Log Kayıtları ve SIEM 5651 Uyumunda Log Yönetimi, Korelasyon ve Güvenlik Olay Analizi
Kurumlarda internet erişiminin kontrol altına alınmasını hedefleyen 5651 kapsamında, internet kullanımı esnasında üretilen log kayıtlarının düzenli şekilde toplanması, korunması ve gerektiğinde incelenebilir olması önem taşır. Bu loglar bir SIEM (Security Information and Event Management) yaklaşımıyla analiz edildiğinde; olaylar arasında ilişki olup olmadığı ve varsa ilişkinin nasıl kurulduğu görünür hale gelebilir.
Etkin bir log yönetimi; yalnızca “kayıt tutmak” değildir. Logların kapsamlı şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu adımlarını içerir. Böylece saldırının göstergeleri ve dijital deliller ortaya çıkar; saldırının ne zaman, hangi kanallardan, hangi protokollerle gerçekleştiği ve nereden başlatıldığı gibi kritik sorulara yanıt üretilebilir.
Log izleme: Kritik ağ ve cihaz loglarının kurallara göre analiz edilmesi.
SIEM: Logları merkezi toplar, normalleştirir, korelasyon ile ilişkilendirir, aggregation ile sadeleştirir.
Operasyon: Günlük izleme + yüksek riskli olaylarda gerçek zamanlı alarm.
Seçim: EPS kapasitesi, saklama süresi, normalize/ham log ayrımı, ek modül ve storage maliyeti.
1. Loglama ve Log Yönetimi: Neyi, Neden Toplarız?
Log izleme, kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının (loglarının) belirlenen kurallara göre analiz edilmesidir. Log yönetimi ise daha geniş bir çerçevedir: logların toplanması, birleştirilmesi, orijinal haliyle saklanması, analiz edilmesi ve raporlanması süreçlerini kapsar.
1.1. Log yönetimi kurumlara ne kazandırır?
- Saldırı göstergeleri (IoC) ve deliller: Olayın izi kaybolmadan tespit edilmesini sağlar.
- Adli inceleme desteği: Saldırının kanalı, zamanı, kullanılan protokoller ve başlangıç noktası gibi bilgiler çıkarılabilir.
- Operasyonel görünürlük: Anormal kullanıcı davranışları, erişim denemeleri ve ihlal belirtileri erken fark edilir.
- Denetim izi: Kim neye erişti, ne zaman işlem yaptı, hangi sistemde hangi değişiklik oldu sorularına cevap üretir.
1.2. Verimli log yönetimi için temel prensipler
- Hızlı arama ve erişim: Büyük hacimli logların hızlı sorgulanabilir saklanması verimliliği artırır.
- Erken tespit ve hızlı yanıt: Olayların erken tespiti, etkinin azaltılması için hızlı aksiyon sağlar.
- Kontrol mekanizmaları: Doğru aksiyonu belirlemek için olay tespit yeteneği gelişmiş olmalıdır.
- Otomasyon: Uyarı/istisna kurallarıyla rutinlerin otomatize edilmesi analiz kalitesini artırır.
2. SIEM Nedir? Normalleştirme, Korelasyon ve Aggregation
SIEM; kullanıcı, veri tabanı, uygulama, güvenlik ve ağ cihazları dahil olmak üzere farklı kaynakların ürettiği logları merkezi bir yapıda toplayan, saklayan ve analiz eden yönetim çözümleridir. Amaç; logların takip edilebilir, sorgulanabilir ve raporlanabilir hale gelmesidir.
2.1. SIEM’in “log analizinden” farkı
SIEM, klasik log analizine göre daha gelişmiş yapılandırma ve raporlama seçenekleri sunar. En kritik özelliklerden biri; belirlenen politika ve kurallar yardımıyla bağımsız görünen olaylar arasında anlamlı bağlantılar kuran korelasyon tekniğidir.
| Kavram | Tanım | Pratik Fayda |
|---|---|---|
| Normalleştirme | Farklı formatlardaki logların ortak bir veri modeline dönüştürülmesi | Linux/Windows/Ağ cihazı olaylarını aynı dilde sorgulayabilme |
| Korelasyon | Farklı kaynaklardan gelen olayların kurallarla ilişkilendirilmesi | Dağınık görünen sinyallerden saldırı senaryosu çıkarmak |
| Aggregation | Tekrarlı olayları bir kayıtta birleştirerek veri hacmini azaltma | Performans, daha hızlı analiz, gürültünün azaltılması |
3. SIEM Çalışma Mekanizması ve Alarm Tasarımı
SIEM’in tipik çalışma akışı; logların toplanmasıyla başlar, ardından normalleştirme/kategorilendirme, korelasyon, bildirim/alarm, izleme paneli ve raporlama adımlarıyla devam eder. Amaç; güvenlik uzmanlarının gerçek zamana yakın bir görünürlükle olayları yönetebilmesidir.
3.1. SIEM’in temel adımları
- Normalleştirme & kategorilendirme: Logları global formata çevirir, saldırı tipine göre sınıflandırır.
- İlişkilendirme (korelasyon): Bağımsız olayları birleştirerek anlamlı tehdit tespiti sağlar.
- Bildirim/alarm: E-posta, SMS veya SNMP ile uyarı üretir (kurum tasarımına göre).
- İzleme paneli: Toplanan veri ve korelasyon sonuçlarını güvenlik uzmanlarına sunar.
- Raporlama: Analiz aşamalarını kapsayan raporlar üretir; denetim ve yönetim görünürlüğü sağlar.
3.2. Alarm kuralları tasarlanırken dikkat edilmesi gerekenler
- Gürültü kontrolü: Her olayı alarm yapmak yerine, iş etkisi yüksek senaryolara odaklanın.
- Önceliklendirme: Kritik varlıklar (DC, firewall, VPN, e-posta, DB) için daha sıkı kurallar uygulayın.
- Kanıt üretimi: Alarmın içinde “kim-ne-zaman-nereden” bilgisi ve ilişkilendirilen loglar olmalı.
- Olay müdahale akışı: Alarm geldiğinde yapılacak teknik adımlar ve sorumlular net tanımlanmalı.
4. Örnek Senaryolar: Korelasyon ile Saldırı Tespiti ve Adli İz
SIEM’in asıl gücü, farklı kaynaklardan gelen olayları tek tek okumak yerine senaryo bazlı tespit yapabilmesidir. Aşağıdaki örnekler, loglar arasında “anlamlı bağ” kurmanın pratik karşılıklarını gösterir.
4.1. Brute force → başarılı giriş → yetki yükseltme zinciri
- VPN/SSO üzerinde ardışık başarısız oturum denemeleri
- Ardından aynı kullanıcı için başarılı giriş
- Kısa süre içinde admin panel erişimi / ayrıcalık değişimi
- Sonuç: Korelasyon, saldırı zincirini tek alarmda özetler
4.2. “Kullanıcı daha önce hiç yapmadığı bir şeyi yaptı” (davranışsal anomali)
Kullanıcının alışılmış erişim saatleri, cihazları ve kaynakları dışına çıkması; özellikle dedike güvenlik ekibi olmayan kurumlarda tespiti zor senaryolardandır. Bu tür tespitler için; aktiviteleri sınıflandıran bir taxonomy yaklaşımı ve farklı kaynaklardan gelen logları tekilleştiren bir veri modeli gerekir.
4.3. Veri sızıntısı sinyali: Hassas dosya erişimi + dışa veri çıkışı
- Dosya sunucusunda kısa sürede çok sayıda hassas klasöre erişim
- Ardından proxy/firewall üzerinden anormal dış trafik veya büyük veri transferi
- Sonuç: SIEM, “erişim + exfiltration” korelasyonu ile alarm üretir
4.4. Adli inceleme açısından kazanım
Olay gerçekleştiğinde; loglar üzerinden “atağın nereden start aldığı”, hangi protokollerin kullanıldığı ve zaman çizelgesi çıkarılabilir. Bu yaklaşım, hem olay müdahalesini hızlandırır hem de dijital delil sürekliliğini destekler.
5. SIEM Ürünü Seçimi, EPS & Saklama, Maliyet ve Uyum Riskleri
SIEM seçimi yalnızca “özellik listesi” değildir; saklama hedefi, lisans modeli, kapasite ve operasyonel sürdürülebilirlik birlikte değerlendirilmelidir. Özellikle KVKK ve 5651 perspektifiyle “log saklama” gündeme geldiğinde, normalize edilmiş/ham log ayrımı, disk limiti ve ek modül maliyetleri kritik hale gelir.
5.1. SIEM ürünü seçerken sorulması gereken kritik sorular
- Normalize edilmiş (parse edilmiş) logları geriye doğru kaç yıl saklayabilirsiniz? Saklama hedefiniz nedir?
- Bir sınır varsa (ör. toplam normalize log adedi), bu sınırı aşmak için ek lisans/modül gerekir mi?
- Ek modül normalize logu mu yoksa ham logu mu saklıyor?
- Ek modülde disk kapasitesi limiti (ör. 1 TB) var mı?
- Limit aşımı için yeni lisans gerekir mi? Bu ek maliyet baştan şeffaf paylaşıldı mı?
- Tüm maliyetlere katlanınca storage/işletim maliyeti ne olur (TCO)?
5.2. EPS (Events Per Second) ve kapasite planlama
EPS; SIEM’e saniye başına akan olay sayısıdır. Kullanıcı sayısı, cihaz çeşitliliği ve log kaynaklarının artması EPS’i yükseltir. EPS yükseldikçe; lisans, depolama ve performans gereksinimi büyür. Bu nedenle “günlük/aylık hacim” hesabı yapılmadan SIEM projesi ölçeklenemez.
5.3. Yetkin personel ihtiyacı: Neden proje tıkanıyor?
Büyük kurumlar dışında, birçok organizasyonda siber güvenlik alanında yeterli ve dedike personel yatırımı yapılmayabilir. Bu durumda aynı ekipten hem domain/firewall yönetimi hem de SIEM gibi ağır bir operasyon beklenir. Sonuç: SIEM çoğu zaman log toplamadan öteye geçmez.
- Güvenlik işi ana görev değilse, üreticilerin binlerce kritik log kombinasyonunu bilmek gerçekçi değildir.
- En sık oluşan loglar (toplamın büyük kısmı) kritik sinyalleri görünmez kılabilir.
- Farklı üreticilerden log birleştirme; query yazma ve indikatör bilgisi gerektirir.
- Stream analysis ve davranışsal tespit yoksa, “ne aradığını bilmeden” olay yakalamak zorlaşır.
- Fiyat odaklı rekabet, kaliteyi ve sürdürülebilirliği aşağı çekebilir.
6. Sık Sorulan Sorular
5651 kapsamında log kaydı neden kritik?
5651 ve ilişkili yükümlülükler bağlamında, internet kullanımına ilişkin olay kayıtlarının izlenebilir ve gerektiğinde sunulabilir şekilde yönetilmesi beklenir. Log yönetimi; güvenlik olaylarının tespiti, denetim izi ve adli inceleme için temel veri kaynağıdır.
SIEM ile klasik log izleme arasındaki fark nedir?
SIEM; logları merkezi toplayıp normalleştirir, korelasyon ile ilişkilendirir ve aggregation ile gürültüyü azaltır. Böylece bağımsız görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları daha hızlı tespit etmeye yardımcı olur.
Günlük izleme mi, gerçek zamanlı alarm mı?
İkisi birlikte gerekir. Günlük izleme “trend ve gürültü” yönetimi için önemlidir; yüksek riskli olaylar için ise gerçek zamanlı alarm ve müdahale akışı kritik fayda sağlar.
EPS planlaması neden SIEM maliyetini doğrudan etkiler?
EPS yükseldikçe lisans gereksinimi, depolama ihtiyacı ve performans maliyeti artar. Saklama süresi hedefiyle birleşince toplam sahip olma maliyeti (TCO) hızlı büyüyebilir.
SIEM projesinin başarısı için minimum yapılması gereken nedir?
Kritik varlıklarınızı belirleyin (VPN, e-posta, firewall, DC, kritik uygulamalar) ve ilk etapta sınırlı sayıda yüksek etkili korelasyon kuralını devreye alın. Ardından alarm gürültüsünü optimize ederek kapsamı büyütün.
