CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

SOC Mimarisinde SIEM Teknolojisinin Temelleri

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

SOC ve SIEM arasındaki ilişkiyi anlayın, verilerin nasıl toplandığını ve analiz edildiğini öğrenin. Siber güvenlikte kritik noktaları keşfedin.

SOC Mimarisinde SIEM Teknolojisinin Temelleri

Bu yazıda SOC mimarisinde SIEM teknolojisinin rolünü keşfedecek, verilerin nasıl merkezi bir sistemde toplandığı ve analiz edildiğini öğreneceksiniz. Güvenlik alanındaki temel kavramları anlamak için önemli bilgiler sunuluyor.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, günümüzün dijital dünyasında, bilgi sistemlerinin korunması giderek daha kritik bir hale gelmiştir. Kurumların veri güvenliği için uyguladıkları yöntemler arasında bulunan Güvenlik Operasyon Merkezleri (SOC), 7/24 izleme yaparak potansiyel tehditleri tespit etme işleviyle dikkat çekmektedir. Bu bağlamda, Security Information and Event Management (SIEM) teknolojisi, SOC'un kalbinde yer almakta ve olaylarla ilgili verilerin yönetimini büyük ölçüde kolaylaştırmaktadır.

SIEM, ayrık sistemlerden gelen verileri bir araya getirip analiz ederek güvenlik analistlerine anlamlı bilgi sunmayı hedefler. Özellikle siber saldırıların karmaşıklığı ve sıklığı göz önüne alındığında, SIEM sistemlerinin önemi katlanarak artmıştır. Kurumlar, SIEM sayesinde yalnızca saldırılara karşı savunma mekanizmalarını değil, aynı zamanda bu saldırılara yönelik reaksiyon süreçlerini de etkili bir biçimde yönetebilirler.

SIEM'in Önemi

Siber güvenlik, yalnızca ağa yönelik tehditleri tespit etmekle kalmayıp, aynı zamanda bu tehditlere karşı proaktif önlemler almayı da gerektirir. Burada SIEM, çeşitli kaynaklardan (güvenlik duvarları, sunucular, veri tabanları ve uç nokta koruma yazılımları gibi) gelen verileri toplar ve anlamlandırır. Bu işlem, belirli bir zaman diliminde sistemde meydana gelen olayları detaylı bir şekilde incelemek ve potansiyel tehditleri önceden tespit etmek için büyük önem taşır. Kısaca, SIEM'in sağladığı veri duvarı, kötü niyetli saldırılara karşı daha iyi bir savunma sağlamaktadır.

Pentest ve Savunma Bağlamında SIEM

Sızma testleri (pentest), bir sistemin güvenlik açıklarını belirlemek ve bu açıkları değerlendirmek için gerçekleştirilen sistematik bir süreci ifade eder. SIEM, bu süreçte kritik bir rol oynar; çünkü topladığı veriler, saldırganların sistem üzerinde ne tür yöntemler kullandığını anlamak için kullanılabilir. Pentest sürecinde SIEM ile elde edilen veriler, güvenlik açığı analizine katkıda bulunarak, kurumun zayıf noktalarının belirlenmesine yardımcı olur.

Bu bağlamda, SOC analistleri, SIEM sistemindeki verileri kullanarak elde edilen bulgular üzerinde derinlemesine incelemeler yapabilir. Örneğin, bir kullanıcı hesabının olağandışı aktivitelerle kullanılması durumunda, SIEM sistemi bu olayı tanımlayarak analiste bildirimde bulunur. Bu tür uyarılar, analistlerin olayları hızlı bir şekilde değerlendirmesine ve gerekli güvenlik önlemlerini almasına olanak tanır.

SIEM Teknolojisine Hazırlık

SIEM teknolojisini anlamak, yalnızca veriyi toplamakla kalmayıp, aynı zamanda bu verilerin analizi, korelasyonu ve alarm oluşturma süreçleri hakkında derinlemesine bilgi sahibi olmayı gerektirir. SOC'un nasıl çalıştığını ve SIEM'in süreçteki rolünü kavramak için bazı temel kavramları anlamak önemlidir. Örneğin, "Aggregation (Toplama)" terimi, farklı sistemlerden gelen verilerin merkezi bir noktada birleştirilmesi anlamına gelirken; "Correlation (Korelasyon)" ise bağımsız görünen olaylar arasında manüel bir ilişki kurma sürecini ifade eder.

SIEM sürecinin temelleri şu şekildedir:
1. Verinin toplanması (Aggregation)
2. Verinin işlenmesi ve analize hazır hale getirilmesi
3. Anomali tespiti ve alarm oluşturulması (Alerting)
4. Olayların değerlendirilmesi (Triage)

Bu bağlamdaki terminolojiyi anlamak, analistlerin SIEM sisteminden maksimum verim alabilmesi için kritik bir adımdır. SOC'lar, bu teknolojiyi etkin bir şekilde kullanarak güvenlik olaylarını yönetirken, aynı zamanda daha fazla bilgi ve deneyim edinme amacıyla sürekli olarak kendilerini geliştirmek zorundadır.

Sonuç olarak, SOC ve SIEM arasındaki ilişkiyi kavramak ve bu teknolojinin sunduğu fırsatları keşfetmek, siber güvenlik uzmanları için hayati bir adımdır. SIEM teknolojisinin sunduğu olanakları derinlemesine incelemek, güvenlik analistlerinin bilgi birikimini artırırken, kurumların siber saldırılara karşı daha dirençli hale gelmesine katkı sağlayacaktır.

Teknik Analiz ve Uygulama

SOC ve SIEM İlişkisi

Güvenlik Operasyon Merkezi (SOC), dijital altyapının sürekli izlenmesi ve siber tehditlere karşı korunması amacıyla faaliyet gösteren birimdir. SOC'lar, birçok farklı sistem ve cihazdan gelen güvenlik olaylarını analiz etme yeteneğine sahip olmalarını sağlayan merkezi bir teknoloji olarak Security Information and Event Management (SIEM) sistemlerini kullanır. SIEM, bir ağdaki dağılmış verileri toplayarak anlamlı hale getirmenin yanı sıra, olayları analiz ederek güvenlik analistlerine bilgi sunar.

Bu bağlamda, SIEM teknolojisi, ağın çeşitli bölümlerinden gelen olay kayıtlarını, güvenlik duvarlarından, sunuculardan ve uç nokta koruma yazılımlarından gelen verileri entegre etmek için kritik bir rol oynar. Bu süreç "merkezi log toplama" olarak adlandırılır ve altyapının güvenliğini korumak için ilk adımdır.

İlk Adım: Veriyi Bir Araya Getirmek (Aggregation)

Aggregation, farklı sistemlerden gelen ham olay kayıtlarının merkezi bir sunucuda birleştirilmesi sürecidir. Bir SIEM sistemi, bu verileri toplama işlemini gerçekleştirirken, hem güvenlik tehditlerinin hem de kullanıcı davranışlarının analiz edilmesine olanak sağlar. Aşağıda, bir SIEM sistemine veri toplamak için kullanılabilecek örnek bir yapılandırma verilmektedir.

# Örnek bir SIEM yapılandırmasında log toplama
input {
  file {
    path => "/var/log/syslog"
    start_position => "beginning"
  }
}

filter {
  # Log kayıtlarını filtrelemek için gerekli işlemler
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "logstash-%{+YYYY.MM.dd}"
  }
}

Yukarıdaki örnekte, SIEM sistemine verilerin toplanması için kullanılan bir yapılandırma dosyası gösterilmektedir. Log kayıtları belirli bir konumdan alınır ve Elasticsearch'e gönderilir.

SIEM'in Temel Fonksiyonlarını Sınıflandırmak

Bir SIEM sistemi, veriyi yalnızca toplamakla kalmaz, aynı zamanda bu veriyi analiz etme becerisine de sahiptir. Verinin toplanmasından anlamlandırılmasına kadar olan süreç, çoğunlukla belirli adımlarla ilerler. SIEM'in temel işlevleri arasında şu unsurlar bulunmaktadır:

  1. Veri Toplama: Farklı kaynaklardan gelen logların toplanması, merkezi bir noktada birleştirilmesi.
  2. Veri Normalizasyonu: Farklı biçimlerdeki verilerin standart bir formata dönüştürülmesi.
  3. Korelasyon: Farklı olay kayıtları arasındaki ilişkilerin belirlenmesi.
  4. Alarm Üretme: Şüpheli durumların analiz edilerek sistem yöneticisine bildirilmesi.

Özellikle, "korelasyon" aşamasında, SIEM sistemleri önceden tanımlanmış kurallar kullanarak bağımsız görünen olaylar arasında ilişki kurar. Örneğin, bir kullanıcının VPN üzerinden sisteme bağlanması normal bir olaysa, daha sonra erişmediği bir veritabanına erişmeye çalışması olağandışı bir durumdur ve SIEM bu durumu tespit eder.

Olayları Birbirine Bağlamak

Korelasyon motoru, belirli kurallara uyan olayları analiz ederken, bağlantılı anormal aktiviteleri tespit etmek için kritik bir işlev üstlenir. Bu süreç, bağımsız olayların mantıksal bir sekans oluşturmasını sağlar. Örneğin, bir kullanıcı, ilk önce makul bir hızda oturum açıyorsa, ancak ardından olağandışı bir veri akışı sağlıyorsa, SIEM bu durumu potansiyel bir saldırı olarak işaretleyebilir.

Korelasyondan Alarma Geçiş (Alerting)

Belirli bir korelasyon eşiği aşıldığında, SIEM sistemi bir "güvenlik alarmı" üretir. Bu durum, analistin incelemesi gereken şüpheli aktiviteleri bildiren bir alarmdır. SIEM sistemleri bu tür durumları otomatik olarak tespit eder ve belirli kurallara uyan potansiyel tehditleri raporlar. Aşağıda, güvenlik alarmlarının nasıl raporlandığına dair örnek bir ifade verilmektedir:

{
  "alert": {
    "timestamp": "2023-10-01T12:00:00Z",
    "severity": "high",
    "message": "Kullanıcı [user123] veritabanına anormal erişim girişiminde bulundu.",
    "source": "SIEM-Sistem"
  }
}

SOC L1 Analistinin İlk Teması: Triyaj (Triage)

Güvenlik alarmları üretildikten sonra, SOC L1 analistleri bu alarmları hızlıca değerlendirir. Alarmın gerçek bir tehdit olup olmadığını belirlemek için yapılan bu ilk inceleme ve önceliklendirme sürecine "triyaj" denir. Analystler, bu süreçte alarmları değerlendirirken aşağıdaki kriterlere odaklanır:

  • Gerçek bir tehdit mi (True Positive)?
  • Normal bir sistem davranışı mı (False Positive)?

Bu değerlendirme, güvenlik açığının kapatılması ve gelecekteki saldırıların önlenmesi açısından son derece kritik öneme sahiptir.

Güvenlik Terimlerini Birbirinden Ayırmak (Event vs Alert vs Incident)

SIEM terminolojisinde bazı kavramlar sıkça karıştırılmaktadır. Ancak SOC analistleri için bu terimlerin belirgin bir hiyerarşisi vardır:

  • Event (Olay): Sistemlerde gerçekleşen her türlü loglanan işlem.
  • Alert (Alarm): Potansiyel bir güvenlik tehdidi olarak belirtilen şüpheli durum.
  • Incident (İhlal): Analist tarafından onaylanmış, kuruma zarar verme potansiyeli olan gerçek bir tehdit.

Bu hiyerarşinin doğru anlaşılması, SOC analistlerinin etkin bir şekilde çalışabilmesi için hayati öneme sahiptir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlik açısından risk değerlendirmesi, mevcut durumun analiz edilmesi ve olası tehditlerin belirlenmesi için kritik bir süreçtir. Güvenlik Operasyon Merkezleri (SOC), bu riskleri anlamak ve yönetmek amacıyla Security Information and Event Management (SIEM) sistemleri kullanır. SIEM, farklı kaynaklardan gelen verileri merkezi bir noktada toplayarak, güvenlik ekiplerine olayların önemli anlamlarını yorumlama fırsatı sunar.

Elde Edilen Bulguların Yorumlanması

SIEM, verilerin toplanmasını ve analiz edilmesini sağlayarak bir güvenlik olayının (event) güvenlik anlamını açığa çıkarır. Örneğin, kullanıcıların ağda gerçekleştirilen oturum açma denemeleri veya belirli bir veritabanına erişim istekleri, her zaman yüksek riskli olmadıkları için dikkatlice incelenmelidir. Toplanan verilerin analizi, bu tür olayların sınıflandırılmasına ve olası tehditlerin belirlenmesine olanak sağlar. Aşağıdaki örnek, SIEM'in anlamlandırma sürecini açıklamakta faydalı olacaktır:

event:
  eventType: "Oturum Açılamadı"
  user: "kullanici1@example.com"
  timestamp: "2023-10-01T10:00:00Z"
  sourceIp: "192.168.1.10"
  attempts: 5

Bu durumda, aynı IP adresinden peş peşe gelen başarısız oturum açma denemeleri, potansiyel bir brute-force saldırısını işaret edebilir. Analist, bu tür verileri dikkatlice değerlendirmeli ve olası güvenlik ihlallerini önceden belirlemeye çalışmalıdır.

Yanlış Yapılandırmalar ve Zafiyetler

SIEM ve SOC süreçleri, yanlış yapılandırmaların ve zafiyetlerin tespit edilmesinde de önemli bir rol oynar. Örneğin, bir sunucunun gereksiz yere açık bırakılan bir portu, kötü amaçlı yazılımların ve hackerların ağ içine sızmasına olanak tanıyabilir. Yanlış yapılandırmaların yol açabileceği sorunları şu şekilde özetleyebiliriz:

  1. Yanlış Güvenlik Duvarı Kuralları: Çok geniş kapsamlı kurallar, istenmeyen trafiklerin içeri girmesine izin verebilir.
  2. Güncel Olmayan Yazılımlar: Güvenlik yamalarının uygulanmaması, bilinen zafiyetlerin istismar edilmesine neden olabilir.
  3. Zayıf Kimlik Doğrulama: Yetersiz şifre politikaları, yetkisiz erişim riskini artırabilir.

Sızan Verilerin Tespiti

Verilerin sızması, ciddi sonuçlara yol açabilir. SIEM sistemleri, ağ trafiği ve sistem günlüklerini analiz ederek, hangi verilerin sızdığı ve bu durumun kaynağını belirlemeye çalışır. Örneğin, sürekli olarak belirli bir veri setine erişim denemeleri, bir iç tehdit veya kötü niyetli bir dış saldırganı gösterebilir. Bu tür durumlarda SIEM'in korelasyon yeteneği devreye girer, böylece birbirine bağlanmamış olaylar arasında mantıksal bir ilişki kurularak potansiyel bir saldırı daha hızlı tespit edilir.

Güvenlik Önlemleri ve Hardening Önerileri

Siber güvenlik açıdan alınabilecek önlemler, SOC ve SIEM sistemlerinin etkinliğini artırır. Öneriler şu şekilde sıralanabilir:

  1. Güvenlik Duvarı ve IDS/IPS Sistemleri: Ağın trafik akışını düzenleyerek, istenmeyen bağlantıları engellemek.
  2. Erişim Kontrolü: Kullanıcı yetkilendirmelerini sıkı bir şekilde yönetmek ve sadece gerekli olan verilere erişime izin vermek.
  3. Düzenli Güvenlik Tarama ve Testler: Zafiyet taramaları ve penetrasyon testleri ile mevcut sistemin güvenlik durumu sık sık kontrol edilmelidir.
  4. Çalışan Eğitimleri: Çalışanlar için siber güvenlik eğitimleri düzenlenmeli, sosyal mühendislik gibi tehditler hakkında bilinçlendirilmelidir.

Sonuç

SIEM teknolojisi, siber güvenlikte kritik bir öneme sahiptir. Olayların anlamlı hale getirilmesi ve risklerin değerlendirilmesi, organizasyonların güvenlik duruşunu önemli ölçüde artırır. Yanlış yapılandırmalar ve zafiyetler, ciddi tehditler oluşturabilirken, doğru bir risk değerlendirmesi ile bu tehditlerin önüne geçilebilir. Uygulanan güvenlik önlemleri ve hardening önerileri, siber tehditlere karşı koruma sağlamak için hayati bir rol oynamaktadır. Bu bağlamda, SOC'un ve SIEM'in işlevi, kurumsal güvenlik stratejisinin başarısı açısından belirleyici olmaktadır.