CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

SIEM Performansını Artırmanın Yolları: Kaynak Tüketimini Azaltma

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

SIEM sistemlerinin verimli çalışması için performans optimizasyonu tekniklerini öğrenin. Kaynak tüketimini azaltarak güvenliği artırın.

SIEM Performansını Artırmanın Yolları: Kaynak Tüketimini Azaltma

Performans optimizasyonu, SIEM sistemlerinin etkinliğini artırmak için kritik öneme sahiptir. Bu blogda, kaynak tüketimini azaltma ve performansı artırma yollarını keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında, güvenlik bilgi ve olay yönetimi (SIEM) sistemlerinin etkinliği ve verimliliği, bir organizasyonun siber savunma stratejisinin temel taşlarındandır. SIEM teknolojileri, güvenlik olaylarını izlemenin, analiz etmenin ve raporlamanın ötesinde, olayları zamanında tespit etme ve zararlı etkileri azaltma kabiliyetine sahiptir. Ancak, bu sistemlerin başarısı büyük ölçüde performans optimizasyonuna bağlıdır. İşte burada SIEM performansını artırmanın yolları devreye giriyor; özellikle de kaynak tüketimini azaltma stratejileri.

Sorgu Maliyetinin Anlaşılması

Her bir SIEM sorgusunun gerçekleştirilmesi, CPU, RAM ve disk I/O gibi kaynaklara önemli ölçüde bağımlıdır. “Sorgu maliyeti” olarak adlandırılan bu kavram, sistemin ne kadar kaynak harcadığını belirler. Yüksek sorgu maliyetleri, SIEM sisteminin performansını olumsuz etkileyerek olayların işlenmesini yavaşlatabilir. Düzenli olarak sorgu maliyetlerini gözden geçirmek ve optimize etmek, genel sistem performansına doğrudan katkı sağlar.

Neden Önemli?

SIEM sistemlerinde kaynak tüketiminin azaltılması, siber güvenlik analistlerinin daha verimli bir şekilde çalışabilmesi için kritik öneme sahiptir. Düşük kaynak tüketimi, hızlı ve doğru yanıt süreleri sağlar, böylece olası saldırılara karşı önceden önlem almayı mümkün kılar. Ayrıca, zaman kaybını ve maliyetleri azaltarak, siber güvenlik bütçesinin verimli kullanılmasını da destekler. Hızlı yanıt verme yeteneği, şirketlerin karşılaşabileceği çeşitli tehditlere karşı daha dayanıklı hale gelmesine yardımcı olur.

Siber Güvenlik ve Pentest Açısından Bağlantı

Siber güvenlik, yalnızca saldırılardan korunmayı değil, aynı zamanda saldırıların etkilerinin en aza indirilmesini de içerir. Pentest süreçleri, sistemdirene zayıf noktaları keşfetmeyi amaçlarken, SIEM sistemleri bu zayıf noktaları tespit etmek ve analiz etmek için kritik öneme sahiptir. Performansı artırmak, saldırıların tespit sürelerini kısaltırken, güvenlik açıklarının hızlıca kapatılmasına olanak tanır. Örneğin, yüksek kaynak tüketimine yol açan yanlış yapılandırılmış sorgular, pentest sırasında uygulanacak stratejilerin belirlenmesinde bir engel teşkil edebilir.

Teknik İçeriğe Hazırlık

Bu blog yazısında, SIEM performansını artırmak için uygulanabilir yöntemler detaylandırılacaktır. Kaynak tüketimini azaltmak üzere belli başlı optimizasyon teknikleri, zaman pencerelerinin sistem üzerindeki etkisi ve en iyi veri yönetim pratikleri ele alınacak. Ayrıca, verilerin önceden filtrelenmesi, yük dengeleme ve sorgu önceliklendirme gibi konular, performansı artıracak stratejilere katkı sağlayacaktır.

Aşağıda, bu optimizasyon yöntemlerine geçmeden önce tartışacağımız bazı teknik kavramlara bir göz atalım:

- Sorgu Maliyeti: Bir korelasyon sorgusunun harcadığı toplam CPU, RAM ve disk I/O kaynakları.
- Aggregation: Benzer verilerin tek bir kayıt olarak işlenmesi.
- Filtering: Gereksiz logların kaynağında elenmesi.
- Queuing: İşleme kapasitesini aşan log akışlarının geçici olarak depolanması.

Yukarıdaki kavramlar, SIEM kaynak tüketiminin azaltılmasında önemli rol oynayan temel bileşenlerdir. Bu anahtar noktaları anlamak, performans optimizasyonuna yönelik atılacak adımların etkinliğini artıracaktır. Siber güvenlik alanındaki gelişmeler ve tehditlerdeki artış göz önüne alındığında, SIEM sistemlerinde kaynak tüketimi optimizasyonunun önemi daha da belirgin hale gelmektedir. Gelecek bölümlerde bu konuda daha ayrıntılı bilgi verilecek ve pratik uygulamalar anlatılacaktır.

Teknik Analiz ve Uygulama

Sorgu Maliyeti (Query Cost)

Bir SIEM (Security Information and Event Management) sisteminin verimliliği, etkin olarak sorgu gerçekleştirebilme yeteneğiyle doğrudan ilişkilidir. Sorgu maliyeti, bir korelasyon sorgusunun çalışması için harcanan toplam CPU, RAM ve disk I/O kaynaklarının ölçüsüdür. Sorgu maliyetini anlamak, performansı iyileştirmek için atılacak ilk adımdır. Çoğu durumda, bir sorgu gerektirdiği kadar kaynak tüketmediğinde daha hızlı sonuçlar alınabilir.

Optimizasyon Teknikleri

Zaman Pencereleri ve Performans

Sorgu esnasında kullanılan zaman pencerelerinin büyüklüğü doğrudan sistem performansını etkiler. Çok geniş zaman pencereleri, bellek üzerinde aşırı yük oluşturur ve sistemi yavaşlatabilir. Bununla birlikte, dar zaman pencereleri ile daha hedefli verilere ulaşmak, kaynak tüketimini önemli ölçüde azaltır.

Veri Tekilleştirme (Aggregation)

Tekilleştirme, aynı türdeki binlerce logun tek bir kayıt olarak birleştirilmesi sürecidir. Böylece, aynı bilgiyi tekrar tekrar işlemeye gerek kalmaz ve toplam kaynak tüketimi düşürülür. Örnek vermek gerekirse:

index=my_index | stats count by event_type

Yukarıdaki sorgu, event_type değerine göre logları tekilleştirerek toplam sayıları döndürür. Bu yöntemle, çok sayıda benzer logun işlenme süresi kısalır.

Yük Dengeleme (Load Balancing)

Yük dengeleme, sorgu işlemlerini birden fazla sunucu veya işlemci arasında dağıtarak toplu veri yükünü hafifletir. Bu, SIEM mimarisinde önemli bir rol oynar. Distributed Search yaklaşımı kullanarak sorgu yükünü dağıtmak, tüm sistemin daha etkin çalışmasını sağlar.

Wildcard (*) Kullanımı

Wildcard karakterleri, sorgularda daha genel ifadeler kullanmayı mümkün kılar. Ancak, kullanımları dikkatlice yönetilmelidir zira bu karakterler indekslerin atlanmasına ve gereksiz yere tam tarama yapılmasına neden olabilir. Bu tür bir sorgu örneği şu şekilde olabilir:

index=my_index source="*example*"

Bu tür sorgularda, düzenli ifadeleri (regex) olabildiğince basit tutmak, işlemci üzerindeki yükü hafifletebilir. Regex kullanmak yerine, metin aramalara yönelmek daha akıllıca bir tercih olabilir.

Düşük EPS (Events Per Second)

SIEM sistemleri çok sayıda log almaktadır. Düşük event per second (EPS) değerlerine ulaşmak, log hacmini yönetmek için hayati bir öneme sahiptir. Gereksiz logların, kaynağında filtrelenmesi SIEM’e gönderilen toplam veri miktarını azaltır. Filtering uygulayarak, daha az veri ile daha fazla analiz yapmak mümkün olabilir.

Arama Önceliği

Farklı türdeki arama sorgularının öncelik seviyelerini belirlemek, kaynak yönetiminde kritik bir stratejidir. Örneğin, gerçek zamanlı (real-time) aramalar en yüksek CPU tüketimini gerektirirken, zamanlanmış (scheduled) aramalar belirli periyotlarla çalışarak kaynakları daha verimli kullanır.

Dengeli Kural Yazımı

Etkin bir korelasyon kuralı, minimum kaynak tüketirken maksimum tespit doğruluğu sağlamalıdır. Yüksek karmaşıklıkta yazılmış kurallar, SIEM sisteminin aşırı yüklenmesine yol açabilir. Bu nedenle, olabildiğince basit ve etkili kurallar yazmak, performansı artırmada büyük rol oynar.

Kuyruğa Atma (Queuing)

SIEM’in işleme kapasitesini aşan log akışları için, gelen verilerin geçici bellek alanında bekletilmesi yöntemi olan kuyruklama (queuing), veri kaybını önleyebilir. Kuyruğa atma işlemi, kaynak tüketimini dengeleyerek SIEM’in genel performansını artırır ve herhangi bir anlık durumu yönetilebilir kılar.

Sonuç olarak, SIEM performansını artırmanın yolu, yukarıda belirtilen teknikleri akıllı bir şekilde uygulamaktan geçmektedir. Bu yöntemler, hem sorgu maliyetini azaltma hem de sistem dengesini sağlama açısından kritik öneme sahiptir. Performans artışını sağlayan bu tekniklerin uygulanması, daha hızlı ve verimli işleme süreçlerine zemin hazırlayacaktır.

Risk, Yorumlama ve Savunma

Riski Değerlendirme ve Yorumlama

Siber güvenlik ortamında, elde edilen verilerin yorumlanması, hangi tür risklerle karşı karşıya olduğumuzu anlamak açısından kritik öneme sahiptir. SIEM sistemleri tarafından toplanan günlük verileri, potansiyel tehditlerin ve güvenlik açıklarının tespitine yardımcı olur; ancak verilerin sadece toplanması yeterli değildir. Bu verilerin doğru bir şekilde yorumlanması, yorumların güvenlik açısından anlamının sorgulanması ve potansiyel tehditlerin savunma mekanizmalarına dönüşmesi gerektirir.

Yanlış Yapılandırma ve Açıklıklar

Bir SIEM sisteminde yapılan yanlış yapılandırmalar, ciddi boyutlarda güvenlik risklerine yol açabilir. Örneğin, belirli log kayıtlarının yasaklanması veya yanlış şekilde filtrelenmesi, kritik bir güvenlik olayının gözden kaçmasına neden olabilir.

Sızan veriler arasında kullanıcı bilgileri, API anahtarları veya sistem kimlik bilgileri yer alıyorsa, bu durum büyük bir zafiyet oluşturmaktadır. Bu tür bilgilerin ele geçirilmesi, siber saldırganların sistemlere daha fazla zarar vermelerine ve daha geniş bir ağ yapısına sızmalarına fırsat tanır.

Aşağıdaki örnek, yanlış yapılandırma kaynaklı bir sorunu açıklamaktadır:

Kritik bir sunucu için yapılan denetim, yalnızca 500 alandan oluşan günlük kayıtlarının analiz edilmesi nedeniyle, önemli bir şifre kırma girişiminin dikkate alınmadığını göstermiştir.

Burada, sistem yapılandırmalarında yeterli detay ve kapsam sağlamayan log ayarları tehlikeli bir duruma neden olmuştur.

Sızan Veri ve Topoloji Tespiti

Sızan verilerin tespiti ve analiz edilmesi, siber saldırganların hangi yöntemleri kullandığını anlamak için kritik öneme sahiptir. SIEM sistemi bu noktada devreye girer, çünkü topladığı verilerle güvenlik durumu hakkında bilgi sağlar. Örneğin, bir ağ topolojisi ele alındığında, hangi cihazların saldırıya uğradığı, hangi yöntemlerin kullanıldığı ve saldırı zamanlaması gibi bilgiler analiz edilebilir.

Bir çok sistemde, verilerin tutmaması ve kaybolması durumunda risk faktörleri yükselmektedir. İyi bir ragmen analizi, ağ üzerindeki potansiyel güvenlik açıklarını tespit etmeye yardımcı olabilir.

Bir analiz sonucunda, ağda 3000'den fazla etkin kullanıcı oturumu tespit edilmişse ve bunlardan sadece 400'ü izleme altındaysa, bu, bir güvenlik açığının varlığına işaret edebilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik risklerini azaltmak için profesyonel önlemler alınmalıdır. İşte önerilen bazı hardening adımları:

  1. Filtreleme ve Aggregation: Sistem, gereksiz logları kaynağında filtreleyerek ya da benzer logları tek bir kayıt halinde işlemeyi sağlayarak daha verimli çalışabilir.

  2. Sorgu Performansının Optimize Edilmesi: Sorguların optimal şekilde çalışması, sistem kaynaklarının verimli kullanılmasını sağlar. Geniş zaman pencereleri yerine daha dar pencereler kullanmak ve uygun önceliklendirme yapmak, kaynak tüketimini azaltır.

  3. Yük Dengeleme: Yükü dağıtan yapılar kullanarak, sorguların birden fazla sunucu üzerinde dağıtılması sağlanmalıdır.

Eğer bir SIEM sistemi kapsamında yük dengelemesi yapılmıyorsa, "distributed search" yapısının benimsenmesi, sorgu sürelerini önemli ölçüde azaltır.
  1. Veri Modifyasyonları: Ham veriler yerine daha önceden indekslenmiş ve hızlandırılmış veri yapıları ile çalışmak, sistem üzerindeki yükü önemli ölçüde azaltır.

Sonuç

Siber güvenlik yönergesi çerçevesinde risk değerlendirme, yorumlama ve savunma mekanizmalarının işlemesini sağlamak, güvenlik açığı yaratmamak adına elzemdir. Yanlış yapılandırmaların gözden geçirilmesi, potansiyel risk kaynaklarının tespit edilmesi ve gerekli hardening önlemlerinin alınması gerekmektedir. Bu şekilde, güvenlik durumu iyileştirilebilir ve SIEM sisteminin genel performansı artırılabilir. Bu yaklaşım, daha sağlam ve güvenilir bir siber güvenlik altyapısı oluşturulmasına katkı sağlar.