SIEM Nedir?
Öncelikle SIEM log toplamak değildir. SIEM loglardan veya flow bilgilerinden şüpheli, saldırgan veya kurallara aykırı aktivitelerin algılanıp saldırgan IP yi firewalldan bloklamak, kullanıcı hesabını kilitlemek veya makinayı kapatmak gibi otomatik savunma aksiyonları almaktır.
Bununla birlikte toplanan logların yönetimi de yine SIEM ile yapılabilir. Ama sadece log yönetimi yapmak SIEM i çok verimsiz kullanmak demektir.
SIEM ile ilgili detaylar için aşağıdaki makalelere bakılabilir.
SIEM in önemli özellikleirndne biri de aksiyon alabilmesidir. Yukarıda da belirttiğim gibi:
- Firewalldan bloklamak,
- Kullanıcı hesabını kilitlemek
- Makinayı kapatmak
örnek olarak verilebilir.
SureLog SIEM aksiyon modülü için aşağıdaki makale incelenebilir.
https://anet-canada.ca/wp-content/uploads/2020/10/SureLog-Intelligent-Response.pdf