CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

SIEM Bileşenleri: Veriyi Güvende Tutmanın Temel Adımları

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

SIEM bileşenlerini anlamak, siber güvenlikte kritik öneme sahiptir. Bu yazıda veri toplama, yönlendirme ve korelasyon motorunun işlevleri keşfediliyor.

SIEM Bileşenleri: Veriyi Güvende Tutmanın Temel Adımları

Siber güvenlikte vakaların hızlı bir şekilde tespit edilmesi için SIEM bileşenleri kritik öneme sahiptir. Bu yazıda, Collector, Forwarder, Indexer ve Correlation Engine gibi temel bileşenleri ele alıyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında veri yönetimi, iş süreçlerinin sağlıklı bir biçimde devam edebilmesi için kritik öneme sahiptir. Bu bağlamda, Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleri, iş yerlerinin siber tehditleri tespit etme, izleme ve yanıtlama yeteneklerini artıran başlıca araçlardır. SIEM sistemleri, veriyi toplamak, analiz etmek ve hızlı bir şekilde eyleme dönüştürmek için bir dizi bileşen kullanır.

Bir SIEM sisteminin temel bileşenlerini anlamak, siber güvenlik uzmanları ve SOC (Güvenlik Operasyon Merkezi) analistleri için son derece önemlidir. Çünkü bu yapı, veri akışının yönetimi, log takibi ve olay müdahalesi gibi kritik süreçlerin nasıl işlediğine dair bir anlayış sunar. Bu anlayış, yaşanabilecek olası veri kayıpları, güvenlik ihlalleri ya da sistem kesintileri durumlarında sorun gidermeye yardımcı olur. Örneğin, bir ağda log kaybı yaşandığında, mühendisin sorunun kaynağını hızlıca tespit edebilmesi için bu logların nereden geldiğini ve nasıl işlendiğini bilmesi gerekmektedir.

SIEM: Bir Bütün Olarak Anlamak

SIEM sistemleri, sadece tek bir bileşenden oluşan basit bir yapı değildir. Verinin toplanması, yönlendirilmesi, depolanması ve analiz edilmesi aşamalarında çeşitli bileşenlerin entegre olarak çalışması gerekmektedir. Sistem, logların bir uç noktadan başlayarak merkezi bir sunucuya ulaşana kadar geçirdiği süreç ile şekillenir. Bu nedenle, bir SIEM çözümündeki her bir bileşenin işlevi ve rolü, güvenlik yönetim sürecinin etkinliğini doğrudan etkiler.

Logların yolculuğu, ağınızdaki cihazların ürettiği ilk ham kayıtlar (loglar) ile başlar. Bu loglar, belirli olayları ve aktiviteleri belgeleyen verilerdir ve SIEM sisteminin kalbi olarak kabul edilen merkezi sunucuya ulaşmadan önce çeşitli aşamalardan geçer. Bu aşamaların her birinde, verilerin nasıl toplandığı, nasıl iletildiği ve nasıl depolandığı gibi konular üzerinde durmak gerekmektedir.

Veri Toplama ve Yönlendirme Yöntemleri

Logların interaktif güvenlik sürecinde en önemli adımlardan biri toplanmasıdır. Ağ üzerindeki sunucuların ürettiği loglar genellikle veri toplayıcı (collector) adı verilen ajanlarla toplanır. Ajanlar, logları hedef sistemlerden okuyarak bunları güvenli bir şekilde SIEM sunucusuna iletir. Özellikle büyük ağ yapılarına sahip kurumsal ortamlar için, logları yerel olarak toplayıp sıkıştırma görevi üstlenen forwarder bileşenleri devreye girer. Bu yönlendirici bileşenler, uzak sistemlerden gelen verileri ana merkeze iletmeden önce daha etkili bir şekilde yönetmeyi sağlar.

- Log Üretici (Endpoint/Network Device): Olayı gerçekleştiren cihaz.
- Collector: Veriyi toplayan ajan.
- Forwarder: Logları ana sisteme ileten yönlendirici bileşen.

Veri Depolama ve Hızlı Arama

Veri toplama ve yönlendirme işlemi tamamlandıktan sonra, gelen log verileri SIEM sunucusunda depolanır. Bu süreçte, indeksleme motorları devreye girerek verileri parçalara ayırır, etiketler ve hızlı arama işlemlerinin yapılmasını sağlar. Böylece, analistlerin belirli bir IP adresi veya olay türü üzerinde sorgulama yapması saniyeler içinde gerçekleştirilebilir. İyi bir indeksleme süreci, verilerin efficient şekilde yönetilmesi için gereklidir.

Korelasyon Motoru

SIEM sisteminin gerçek gücü, korelasyon motorunda yatar. Bu bileşen, hızlı bir şekilde içerik ve logları analiz ederek, belirli güvenlik kurallarına göre bu verileri eşleştirir. Yani, sistemdeki logları sürekli izleyerek potansiyel tehditleri tespit eder. Eşleşme bulduğunda, korelasyon motoru genellikle bir alarm üretir. Bu süreç, siber saldırıların önlenmesinde ve olaylara hemen müdahale edebilmede son derece kritik bir rol oynar.

Özetle, SIEM sistemleri karmaşık ve çok katmanlı bir yapı sunar. Her bir bileşenin işlevselliği, tüm sistemin etkinliğini ve verimliliğini doğrudan etkiler. Bu içerik, okuyuculara SIEM bileşenlerini anlamalarına yardımcı olacak ve siber güvenlik süreçlerinin daha iyi yönetilmesi açısından önemli bir temel oluşturacaktır.

Teknik Analiz ve Uygulama

SIEM'i Bir Bütün Olarak Anlamak

Siber güvenlik alanında, SIEM (Security Information and Event Management) sistemleri, güvenlik olaylarını ve bilgilerini merkezi bir noktada toplamayı, korumayı ve analiz etmeyi sağlayan önemli araçlardır. Ancak, bir SIEM sistemi tek bir bileşenden ibaret değildir; çeşitli bileşenlerin bir araya gelmesiyle oluşur. Bu nedenle, SOC analistleri (Security Operations Center) olarak logların yolculuğunu ve SIEM'in bileşenlerini anlamak kritik öneme sahiptir.

Logların Genel Yolculuğu

Log verileri, ağdaki cihazlardan (uzmanlık alanına göre endpoint veya network device) başlar ve analistin arayüzünde (dashboard) son bulur. Bu yolculuk sırasında veri, farklı bileşenlerden geçer; bu bileşenlerin her birinin belirli görevleri vardır. Analist olarak, bu hiyerarşinin bilinmesi, log kaybı gibi durumlar ortaya çıktığında sorunların nerede olduğunu anlamada yardımcı olabilir.

Veri Toplama (Collection) Yöntemleri: Agent

Ağdaki sunucuların ürettiği log bilgilerini merkezi SIEM sunucusuna iletmenin en yaygın yollarından biri, sunucunun içine küçük bir yazılım entegre etmektir. Bu yazılım, hedef makinenin (örneğin bir Linux sunucusunun) kendi içinden logları okuyarak güvenli bir şekilde merkezi SIEM’e iletir. Bu sistemde kullanılan veri toplayıcı yazılımlara "collector" ya da "agent" adı verilmektedir.

Örnek: Linux Sunucusunda Agent Kurulumu

Aşağıda, bir Linux sunucusuna Splunk Universal Forwarder kurulumunu gösteren temel bir örnek verilmiştir:

# Splunk Universal Forwarder indir
wget -O splunkforwarder-9.0.0-ae7b13e1ef05-Linux-x86_64.tgz 'https://download.splunk.com/products/universalforwarder/releases/9.0.0/linux/splunkforwarder-9.0.0-ae7b13e1ef05-Linux-x86_64.tgz'

# Dosyayı aç
tar -xzvf splunkforwarder-9.0.0-ae7b13e1ef05-Linux-x86_64.tgz

# Kurulum dizinine geç
cd splunkforwarder/bin

# Splunk Universal Forwarder'ı başlat
./splunk start --accept-license

Bu komutlarla, sunucuya Splunk Universal Forwarder kurulumu gerçekleştirilmiş olur. Agent, logları okuyarak merkezi SIEM sistemine düzenli olarak iletecektir.

Veri Yönlendirme (Forwarding) Kavramı

Bazen logları toplayan agent ile bu logları merkeze ileten yapı birbirinden farklıdır. Çok büyük ağlarda (örneğin şehirler arası şubeler) yerel cihazlardan logları toplayıp sıkıştıran ve daha sonra ana merkeze yönlendiren ara bileşenler kullanılır. Bu yönlendirici bileşenlere "forwarder" denmektedir. Forwarder, özellikle büyük veri hacimlerinin bulunduğu durumlarda etkin bir çözüm sunar.

Veri Depolama ve Hızlı Arama: Indexer

Gelen log verileri, düz metin (txt) olarak saklandığında, analistin belirli bir IP adresini aratmayı saatler sürebilir. Bunun önüne geçmek için veriler SIEM’e ulaştığında, bu veriler hızlı arama ve analiz için parçalanır ve kategorize edilerek veritabanında saklanır. Bu işlevi yerine getiren bileşene “indexer” denir.

Indexer Kullanımı

Aşağıda bir SIEM sisteminde indexer bileşeninin temel çalışma mantığını gösteren bir örnek verilmiştir:

# Python ile bir log kaydı oluşturma
import json

log = {
    "timestamp": "2023-10-05T14:20:00Z",
    "host": "server1",
    "message": "Log kaydı giriş"
}

# Log kaydını JSON formatında indexe etme
with open('logs.json', 'a') as f:
    json.dump(log, f)
    f.write('\n')

Bu kod, her log kaydının belirli bir formatta saklanmasını sağlayarak, indexer aracılığıyla hızlı arama yapılabilmesini mümkün kılar.

Beyin Görevi Gören Bileşen: Correlation Engine

SIEM sisteminin gerçek gücü, veri analizi ve olayların korelasyonu ile ortaya çıkar. İşte bu noktada devreye giren bileşen “Correlation Engine”dir. Bu motor, sisteme akan logları sürekli olarak önceden yazılmış güvenlik kuralları ile karşılaştırır ve belirli bir eşleşme bulduğunda müdahale eder. Örneğin, belirli bir IP’nin kuşkulu aktiviteleri tespit edildiğinde, alarm üretebilir.

SIEM Bileşenleri Özet Mimarisi

Bir SIEM sisteminin başarısı, bu bileşenlerin etkin bir şekilde çalışmasına bağlıdır. Splunk, QRadar ve ArcSight gibi farklı SIEM markaları, bu bileşenlere farklı isimler verse de arka planda çalışan mimari mantık aynı kalır. Bu nedenle bir SOC analistinin SIEM'in bileşenlerini anlaması, hem güvenlik duruşunu pekiştirmek hem de olaylara proaktif bir yaklaşım geliştirmek için kritik öneme sahiptir.

SIEM bileşenleri arasındaki etkileşimleri anlamak, siber güvenlik konusunda daha bilinçli ve etkili bir yaklaşım sergilemek için gereklidir. Bu bilgiler ışığında, daha güçlü ve güvenli bir veri yönetimi stratejisi oluşturmak mümkündür.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlik alanında, risk değerlendirmesi, bilgi varlıklarının güvenliğini sağlamanın temel bir parçasıdır. Bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemi kullanıldığında, ağdaki potansiyel tehditlerin anlamlı analizini yapmak için elde edilen verilerin nasıl yorumlanması gerektiği üzerine düşünmek önemlidir. Bu bağlamda, bir SIEM sistemi aracılığıyla elde edilen bulguların güvenlik kavramlarıyla nasıl ilişkilendirileceğini anlamak kritik bir öneme sahiptir.

Verilerin Anlamlılaştırılması

SIEM sistemi aracılığıyla elde edilen loglar, genellikle büyük miktarda veriyi içerir. Arka planda, bu verilerin işlenmesi ve analiz edilmesi, potansiyel risklerin belirlenmesini sağlar. Örneğin, aşağıda verilen bir log kaydı, bir olayın siber güvenlik açısından önemini anlamak için analiz edilebilir:

2023-10-01 12:00:00 INFO Firewall: Incoming connection from 192.168.1.100 to port 80 blocked due to policy restrictions.

Bu log kaydı, bir güvenlik duvarının belirli bir IP adresinden gelen bir bağlantıyı engellediğini gösterir. Ancak bu olayın altında yatan potansiyel riskleri anlamak için analistin şu soruları sorması gerekir:

  • Bağlantı talep eden IP adresi, meşru bir kullanıcı mı yoksa kötü niyetli bir saldırgan mı?
  • Engellenen bağlantı, hangi tür bir saldırıya işaret ediyor?

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, güvenlik açıklarının ortaya çıkmasına neden olabilir. Loglar, ağda hangi bileşenlerde yanlış yapılandırmaların olduğunu anlamak için kullanılabilir. Örneğin, bir sunucunun güvenlik güncellemelerinin zamanında yapılmadığına dair bir log kaydı şu şekilde olabilir:

2023-10-01 12:30:00 WARNING Server001: Critical updates not applied for over 30 days.

Bu kayıt, sunucunun kritik güncellemeleri almadığını belirtir. Böyle bir zafiyetin etkilerinin değerlendirilmesi gerekmektedir:

  • Sunucu, bilinen bir zafiyet için hedef alınabilir mi?
  • Saldırganlar güncellenmemiş sistemleri kolaylıkla ele geçirebilir.

Sızan Veri, Topoloji ve Servis Tespiti

Ani bir veri sızıntısı, birçok sorunu beraberinde getirir ve bu tür olayların hızlı bir şekilde tespit edilmesi gerekmektedir. Örneğin, bir SIEM aracı, ağında anormal veri çıkışını tespit ettiğinde şöyle bir alarm üretebilir:

ALERT: Large volume of sensitive data transferred to external IP 203.0.113.45.

Bu durum, hem veri koruma politikalarının ihlal edildiğini hem de potansiyel bir veri ihlali olduğunu gösterir. Analist, bu tür bir durumu hızlı bir şekilde incelemeli ve etkilenen veri sınıflarını belirlemelidir.

Profesyonel Önlemler ve Hardening Önerileri

SIEM uygulamaları, tehditleri proaktif bir şekilde tespit etmek için bir savunma mekanizması olarak önemli olsa da, kurumsal savunmayı güçlendirmek için ekstra önlemler almak da gereklidir. İşte bazı temel hardening önerileri:

  1. Güvenlik Duvarı Kuralları: Ağ trafiğini kontrol etmek ve yalnızca güvenli bağlantıları sağlamak için güvenlik duvarı kurallarını gözden geçirin.
  2. Düzenli Güncellemeler: Sistem yazılımlarını ve uygulamaları düzenli olarak güncelleyerek bilinen zafiyetlerin kapatılmasını sağlayın.
  3. Erişim Kontrolü: Kullanıcı erişimlerini düzenli olarak gözden geçirerek sadece yetkili kişilerin kritik sistemlere erişimini sağlayın.
  4. Ağ Segmentasyonu: Kritik verilerin ve sistemlerin olduğu alanların diğer ağ bileşenlerinden segmentlenmesi, potansiyel saldırılara karşı ek bir koruma sağlar.
  5. Olay Yanıt Prosedürleri: Olası saldırılara karşı hazır olay yanıt prosedürleri oluşturmak ve test etmek, etkili bir savunma stratejisinin önemli bir parçasıdır.

Sonuç Özeti

Sonuç olarak, risk değerlendirme ve yorumlama, siber güvenlik stratejilerinin vazgeçilmez bir parçasını oluşturur. SIEM sistemleri, büyük veri miktarlarını analiz edebilme yeteneği sayesinde olası tehditleri tanımlamak için kritik bir araçtır. Ancak bu verilerin doğru yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerinin değerlendirilmesi, sızan verilerin tespit edilmesi ve uygun güvenlik önlemlerinin alınması esastır. Bu nedenle, etkili bir siber güvenlik yaklaşımı, sürekli izleme, analiz ve güncelleme gerektirir.