Alien Vault SIEM Nedir Nasıl Çalışır
Orta Piyasa Organizasyonları için hepsi bir arada güvenlik yönetimi platformudur
AlienVault Unified Security Management (USM), günümüz güvenlik tehditlerine karşı makul bir fiyata orta piyasa işletmeleri için tam bir savunma sağlamak ve garanti etmek için tasarlanmış hepsi birarada bir platformdur. AlienVault USM, geleneksel SIEMlerden veya Güvenlik Noktası Ürünlerinden farklı olarak aşağıdakileri sağlar
*Birleştirilmiş, Eşgüdümlü Güvenlik İzleme
*Basit Güvenlik Olay Yönetimi ve Raporlama
*Sürekli Tehdit Zekası
*Hızlı Dağıtım
*Tek Bir Konsoldaki Çoklu Güvenlik İşlevleri
Etkili Yanıt için Daha İyi Tehdit Tespiti
AlienVault Güvenlik yönetimi, bir uyumluluk yönetimi çözümü olan tehdit algılama için kullanımı kolay ve kaliteli bir araçtır . AlienVault, varlıklarınızı korumak için ihtiyaç duyduğunuz tüm önemli güvenlik özelliklerini sağlamak için Birleştirilmiş Güvenlik Yönetimi platformu olarak düşünülmüştür.
Bu platform, AlienVault Laboratuarlarının ve tehdit altındaki topraksız istihbarat topluluğunun sağladığı ve tehdit altındaki topluluk tarafından çalıştırılan tehdit verileri ile işbirliği içinde savunmayı sağlayan dünyanın ilk açık tehdit istihbaratı Open Threat Exchange tarafından sağlanmaktadır.
Tek Bir Konsoldaki 5 Temel Güvenlik Yeteneği
Varlık Bulma
Başkasından önce ağınızdaki tüm varlıkları bulun (Etkin Ağ Taraması - Pasif Ağ İzleme - Varlık Envanteri - Yazılım Envanteri)
Güvenlik Açığı Değerlendirmesi
Ağınızdaki sistem açıklarını tanımlayın (Ağ Güvenlik Açığı Testleri - Sürekli Güvenlik Açığı İzleme)
İzinsiz giriş tespiti
Ağınızdaki kötü amaçlı trafiği algılama (Network IDS - Host IDS - Dosya Bütünlüğü İzleme (FIL))
Davranışsal İzleme
Şüpheli davranışları ve muhtemelen tehlikeye düşen sistemleri keşfedin (Netflow Analizi - Hizmet Kullanılabilirlik İzleme - Tam paket yakalama)
SİEM
Ağınızdaki güvenlik olayı verilerini ilişkilendirin ve analiz edin (Günlük Yönetimi - Olay İlişkisi - Olay Tepkisi - Raporlama ve Alarmlar)
Ağ Güvenliği
*Ağınıza neyin bağlı olduğunu görün.
*Hassas sistemleri bulun ve nasıl düzeltebileceğinizi öğrenin.
*Bilinen zararlı bağlantılarla tehditleri ve davranışları tanımlayın.
*Ağ davranışını belirleyin ve şüpheli aktiviteleri tanımlayın.
*Anlık bağ kurulan verilerle olayları inceleyin.
*Bir sonraki adımı öğrenmek için adım adım rehberi kullanın
AlienVault Uyum Yöneticisi
Ğüvenlik kontrollerini basitleştirerek otomatik bir şekilde düzenli olarak yapılamalarını sağlayarak iyileştirme çabalarının etkili bir şekilde önem sırasına koyulmasını sağlamak ve görünürlüğü bir yapmaktadır. AlienVault Unified Security Management çözümleri önemli denetim etkinliklerini otomatik olarak belirleyerek raporlar ve acil aksiyon gerektirenler konusunda uyarılar verir.
AlienVault USMnin Uyum Faydaları:
*Denetimleri sorunsuz yapmak için raporlamaları ve yönetici panellerini esnekleştirir.
*Organizasyonunuzdaki tüm kritik varlıkları keşfeder ve bunları tehditler için sürekli olarak değerlendirir.
*Tehditleri kablosuz, host-tabanlı ve ağ-tabanlı IDS ile keşfeder
AlienVault LOG Yönetimi & SIEM
AlienVault USM içerisinde bulunan güvenlik kontrolleri ve kusursuz tehdit zekası ile yerinde bir SIEM sunuyor. SIEM yayılımını önemli ölçüde kolaylaştırarak sisteminiz hakkında kritik bilgilere önceden sahip olun.
*SIEM / Etkinlik uyumu
*Varlıkların keşfi ve envanter
*Hassasiyet ölçümü
*İhlalleri bulma
*NetFlow görüntülemesi
*Tehditlerin tam içeriğini ve saldırılar için adım adım karşılık rehberi sunar
AlienVault Güvenlik İstihbaratı
Güvenlik analizcileri detektifler gibiler. Güvenlik sorunları ve soruşturmaları sırasında şuçlu kim?in cevabını mümkün olduğunca hızlı bulmak zorundalar. Bu durum karmaşık olabilir, özellikle dağ gibi veri üretimi sürekli olarak yapılıyorsa. Bağlam anahtardır: tek başına bir bilgi parçası bir şey ifade etmeyebilir, ama büyük bir bulmacanın önemli bir parçası haline gelebilir.
Güvenlik istihbaratı bu bulmacayı çözmenin önemli bir bölümü. İçerisinde bulunan zorunlu güvenlik özelliğini kullanılarak yapılan gerçek zamanlı etkinlikler serisiyle, AlienVaultun Unified Security Manager platformu bulmacanın tüm parçalarının tek bir bakışta görülebilmesi için görünüm sağlıyor.
AlienVault Tehdit Yönetimi
Günümüzde, organizasyonlar tehdit yönetimi ile acı bir gerçekle yüzleşiyorlar. Risklerin global sahnesi hızla genişliyor, ama güvenlik bütçeleri sadece azar azar. Organizasyonlar ellerindeki bütçeyle açıkları tamamen kapatamayacaklarını kabul ettiklerinde geleneksel yöntemlerin ötesine geçmeliler ve güvenlik programlarına yaklaşımlarını değiştirmeliler. Düzenli durum yanıtlaması organizasyonların yaklaşan tehlikelere hazırlıklı olmalarını, gerçekleştiğinde darbeyi azaltmalarını ve güvenlik programlarına bitçe dostu bir yenileme getirmelerine yardımcı oluyor.
AlienVault USMin tehdit yöneticisi sayesinde:
*Açıkların göstergelerini belirleyip, ortadan kaldırarak ardından sebeplerini öğrenebilirsiniz.
*Varlıklarınızın bilgilerini içerisinde bulunan zayıflık taraması ile keşfederek engelleme çalışmalarınızı daha iyi koordine edebilirsiniz.
*Yaklaşan tehditlere detaylı ve size özel nasıl yapılır rehberiyle karşılık verin.
*Mevcut güvenlik kontrollerinin düzgün çalışıp çalışmadığını denetleyin
AlienVault Güvenlik Açığı Yönetimi
Güvenlik açıklarını belirledikten sonra, iyileştirme gerekecek. Her yıl binlerce güvenlik açığı keşfedildiği ve bitmeyecek gibi görünen güvenlik güncellemeleri ve yamaları gerektiği içni, iyileştirme acil yapılacaklar listesinde olmalı. Güvenlik açığı yönetimi hiçbir zaman bitti olmaz. Sürekli olarak yeni güvenlik açıkları keşfedildiği ve organizasyonların IT yapıları zaman içerisinde değiştiği için etkili güvenlik açığı yönetimi için sürekli çaba gerekiyor.
Güvenlik Açığı Yöneticisi ile:
*Varlık keşfini, güvenlik açığı değerlendirmesini, IDSyi, SIEMi, ve ne akışı tek bir konsolda yapabilirsiniz.
*Devamlı güncellemeler ile yeni kural setlerini, imzaları, raporları vb. geçerli kalır.
*Tam tehdit içeriği ve saldırılara karşı adım adım tepki rehberi sunar.
*Bir saatten daha az sürede verileri toplar ve sunar
Bir SIEMden Daha Fazlası - Birleştirilmiş Güvenlik Yönetimi
Geleneksel SIEM çözümleri nihai güvenlik sistemleri ile ilgili olarak ihtiyacınız olanı sağlamayı taahhüt eder; ancak oraya ulaşma yolu çoğumuzun alamadığı bir şeydir ... Bu, orta pazar işletmelerinin çoğunun hâlâ geleneksel uygulamamasının nedenlerinden biridir İlave olarak, diğer güvenlik teknolojileri tarafından üretilen verilerin analizine dayanan günümüz teknolojilerini takip etmek için SIEM çözümleri.
AlienVault USMyi orta piyasa işletmelerinde özellikle değerli bir araç haline getiren ana özellik, temel güvenlik özelliklerine sahip geleneksel SIEMlerin tüm işlevselliğini ek bir özellik ücreti olmaksızın tek bir platformda toplayabilen bir özelliktir
Buna ek olarak, AlienVault USM, sınırlı bütçeli orta piyasa işletmeleri için mükemmel bir tercih yapan nihai kullanıcı için kullanımını ve dağıtımını kolaylaştırmaya önem vermektedir.
Gerçek zamanlı tehdit istihbari, saldırganları, kurbanlarını, yöntemlerini ve niyetlerini belirlemek için kill-chain taksonomisini kullanır
Her alarm, kötü amaçlı etkinliği nasıl soracak ve bunlara cevap verebilecek ayrıntılı ve özelleştirilmiş talimatlar sağlar
Özelleştirilebilir yönetici kontrol panelleri, güvenlik ve uygunluk duruşunuzla ilgili genel bakış ve tıklama ayrıntıları sağlar
Olay soruşturma ve yanıt için bir varlık hakkında bilmeniz gereken tek şey - tek bir pencerede
Otomatik varlık keşfi, ağınızdaki tüm cihazlarda ayrıntılı ayrıntılar sağlar
Hedefli rehberlik, veri kaynaklarının entegrasyonu ile ilgili varsayımları ortadan kaldırır ve görünürlüğü artırmak için kesin öneriler sunar
Yerleşik ağ akış analizi, paket yakalama da dahil olmak üzere derinlemesine araştırmalar için ihtiyaç duyduğunuz tüm verileri sağlar
Ham olay verisinin güvenli bir şekilde depolanması, mevzuata uygunluk gereksinimlerini karşılarken, kullanımı kolay bir arayüz, hızlı aramalara olanak tanır
Dinamik IP itibar verilerimizi kullanarak ağınızla etkileşime girmeye çalışan kötücül aktörleri tespit edin
USM hakkında bilmeniz gereken, merkezi, entegre "nasıl yapılır" belgeleri
Dahili ağ IDS ve ana bilgisayar IDS, daha doğru tehdit algılama ve olay ilişkilendirme, daha hızlı kurulum ve daha basit yönetimle sonuçlanır
Dahili güvenlik açığı değerlendirmesi, güvenlik izlemeyi basitleştirir ve iyileştirmeyi hızlandırır
Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEMin en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEMin çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.
SIEMin çalışma mekanizması
*Loglama ve veri toplama
*Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
*Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
*Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
*Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
*SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek
SIEMin Önemi
SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır. Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.
Orta Piyasa Organizasyonları için hepsi bir arada güvenlik yönetimi platformudur
AlienVault Unified Security Management (USM), günümüz güvenlik tehditlerine karşı makul bir fiyata orta piyasa işletmeleri için tam bir savunma sağlamak ve garanti etmek için tasarlanmış hepsi birarada bir platformdur. AlienVault USM, geleneksel SIEMlerden veya Güvenlik Noktası Ürünlerinden farklı olarak aşağıdakileri sağlar
*Birleştirilmiş, Eşgüdümlü Güvenlik İzleme
*Basit Güvenlik Olay Yönetimi ve Raporlama
*Sürekli Tehdit Zekası
*Hızlı Dağıtım
*Tek Bir Konsoldaki Çoklu Güvenlik İşlevleri
Etkili Yanıt için Daha İyi Tehdit Tespiti
AlienVault Güvenlik yönetimi, bir uyumluluk yönetimi çözümü olan tehdit algılama için kullanımı kolay ve kaliteli bir araçtır . AlienVault, varlıklarınızı korumak için ihtiyaç duyduğunuz tüm önemli güvenlik özelliklerini sağlamak için Birleştirilmiş Güvenlik Yönetimi platformu olarak düşünülmüştür.
Bu platform, AlienVault Laboratuarlarının ve tehdit altındaki topraksız istihbarat topluluğunun sağladığı ve tehdit altındaki topluluk tarafından çalıştırılan tehdit verileri ile işbirliği içinde savunmayı sağlayan dünyanın ilk açık tehdit istihbaratı Open Threat Exchange tarafından sağlanmaktadır.
Tek Bir Konsoldaki 5 Temel Güvenlik Yeteneği
Varlık Bulma
Başkasından önce ağınızdaki tüm varlıkları bulun (Etkin Ağ Taraması - Pasif Ağ İzleme - Varlık Envanteri - Yazılım Envanteri)
Güvenlik Açığı Değerlendirmesi
Ağınızdaki sistem açıklarını tanımlayın (Ağ Güvenlik Açığı Testleri - Sürekli Güvenlik Açığı İzleme)
İzinsiz giriş tespiti
Ağınızdaki kötü amaçlı trafiği algılama (Network IDS - Host IDS - Dosya Bütünlüğü İzleme (FIL))
Davranışsal İzleme
Şüpheli davranışları ve muhtemelen tehlikeye düşen sistemleri keşfedin (Netflow Analizi - Hizmet Kullanılabilirlik İzleme - Tam paket yakalama)
SİEM
Ağınızdaki güvenlik olayı verilerini ilişkilendirin ve analiz edin (Günlük Yönetimi - Olay İlişkisi - Olay Tepkisi - Raporlama ve Alarmlar)
Ağ Güvenliği
*Ağınıza neyin bağlı olduğunu görün.
*Hassas sistemleri bulun ve nasıl düzeltebileceğinizi öğrenin.
*Bilinen zararlı bağlantılarla tehditleri ve davranışları tanımlayın.
*Ağ davranışını belirleyin ve şüpheli aktiviteleri tanımlayın.
*Anlık bağ kurulan verilerle olayları inceleyin.
*Bir sonraki adımı öğrenmek için adım adım rehberi kullanın
AlienVault Uyum Yöneticisi
Ğüvenlik kontrollerini basitleştirerek otomatik bir şekilde düzenli olarak yapılamalarını sağlayarak iyileştirme çabalarının etkili bir şekilde önem sırasına koyulmasını sağlamak ve görünürlüğü bir yapmaktadır. AlienVault Unified Security Management çözümleri önemli denetim etkinliklerini otomatik olarak belirleyerek raporlar ve acil aksiyon gerektirenler konusunda uyarılar verir.
AlienVault USMnin Uyum Faydaları:
*Denetimleri sorunsuz yapmak için raporlamaları ve yönetici panellerini esnekleştirir.
*Organizasyonunuzdaki tüm kritik varlıkları keşfeder ve bunları tehditler için sürekli olarak değerlendirir.
*Tehditleri kablosuz, host-tabanlı ve ağ-tabanlı IDS ile keşfeder
AlienVault LOG Yönetimi & SIEM
AlienVault USM içerisinde bulunan güvenlik kontrolleri ve kusursuz tehdit zekası ile yerinde bir SIEM sunuyor. SIEM yayılımını önemli ölçüde kolaylaştırarak sisteminiz hakkında kritik bilgilere önceden sahip olun.
*SIEM / Etkinlik uyumu
*Varlıkların keşfi ve envanter
*Hassasiyet ölçümü
*İhlalleri bulma
*NetFlow görüntülemesi
*Tehditlerin tam içeriğini ve saldırılar için adım adım karşılık rehberi sunar
AlienVault Güvenlik İstihbaratı
Güvenlik analizcileri detektifler gibiler. Güvenlik sorunları ve soruşturmaları sırasında şuçlu kim?in cevabını mümkün olduğunca hızlı bulmak zorundalar. Bu durum karmaşık olabilir, özellikle dağ gibi veri üretimi sürekli olarak yapılıyorsa. Bağlam anahtardır: tek başına bir bilgi parçası bir şey ifade etmeyebilir, ama büyük bir bulmacanın önemli bir parçası haline gelebilir.
Güvenlik istihbaratı bu bulmacayı çözmenin önemli bir bölümü. İçerisinde bulunan zorunlu güvenlik özelliğini kullanılarak yapılan gerçek zamanlı etkinlikler serisiyle, AlienVaultun Unified Security Manager platformu bulmacanın tüm parçalarının tek bir bakışta görülebilmesi için görünüm sağlıyor.
AlienVault Tehdit Yönetimi
Günümüzde, organizasyonlar tehdit yönetimi ile acı bir gerçekle yüzleşiyorlar. Risklerin global sahnesi hızla genişliyor, ama güvenlik bütçeleri sadece azar azar. Organizasyonlar ellerindeki bütçeyle açıkları tamamen kapatamayacaklarını kabul ettiklerinde geleneksel yöntemlerin ötesine geçmeliler ve güvenlik programlarına yaklaşımlarını değiştirmeliler. Düzenli durum yanıtlaması organizasyonların yaklaşan tehlikelere hazırlıklı olmalarını, gerçekleştiğinde darbeyi azaltmalarını ve güvenlik programlarına bitçe dostu bir yenileme getirmelerine yardımcı oluyor.
AlienVault USMin tehdit yöneticisi sayesinde:
*Açıkların göstergelerini belirleyip, ortadan kaldırarak ardından sebeplerini öğrenebilirsiniz.
*Varlıklarınızın bilgilerini içerisinde bulunan zayıflık taraması ile keşfederek engelleme çalışmalarınızı daha iyi koordine edebilirsiniz.
*Yaklaşan tehditlere detaylı ve size özel nasıl yapılır rehberiyle karşılık verin.
*Mevcut güvenlik kontrollerinin düzgün çalışıp çalışmadığını denetleyin
AlienVault Güvenlik Açığı Yönetimi
Güvenlik açıklarını belirledikten sonra, iyileştirme gerekecek. Her yıl binlerce güvenlik açığı keşfedildiği ve bitmeyecek gibi görünen güvenlik güncellemeleri ve yamaları gerektiği içni, iyileştirme acil yapılacaklar listesinde olmalı. Güvenlik açığı yönetimi hiçbir zaman bitti olmaz. Sürekli olarak yeni güvenlik açıkları keşfedildiği ve organizasyonların IT yapıları zaman içerisinde değiştiği için etkili güvenlik açığı yönetimi için sürekli çaba gerekiyor.
Güvenlik Açığı Yöneticisi ile:
*Varlık keşfini, güvenlik açığı değerlendirmesini, IDSyi, SIEMi, ve ne akışı tek bir konsolda yapabilirsiniz.
*Devamlı güncellemeler ile yeni kural setlerini, imzaları, raporları vb. geçerli kalır.
*Tam tehdit içeriği ve saldırılara karşı adım adım tepki rehberi sunar.
*Bir saatten daha az sürede verileri toplar ve sunar
Bir SIEMden Daha Fazlası - Birleştirilmiş Güvenlik Yönetimi
Geleneksel SIEM çözümleri nihai güvenlik sistemleri ile ilgili olarak ihtiyacınız olanı sağlamayı taahhüt eder; ancak oraya ulaşma yolu çoğumuzun alamadığı bir şeydir ... Bu, orta pazar işletmelerinin çoğunun hâlâ geleneksel uygulamamasının nedenlerinden biridir İlave olarak, diğer güvenlik teknolojileri tarafından üretilen verilerin analizine dayanan günümüz teknolojilerini takip etmek için SIEM çözümleri.
AlienVault USMyi orta piyasa işletmelerinde özellikle değerli bir araç haline getiren ana özellik, temel güvenlik özelliklerine sahip geleneksel SIEMlerin tüm işlevselliğini ek bir özellik ücreti olmaksızın tek bir platformda toplayabilen bir özelliktir
Buna ek olarak, AlienVault USM, sınırlı bütçeli orta piyasa işletmeleri için mükemmel bir tercih yapan nihai kullanıcı için kullanımını ve dağıtımını kolaylaştırmaya önem vermektedir.
Gerçek zamanlı tehdit istihbari, saldırganları, kurbanlarını, yöntemlerini ve niyetlerini belirlemek için kill-chain taksonomisini kullanır
Her alarm, kötü amaçlı etkinliği nasıl soracak ve bunlara cevap verebilecek ayrıntılı ve özelleştirilmiş talimatlar sağlar
Özelleştirilebilir yönetici kontrol panelleri, güvenlik ve uygunluk duruşunuzla ilgili genel bakış ve tıklama ayrıntıları sağlar
Olay soruşturma ve yanıt için bir varlık hakkında bilmeniz gereken tek şey - tek bir pencerede
Otomatik varlık keşfi, ağınızdaki tüm cihazlarda ayrıntılı ayrıntılar sağlar
Hedefli rehberlik, veri kaynaklarının entegrasyonu ile ilgili varsayımları ortadan kaldırır ve görünürlüğü artırmak için kesin öneriler sunar
Yerleşik ağ akış analizi, paket yakalama da dahil olmak üzere derinlemesine araştırmalar için ihtiyaç duyduğunuz tüm verileri sağlar
Ham olay verisinin güvenli bir şekilde depolanması, mevzuata uygunluk gereksinimlerini karşılarken, kullanımı kolay bir arayüz, hızlı aramalara olanak tanır
Dinamik IP itibar verilerimizi kullanarak ağınızla etkileşime girmeye çalışan kötücül aktörleri tespit edin
USM hakkında bilmeniz gereken, merkezi, entegre "nasıl yapılır" belgeleri
Dahili ağ IDS ve ana bilgisayar IDS, daha doğru tehdit algılama ve olay ilişkilendirme, daha hızlı kurulum ve daha basit yönetimle sonuçlanır
Dahili güvenlik açığı değerlendirmesi, güvenlik izlemeyi basitleştirir ve iyileştirmeyi hızlandırır
Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEMin en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEMin çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.
SIEMin çalışma mekanizması
*Loglama ve veri toplama
*Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
*Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
*Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
*Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
*SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek
SIEMin Önemi
SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır. Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.
