaka yönetimi, standardizasyon, iş akışı ve analitiği birleştirerek işleri bir adım öteye taşır.
Bunun ne anlama geldiğini daha iyi anlamak için bileşenlerine ayrı ayrı bakalım.
Security Orchestration, Automation and Response (SOAR)
Security Orchestration, tekrarlanabilir, uygulanabilir, ölçülebilir ve etkili olay müdahale süreçleri ve iş akışları oluşturmak için birbirleriyle sorunsuz bir şekilde bütünleşmek ve iletişim kurmak için kullanılan çeşitli farklı güvenlik araçlarının ve teknolojilerinin koordinasyonudur. Maksimum verimliliği sağlamak için insanlar ve süreçler de uygun şekilde yönetilmelidir.
Security Automation, manuel insan müdahalesine gerek kalmadan görevleri ve süreçleri otomatik olarak ele alma, tekrarlanabilir süreçleri otomatikleştirerek ve uygun görevlere makine öğrenimi uygulayarak bu süreyi azaltma yöntemidir. Otomasyon, gerçekleştirilmesi gereken sıradan eylemleri azaltmak veya ortadan kaldırmak için genellikle “playbook” ve “runbook” kullanılmasıyla gerçekleşir.
Security Response, bir alert tetiklendikden sonra, süzme, kontrol altına alma, iyileştirme ve daha fazlasını içeren güvenlik olayını ele alma ve yönetme yaklaşımıdır. Günümüzde, dosyaları karantinaya alma ve güvenliği ihlal edilmiş hesaplara erişimi devre dışı bırakma gibi pek çok eylem otomatik olarak gerçekleştiriliyor, böylece bir zamanlar gerçek tehdit oluşturan olaylar hızla çözülebilir.
SOAR çözümleri, güvenlik ekiplerinin kendi ekosistemlerinden oluşturulan uyarıları daha fazla araştırmak için gereken içeriği otomatik olarak toplamasına olanak tanır. Bir SOAR platformu kullanarak, bulmacanın ayrı ayrı parçalarını sağlamak için gereken tüm araçlar ve teknolojiler sorunsuz bir şekilde bir araya getirilerek güvenlik uyarılarına otomatik olarak yanıt verilebilir. En uygun yanıt adımları ve eylemler daha sonra farklı tehditlere uyacak şekilde çeşitli “playbook” ve “runbook”ların tetiklenmesi yoluyla yürütülür. Bu, nihayetinde tüm uyarıların yanıtlanmasını sağlarken, analistin daha yüksek öncelikli veya daha karmaşık ve proaktif görevler üzerinde çalışmalarını sağlamak için değerli zamanını boşa çıkarır.
SOAR, güvenlik ekiplerinin daha az kaynakla daha fazlasını yapmasına olanak sağladığı gibi, ihlalin keşfinden çözüme kadar geçen sürenin kısaltılması, güvenlik olaylarından kaynaklanan risklerin en aza indirilmesi, SOC operasyonlarının genel etkililiğini ve verimliliğini de arttırır.
SOAR çözümleri, her entegre platformdan alarm verilerini toplar ve bunları ek araştırma için tek bir konuma yerleştirir.
SOAR’ın vaka yönetimi yaklaşımı, kullanıcıların tek bir vaka içinden araştırma yapmasına, değerlendirmesine ve ek ilgili araştırmaları gerçekleştirmesine olanak tanır.
SOAR, yüksek derecede otomatikleştirilmiş, karmaşık “incident response” iş akışlarını barındırmak için bir araç olarak entegrasyon kurar, daha hızlı sonuçlar sunar ve savunmayı kolaylaştırır.
SOAR çözümleri, belirli tehditlere yanıt olarak birden fazla “playbook” içerir. Bir playbooktaki her adım, kapsamlı entegrasyon için third-party ürünlerle etkileşim dahil olmak üzere doğrudan bazı platformların içinden tek tıklamayla devam etmek için tamamen otomatikleştirilebilir veya ayarlanabilir.
Basitçe söylemek gerekirse, SOAR bir kuruluşun güvenlik envanterindeki tüm araçları, sistemleri ve uygulamaları entegre eder ve ardından SecOps ekibinin olay müdahale iş akışlarını otomatikleştirmesini sağlar.
SOAR’ın bir SOC’ye sağladığı başlıca faydası, Jira gibi bir izleme sisteminde herhangi bir insan müdahalesi gerektirmeden ticket açmak da dahil olmak üzere zaman alıcı, manuel görevleri otomatikleştirmesi ve düzenlemesidir – bu da mühendislerin ve analistlerin özel becerilerini daha iyi kullanmalarına olanak tanır.
SIEM, bir güvenlik operasyonları merkezi (SOC) içindeki kişileri, süreçleri ve teknolojileri birleştirmek için kullanılamıyor.
SIEM, uyarılar oluşturmak için tüm günlüklerde korelasyon çalıştırır.
SOAR, tehdit istihbaratı hizmetleri ve diğer harici veri kaynakları gibi third-party kaynakları kullanabilir.
SOAR, diğer güvenlik ve ağ ürünleriyle entegre olabilir.
Hem SIEM hem de SOAR, SOC’nin etkinliğini artırarak ve kuruluşa yönelik güvenlik açığını azaltarak analistten CISO’ya kadar tüm güvenlik ekibinin yaşamını iyileştirmeyi amaçlamaktadır. Veri toplama inanılmaz derecede anlamlı olsa da, SIEM çözümleri SecOps ekiplerinin etkinliğini korurken yanıt vermeyi bekleyebileceğinden daha fazla uyarı üretme eğilimindedir.
SOAR, güvenlik ekibinin uyarı yükünü hızlı ve verimli bir şekilde idare etmesini sağlar ve daha yüksek performanslı bir SOC ile sonuçlanan daha önemli ve becerilere dayalı görevler için zaman bırakır.
Örneklerle açıklamak gerekirse;
SIEM, ağ cihazlarından günlükleri toplar ve uyarılar oluşturmak için üzerinde korelasyonlar çalıştırır.
L1 Analistleri, hangilerinin gerçek olay ve hangilerinin false-positive olduğunu görmek için onları değerlendirmek üzere orada uyarıları değerlendirir.
Analistin olay tepkisine geçebilmesi için bu faaliyetlerin tamamlanması saatler alabilir.
SOAR sistemleri, olay müdahalesinin ilk adımlarını otomatik olarak gerçekleştirmek için diğer güvenlik teknolojileriyle etkileşime girerek bu rutin çalışmayı otomatikleştirmeyi vaat eder.
L1 Faaliyetleri,
SIEM’den bir uyarı aldıktan sonra, SOAR platformu uyarı zenginleştirme ve değerlendirme sürecini otomatikleştirerek olay yaratır ve false-positiveleri ortadan kaldırır.
Daha sonra olay izleme sisteminde bir ticket oluşturur ve atar.
Bu şekilde SOAR, L1 etkinliklerini otomatikleştirir.
L2 Aktiviteleri,
L2 Analisti, İç ve dış kaynaklardan gelen diğer bilgilerle birlikte ilk uyarıyı alır.
SOAR, Dijital playbookları kullanarak ilk adımları otomatikleştirebilir.
Dijital playbooklar, bir olayı ele almak için izlenecek adımlardır.
Bu şekilde SOAR teknolojisi, değerli yanıt süresinden tasarruf sağlar ve bir siber güvenlik hızlandırıcısı görevi görür.
Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.
SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.
Happy Place to Work tarafından gerçekleştirilen uluslararası standartlara uygun değerlendirme sonrası sektöründe “En Mutlu İşyeri” seçilmiş olmamız başarımızı taçlandıran bir ödül oldu. Ofisimizde düzenlediğimiz bir etkinlik ile ödülümüzü alırken, değerlendirmeye katılan ve bizi bu ödüle layık gören ekip arkadaşlarımızla kutlama yaptık.
Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.
