SIEM Nedir? Log Yönetimi, Korelasyon, UEBA, SOAR ve SOC Entegrasyonu Rehberi
SIEM nedir, ne işe yarar, neden kurumsal güvenliğin merkezinde durur? Log toplama, normalize, korelasyon, UEBA ve SOAR kavramlarını, SIEM kurarken yapılan ölümcül hataları ve kullanım senaryolarını NIST SP 800-92 referansıyla derinlemesine anlattık.
SIEM Nedir? Log Yönetimi, Korelasyon, UEBA, SOAR ve SOC Entegrasyonu Rehberi
Hızlı cevap: SIEM (Security Information and Event Management), kurumdaki tüm sistemlerin ürettiği logları (kayıtları) tek merkezde toplayan, ortak bir dile çeviren (normalize) ve aralarında ilişki kurarak (korelasyon) güvenlik olaylarını ortaya çıkaran platformdur. Tek bir sunucunun logu masum görünebilir; ama "aynı kullanıcının 5 dakikada 3 farklı ülkeden giriş denemesi" ancak farklı kaynakların logları birleştirilince anlaşılır. SIEM, bir SOC ekibinin gözü ve hafızasıdır; doğru kurulduğunda saldırıyı erken yakalar, yanlış kurulduğunda yalnızca pahalı bir gürültü üretir. Kurumunuza uygun log mimarisini birlikte tasarlayalım: +90 536 662 38 09.
SIEM ne işe yarar? Üç temel iş
Bir kurumda firewall, sunucular, uygulamalar, kimlik sistemi (Active Directory), uç nokta ajanları, VPN ve bulut servisleri; hepsi ayrı ayrı, farklı formatlarda log üretir. Bu loglar dağınık dururken kimse anlamlı bir saldırı hikâyesi göremez. SIEM üç temel işi yapar:
- Toplama ve saklama. Tüm kaynaklardan logları merkezi olarak toplar ve denetim ile uyumluluk için belirli sürelerle saklar. ABD standart kurumu NIST'in Log Yönetimi Kılavuzu (SP 800-92) tam da bu disiplini standartlaştırır: hangi log, ne kadar süre, nasıl korunarak tutulmalı.
- Normalize ve korelasyon. Farklı üreticilerin farklı formatlardaki loglarını ortak bir şemaya çevirir ve kurallarla ilişkilendirir. Örnek bir korelasyon kuralı: "10 başarısız giriş + ardından 1 başarılı giriş + ardından hassas bir dosya paylaşımına erişim" tek bir yüksek öncelikli alarm üretir.
- Uyarı, görselleştirme ve raporlama. Şüpheli zinciri analiste alarm olarak iletir, panolarla görünür kılar ve denetçiye (örneğin KVKK ya da ISO 27001 denetimi için) uyumluluk raporu üretir.
SIEM, UEBA ve SOAR: üçlü ekosistem
Modern güvenlik izleme üç yetenekle birlikte anılır ve hepsi birbirini tamamlar:
- SIEM: Logu toplar ve önceden yazılmış kurallara göre korele eder. Temeldir.
- UEBA (Kullanıcı ve Varlık Davranış Analitiği): Sabit kural yerine "normal"i öğrenir ve sapmayı yakalar. Bir muhasebe çalışanının her gün 09:00-18:00 arası belirli dosyalara eriştiğini öğrenir; aynı hesabın gece 03:00'te bambaşka sistemlere yönelmesini anomali olarak işaretler. Çalınmış kimlikle yapılan saldırılarda (çünkü parola doğrudur, davranış yanlıştır) son derece değerlidir.
- SOAR (Güvenlik Orkestrasyonu, Otomasyon ve Yanıt): Alarm geldiğinde otomatik aksiyon alır: şüpheli hesabı geçici kilitle, kötü IP'yi firewall'da engelle, analiste hazır bir vaka kartı aç. Analistin tekrar eden manuel işini otomatikleştirerek müdahale süresini (MTTR) ciddi biçimde kısaltır.
SIEM kurarken yapılan 5 ölümcül hata
- Her şeyi loglayıp boğulmak. Kontrolsüz hacim hem maliyeti (çoğu SIEM hacme göre lisanslanır) hem de gürültüyü patlatır. Önce en kritik kaynaklardan (kimlik, sunucu, firewall, internete açık sistemler) başlayın, kademeli genişletin.
- Korelasyon kuralı yazmadan bırakmak. Log toplamak tek başına güvenlik değildir. Gerçek değer, kurumunuza özel kurallarda ve bu kuralların düzenli ayarlanmasındadır.
- Sahipsiz SIEM. SIEM bir ürün değil, bir süreçtir. Onu 7/24 izleyecek bir SOC ekibi olmadan, en pahalı SIEM bile sadece bir log deposuna dönüşür.
- Saat senkronizasyonu eksikliği. Kaynaklar farklı saatleri gösteriyorsa korelasyon bozulur; "önce ne oldu, sonra ne oldu" anlaşılmaz. Tüm sistemler NTP ile aynı zamana ayarlanmalıdır.
- Yanlış pozitif yorgunluğu. Çok fazla anlamsız alarm, analistleri gerçek olaya kör eder. İnce ayar (tuning) bir kerelik değil, sürekli bir iştir.
Gerçek kullanım senaryoları
- İçeriden tehdit: Ayrılmak üzere olan bir çalışanın olağandışı biçimde toplu veri indirmesini UEBA yakalar.
- Yanal hareket: Bir uç noktadan diğerine atlamaya çalışan saldırganı, kimlik ve ağ loglarının korelasyonu ortaya çıkarır.
- Hesap ele geçirme: İmkânsız seyahat (impossible travel) tespiti: aynı hesabın 10 dakika arayla iki farklı kıtadan girişi.
- Uyumluluk: ISO 27001, KVKK ve benzeri denetimlerde "kim, neye, ne zaman erişti" sorusuna kanıtlı yanıt.
SIEM mi kurmalı, yönetilen hizmet mi almalı?
Kendi SIEM'ini kurup işletmek; donanım/lisans yatırımı, uzman analist kadrosu ve 7/24 nöbet gerektirir. Bu, ancak olgun ve büyük kurumlar için mantıklıdır. İç ekibi olmayan kurumlar için en pratik ve ekonomik yol, SIEM'i bir yönetilen güvenlik hizmeti (MDR/MSSP) kapsamında dışarıdan işlettirmektir: teknoloji, kurallar ve 7/24 uzman izleme tek pakette gelir. Tehdit istihbaratını korelasyona besleyerek tespit daha da güçlenir.
Sıkça Sorulan Sorular
SIEM ile basit bir log sunucusu aynı şey mi?
Hayır. Log sunucusu (örneğin syslog) kaydı toplar ve saklar; SIEM bunları normalize edip korele ederek güvenlik olayı üretir. Korelasyon olmadan SIEM, sadece pahalı bir log deposudur.
Küçük bir şirketin SIEM'e ihtiyacı var mı?
Doğrudan ağır bir SIEM kurmak yerine, küçük kurumlar genelde yönetilen bir hizmet içinde temel log izlemesiyle başlamalıdır. Önemli olan, kritik logların toplanıp birinin onlara bakmasıdır.
SIEM saldırıyı engeller mi, yoksa sadece görür mü?
SIEM esas olarak bir tespit ve görünürlük aracıdır. Engelleme için SOAR otomasyonu ve uç nokta/ağ kontrolleriyle (firewall, EDR) birlikte çalışır.
Logları ne kadar süre saklamalıyım?
Bu, uyumluluk gereksinimlerinize ve risk profilinize bağlıdır. Bazı saldırılar aylar sonra fark edilir; bu yüzden makul bir geriye dönük saklama (retention) süresi, soruşturma için kritiktir.
Doğru log mimarisi ve korelasyon kuralları için bize ulaşın: +90 536 662 38 09.
Kaynaklar
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.