SIEM NEDİR?

19 Mart 2018, Pazartesi

Gerçek zamanlı izleme, olaylar, bildirimler, konsol görünümleri ve korelasyon gibi kısımları yani güvenlik yönetimi bölümünü SEM(Security Event Management-Güvenlik Olay Yönetimi) ele almaktadır. Uzun süreli depolama, log ve güvenlik kayıtının ilişkilendirilmiş analizi, manipülasyonu ve raporlanması SIM(Security Information Management-Güvenlik Bilgi Yönetimi)’in alanıdır. SIEM bu iki alanın birleşmesinden oluşur ve uygulamalardan, işletim sistemlerinden ve güvenlik cihazlarından üretilen uyarıların gerçek zamanlı analizini yapmaktadır.

Özellikleri

  • Veri toplama, analiz, ağ ve güvenlik cihazlarındaki bilgiyi gösterme,
  • Güvenlik açığı yönetimi ve politika uyum araçları,
  • İşletim sistemi veritabanı ve uygulama araçları,
  • Harici tehdit verileri.

Yetenekleri ve Bileşenleri

  • Log Yönetimi: Ağ, güvenlik cihazları, sunucular, veri tabanları, uygulamalar gibi bir çok alandan veri toplama ve bu verileri izleyerek önemli olayların gözden kaçmamasını sağlama.
  • Korelasyon: Ortak alanları ve olayları anlamlı paketler halinde birleştirme Farklı kaynakları entegre ederek verileri yararlı bilgilere dönüştürme Korelasyon SEM’in tipik işlevidir.
  • Alarm: Alarmlar, ilişkilendirilmiş olayların otomatik analizi ve sorunların ilgili alıcılara bildirilmesi için üretilmektedir. SIEM arayüzünde, e-mail, sms vb. yöntemler ile ilgili yerlere bildirilmektedir. Bunun yanı sıra alarm otomatik fonksiyonlarda çalıştırmaktadır.
  • Gösterge Tabloları: Olay bilgilerini veri tablolarına dönüştürmek, standart olmayan aktiviteleri ve desenleri ortaya çıkarmaya yardımcı olmaktadır.
  • Analiz: Belirli kriterlere ve farklı zaman aralıklarına göre bir veya birden fazla log tipinde arama yapmamızı sağlamaktadır.

Kullanım Durumları

  • SIEM polimorfik kod, 0-gün saldırıları ve anomalileri bulmayı kolaylaştırmaktadır.
  • Anlamlandırma, log normalleştirme ve sınıflandırma, ağ cihazının veya bilgisayarın türünden bağımsız olarak otomatik yapılmaktadır.
  • SIEM güvenlik olaylarını ve log hatalarını görüntülü olarak aktarabilmektedir. Bu durum, desen bulmakta yardımcı olmaktadır.
  • Desen algılama, gösterge tabloları ve uyarılar kullanılarak yanlış yapılandırmayı veya protokol anomalilerini tespit edebilmektedir.
  • Gizli, zararlı ve şifrelenmiş kanalları tespit edebilmektedir.
  • Siber saldırılarda hem saldırganı hemde kurbanı keşfetmektedir.

SIEM ürünlerini değerlendirirken incelemeniz gereken en önemli özelliklerden bazıları şunlardır:

  • Entegrasyon: devam eden saldırıları önlemek veya durdurmak için diğer güvenlik cihazlarına komut verebilir mi?
  • Yapay zeka: makine ve derin öğrenme yoluyla kendi doğruluğunu geliştirebilir mi?
  • Tehdit istihbarat: istenilen tehdit istihbarat beslemelerini destekleyebilir mi, yoksa belirli bir tehdit istihbarat beslemesini mi kullanıyor?
Arama
Ara
Kategoriler
Havelsan
AÇIKLAB


Eğitimler hakkında detaylı bilgi almak için sitemizi ziyaret ediniz!

3lü logo
HAVELSAN