SIEM ve SOC Kurulum, Log Yönetimi Hizmeti
Hızlı cevap: Bir saldırının izi neredeyse her zaman loglarda durur; asıl sorun, o izi kimsenin görmemesidir. DSET, kurumunuzun tüm sistemlerinden log toplayan bir SIEM kurar, kurumunuza özel anlamlı korelasyon kuralları yazar ve isterseniz 7/24 bir SOC ile izler. "Aynı kullanıcının 5 dakikada 3 ülkeden giriş denemesi" gibi tek başına anlamsız görünen olayları birleştirip gerçek saldırıyı ortaya çıkarırız. Unutmayın: log toplamak tek başına güvenlik değildir; değer, korelasyonda ve sürekli izlemededir. DSET, 2003'ten bu yana Hacettepe Teknokent, Beytepe, Çankaya, Ankara. Başarı oranı %99.4. İlk teşhis ücretsiz, veri çıkmazsa ücret yok. Telefon: +90 536 662 38 09.
Neden sadece log toplamak yetmez?
NIST'in Log Yönetimi Kılavuzu (SP 800-92), log disiplinini standartlaştırır; ama logu toplayıp bir kenara bırakmak, pahalı bir arşivden öteye geçmez. Sahada en sık gördüğümüz hata, kurulmuş ama korelasyon kuralı yazılmamış, kimsenin izlemediği bir SIEM'dir. Saldırganlar ortalama olarak fark edilmeden önce ağda haftalarca kalır; SIEM'in amacı bu süreyi günlere, hatta saatlere indirmektir. Konunun teknik temelini SIEM nedir, log yönetimi yazımızda anlattık.
Hizmet kapsamımız
| Bileşen | Ne sağlar |
|---|---|
| Log kaynağı entegrasyonu | Firewall, sunucu, uygulama, kimlik (AD), uç nokta, VPN ve bulut loglarını merkezi toplama. |
| Normalize ve korelasyon | Farklı formatları ortak dile çevirme, kurumunuza özel tespit kuralları yazma. |
| UEBA | "Normal"i öğrenip sapmayı yakalama; çalınmış kimlikle yapılan saldırılarda kritik. |
| SOAR | Alarm geldiğinde otomatik aksiyon (hesap kilitle, IP engelle), müdahale süresini kısaltma. |
| 7/24 SOC izleme | Alarmları uzman analistlerin triyaj etmesi; SOC seviyelerinin ihtiyaca göre kurgulanması. |
Gerçek kullanım senaryoları
- İçeriden tehdit: Ayrılmak üzere olan çalışanın olağandışı toplu veri indirmesi.
- Hesap ele geçirme: İmkânsız seyahat tespiti (aynı hesap, 10 dakika arayla iki kıta).
- Yanal hareket: Bir uç noktadan diğerine atlayan saldırganın kimlik ve ağ korelasyonuyla yakalanması.
- Uyumluluk: ISO 27001, KVKK denetimlerinde "kim, neye, ne zaman erişti" sorusuna kanıtlı yanıt.
Kendi SOC'unuz mu, yönetilen mi?
Kendi SOC'unu kurmak; donanım/lisans yatırımı, uzman analist kadrosu ve 7/24 nöbet gerektirir, bu yüzden ancak büyük ve olgun kurumlar için mantıklıdır. İç ekibi olmayan kurumlar için en pratik ve ekonomik yol, SIEM'i bir yönetilen güvenlik hizmeti (MSSP/MDR) kapsamında dışarıdan işlettirmektir. Tehdit istihbaratını korelasyon kurallarına besleyerek tespiti daha da güçlendiririz.
Sıkça Sorulan Sorular
SIEM ile basit bir log sunucusu aynı mı? Hayır; log sunucusu kayıt tutar, SIEM bunları normalize edip korele ederek güvenlik olayı üretir. Korelasyon olmadan SIEM sadece bir log deposudur. Küçük şirket SIEM kurmalı mı? Doğrudan ağır bir SIEM yerine, yönetilen bir hizmet içinde temel log izlemesiyle başlamak daha doğrudur. SIEM saldırıyı engeller mi? Esas olarak tespit ve görünürlük sağlar; engelleme için SOAR otomasyonu ve uç nokta/ağ kontrolleriyle birlikte çalışır. Logları ne kadar saklamalıyım? Uyumluluk ve risk profilinize bağlıdır; bazı saldırılar aylar sonra fark edildiği için makul bir geriye dönük saklama süresi soruşturma açısından kritiktir.
Saldırıyı erken görmek için log mimarinizi birlikte kuralım. DSET, 2003'ten bu yana Hacettepe Teknokent, Beytepe, Çankaya, Ankara. Başarı oranı %99.4. İlk teşhis ücretsiz, veri çıkmazsa ücret yok. Telefon: +90 536 662 38 09.