SIEM ve Log Yönetimi: Erken Tespit, Hızlı Müdahale · KVKK Uyumlu Mimari

KVKK · SIEM & Log Yönetimi · Tespit & Müdahale

SIEM ve Log Yönetimi Erken Tespit, Hızlı Müdahale

Kök neden analizleri; birçok kurumun siber saldırıları vaktinde tespit edemediği için ciddi maddi ve manevi zarara uğradığını gösteriyor. Kritik sistemlere sızmalar bazen işletmeleri iflas eşiğine getirebiliyor. Bu tablo, kurumsal log yönetimi ve SIEM (Security Information and Event Management) mimarisinin önemini doğrudan ortaya koyuyor.

Etkin log yönetimi ve SIEM; erken uyarı, hızlı müdahale ve kanıtlanabilir uyum için anahtar bileşendir. Verizon veri sızıntısı raporlarında da vurgulandığı gibi doğru kural, süreç ve bakım olmadan SIEM tek başına çözüm değildir; ürün + süreç + ekip üçlüsü birlikte kurgulanmalıdır.

SIEM & Log Temelleri Proje Adımlarını İncele

Özet

Başlık: SIEM ve Log Yönetimi – Erken Tespit, Hızlı Müdahale
Odak: SIEM mimarisi, log kapsamı, korelasyon kuralları, SOME simülasyonları, SOC dashboard’ları ve KVKK/5651 uyum gereklilikleri.
Hedef: Kurumsal ortamlarda erken uyarı mekanizmaları kurarak siber olaylara hızlı tepki vermek ve KVKK’ya uygun, delil niteliği taşıyan log yönetimi sağlamaktır.

SIEM Log Yönetimi SOC & SOME KVKK & 5651 Siber Olay Müdahalesi

İçindekiler 1. Giriş 2. SIEM & Log: Temel Kavramlar 3. Neden Kritik? 4. SIEM Proje Adımları 5. KVKK Bağlantısı & İyi Uygulamalar 6. Kaynaklar & Faydalı Linkler 7. Sonuç

Category: Blog KVKK · Etiketler: SIEM, Log Yönetimi, KVKK, 5651, SOC, SOME, Log Nedir

2. SIEM & Log Yönetimi: Temel Kavramlar

2.1 SIEM Nedir?

SIEM (Security Information and Event Management); farklı sistemlerden (sunucu, ağ cihazı, uygulama, güvenlik ürünleri vb.) gelen olay kayıtlarını merkezi bir platformda toplar, normalleştirir, korele eder ve alarm üretir. Kurallara bağlı bildirim ve aksiyon akışlarıyla;

Şüpheli aktivitelerin erken tespitini,
Olaylara hızlı müdahaleyi,
Olay sonrası inceleme ve raporlamayı

mümkün kılar. Doğru tasarlanmış SIEM mimarisi; sadece log toplayan değil, tehditleri anlamlandıran bir güvenlik beyni gibi çalışır.

2.2 Log Neden Esastır?

Log olmadan izlenebilirlik, denetlenebilirlik ve adli analiz mümkün değildir. Güvenlik ihlali sonrasında “ne oldu, ne zaman oldu, kim yaptı?” sorularının yanıtı log kayıtlarındadır.

Başarılı bir log yönetimi için üç kritik parametre:

Doğru kapsam: Hangi sistemlerden, hangi tür log’ların toplanacağı,
Doğru detay: Etkin inceleme için yeterli alanların kaydedilmesi (IP, kullanıcı, işlem vb.),
Doğru saklama süresi: Mevzuat ve iş ihtiyacına uygun log saklama politikaları.

3. Neden SIEM & Log Yönetimi Kritik?

⚡ Erken Uyarı: Anormal oturum açma denemeleri, beklenmeyen trafik artışları, başarısız erişim girişimleri gibi olayları gerçek zamanlı yakalayarak, olay büyümeden müdahale imkânı sağlar.

📡 Operasyonel Görünürlük: Binlerce EPS (events per second) seviyesinde, farklı kaynaklardan akan log’lar arasında körlüğü azaltır; SOC analistlerinin tek ekrandan izleyebildiği konsol sunar.

📜 Uyum & KVKK: 5651, KVKK, ISO/IEC 27001 gibi regülasyonlar için kanıt niteliğinde log kayıtları üretir. Veri ihlali yönetiminde ne yapıldığını belgelemek için temel araçtır.

💰 Maliyet Azaltımı: Erken tespit edilen bir olayın; veri sızıntısı, iş kaybı ve itibar zararını dramatik biçimde azaltması, doğrudan maliyet avantajı sağlar.

Not: Verizon veri sızıntısı raporlarında; gelişmiş saldırıların yalnızca küçük bir kısmının zamanında tespit edilebildiği vurgulanır. Yanlış kurgulanmış kural setleri ve bakımı yapılmayan SIEM projeleri, “alert yorgunluğu” ve atlanan kritik olaylara yol açabilir.

4. SIEM Projeleri için Gerekli Adımlar

SIEM ve log yönetimi projeleri, yalnızca bir ürün kurulumu değil, proje yönetimi, bilgi güvenliği ve iş ihtiyaçları ekseninde planlanması gereken uçtan uca bir dönüşümdür. Aşağıdaki adımlar, PTES ve benzeri standartlardan ilham alan uygulama sürecini özetler.

4.a Gereksinim, Kapsam & Proje Yönetimi

Ticari ve açık kaynak LOG/SIEM ürünlerinin analizi, POC (proof of concept) ve referans kontrolleri yapılır.
Toplanacak log kaynaklarının sırası ve önceliği belirlenir; kapasite ve lisans planlaması yapılır.
Proje için taslak takvim, kilometre taşları ve rol-sorumluluk matrisi oluşturulur.

4.b Log Kaynaklarının Belirlenmesi

PCI-DSS, ISO 27001, 5651, SOX vb. uyum yükümlülükleri esas alınarak log kaynakları seçilir ve önceliklendirilir. Orta ve büyük ölçekli yapılarda bu liste, güvenlik görünürlüğünün sınırlarını doğrudan belirler.

Firewall, IDS/IPS, WAF, VPN cihazları,
Windows / Linux sunucular, AD/DC, DNS, DHCP,
Uygulama sunucuları, web sunucuları, veritabanları,
Bulut servisleri, EDR/XDR, DLP, e-posta ağ geçitleri,
5651 ve benzeri mevzuat kapsamında zorunlu log üreten bileşenler.

4.c Log Detay & İçerik Seçimi

Aşırı log toplayıp sistemi kilitlemek ile yetersiz log toplayıp analizi anlamsız kılmak arasındaki dengeli nokta yakalanmalıdır.

Gereksiz debug log’ları yerine, güvenlik ve uyum açısından kritik alanlar etkinleştirilir.
Örneğin Windows Server ortamlarında audit policy ayarlarının ihtiyaca göre genişletilmesi planlanır.
İstenen türde log üretemeyen sistemler için alternatif toplama yöntemleri (agent, syslog, API vb.) tasarlanır.

4.d Anlamlandırma, Etiketleme, Seviyelendirme

Log’lar SIEM’e yalnızca “ham veri” olarak aktarılırsa, analist için gerçek değeri sınırlı kalır. Bu nedenle kurumsal sözlük ve etiketleme yaklaşımı kritik önemdedir.

Gelen log’lar normalleştirilir, alan isimleri standardize edilir.
Basit mesajlar, anlamlı tehdit tanımlarıyla etiketlenir. Örneğin: “big icmp packet” → “Ping of Death saldırısı girişimi”.
Olaylar; seviye, kaynak, hedef, etki ve kategori (kimlik, ağ, uygulama vb.) temelinde sınıflandırılır.

4.e Gelişmiş Korelasyon Kuralları

Gelişmiş saldırılar çoğunlukla tek bir log kaydıyla değil, olay zincirleri ile anlaşılır. Bu nedenle tehdit ağacı ve use-case tabanlı korelasyon tasarımı yapılmalıdır.

Tehdit senaryolarına göre kural setleri (ör. brute force, lateral movement, data exfiltration vb.),
Kurum özgü davranış eşikleri, zaman pencereleri ve ardışık olay dizileri,
False positive seviyelerini azaltacak eşik optimizasyonları.

Tasarlanan kurallar SIEM’e aktarılır; test ortamında denendikten sonra canlıya alınır ve düzenli gözden geçirmelerle güncellenir.

4.f Saldırı Simülasyonları & SOME Tatbikatı

Kuralların gerçek hayatta nasıl çalıştığını görmenin en etkili yolu; kontrollü saldırı simülasyonları ve SOME (Siber Olaylara Müdahale Ekibi) tatbikatlarıdır.

Farklı saldırı senaryoları (ör. phishing, ransomware, iç tehdit) ile korelasyon kuralları tetiklenir.
Eksik veya gürültülü kurallar gözden geçirilerek iyileştirilir.
SOME süreçleri, bildirim, eskalasyon ve müdahale akışları uçtan uca test edilir.

4.g Gerçek Zamanlı SOC Dashboard Tasarımı

Yüksek EPS ortamlarında, analistin gözünün önünden geçen veriyi anlamlı hâle getirmek için SOC panelleri kritik rol oynar.

Canlı olay akışları, kritik alarmlar, coğrafi dağılım haritaları,
Kimlik/hesap bazlı anomali görünümleri,
KVKK ve 5651 uyum metrikleri için özelleştirilmiş göstergeler (log doluluk oranı, saklama süresi, ihlal sayıları).

İyi tasarlanmış dashboard’lar; SOC ekibinin kör noktalarını azaltır ve olaylara ilk tepki süresini düşürür.

5. KVKK Bağlantısı ve İyi Uygulamalar

5.1 Uyum Boyutu

5651: Zaman damgalı log saklama, bütünlük doğrulama (hash, imza) ve belirli sürelerle saklama yükümlülükleri; SIEM ve log yönetim mimarisi ile entegre edilmelidir.
KVKK m.12: Kişisel verilerin güvenliğini sağlamak için alınan teknik ve idari tedbirlerin kanıtlanması gerekir. Log kayıtları, bu tedbirlerin uygulanıp uygulanmadığını gösterecek en önemli delillerden biridir.
ISO/IEC 27001: Özellikle A.12 (Operasyonel Güvenlik) ve A.16 (Bilgi güvenliği olay yönetimi) kontrol aileleriyle uyumlu log ve olay yönetim süreçleri tasarlanmalıdır.

5.2 Teknik & İdari Tedbir Özetleri

🔐 Erişim Kontrolü: RBAC/ABAC, MFA, ayrıcalıklı hesap yönetimi, anahtar yönetimi ve yetki gözden geçirmeleri.

🧾 Log Bütünlüğü: Log’lara yönelik hash ve imza mekanizmaları, zaman senkronizasyonu (NTP) ve değiştirilemez yedekleme stratejileri.

🚨 İhlal Bildirimi & Delil Zinciri: KVKK ihlal bildirim süreçleri, olay kayıtları ve delil zinciri prosedürlerinin yazılı ve uygulanabilir olması.

🧠 Farkındalık: Log’un yalnızca “teknik ekip işi” olmadığının, veri sorumlusu ve iş birimleri tarafından da anlaşılması için düzenli eğitimler, SOME tatbikatları.

İpucu: Log yönetiminde “gereklilik kadar” ilkesini benimseyin. Sadece gerçekten ihtiyaç duyulan, hukuki ve operasyonel değer taşıyan log’ları toplayın ve saklama sürelerini mevzuat + iş ihtiyacı ile uyumlu belirleyin.

6. Kaynaklar & Faydalı Linkler

Daha fazla blog yazısı için tıklayın
Güvenliğiniz için daha fazla seçenek için tıklayın

İçerik Üretici: Zeynep BAKIRTEMİZLER · Nesil Bilişim Teknolojileri Tic. A.Ş.

7. Sonuç

SIEM ve log yönetimi; yalnızca bir ürün kurulumu değil, süreç ve disiplin işidir. Doğru kapsam, dengeli log içeriği, kurumunuza özel korelasyon kuralları ve düzenli saldırı simülasyonları ile:

Siber saldırıları erken tespit edebilir,
SOME ve SOC ekiplerinizin operasyonel etkinliğini artırabilir,
KVKK, 5651 ve diğer regülasyonlar için kanıt üretimini güvence altına alabilirsiniz.

Güvenlik bir proje değil, işletilen bir süreçtir. Standartlar yükseldikçe riskler azalır; log yönetimi olgunlaştıkça hem uyum yükümlülüklerinin hem de siber tehditlerin yönetimi çok daha öngörülebilir hâle gelir.

Category: Blog KVKK
By Aydın Uygar – 19 Ağustos 2021

Blog KVKK Log Nedir SIEM Log Yönetimi KVKK 5651 SOC SOME