SIEM Ürünlerine Genel Bakış

SIEM Ürünlerine Genel Bakış

SIEM Nedir?

SIEM, açılımı “Security Information and Event Management” Türkçe’ye Güvenlik Bilgileri ve Olay Yönetimi olarak geçmiştir. SIEM, tehditleri tespit etmek ve kuruluşların herhangi bir uyarıyı araştırmasını kolaylaştırmak için ağ ortamından log kayıtlarını toplar ve daha kolay erişilebilir hale getirir temel amacı da budur. Güvenlik operasyon merkezleri (SOC’ler), siber saldırılara ve veri ihlallerine karşı olay yanıtı, Log verilerini araştırmak için SIEM yazılımlarına yatırım yaparlar.

 

Gartner şirketinin yayınladığı en çok kullanılan SİEM ürünleri;

Splunk

Splunk, uygulamalardan, sunuculardan ve ağ cihazlarından makine tarafından oluşturulan verileri toplayan, normalleştiren ve analiz eden bir yazılımdır. Bu sayede veriye dayalı kararlar ve önlemler almamızı sağlamaktadırlar.

Splunk avantajları:

  • Birçok alandan log kayıtları toplayarak veriye dayalı kararlar verilemsine imkan sağlar.
  • Eş zamanlı olarak birçok sistemden veri çekebilir.
  • Verileri json,.csv gibi farklı formatlarda girdi olarak sağlayabilir.
  • Sistem perfonmasını analiz eder ve perfonmas kaybına sebep olan noktaları tespit edebilir.
  • Daha sonra kullanabilmek için toplanan verileri depolar.
  • Toplanan verileri görselleştirebilmek için panel imkanı sunar.

IBMQRADAR:

  • Sistem içindeki ve bulut kaynaklar için görünürlük sağlar.
  • Oluşabilecek tüm tehtitleri göz önünde bulundurarak tüm ağ , risk ve tehtit analizlerini yaparak hızlı karar almayı sağlarlar
  • Log dosyalarını otomatik ayrıştırır ve normalleştirme işlemi gerçekleştirir.

LOGRHYTHM

Günlük verileri merkezleştiren, bağlamsal ayrıntılarla zenginleştiren ve tüm veri türlerinde tutarlı bir şema oluşturur.

  • Esnek veri depolama seçenklerine sahiptir.
  • Linux ve Windows işletim sistemleri desteklemektedir.

BAZI AÇIK KAYNAKLI SİEM ARAÇLARI;

  • OSSIM
  • OSSEC
  • WAZUH
  • APACHE METRON
  • SECURİTY ONİON
  • Elasticsearch

WAZUH

Wazuh, ölçeklenebilir, multi platform, açık kaynaklı bir host-tabanlı intrusion detection (HIDS) sistemidir.

Wazuh özellikleri

  • Log analizi.
  • Dosya bütünlüğü denetimi
  • Windows kayıt defteri izleme
  • Rootkit tespiti
  • Gerçek zamanlı uyarı ve aktif response yapısı  

SIEM Teknolojisinin Avantajları Nelerdir:

  • Gerçek zamanlı izleme
  • Farklı sistemler ve log verileri için merkezi yönetim çözümü
  • Güvenlik ürünleri ile entegre edilebilme
  • Olay Yönetimi
  • Daha az yanlış pozitif uyarı
  • Doğru ve güvenilir analiz sağlamak için verilerin toplanması ve normalleştirilmesi
  • Ham ve ayrıştırılmış verilere erişim ve arama kolaylığı
  • Gelişmiş tehdit algılama
  • Özelleştirilmiş panolar ve etkili raporlama

Fırat Üniversitesi Adli Bilişim Mühendisliği 3. sınıf öğrencisiyim. Siber Güvenlik alanında çalışmalar yapmaktayım.