Embed Size (px)
Citation preview
1
AHMET YESEVİ ÜNİVERSİTESİ
YÖNETİM BİLİŞİM SİSTEMLERİ YÜKSEK LİSANS
Bilişim Sistemleri Semineri
LOG YÖNETİMİ VE (SİEM) LOG KORELASYON SİSTEMLERİNİN ÖNEMİ
HAZIRLAYAN
152172056
Cem Burak Engin
DANIŞMAN
Prof. Dr. Halil İbrahim BÜLBÜL
2
Teşekkür
Çalışmalarım boyunca değerli yardım ve katkılarıyla beni yönlendiren Sayın Prof. Dr. Halil İbrahim
BÜLBÜL hocama sonsuz teşekkürlerimi bir borç bilirim.
3
İçindekiler
Teşekkür .............................................................................................................................................. 2
İçindekiler ............................................................................................................................................ 3
1.Giriş ................................................................................................................................................... 4
2.Amaç ................................................................................................................................................. 5
3.Yöntem ............................................................................................................................................. 6
4.Kavramsal Çerçeve ........................................................................................................................... 6
4.1.LOG yönetimine neden ihtiyacımız var .................................................................................... 7
4.2.LOG Yönetimi ile neler Yapılabilir .......................................................................................... 7
4.3.LOG Yönetimin Güvenilirliği ................................................................................................... 8
4.4.Bilgi Güvenliği Yönetim Sistemi (BGYS) ................................................................................ 8
4.5.LOG Yönetimi ve Analizi ......................................................................................................... 9
4.6.Kurumlarda LOG Yönetim Sisteminin Gerekliliği ................................................................... 9
4.7.Güvenlik olay yönetimi ve Korelasyon Sistemi (LOG Yönetimi, SIEM) ............................... 10
3.8.Korelasyon Teknikleri ............................................................................................................. 12
5.Sonuç .............................................................................................................................................. 16
6.Öneriler........................................................................................................................................... 16
7.Kaynakça ............................................................................................................................................ 18
4
1.Giriş
Bilindiği üzere bir uçağın kara kutusu neyse bilgi teknolojileri sistemlerinin LOG
Sunucusu’ da aynı şeydir. Bilgi Güvenliği ihlalleri ve vakaları arttıkça LOG yönetiminin önemi
ve gerekliliği daha iyi anlaşılmaktadır. ISO 27001, Bilgi güvenliği(BG) Yönetim standardında
LOG olay yönetimin önemi vurgulanmaktadır. Genellikle olay basitçe izah etmek gerekirse
zaman içerisinde herhangi bir anda olan her şeye olay denmektedir, bu olayları bir ortak
havuzda toplamak, incelemek, önemli olayları tespit etmek, olayın derecesine göre alarmlar
üretip anlamlı ifadeler ile bilgi vermesine LOG yönetimi ve korelasyon denmektedir.
Security Information And Event Management (SIEM) Bilgi güvenliği yönetimi
açısından kritik öneme sahip olan bilgi güvenliği olay yönetimini yapmak, bunu sağlamak için
çok sayıda bilgi kaynağında oluşan bilgileri güvenli ve yönetilebilir bir ortamda toplamak,
anlamlandırmak ve güvenlik operasyon personel kaynağının optimum ve hedefe yönelik
biçimde kullanılmasına imkan tanımak, suiistimal soruşturmaları için inkar edilemezlik
standartlarına uygun kanıtların toplanmasına ve saklanmasını sağlamak, bilgi güvenliği ile
ulusal ve sek törel düzenlemelere uyumu kolaylaştırmak, bilgi güvenliği güvencesini arttırmak
SIEM sistemler için temek özellikler sayılabilir.
Switch, Firewall, Web uygulamaları, Sunucular, IPS, Anti virüs, Mail Gateway,
Güvenlik kameraları vb. cihazlar, aslında internet ortamında çalışan tüm aktif cihazlar ve
yazılımlar kullanımı arttıkça elbette yaşanan olayları kayıt altına almak ve olası durumlarda
adli inceleme veya bilgi güvenliği gereği bir log sunucusunda toplamak loğları kaçırmamak
loğları anlamlı hale getirmek (okunabilirliğini arttırmak) ve aynı olayları korelasyonunu
sağlamak yani birleştirmek, oluşan olayları önem derecesine karar vermek (SIEM motoru
kullanarak, (Geliştirilen algoritmalar doğrultusunda)) ve olayın cinsine önemine göre
kullanıcıyı bildirmek ve/veya yasalar gereği bilgi güvenliği gereği gerekli önlemleri almak
olaya müdahale etmek, farkındalık yaratıp dikkatleri sağlamaktır.
5
2.Amaç
Teknolojinin yaygınlaştıkça, bilgi sistemleri alanında yapılan denetimlerin
yaygınlaşmakta olduğu görülmektedir. Denetim yapan sorumlular için, yapılan işlemlerin
kontrolünde aranan en önemli kanıtları yine log verileri oluşturmaktadır. Log yönetimi
kapsamında kim hangi bağlantıları kurdu, USB bellek kullanımı oldu mu, belirli zaman
aralığında kimler oturum açtı, sistem yöneticileri takip ediliyor mu, bilgisayar adı, ip adresi,
MAC adresi değişikliği oldu mu, kimler hangi ip adresi aldı, bu ip adresleri nerelere erişti,
sisteme uzak bağlantı sağlandı mı kim sağladı saat kaçta sağladı, kimler hangi saatte VPN
bağlantısı kullandı, kimler hangi dosyaya erişti, erişilen dosyada silinen var mı, port scan
yapıldı mı, virüs bulaştı mı, yasa dışı bir internet sitesine erişim yapıldı mı kim yaptı saat kaçta
yaptı ve ip adresi neydi vb. olayların kayıt altına alınması, saklanması ve analizi gerçekleştirilir.
Çok yakın bir zamana kadar, sadece sistem sorunlarının çözmek amacıyla bilgi
sistemlerinde log kayıtları dikkate alınmışken, günümüzde ise hem bilgi güvenliği ve hem de
standartlara uyum için loglama yapılmaktadır. ISO 27001, SOX, PCI HIPAA, NERC, FFIEC,
FISMA, GLBA, NCUA, COBIT vb. uluslararası standartlar log yönetimi ve korelasyonunu
zorunlu hale getirmiştir. Ülkemizde de bu durumun önemi fark edilmiş olup 04.05.2007 tarihli
ve 5651 sayılı kanun kapsamında internet suçlarını önlemeye yönelik olarak kurumların log
yönetimi ile ilgili yükümlülükleri belirlenmiştir. Ancak ülkemizde bu konuyla ilgili olarak
gerek internet ortamında gerekse diğer yazılı materyallerde yetersiz, eksik ve yanlış
bilgilendirme bulunmaktadır. Bu bağlamda bu çalışmanın amacı, log korelasyonuyla ilgili net
ve öz bilgilendirme vermek ve ürün seçimi yaparken dikkat edilmesi gereken ticaret ve iş
kanunu bazlı esasları da ortaya koymaktır.
6
3.Yöntem
Bu seminer çalışmasında araştırma yöntemi olarak kaynak taraması kullanılmıştır. Bu
bağlamda YÖK merkezindeki ulusal kaynaklardan, akademik bilişim konferanslarından ve
internet kaynakçalarından yararlanılmıştır.
4.Kavramsal Çerçeve
Hazırlanmış olan bu çalışmada, Olay yönetmek (EVENT MANAGEMENT) ve bu
olayları bir yerde tutmak, tutarlılığını güvenilirliğini sağlamak ayrıca bu biriken data ile
algoritmalar yardımıyla anlamlı bilgiye çevirmek ve bu bilgileri alarm yoluyla Dashboard
kullanarak yada SMS, E-MAİL yardımı ile bilgilendiren sistemi, ayrıntılı bir şekilde tek tek
incelenecek başlıklar halinde detaylandırılarak aktarılan bir çalışmadır.
Bu bağlamda SIEM, Security Information and Event Management'ın kısaltması.
Güvenlik ile ilgili olayları tek bir noktadan yönetmek, analiz etmek ve gerektiğinde Olay
Müdahale (Incident Response) süreçlerini takip etmek için kullanılan bir araç. Standart
bir SIEM ürününün aşağıdaki bileşenlere sahip olması gerekiyor (PAZOĞLU, 2016).
Log toplama ve saklama
Aggregation (tekilleştirme)
Normalisation
Correlation
Prioritazion
Alarm, rapor, dashboard vb,
İncidednt Response
Yani loğları toplayacak, saklayacak, aynı logdan çok fazla geliyorsa bunları tek bir olay
(EVENT) olarak gösterecek, logları insanın okuyabileceği hale getirecek, kategorilere ayıracak,
birçok olay arasında ilişki kurabilecek ve bu ilişkilere göre raporla, dashboard’ lar ve alarmlar
üretecek sonrasında da bu oluşan olayları yönetecek bir sistem ihtiyacı doğmaktadır
(PAZOĞLU, 2016).
Bu sistemde ayrıca şunlarda olmalıdır, hangi olay diğerinden daha önemli yada daha
öncelikli hangi olaylar kime gitmeli olaylar belli bir süre zarfında çözülmez ise kime aktarılmalı
ve nasıl bir alarm durumu ortaya çıkmalı, yani DDOS saldırı oluyorsa kimi uyarmalı veya ne
kadar süre aralığında DDOS saldırı oldu, önemlimi sistemi yoruyor mu devamı var mı buna
karar veren bir mekanizma olmalı, ayrıca izinsiz giriş denmeleri oluyorsa ve kaçıncı defada
doğru deneme yaptıysa karar ne olmalı nasıl bir alarm üretmeli ve nasıl bir aksiyon almalı
(PAZOĞLU, 2016).
7
4.1.LOG yönetimine neden ihtiyacımız var
Günümüzde hiç şüphesiz şirketler, BT bütçelerinde Güvenlik (Security) yapısına
giderek artan oranlarda daha fazla pay ayırmaya başlamış ve önümüzdeki süreçte de bu oran
hız kesmeden artmaya devam edecek gibi görünüyor. 5651 Yasası gereğinde yapımız üzerinde
bulunan kullanıcı loglamamız gerekmektedir (ÇUBUK, 2016).
Sistem yöneticileri için log (iz kayıtları) her zaman için vazgeçilmez birer araçtır. Bu
araçları sistemin teknik olarak ne durumda olduğunu takip etmek için kullanabiliriz. Herhangi
bir hatayla karşılaştığımızda ilk baktığımız yerlerin başında EVENT Viewer (Olay
Görüntüleyici) gelmektedir. Burada karşılaştığımız hatayla ilgili bir log (iz kaydı) var mı onu
araştırırız ve ona göre çözüm üretmeye çalışırız. Yani loglar bizim için olmaz ise olmazdır ve
çok önemlidir. Yine performans sorunları, kaynak kullanım oranları içinde kullanmakta
olduğumuz sistemin bize sunduğu verileri inceleriz (ÇUBUK, 2016).
Yani loglar bizim için yeri geldiğinde hem teknik anlamda hem de kötü durumlar da
sorunun nedenini anlamamız ve bu nedene göre yanlış giden işlemleri sonlandırmamız ya da
ek işlemler yapmamız, sistemde meydana gelebilecek darboğazların önüne geçebilmemiz ve
örnek senaryolarda meydana gelebilecek olayların cevaplarını bulabilmemiz açısından son
derece önemlidir. Birçok kurumda loglar kayıt altına alınmaktadır fakat kayıt altına alınan bu
loglar anlamı bir şekilde yorumlanamamaktadır. Burada asıl olan kayıt altına alınan logların
analiz edilebilmesidir (ÇUBUK, 2016).
4.2.LOG Yönetimi ile neler Yapılabilir
Log Yönetimi ile sistemlerin, uygulamaların, kullanıcı işlemlerinin ve bilgi sistem
ağındaki veri akışının iz kayıtları tutulur. Bu iz kayıtları ile işlemi gerçekleştiren kişi
belirlenebilir (Accountability), yetkisiz erişimler belirlenebilir (Unauthorized), anormal
işlemler belirlenebilir (Anormal) ve iz kayıtları kullanılarak performansa (sistemlerdeki olası
sorunlar iz kayıtları ile önceden belirlenebilir) dair izleme yapılabilir. Bu açıdan bakınca,
suiistimal analizi log Yönetimi’nin içinde değerlendirilebilir (IŞIKÇI, 2016).
Türkiye’deki en büyük sıkıntı, log yönetimi sürecinin başlı başlına bir süreç olarak
değerlendirilmeyip başka süreçler (Bilgi Güvenliği, Denetim vb.) içinde değerlendirilmesidir.
Bunun için farkındalık sağlanması, log yönetimi’nin sadece arabaların kaskoları gibi kaza
olduğunda kullanılmayıp (reaktif), kaza olmadan belirtilerden yola çıkarak hem suiistimali
önlemek hem de sistem performansını iyileştirmek için kullanılması (Proaktif) gerektiğinin
anlatılması gerekmektedir (IŞIKÇI, 2016).
8
Herkesin bildiği gibi, Güvenlik önceleri Network içinde bir servisti. Zamanla güvenlik
zafiyetlerinin sadece Firewall/IPS/IDS vb. konumlandırılarak giderilemeyeceği, bilgiye erişen
her yöntemin (sistem, uygulama, insan) güvenliğinin sağlanması gerektiği ortaya çıkmıştır.
Bilginin olduğu her yerde onu kullanan insan, insanın olduğu yerde yönetilen sistemler,
sistemlerin olduğu yerde de güvenlik zafiyetleri her zaman olacaktır. Klişe olarak, “%100
güvenlik için bilgisayarın dış dünya ile bağlantısını kesmek gerekiyor” dense de lokal çalışan
o bilgisayarı kullanan insandan kaynaklanabilecek güvenlik zafiyetlerini’ de düşünmek
gereklidir (IŞIKÇI, 2016).
4.3.LOG Yönetimin Güvenilirliği
Bilişim suçları için iz kayıtları delil teşkil etmektedir. Ancak, bir iz kaydının kanıt
olabilmesi için değiştirilmediğinden (integrity) emin olunması gerekmektedir. Bunun için
zaman damgası gibi HASH teknikleri kullanılmaktadır. Bilişim suçları için Emniyet Amiri
düzeyinde yöneticiler bulunmaktadır. Freud (Yolsuzluk) da suç olduğu için, delil teşkil edecek
iz kayıtlarının sistem kurulurken belirlenip kayıt altına alınması ve değiştirilmediklerinden de
emin olunması gerekmektedir. Ülkemiz, bu konuda hızla yol almaktadır. Öncelikle, teknoloji
anlatılarak bunun hayatımızı nasıl kolaylaştıracağı ve beraberinde getirdiği risklerin kontrol
altına alınması için gerekli önleyici/düzeltici faaliyetlerin alınması gerekmektedir (IŞIKÇI,
2016).
Bu bağlamda log kayıtlarının olayın kaydedildiği anda, bu kaydın tarih ve saatinin,
kabul edilebilecek ya da zamanı garanti edecek doğrulukta alınması gerekmektedir. Bir olay
veya özel durum sonrasında korelasyon yapılabilmesi açısında bu son derece gerekli bir
unsurdur. Tez çalışmasının ilerleyen aşamalarında, logların olaylarla ilişkilendirmesi veya
karşılaştırılması açısından anahtar olarak kullanılacak en önemli bilginin zaman damgası
olduğu açık olarak ortaya çıkmıştır (AKBAŞ, KORELASYON MOTORU, İLERİ ANALİTİK
YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ, 2016).
4.4.Bilgi Güvenliği Yönetim Sistemi (BGYS)
Log Yönetimi’nin Bilgi Güvenliği Yönetim Sistemi (BGYS)’ nin önemli bir parçası
olduğu, kurum politikası olarak benimsenmelidir. Neyin nasıl loglanacağı, nasıl raporlanacağı
ve nasıl aksiyon alınacağı belirlenmelidir. Log yönetimi, kurumlarda işletilen süreçlere
girdi/çıktı olarak entegre olmalıdır, log yönetimi konusunda uzman kişiler yetiştirilerek işin
sadece depolama ya da raporlama olmamasına yönelik çalışmalar yapılmalıdır. COBIT, ITIL,
ISO 27001 vb. standartların hepsinde LOG Yönetimi'ne önem verilmekte, mevcut süreçlere
dahil edilmesi beklenmektedir (IŞIKÇI, 2016).
9
Bu bağlamda log Analizi bilişim sistemlerinde suça yönelik araştırmaların da
doğruluğunu ortaya çıkarabilecek çalışmaların başında gelmektedir. Eldeki log dosyalarının
bütünü bile, sistemler hakkında belli ölçülerde görünürlük sağlayabilir. Bu nedenle farklı
yaklaşımların ve yorumların oluşturulması, olay kaydı (Event/Log) karşılaştırmalarında etkili
olabilir. Bu yaklaşımlar sistemler ve uygulamalar ile gelişen aktiviteler hakkında yeni yorumlar
elde etmek için olanak veren bir yol olarak düşünülmelidir. Bu prosesin bir girdi olarak etki
edeceği alanlardan biri vaka yönetimi (Event Management) olarak adlandırılmaktadır.
Olay/Vaka yönetiminin amacı olay karşılaştırma işlevi ile bütünleşik bir bilgi elde etmektir.
4.5.LOG Yönetimi ve Analizi
Loglar, güvenlik denetimi sağlamak amacıyla merkezi olarak kaydedilmeli ve
arşivlenmelidir. Bir sistemde kayıt altına alınabilecek olaylardan bazıları aşağıda verilmektedir.
Eskiden sadece sistem sorunlarının çözmek amacıyla log kayıtları alınırken günümüzde
güvenlik ve standartlara uyum için loglama yapılmaktadır (ŞAHİNASLAN, KANTÜRK,
KANDEMİR, & ŞAHİNASLAN, 2016).
Uygulamalara ait olaylar,
Ağ cihazlarına ait olaylar,
Veri tabanı olayları,
Yedekleme,
Hatalar,
Dhcp kayıtları,
Web aktiviteleri,
Erişim loğları,
Log yönetim sistemlerinde gerçek zamanlı izleme ve uyarı mesajları ile bu tür tehlikeleri
tanımlamak ve harekete geçip gerekli güvenlik önlemleri alarak açığı kısa sürede kapatmak
mümkündür (ŞAHİNASLAN, KANTÜRK, KANDEMİR, & ŞAHİNASLAN, 2016).
4.6.Kurumlarda LOG Yönetim Sisteminin Gerekliliği
Tüm kurumlar açısından değerlendirildiğinde, bilgi ve bilgi güvenliği kurumun en
büyük değerleridir. Bu sebepten kurumlarda log yönetimi belli bir merkezde toplanmalı ve
analizi bağımsız tek bir noktadan yapılmalıdır. Bir güvenlik olayında savcılık aşağıdaki bilgileri
X kurumdan istediğinde ve X kurumu aşağıdaki türdeki, sorulara cevap veremediğinde kurum
sıkıntıya düşecektir (ŞAHİNASLAN, KANTÜRK, KANDEMİR, & ŞAHİNASLAN, 2016).
Kim hangi saat’ de ne yapmış,
Hangi dosyalar üzerinde değişiklik yapmış,
10
Sistemde nereye erişmiş,
Kimler hangi programları çalıştırıyor,
USB cihaz kullanıldı mı,
Buna benzer birçok örnek çıkarılır,
BT altyapısını oluşturan log kayıtlarını toplayan, inkâr edilemez bir şekilde saklayan,
analiz yapan ve tanımlanan koşulların oluşması durumunda haber veren bir log yönetim
sistemi kurumlarda mutlak şekilde kurulmalıdır (ŞAHİNASLAN, KANTÜRK,
KANDEMİR, & ŞAHİNASLAN, 2016).
4.7.Güvenlik olay yönetimi ve Korelasyon Sistemi (LOG Yönetimi, SIEM)
Farklı donanım ve yazılım sistemlerinin ürettiği kayıtların(log), tek bir merkezde
toplanmasını ve bu kayıtları belirli bir yapıya kavuşturarak kayıtların tek ve evrensel bir şekilde
sorgulanmasını ve raporlanmasını sağlayan çözüme log yönetimi, SIEM denmektedir
(Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM), 2016).
Bu sistem sayesinde, tüm kayıtlar birbirleriyle ilişkilendirilebilir. Sistemlerden
toparlanan çeşitli loglarda oluşabilecek şüpheli durumları tespit edebilmek için, logların
ilişkilendirilebilmesi gerekmektedir (Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log
Yönetimi, SIEM), 2016).
Bilgi güvenliği ve olay yönetimi (SIEM) sistemleri sayesinde, insan gözünden
kaçabilecek şüpheli olaylar logların ilişkilendirilmesiyle ortaya net bir şekilde
çıkartılabilmektedir. Her ne kadar, log yönetim sistemleriyle loğları toplamak gerekli olsa da
yeterli değildir. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak
analizlerinin yapılması gerekmektedir ve bu sebeple SIEM sistemleri büyük önem taşımaktadır
(Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM), 2016).
Bu bağlamda Olay(EVENT), zaman içerisinde herhangi bir anda olan her şey olarak
ifade edilebilir. Örnek vermek gerekirse: WEB sunucusuna yapılan isteğin sistem log dosyasına
kaydı, Network link DOWN mesajı ya da kullanıcı butona bastı olayları gibi (AKBAŞ,
Türkiye'deki Log Yönetimi Projelerinde Eksik Korelasyon Algısı, 2016).
Korelasyon ise farklı olaylar arasındaki ilişkiyi ortaya çıkarma işlemine verilen addır.
Olay korelasyonu (Event Correlation) olaylardaki bilgilerden daha anlamlı ve yüksek seviye
bilgi çıkarımına verilen addır (AKBAŞ, Türkiye'deki Log Yönetimi Projelerinde Eksik
Korelasyon Algısı, 2016).
Olağanüstü durumları tespit etmek,
Bir sorunun kök nedenini bulmak
11
Veya gelecekle ilgili tahminler yapmak ve eğilimleri analiz etmek
Bu bağlamda log yönetimindeki yeri ise ağ üzerinde sayısız olaylar arasında birbiri ile
bağlantılı olanları analiz ederek yöneticiye daha anlamlı bilgiler sağlamaktadır. Bilgi Güvenliği
ve olay yönetimi(SIEM) sistemleri sayesinde, insan gözünde kaçabilecek şüpheli olaylar
loğların ilişkilendirilmesiyle ortaya net bir şekilde çıkartılabilmektedir (AKBAŞ, Türkiye'deki
Log Yönetimi Projelerinde Eksik Korelasyon Algısı, 2016).
Bu yazıyı destekleyecek olursak, SIEM Olay Yönetim çözümü merkezi olarak kayıtların
toplanması ve incelenmesini sağlayacak sistemin kurulamasını hedefleyen yapıya verilen
isimdir, SIEM Sistemlerinde en önemli olan kullanılan teknolojidir Korelasyon Motoru’ da
denilmektedir (AKBAŞ, KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER,
BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ, 2016).
SIEM araştırılırken Korelasyon motorlarını incelemekte fayda vardır, Korelasyon
motorlarını inceleyecek olursak (AKBAŞ, KORELASYON MOTORU, İLERİ ANALİTİK
YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ, 2016);
Korelasyon Sistemler veya network üzerinde girişim olarak anlaşılmaması gerektiği halde, bir
atak zannedilebilecek girişimlerin (false positive) sayısının azaltılması açısından korelasyon
önemli bir özelliktir. Korelasyonun kısa bir tanımını şu şekilde yapabiliriz: Bir olayın nasıl
gerçekleşebileceğine karar vermiş olabilmek. Bu yaklaşımı sağlayabilmek üzere, gerçekleme
değerine 0 ve 10 arasında bir değer verilmektedir (BAYRAKTAROĞLU, 2016).
Korelasyon üç farklı şekilde yapılmaktadır:
Farklı olayların korelâsyonu (Mantıksal Korelasyon),
Olay ve güvenlik açıklarının korelâsyonu (Çapraz Korelasyon), ve
Olay ve işletim sistemlerinin – hizmetlerin korelâsyonu (Envanter Korelâsyonu),
Korelasyon her olayı raporlamadan önce bunların her birini kontrol ederek, 24 saatte
milyonlarca olan olay sayısını bir düzinenin altına indirebilmektedir. Sistem yöneticisi
tarafından bu sonuç daha iyi okunabilir. Korelasyon sistemi, soyut ve kompleks alarmları
raporlayabilmesi sayesinde ayrıca Ossim Yönetici konsoluna bilgi vermektedir
(BAYRAKTAROĞLU, 2016).
Korelasyon motoru kendi kendine öğrenebilen bir sistem’ mi yoksa dışardan kural
yazmak ya da benzeri yöntemlere verimi girmemiz gerekiyor “self-learning vs. External
Knowledge” ona bakılır. Diğer çok önemli özellik durum bilgili ya da durum bilgisiz olup
olmadığı yani hafıza kullanıp kullanmadığı çok çok önemlidir (AKBAŞ, KORELASYON
12
MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ,
2016).
Korelasyon motorunun Operasyonları (AKBAŞ, KORELASYON MOTORU,
İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ, 2016) ;
Sıkıştırma: birden ok aynı olayı teke indirme,
Lojik Operatör Desteği: Korelasyon motorunun bütün lojik operatörleri desteklemesi
büyük avantaj
Kurgulama (Aggregation): Birden fazla olayı tek olay şeklinde ifade edebilme
Filitreleme: Belli özelliklerdeki olayların korelasyona sokulmaması
Bastırma (Suppression): Bazı olaylar olduğunda diğr bazı olayları dikkate almama olarak
açıklanabilir.
Maskeleme: Eğer router a ulaşamıyorsa arkasındaki host’tan gelen unreachable olayını
dikkate almama olarak açıklanabilir.
Eşikleme: Belli bir sayıda olay olması ya da olmaması durumunda olay üretebilme özelliği
Artma: Olayın belirli parametrelerini arttırma, mesela önem derecesi
Zamansal İlişki: Belirli bir zaman dilimi içerisinde belli sayıda olayın oluşup oluşmadığını
takip etme
Genelleştirme: Daha genel bir olaya dahil etme. Olayın skopunu genişletme
Gruplandırma: Karmaşık örüntülerden yeni olaylar oluşturma
3.8.Korelasyon Teknikleri
SIEM ‘de kullanılan teknolojiler/teknikler vardır. Bu teknikler doğrultusunda
Korelasyon yapabilmektedir. Yeteneklerini aldığı teknolojiyle gerçekleştirmektedir. Bu
teknikleri Sıralayacak olursak (AKBAŞ, KORELASYON MOTORU, İLERİ ANALİTİK
YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ, 2016);
Sonlu Durumlu Makine (Finite State Machine-FSM): Sınırlı sayıda durumdan, durumlar
arası geçişlerden ve eylemlerin birleşmesiyle oluşan davranışların bir modelidir
Kural Tabanlı (Rule Based-RBR): Kural tabanlı sistemlerin genel amacı, belirlenen
kurallar yoluyla yüksek miktardaki verinin filtrelenmesi ve indirgenen verilere karar
vericilerin erişimini sağlayarak aksiyon almalarının sağlanmasıdır.
Durum Tabanlı Çıkarsama(CBR): Şu anki bir problemi çözmek için önceden karşılaşılan
problemlerden yararlanılan sistemdir. Diğer bir deyişle Geçmişte yaşanmış veya
yaşanmakta olan bir olayın verilecek kararlar için kullanılmasıdır
Model Tabanlı Çıkarım (MBR): Sistemin yapısına ve davranışlarına göre
13
Kod Tablosu Tabanlı Çıkarım (Codebook Based Correlation): Problemin
lokalizasyonu için gözlemlenebilir belirtileri ve altında yatan problemlerin birbiriyle ilişkisi
analiz edilir ve uygun bir belirtiler alt kümesi seçilir buna da "codebook" denir [7]
Oylama Yaklaşımı (Voting Approaches): Her eleman özel bir konuda görüş ifade
etmelidir. Sonra, bir çoğunluk kuralı (örneğin salt çoğunluk ya da k-çoğunluk) (yani oy)
görüşleri bu sette uygulanır.
Belirgin Hata Lokalleştirme (Explicit Fault-localization): Alarmlar güvenilir ve ağda
sadece tek bir hata olduğu durumda arıza tespiti basittir: Hata her alarm tarafından belirtilen
kümelerin kesiştiği yerde yatar. Böylece, sezgisel olarak, ortak bir kesişim paylaşan
alarmlar korele edilmelidir.
Bağımlılık Grafikleri: Bağımlılık grafiği yönetilen nesneler arasındaki bağımlılıkları
modelleyen yönlendirilmiş grafiklerdir.
Bayesian Network: Bir Bayesian ağ rasgele değişkenler tarafından temsil edilen şebeke
elemanları arasındaki olasılık sal ilişkilerin modeller yönlendirilmiş bir rast gele grafiktir.
Yapay Sinir Ağları (ANN): Yapay sinir ağı; insan beyninin sinir hücrelerinden oluşmuş
katmanlı ve paralel olan yapısının tüm fonksiyonlarıyla beraber sayısal dünyada
gerçeklemeye çalışılan modellenmesidir. Sayısal dünya ile belirtilmek istenen donanım ve
yazılımdır. Bir başka ifadeyle yapay sinir ağı hem donanımsal olarak hem de yazılım
ile modellenebilir. Bu bağlamda, yapay sinir ağları ilk elektronik devreler yardımıyla
kurulmaya çalışılmış ancak bu girişim kendini yavaş yavaş yazılım sahasına birikmiştir.
Böylesi bir kısıtlanmanın sebebi; elektronik devrelerin esnek ve dinamik olarak
değiştirilememesi ve birbirinden farklı olan ünitelerin bir araya getirilememesi olarak ortaya
konmaktadır.
Genetik Algoritmalar: Genetik algoritmalar, doğada gözlemlenen evrimsel sürece benzer
bir şekilde çalışan arama ve eniyileme yöntemidir. Karmaşık çok boyutlu arama uzayında
en iyinin hayatta kalması ilkesine göre bütünsel en iyi çözümü arar. Genetik algoritmalar,
doğal seçim ilkelerine dayanan bir arama ve optimizasyon yöntemidir.
Bulanık Mantık: Bulanık mantığın temeli bulanık küme ve alt kümelere dayanır. Klasik
yaklaşımda bir varlık ya kümenin elemanıdır ya da değildir. Matematiksel olarak ifade
edildiğinde varlık küme ile olan üyelik ilişkisi bakımından kümenin elemanı olduğunda (1)
kümenin elemanı olmadığı zaman (0) değerini alır. Bulanık mantık klasik küme
gösteriminin genişletilmesidir. Bulanık varlık kümesinde her bir varlığın üyelik derecesi
14
vardır. Varlıkların üyelik derecesi, [0,1] aralığında herhangi bir değer olabilir ve üyelik
fonksiyonu M(x) ile gösterilir.
SIEM ürünleri açık kaynak kodlu ve/veya Ticari ürün olarak bulunmaktadır. Ticari ürünler
Kurumsal firmalar tarafından tercih edilmektedir, çünkü firma tarafında ürünün desteği
günümüz teknolojilere güncellenmesi ihtiyaç halinde danışmanlık hizmetleri verebilmektedir,
ayrıca muhatap bulmakta bu konuda çok önemli bir durum teşkil etmektedir (AKBAŞ,
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE
LOG YÖNETİMİ, 2016).
Açık kaynak kodlu korelasyon ürünlere örnek vermek gerekirse;
SWATCH
LogSurfer
SEC
OSSEC
Prelude
OSSIM
Drools
Esper
OpenSIMS
Graylog
LogStash
Snare
ProjectLasso
Syslog-NG
LogZilla
LogWatch
LogReport
Log2TimeLine
15
Ticari olarak Korelasyon ürünlere örnek vermek gerekirse;
RuleCore: Kural Tabanlı bir sistem,
IBM Tivoli Enterprise Console: Kural Tabanlı bir sistem ve prolog kullanıyor,
HP Event Correlation Services: Kural Tabanlı bir sistem olmakla birlikte Event
Condition Action desteklemez,
Splunk: SQL e benzer sadece kendisine özel bir yöntem uyguluyor,
Novell Sentinel: Esper tabanlı CEP motoru,
Q1Labs: Özel bir şirket tarafından geliştirilen kural tabanlı bir motor kullanmaktadır,
Trigeo: Kural tabanlı kendi patentini aldığı özel bir motor,
NitroSecurity: Özel bir şirket tarafından geliştirilen kural tabanlı bir motor
kullanmaktadır,
Tenable Log Correlation Engine,
ArcSight: SIEM Platform ilişkisel Olarak İyileştirilmiş Koruma ve Alma Motoru'nu
(CORR-Engine) kullanan ilk SIEM ürünüdür,
Symantec Security Information Manager. Kural Tabanlı bir sistem,
RSA Envision: Kural Tabanlı bir sistem,
Loglogic: Kural Tabanlı bir sistem,
ANET Yazılım –FAUNA: Kural tabanlı RETE algoritmasının uygulaması,
16
5.Sonuç
Bu çalışma göstermiştir ki log yönetimi ve korelasyonu, dünyada ve özellikle ülkemizde önemi
gittikçe artan konulardan biri haline gelmiştir. Güvenliğin en zayıf halkası olan biz insanların
faaliyetlerinin izlenmesi ve oluşan logların saklanması, herhangi bir olay durumunda kayıtların
ve değiştirilmediğinden emin olarak bunun için logların zaman damgası ile imzalanması
şarttır. Böylelikle hem siber suçların azalacak, hem de yasa dışı içeriklerin internet ortamında
paylaşılması azalacaktır. Buna ek olarak bilgi güvenliği artacak, risklerin ortadan kalkacağı bir
ortam oluşacak, yaşanan yasa dışı olaylarda BGYS gereği loglar incelenip suç işlendiği anlaşılır
ise gerekli hukuki yaptırımların altyapısı hazırlanmış olacaktır.
6.Öneriler
Ülkemizde bilgi güvenliği için farkındalık yaratılmalı ve öneminin anlaşılması için uzman
kişilerin yetiştirilmesi gerekmektedir. Bu uzman kişiler, gerekli teknik korelasyon yöntemlerini
kullanarak log kaçakları yaşanmadan akıllı sistemler kurulmasını sağlamalıdır. Bu bağlamda
Devletimiz KOSGEB ve TÜBİTAK marifeti ile hibe teşvikler yapmalı, yazılım firmalarını bu
yola yönlendirmeli, üniversiteler bu yolda araştırmaları sürdürmeli ve ayrıca eğitim
müfredatlarında da BGYS adı altında log yönetiminin ve SIEM log korelasyonun önemi
anlatılmalı, yeni mezun öğrencilerin de bu bilinç ile çalışmaları teşvik edilmelidir. Lisanslama
maliyeti önemli bir unsurdur. Firmalar yatırım yapmadan önce bir simülatör aracılığı ile
korelasyon uygulamasını test etmelidirler. Uzman kişiler, firmalarda loglanması gereken
alanları için incelemelerde bulunmalı ve raporlar hazırlamalıdırlar. Firmanın yapısı ve önem
derecesine göre log yönetim ve korelasyon uygulamasından 90 gün süresince canlı olarak
hızlıca rapor alınabilmeli, 90 gün süresince arşivde saklanmalı, arşiv süresi en az 2 yıl olmalı,
şirket politikası gereği daha fazlada tutulabilmeli, ihtiyaç halinde arşiv datası kolaylıkla geri
dönülüp incelemeye müsait olmalı. Log yönetim ve korelasyon sistemi, adli bilişime uygun
olmalıdır. Gerektiğinde BTK, savcılık vb. bir makamdan tarafından talep geldiğinde rapor
hemen oluşturulabilmeli ve kullanımı zor olmamalıdır. Gün/ay/yıl, Saat/Dk. bazında rapor
alımı kolay olmalıdır. Log alınacak kaynaklar platform bağımsız olmalı, örneğin bir mail server
logu alınacaksa bu Microsoft Exchange server veya Linux ortamında çalışan Zimbra mail
sunucusundan alınabilmelidir. Alarm konusuna özen gösterilmeli kullanılacak üründe alarm
modülü olmalı ve kullanıcı istekli alarm yazılabildiği gibi sistem akıllı yapısıyla da sezgisel
olarak ta yöneticiye alarm üretebilmeli, örneğin; şu kullanıcı 3 defa parolasını hatalı girdi fakat
4. Denemesinde giriş yaptı bu bir şüpheli durum olabilir gibi yorum yapabilmeli. Ya da şu
kaynak ip den firewall ‘da tanımlı şu sunucuya tanımlanmış aralıklarla Port Scan yapılmakta
17
veya telnet gibi saldırı denemesi yapılmaktadır uyarısı vermelidir. Log yönetimi olacaksa
mutlaka korelasyon- yani SIEM modülü- kesinlikle olmalıdır. Her log yönetimi ürününde
SIEM modülü bulunmamaktadır. Çünkü logları işleyen, veriyi bilgi haline getiren log yönetimi
değildir, SIEM yani log korelasyon ürünüdür. En önemli fark da burada ortaya çıkmaktadır.
Log yönetim ürünü, logların bir merkezde toplanmasına yarar ve logları insani gözlemler ile
logları inceler. Sadece sorun olduğunda bakmanıza yarar; o da anlayacağınız kadardır. Ama bir
log korelasyon modülü var ise ve iyi seçilmiş bir teknoloji dahilinde ise en zayıf halka olan
insan gözlemlerine bırakılmadan gerekli aksiyonlar alınabilecektir.
18
7.Kaynakça
AKBAŞ, E. (2016, 12 8). KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG
YÖNETİMİ. www.olympos.net: https://www.olympos.net/belgeler/log-yonetimi/korelasyon-
motoru-ileri-analitik-yontemler-bilgi-guvenligi-ve-log-yonetimi-29121324 adresinden alındı
AKBAŞ, E. (2016, 11 22). Türkiye'deki Log Yönetimi Projelerinde Eksik Korelasyon Algısı. Academi.edu:
http://www.academia.edu/9203175/T%C3%BCrkiye_deki_Log_Y%C3%B6netimi_Projelerinde
_Eksik_Korelasyon_Alg%C4%B1s%C4%B1 adresinden alındı
BAYRAKTAROĞLU, E. (2016, 12 8). BİLGİ SİSTEMLERİNDE LOG YÖNETİMİ VE LOGLARIN
DEĞERLENDİRİLMESİ. Tez Merkezi YÖK:
http://libris.bahcesehir.edu.tr/dosyalar/Tez/077819.pdf adresinden alındı
ÇUBUK, B. (2016, 12 7). Log Yönetimine Giriş. Bakicubuk.com: http://www.bakicubuk.com/log-
yonetimine-giris/ adresinden alındı
Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM). (2016, 11 25). Barikat Bilişim
Güvenliği: http://www.barikat.com.tr/tr/cozumler-teknolojiler/Guvenlik-Olay-Yonetimi-ve-
Korelasyon-Sistemi-(Log-Yonetimi,-SIEM)/33/ adresinden alındı
IŞIKÇI, Ç. (2016, 12 5). Log Yönetimi Suistimal Analizi. Ulusal Bilgi Güvenliği Kapısı:
https://www.bilgiguvenligi.gov.tr/kayit-yonetimi/log-yonetimi-ve-suistimal-analizi.html
adresinden alındı
PAZOĞLU, E. (2016, 12 7). SIEM NEDİR NEDEN ALINIR. Linkedin: https://www.linkedin.com/pulse/1-
siem-nedir-2-neden-al%C4%B1n%C4%B1r-episode-1-evren-pazoglu adresinden alındı
ŞAHİNASLAN, E., KANTÜRK, A., KANDEMİR, R., & ŞAHİNASLAN, Ö. (2016, 11 25). KURUMLARDA LOG
YÖNETİMİNİN GEREKLİLİĞİ. AKADEMİK BİLİŞİM KONFERANSLARI :
http://ab.org.tr/ab09/bildiri/123.pdf adresinden alındı
