SIEM Faydaları
SIEM faydalarını kanunlar, regülasyonlar ve olası saldırı ve şüpheli aktivitelerin anında tespit edilmesi olarak özetleyebiliriz. Kanunlar, regülasyonlar özellikle logun saklanması ve erişim hızı ile ilgili gereksinimler ortaya koyarken, siber güvenliğin yönetilmesi de şüpheli aktivitelerin anında tespit edilmesini gerektirir. Bazı regülasyonlarda da tespit (korelasyona) atıf vardır.
Logların saklanması ve erişim hızı açısından SIEM faydalarını incelemeye başlayalım.
Audit loglarını, IDS loglarını ve firewall loglarını altı aydan daha kısa sürede canlıda (hot) tutmak kritik bir hatadır. Maalesef bu hata çokça SIEM ve Log Yönetimi projesinde yapılmakta. Bunun sebebi proje başlangıcında veya demo/PoC aşamasında aşağıdaki soruların sorulmaması:
1-Logları sıcak yani canlıda ne kadar süre ve ne kadar disk ile tutuyorsunuz?
2-Logları soğuk yani arşivde ne kadar süre ve ne kadar disk ile tutuyorsunuz?
Bazen bu kritik hataya düşmemek için Logları ne kadar süre tutuyorsunuz? Diye soruluyor ama bu yanlış soru, çünkü o zaman ne kadar disk verirseniz o kadar cevabı alabilirsiniz.
Canlı ve arşiv sorusunu sormazsanız ileride lazım olana kadar farkına varamazsınız, farkına vardığınızda da iş işten geçmiş olur. Aşağıdaki makalede canlı logun veya loga erişim hızının kritik olduğu örnek senaryoları bulabilirsiniz.
SIEM ve Log Yönetimi’nde loglara hızlı erişim, logların uzun süre sıcak tutulmasını gerektirir.
Siber saldırılar genellikle zaman içinde yavaş yavaş ortaya çıkar ve tüm tehdit aktivitelerini günler, haftalar veya aylar yerine yıllar boyunca görüntüleme becerisi gerektirir. Dolayısı loglara 15, 30, 90 gün hızlı erişip (canlı) sonrasında da yavaş erişmek (arşiv) bu siber saldırıları yakalamayı imkansız hale getirebilir.
Çok uzun süre logları canlıda tutma, saklama, analistlerin tehdit verilerini ve uç nokta telemetrisini bu süre zarfında SIEM/Log Manager tarafından toplanan her şeye karşı sorgulamasına olanak tanır.
Gelişmiş tehditler ve hızlı yanıt
Gelişmiş tehditlerin analizi ve tespiti haricinde çeşitli kanunlar ve yönetmelikler, işletmelerin altı ay ile yedi yıl arasında değişen sürelerde log tutmasını şart koşmaktadır. Bazıları özel olarak sıcak kayıt süresini tanımladığı gibi (analiz için kolayca kullanılabilir) ), bazıları ise bu ayrımı yapmaz, ancak her iki durumda da sonuçların mümkün olduğu kadar hızlı alınması kritik önem taşıyor.
Aşağıda bu düzenlemelerden bazılarını ve gerekli süreleri bulabilirsiniz.
KVKK, logların 2 yıl tutulması gibi fiili bir durum var. Canlı loga değinmemekle birlikte ihlal bildirimlerinin 72 saat ve kanun kapsamında sorulan sorulara da 30 gün içerisinde cevap verilmesini şart koşuyor. 72 saat içerisinde bildirimde bulunmayan Facebook ve bir bankaya yüzbinlerce lira ceza verdi.
PCI, tüm denetim log kayıtlarını en az bir yıl boyunca tutmayı ve son üç ayın günlüklerini analiz için hazır tutmayı (sıcak veriler) zorunlu kılıyor. Yani en az 90 gün canlı ve toplamda 1 yıl.
Basel II, logların 3 ila 7 yıl boyunca tutulmasını gerektirir.
Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) , logların 6 yıla kadar tutulmasını gerektirir.
Ulusal Endüstriyel Güvenlik Programı (NISPOM), logların en az bir yıl boyunca saklanmasını gerektirir.
Sarbanes-Oxley Yasası (SOX), denetim loglarının yedi (7) yıl boyunca tutulmasını gerektirir.
CISP, denetim loglarının en az altı ay süreyle saklanmasını gerektirir.
Bütün bu fayda ve gereksinimlerin yanı sıra SIEM çözümlerinin daha büyük bir faydası da olası saldırı ve şüpheli aktivitelerin anında tespit edilmesidir. Bunun için SIEM çözümlerinin korelasyon yeteneği kullanılır.
Öncelikle korelasyon yeteneğinin tespiti için karar vermek gerekir. Bunun için aşağıdaki makaleye bakılabilir.
Bu aşamadan sonra kullanılan SIEM ile ne seviyede tespitler yapılabilir? Hangi kurallar çalıştırılabilir? Buna karar vermek gerekir. Bunun için de aşağıdaki makaleden faydalanabilir.
SIEM ürününün tespit yeteneği de ortaya çıktıktan sonra tespitlere başlanabilir.
