SIEM, açılımı “Security Information and Event Management” olan ve Türkçe karşılığı Güvenlik Bilgileri ve Olay Yönetimi olan sistemlerdir.
SIEM, bir ağa gelebilecek saldırıları daha hızlı ve verimli bir şekilde tespit edebilmek için ağda ve ağdaki cihazlarda tutulan bütün logları toplayan, aralarındaki ilişkileri yorumlayabilen ve gerektiğinde uyarı veren bir yazılım çözümüdür.
Son yıllarda, daha fazla kuruluş ya aracısız ya da aracı tabanlı bir SIEM yazılımını benimsemiştir. Aracı tabanlı bir yaklaşım, aracının verileri çıkarabilmesi, işleyebilmesi ve SIEM sunucusuna iletebilmesi için günlük oluşturan her ana bilgisayara yazılım aracısını yüklemenizi gerektirir. Aracısız bir dağıtımda, günlük oluşturan ana bilgisayar, verileri doğrudan SIEM’e veya ara günlük kaydı sunucusuna iletir.
SIEM yazılımı, günlük yönetimini kolaylaştırmak için ilgileşim ve analiz sürecini otomatikleştirir. Veri, içerik ve zaman damgası tutarsızlıklarını azalttığından, günlüğe kaydedilen olaylara ilişkin daha kesin bilgiler sağlar ve bunlara öncelik verir.
ÖZELLİKLER
Normalizasyon: SIEM’de toplanan logların işlenebilmesi için aynı formatta olması gerekmektedir. Normalizasyon, farklı formattaki verileri aynı veri modeline dönüştürme işlemidir.
Kategorilendirme/Sınıflandırma: Daha anlamlı analizlerin yapılabilmesi için SIEM, gelen logları benzerliklerine göre sınıflara ayırır. Böylece elmalar bir yere armutlar bir yere toplanabilir ve aranılan veriye daha çabuk ulaşılabilir.
Birleştirme: Birleştirme, gerçekleşen aynı olayların birden fazla kaydı tutulmuş ise hepsini bir kayıtta toplama işlemidir. Böylece veri karmaşası biraz daha önlenmiş olur.
İlgileşim: SIEM’in en önemli özelliği denebilir. SIEM, farklı kaynaklardan aldığı kayıtları analiz ederek aralarındaki ilişkiyi ortaya çıkarabilir. Sadece bir kaynaktaki kayda bakılarak anlaşılamayan bir saldırı türü bu sayede keşfedilebilir. Korelasyon, kayıtlar arasındaki anlamlı ilişkiyi çözebilme özelliğidir.
Tehdit bildirimi: SIEM’de kaydedebileceğiniz kurallar dizisi sayesinde belirleyebileceğiniz bir durumun gerçekleşmesi sonucunda bildirim almak isteyebilirsiniz. SMS, mail veya başka bir yol ile tanımladığınız tehdit hakkında bildirim alabilirsiniz.
Gözlem/Analiz: SIEM’de loglar, son kullanıcının anlayabileceği raporlara, grafiklere dönüştürülür. Bu sayede görevli, SIEM ekranında anormal durumları gözlemleyebilir. Sistem üzerinde her zaman bir veri akışı sağlanır ve 7/24 kullanılabilir, gözlem yapılabilir. Hem anlık raporlar hem de detaylı raporlar sağlayan bu sistem, ISO 27001 gibi bilgi güvenliği standartlarına uygun bir yapının olması için de önemli ölçüde katkı sunar.
