SIEM (Security Information and Event Management) sistemleri, ağınızdaki tüm cihaz ve uygulamalardan gelen log verilerini toplayarak anormal aktiviteleri gerçek zamanlı olarak tespit etmenizi sağlar. Küçük ve orta ölçekli işletmeler için doğru yapılandırılmış bir SIEM, siber saldırılara karşı erken uyarı sistemi görevi görür ve olay müdahale süreçlerini hızlandırır. Peki, sıfırdan bir SIEM sistemi nasıl kurulur? İşte adım adım rehber.
SIEM Nedir ve Neden Küçük İşletmeler İçin Önemlidir?
SIEM, güvenlik bilgileri ve olay yönetimini birleştiren bir platformdur. Log toplama, normalizasyon, korelasyon ve raporlama işlevlerini yerine getirir. Küçük işletmeler genellikle sınırlı bütçe ve uzmanlığa sahiptir; SIEM, manuel log analizinin önüne geçerek tehditleri otomatik olarak belirler. Örneğin, bir kullanıcının normal dışı saatlerde hassas bir dosyaya erişmesi veya birden fazla başarısız oturum açma denemesi SIEM tarafından anında tespit edilebilir. Bu sayede, EDR çözümleriyle entegre çalışarak uç nokta güvenliğini de destekleyebilirsiniz.
SIEM Kurulumuna Hazırlık: İhtiyaç Analizi ve Kaynak Planlaması
Kuruluma başlamadan önce hangi log kaynaklarını toplayacağınızı belirlemelisiniz. Temel olarak şunlar önerilir:
- Ağ cihazları: Güvenlik duvarları, yönlendiriciler, switch’ler
- Sunucular: Windows ve Linux işletim sistemleri
- Uygulamalar: Veritabanları, web sunucuları, e-posta sunucuları
- Güvenlik araçları: Antivirüs, IDS/IPS, EDR çözümleri
Ayrıca, logların hangi merkezi sunucuda saklanacağına ve depolama süresine karar verin. Küçük işletmeler için bulut tabanlı SIEM çözümleri (SaaS) daha uygun maliyetli olabilir. Zero Trust mimarisi gibi modern yaklaşımlarla entegrasyon, SIEM’in etkinliğini artırır.
Adım 1: Log Toplama ve Normalizasyon
Log toplama için syslog, Windows Event Log, API veya özel ajanlar kullanılır. Örneğin, bir Linux sunucusundan syslog ile logları SIEM’e gönderebilirsiniz. Normalizasyon, farklı kaynaklardan gelen logları ortak bir formata dönüştürür. Bu adımda “log parser” konfigürasyonları yapılır. Yanlış normalizasyon, korelasyon kurallarının çalışmasını engelleyebilir.
Adım 2: Korelasyon Kurallarının Oluşturulması
Korelasyon kuralları, belirli olay desenlerini yakalamak için yazılır. Örnek kural: “5 dakika içinde 10 başarısız oturum açma denemesi” → “Brute Force Saldırısı” olayı üret. Kuralların yanlış pozitif üretmemesi için dikkatli ayarlanması gerekir. Aşırı sayıda uyarı, analistlerde yorgunluğa yol açar. API güvenliği için de ayrı korelasyon kuralları eklemek, API trafiğindeki anormallikleri tespit etmenizi sağlar.
Adım 3: Uyarı ve Raporlama Süreçlerinin Tanımlanması
SIEM, tespit ettiği olaylar için e-posta, SMS veya SOAR entegrasyonu ile uyarı gönderebilir. Uyarı seviyeleri (düşük, orta, yüksek, kritik) belirlenmeli ve her seviye için bir müdahale prosedürü oluşturulmalıdır. Ayrıca, düzenli raporlar (günlük, haftalık, aylık) ile yönetime güvenlik durumu sunulur. Bu raporlar, uyumluluk gereksinimlerini de karşılar.
SIEM Kullanımında Sık Yapılan Hatalar
- Tüm logları toplamak: Gereksiz loglar depolama maliyetini artırır ve gürültüye neden olur. Yalnızca anlamlı log kaynaklarını seçin.
- Kuralları test etmemek: Yanlış pozitif oranı yüksek olan kurallar, gerçek tehditlerin gözden kaçmasına yol açar. Kuralları canlı ortamda test edin.
- Bakımı ihmal etmek: Log kaynakları değiştiğinde SIEM konfigürasyonları güncellenmelidir. Aksi halde log akışı kesilir.
- Uyarıları yönetmemek: Her uyarıya müdahale edilmezse, alarm yorgunluğu oluşur. Uyarı önceliklendirmesi şarttır.
SIEM ve Diğer Güvenlik Araçlarıyla Entegrasyon
SIEM, tek başına yeterli değildir. Donanım tabanlı güvenlik çözümleri (TPM, Secure Boot) ile SIEM, donanım seviyesindeki değişiklikleri de izleyebilir. Ayrıca, SOAR platformları ile SIEM’i entegre ederek otomatik olay müdahale senaryoları oluşturabilirsiniz. Örneğin, bir tehdit algılandığında SIEM, SOAR’a tetik gönderir ve SOAR, etkilenen kullanıcının hesabını otomatik olarak devre dışı bırakır.
Küçük İşletmeler İçin SIEM Seçenekleri
Piyasada birçok SIEM çözümü bulunur: Splunk, IBM QRadar, AlienVault OSSIM, Wazuh (açık kaynak), Microsoft Sentinel (bulut tabanlı). Küçük işletmeler için Wazuh veya AlienVault OSSIM ücretsiz alternatifler sunar. Bulut tabanlı çözümler ise altyapı yönetimi gerektirmez. Seçim yaparken log hacmi, bütçe ve mevcut yetenekler göz önünde bulundurulmalıdır.
SIEM Kurulum Sürecinde Dikkat Edilmesi Gerekenler
- Log kaynaklarının saat senkronizasyonu (NTP) sağlanmalıdır.
- SIEM sunucusunun güvenliği, diğer sistemlerden ayrı bir ağ segmentinde olmalıdır.
- Yedekleme ve felaket kurtarma planı oluşturulmalıdır.
- Kullanıcı erişim kontrolleri ve rolleri tanımlanmalıdır.
Unutmayın, SIEM bir araçtır; asıl değer, doğru yapılandırma ve sürekli iyileştirme ile ortaya çıkar. Kurulumun ardından düzenli olarak kural güncellemeleri yapılmalı ve log kaynakları gözden geçirilmelidir.
Sık Sorulan Sorular
SIEM kurulumu için hangi log kaynakları zorunludur?
En azından güvenlik duvarı, sunucu işletim sistemleri ve önemli uygulamaların logları toplanmalıdır. Ağ cihazları ve EDR çözümleri de eklenmelidir.
Küçük işletmeler için ücretsiz SIEM çözümü var mı?
Evet, Wazuh ve AlienVault OSSIM gibi açık kaynaklı SIEM çözümleri ücretsizdir. Ancak yapılandırma ve bakım için teknik bilgi gereklidir.
SIEM ile SOAR arasındaki fark nedir?
SIEM log toplama, korelasyon ve uyarı üretirken; SOAR, bu uyarılara otomatik müdahale eden orkestrasyon ve otomasyon platformudur. Birlikte kullanıldıklarında olay müdahale süresi kısalır.
SIEM kurulumunda en sık yapılan hata nedir?
Tüm logları toplamak ve kuralları test etmeden uygulamaya almaktır. Bu, yanlış pozitif oranını artırarak gerçek tehditlerin gözden kaçmasına neden olur.
SIEM günlük bakım gerektirir mi?
Evet, düzenli olarak kural güncellemeleri yapılmalı, log kaynaklarının çalıştığı doğrulanmalı ve uyarı yorgunluğunun önüne geçmek için kural optimizasyonu yapılmalıdır.