Log Analizi ve SIEM Nedir?

Modern dünyada dijital sistemler, her saniye milyonlarca “iz” (log) bırakır. Bu izler, bir saldırganın sisteminize sızma girişiminden, sıradan bir kullanıcı girişine kadar her şeyi anlatır. Log analizi ve SIEM sistemleri, bu devasa veri yığınlarını tarayarak tehditleri henüz gerçekleşmeden tespit etmenizi sağlar.

Nesil Teknoloji’nin uzman kadrosuyla hazırladığı bu rehberde; log yönetiminin temellerinden endüstriyel tesislerdeki kritik izleme süreçlerine kadar her şeyi sade bir dille inceleyeceğiz.

1. Log Yönetimi: Dijital Kanıtların Toplanması

Log yönetimi, bir sistemin “kim, ne zaman, nerede, ne yaptı?” sorularına verdiği yanıtları merkezi bir noktada toplama sürecidir. İyi bir log yapısı, bir saldırı anında “kara kutu” görevi görerek olayı aydınlatmanızı sağlar.

Endüstriyel Tesislerde İzleme

Fabrikalar ve enerji tesisleri gibi kritik alanlarda log toplama süreci daha hassastır. Standart bilgisayar ağlarından farklı olarak, Modbus veya DNP3 gibi özel protokoller kullanılır. Bu sistemlerde, yetkisiz birinin bir vanayı açması veya bir makineyi durdurması saniyeler içinde fark edilmelidir.

• Syslog: Cihazların güvenlik bilgilerini gönderdiği evrensel dildir.
• Ağ Akış Analizi (NetFlow): Trafiğin yoğunluğunu ölçerek siber saldırıları (DDoS) tespit eder.
• Zaman Senkronizasyonu (NTP): Tüm cihazların saatlerinin aynı olması şarttır; aksi halde olayların sırası karıştırılabilir.

2. SIEM Mimarisi: Farklı Dilleri Ortaklaştırmak

Bir güvenlik duvarı saldırıya “Blocked” derken, bir Windows sunucusu aynı olaya “Failure” diyebilir. SIEM (Security Information and Event Management), bu farklı terimleri ortak bir dile çevirir. Böylece güvenlik ekibi tek bir ekrandan tüm yapıyı görebilir.

Normalleştirme Neden Önemli?

Ham veri, okunması zor ve karmaşık metinlerden oluşur. SIEM bu karmaşayı düzenleyerek IP adreslerini, kullanıcı adlarını ve olay türlerini kategorize eder. Nesil Teknoloji, verilerin eksiksiz işlenmesi için yüksek performanslı ayrıştırma (parsing) çözümleri sunar.

3. Akıllı Alarmlar (Korelasyon)

SIEM’in gerçek gücü, olaylar arasında bağ kurabilmesidir. Tek bir başarısız giriş denemesi önemsiz olabilir, ancak 10 saniye içinde 50 farklı başarısız deneme bir “Kaba Kuvvet” (Brute Force) saldırısına işaret eder.

Nasıl Çalışır?

• Zaman Aralığı: Olaylar ne kadar kısa sürede gerçekleşti?
• Mantıksal Bağlantı: Giriş denemesi yapıldı VE ardından yetkisiz bir dosyaya erişildi mi?
• Davranış Analizi (UEBA): Bir çalışan normalde gece 3’te sisteme girmiyorsa, SIEM bunu şüpheli bularak alarm üretir.

4. Tehdit Avcılığı ve Vaka Analizi

Otomatik alarmlar her zaman yeterli olmayabilir. Deneyimli bir siber güvenlik uzmanı, loglar arasında gizlenen sinsi saldırganları manuel olarak arar. Buna Threat Hunting (Tehdit Avcılığı) denir.

Örnek Senaryo: Ağda Yatay İlerleme

Saldırgan bir bilgisayara sızdıktan sonra diğer sunuculara sıçramaya çalışır. Bu hareketler (Lateral Movement) sırasında oluşan küçük izler, Nesil Teknoloji’nin uzman analizleriyle tespit edilerek saldırganın tüm kanalları kapatılır.

5. Yasal Zorunluluklar ve KVKK

Log tutmak sadece güvenliğiniz için değil, hukuk önünde kendinizi savunmanız için de gereklidir.

• 5651 Sayılı Kanun: İnternet trafik kayıtlarının en az 2 yıl saklanmasını zorunlu kılar.
• KVKK Uyum: Kişisel verilere kimin, ne zaman eriştiğinin kayıt altına alınması şarttır.
• Değiştirilemezlik: Logların üzerinde oynanmadığını kanıtlamak için “Zaman Damgası” ve “Hash” yöntemleri kullanılır.