SIEM Nedir? Güvenlik Bilgileri ve Olay Yönetimi (Log Yönetimi Rehberi)

1. SIEM (Güvenlik Bilgileri ve Olay Yönetimi) Nedir?

SIEM (Security Information and Event Management – Güvenlik Bilgileri ve Olay Yönetimi), kurumların bilgi sistemlerinde üretilen logları merkezi olarak toplayan, bunları korelasyon kuralları ve analitiklerle birleştiren, şüpheli davranışları gerçek zamana yakın şekilde görünür hale getiren güvenlik platformudur.

SIEM; sunucular, ağ cihazları, güvenlik ürünleri, bulut ortamları ve uygulamalardan gelen olayları tek bir panelde birleştirerek BT ortamına bütünsel bir görünürlük sağlar. Böylece:

• Normal ile anormal davranış arasındaki fark daha rahat ayırt edilir,
• Geleneksel log incelemeyle tespit edilemeyecek çok adımlı saldırılar yakalanabilir,
• Uyumluluk, denetim ve KVKK/GDPR gibi regülasyonlar için gerekli kanıt ve rapor seti üretilebilir.

2. SIEM Sistemlerinin Temel Bileşenleri

2.1. Günlük (Log) Toplama

SIEM, log yönetiminin kalbidir. Sunucular, ağ cihazları, güvenlik duvarları, IDS/IPS, EDR, veritabanları ve uygulamalardan logları merkezde toplar:

• Syslog, agent, API ve bulut konektörleri üzerinden veri alır,
• Farklı formatlardaki logları belirli bir şemaya göre normalleştirir,
• Ham logları arşivleyerek hem denetim hem de ileri analiz için saklar.

2.2. Olay Korelasyonu ve Toplama

Tek başına anlamlı görünmeyen olaylar, korelasyon kuralları ile bir araya getirildiğinde kritik bir saldırı zincirinin parçaları olabilir. SIEM:

• Aynı kullanıcı, IP, cihaz veya oturumla ilişkili olayları bir araya getirir,
• Belirli zaman pencerelerinde gerçekleşen olay dizilerini analiz eder,
• Olağandışı oturum açma denemeleri, başarısız girişler, yetki değişiklikleri vb. olayları ilişkilendirir.

2.3. Tehdit İstihbaratı Entegrasyonu

SIEM; harici tehdit istihbaratı (Threat Intelligence) kaynakları ile entegre edilerek daha güçlü hale gelir:

• Bilinen kötü amaçlı IP, domain ve hash listeleriyle logları karşılaştırır,
• Saldırı göstergeleri (IOC) tespit edildiğinde ilgili olayları işaretler,
• Güncel tehdit trendleriyle kurum içi olayları eşleştirerek önceliklendirme yapar.

2.4. Olay Yönetimi, Uyarı ve Raporlama

SIEM; sadece uyarı üretmez, aynı zamanda güvenlik ekiplerinin olay yönetimi (Incident Management) süreçlerini de destekler:

• Önceden tanımlı kurallara göre uyarı (alarm) üretir,
• Olay kayıtları, atanan analistler, durum (open/in progress/closed) gibi akış bilgilerini tutar,
• Denetim ve uyumluluk için periyodik ve ad-hoc raporlar üretir.

2.5. Depolama, Arşiv ve Uyumluluk Katmanı

Özellikle regüle sektörlerde, logların belirli sürelerle saklanması hukuki zorunluluktur. SIEM bu ihtiyacı:

• Farklı sıcaklıkta depolama (hot/warm/cold) katmanlarıyla,
• Sık erişilen olaylar için hızlı sorgu, eski veriler için arşiv erişimiyle,
• KVKK, GDPR, ISO 27001, PCI-DSS vb. standartların log saklama gereksinimlerine uyumla
karşılar.

3. SIEM Nasıl Çalışır?

3.1. Veri Toplama

SIEM; sunucular, ağ cihazları, güvenlik duvarları, saldırı tespit sistemleri, antivirüs/EDR çözümleri, bulut servisleri ve uygulamalardan log toplayarak başlar. Bu loglar:

• Kullanıcı oturum açma/oturum kapama kayıtlarını,
• Sistem olaylarını ve konfigürasyon değişikliklerini,
• Ağ trafiği ve bağlantı denemelerini,
• Güvenlik olaylarını (malware tespiti, IDS uyarıları vb.)
içerebilir.

3.2. Veri Analizi ve Korelasyon

Toplanan loglar önce normalleştirilir, ardından kural setleri, istatistiksel analiz ve makine öğrenmesi ile işlenir:

• Belirli eşiklerin aşılması (ör. 5 dakikada 20 başarısız giriş) uyarı tetikleyebilir,
• Farklı kaynaklardan gelen olaylar bir kullanıcının veya IP’nin davranış profili ile eşleştirilir,
• Önceden tanımlı saldırı modelleri (use case’ler) ve anomaliler tespit edilir.

3.3. Uyarı (Alarm) Oluşturma

Potansiyel bir güvenlik olayı tespit edildiğinde SIEM, alarm üretir. Bu alarmlar:

• Önceden tanımlı kural ve eşiklere göre ciddi/orta/düşük önem seviyelerine ayrılır,
• Olayın bağlamını (kaynak IP, hedef, kullanıcı, zaman, ilgili loglar vb.) içerir,
• Güvenlik ekibinin hızlı aksiyon alabilmesi için ilgili playbook’lara bağlanabilir.

3.4. Olay Müdahalesi ve SOC Akışı

Alarm sonrasında devreye olay müdahale süreci girer:

• Olay bir analiste atanır, ek log ve bağlamsal veri toplanır,
• Tehdidin kapsamı belirlenir (hangi sistemler etkilendi, hangi hesaplar kullanıldı vb.),
• Gerekli aksiyonlar (IP engelleme, kullanıcı kilitleme, cihaz izolasyonu vb.) alınır,
• Olay kapanırken kök neden analizi ve kalıcı iyileştirme önerileri kayıt altına alınır.

4. SIEM Uygulamanın Avantajları

Doğru tasarlanmış bir SIEM çözümü, kurumlara aşağıdaki kritik kazanımları sağlar:

• Gerçek Zamanlı Tehdit Algılama:
  Güvenlik olaylarını ve logları anlık izleyerek saldırıları erken evrede tespit etmeye yardımcı olur.
• Merkezi Log Yönetimi:
  Tüm logları tek platformda toplayarak güvenlik analizi, adli bilişim ve denetim süreçlerini kolaylaştırır.
• Uyumluluk ve Denetim Hazırlığı:
  KVKK, ISO 27001, PCI-DSS gibi regülasyonlar için gerekli raporları, saklama sürelerini ve olay kayıtlarını düzenli biçimde sağlar.
• Geliştirilmiş Olay Müdahalesi:
  Olay müdahale sürecini yarı otomatik hale getirerek, SOC ekibinin aynı anda daha fazla olaya bakabilmesini ve kritik vakalara odaklanmasını sağlar.
• Tehdit İstihbaratı ile Zenginleştirme:
  Harici tehdit istihbaratı ile entegre çalıştığında, olayları sadece “lokal” bağlamda değil, “global tehdit manzarası” içinde değerlendirir.
• Operasyonel Verimlilik:
  Otomatik korelasyon, alarm gruplama ve önceliklendirme sayesinde manuel log inceleme ihtiyacını azaltır, güvenlik ekibinin zamanını optimize eder.

5. SIEM ile İlgili Zorluklar ve Dikkat Edilmesi Gerekenler

SIEM, güçlü olduğu kadar doğru yönetilmesi gereken bir platformdur. Sık karşılaşılan zorluklar:

5.1. Ölçeklenebilirlik ve Performans

Log hacmi; kurum büyüklüğü, kullanıcı sayısı ve uygulama çeşitliliği ile birlikte hızla artar. SIEM’in EPS (events per second) kapasitesi, depolama ve sorgu performansı bu artışı kaldırabilecek şekilde tasarlanmalıdır.

5.2. Karmaşıklık ve Kaynak Gereksinimi

SIEM kurulumu, use case tasarımı ve günlük operasyonu ciddi uzmanlık gerektirir. Doğru kurgulanmadığında, hem güvenlik ekibi üzerinde yük oluşturur hem de beklenen görünürlüğü sağlayamaz.

5.3. Yanlış Pozitifler (False Positive)

Yetersiz ayarlanmış korelasyon kuralları, SOC ekiplerini gereksiz alarmlara boğabilir. Bu da gerçek saldırıların gürültü arasında kaybolmasına yol açar. Kuralların sürekli iyileştirilmesi kritiktir.

5.4. Veri Kalitesi ve Normalleştirme

Farklı kaynaklardan gelen logların formatı ve kalitesi değişkendir. Yanlış zaman damgaları, eksik alanlar veya standart dışı log formatları, analiz kalitesini düşürür. Bu nedenle:

• Log kaynaklarının doğru konfigüre edilmesi,
• Normalizasyon şemalarının düzenli gözden geçirilmesi
gerekir.

5.5. Mevcut Güvenlik Kontrolleri ile Entegrasyon

SIEM; firewall, EDR, DLP, IAM, NAC ve diğer güvenlik çözümleriyle bütüncül çalışmalıdır. Zayıf entegrasyon:

• Önemli olayların SIEM’e hiç düşmemesine,
• Yanlış eşleştirilmiş alanlar nedeniyle hatalı korelasyona,
• Parçalı bir güvenlik görünümüne
yol açabilir.

5.6. Uyumluluk ve Gizlilik

SIEM; hassas logları ve kullanıcı aktivitelerini tuttuğu için, KVKK ve benzeri regülasyonlarla uyumlu tasarlanmalıdır:

• Erişim yetkileri ve maskeleme politikaları net olmalı,
• Loglara erişen kişiler kayıt altına alınmalı,
• Saklama süreleri regülasyon ve kurum politikasına göre yönetilmelidir.

5.7. Sürekli Bakım ve İzleme

SIEM; kurulu bırakılıp unutulacak bir ürün değil, canlı bir hizmet katmanıdır. Yeni tehditler, yeni sistemler ve iş süreçleri oldukça:

• Use case’ler güncellenmeli,
• Korelasyon kuralları gözden geçirilmeli,
• Performans ve kapasite planlaması yapılmalıdır.

6. Doğru SIEM Çözümünü Seçme

SIEM seçimi, sadece ürün karşılaştırması değil, iş ve risk ihtiyaçlarının eşleştirilmesidir.

6.1. Esneklik ve Ölçeklenebilirlik

• Sistem, artan log hacmini performans kaybı olmadan taşıyabiliyor mu?
• On-prem, bulut veya hibrit mimarilere uyumlu mu?
• Lisanslama modeli (EPS, GB/gün vb.) büyüme planlarınızla uyumlu mu?

6.2. Kurulum ve Kullanım Kolaylığı

• İlk kurulum ve devreye alma süresi makul mü?
• Arayüz, SOC analistlerinin günlük kullanımına uygun mu?
• Hazır korelasyon kuralları, dashboard’lar ve rapor şablonları yeterli mi?

6.3. Yanlış Alarm Yönetimi

• Kurallar ne kadar ayrıntılı ayarlanabiliyor?
• False positive/false negative oranını düşürmek için makine öğrenmesi, risk skorlaması gibi yetenekler mevcut mu?

6.4. Veri Kalitesi ve Normalizasyon

• Farklı log kaynakları için hazır parseler (parser) ve şema desteği var mı?
• Kurumunuza özel alanları ekleyip sorgulamak kolay mı?

6.5. Mevcut Sistemlerle Entegrasyon

• Var olan firewall, EDR, IAM, ticketing ve SOAR çözümlerinizle entegrasyon hazır mı?
• Ek geliştirme ihtiyacı fazlaysa, bu hem maliyet hem zaman açısından planlanmış mı?

6.6. Gizlilik ve Yasal Uyum

• Veri yerleşimi (data residency) ihtiyaçlarınızı karşılıyor mu?
• Şifreleme, erişim kontrolü, maskeleme gibi KVKK/GDPR dostu özellikler sağlıyor mu?

6.7. Bakım ve Operasyonel Yük

• Sistemi güncel ve sağlıklı tutmak için gereken insan kaynağı ne kadar?
• Vendor veya partner, yönetilen hizmet (MSSP / Managed SIEM) opsiyonu sunuyor mu?

7. SIEM En İyi Uygulamaları

SIEM’den gerçek değer üretebilmek için teknoloji, süreç ve insan faktörünü birlikte ele almak gerekiyor. Öne çıkan iyi uygulamalar:

• Her Zaman Gözünüz Üstünde Olsun:
  SIEM dashboard’ları ve kritik alarmlar sürekli izlenmeli; “yanlış bir şey olduğunda ilk fark eden siz olun” prensibi benimsenmelidir.
• Ekip Hep Hazır Olsun:
  SOC analistleri ve BT ekipleri düzenli olarak eğitilmeli, yeni tehditler ve use case’ler hakkında güncel tutulmalıdır.
• Rol ve Sorumlulukları Netleştirin:
  Bir olay olduğunda “kim, ne yapacak?” sorusunun cevabı önceden tanımlı olmalı; IR playbook’ları dokümante edilmelidir.
• Log Kaynaklarını Sahiplik ile Yönetin:
  Her log kaynağının (AD, firewall, ERP vb.) bir teknik sahibi olsun; konfigürasyon, güncelleme ve doğrulama bu kişiler üzerinden yürüsün.
• Tehditleri Yakından Tanıyın:
  Tehdit istihbaratı servisleriyle entegrasyon kurun; sık kullanılan saldırı tekniklerine (TTP’ler) karşı özel use case’ler geliştirin.
• Raporlara Stratejik Bakın:
  Yalnızca teknik detay değil; yönetim için özet dashboard’lar ve risk odaklı raporlar üretin. Böylece güvenlik yatırımlarının etkisi somutlaşır.
• Sistemi Düzenli Test Edin:
  SIEM kurallarını; red team, purple team çalışmaları veya senaryo bazlı testlerle doğrulayın. Tespit edilemeyen saldırı adımları için yeni use case’ler üretin.

8. Sonuç: SIEM, Güvenlik Mimarisinin Merkezi Sinir Sistemi

SIEM; log toplama, olay korelasyonu, tehdit istihbaratı entegrasyonu ve olay yönetimi bileşenlerini bir araya getirerek, kurumların siber güvenlik mimarisinin merkezine yerleşir. Doğru konumlandırıldığında:

• Gerçek zamanlı tehdit tespiti ve hızlı olay müdahalesi sağlar,
• Uyumluluk ve denetim süreçlerini destekler,
• Güvenlik ekiplerinin operasyonel verimliliğini artırır.

Ancak ölçeklenebilirlik, yanlış pozitif yönetimi, entegrasyon karmaşıklığı ve sürekli bakım ihtiyacı profesyonel bir yaklaşım gerektirir. Başarılı bir SIEM programı; teknoloji + süreç + insan bileşenlerinin uyumlu çalıştığı bütünsel bir güvenlik yaklaşımı ile mümkün olur.