SIEM Nedir? Temel Rehber
SIEM, “Security Information and Event Management” kelimelerinin kısaltmasıdır. Türkçesi “Güvenlik Bilgi ve Olay Yönetimi” demektir. Kısacası SIEM, kurumunuzdaki tüm bilgisayarlar, ağ cihazları, sunucular ve yazılımlar tarafından üretilen olay kayıtlarını (log) toplar, bir araya getirir ve analiz eder. Böylece bir saldırı olduğunda hemen fark edersiniz, tehditlere hızlıca müdahale edebilirsiniz.
Artık sadece güvenlik duvarı veya antivirüs yeterli değil. Çünkü siber saldırılar çok karmaşık hale geldi. SIEM sayesinde ağınızda olup biten her şeyi tek bir ekrandan görür, anormal durumları anında yakalarsınız. Nesil Teknoloji olarak 15 yılı aşkın deneyimimizle SIEM konusunda size rehberlik ediyoruz.
SIEM, tüm cihazlarınızdan gelen logları merkezde toplar, ilişkilendirir ve tehlikeli durumlarda sizi uyarır. Böylece siber saldırıları hızlıca fark eder, yasal raporlamaları kolayca yaparsınız. Başarılı bir SIEM için doğru planlama ve sürekli bakım çok önemlidir.
1. SIEM Nedir? Temel Bilgiler
SIEM, güvenlikle ilgili tüm verileri tek bir noktada toplayan bir sistemdir. SIM (Güvenlik Bilgi Yönetimi) uzun süreli log saklama ve raporlamayla, SEM (Güvenlik Olay Yönetimi) ise anlık olay izleme ve ilişkilendirme ile ilgilenir. 2005 yılında Gartner firması bu iki işlevi birleştirerek SIEM kavramını oluşturmuştur.
SIEM size şu soruların yanıtını verir: Ağımda şu anda anormal bir hareket var mı? Dün gece hesabıma kimler girmeye çalıştı? Bir çalışanın şifresi çalınırsa bunu nasıl anlarız? Yasal düzenlemeler için logları doğru süreyle sakladık mı? Tüm bunları manuel olarak yapmak çok zordur.
SIEM nedir sorusuna en basit yanıt: Dijital bir dedektif gibidir. Ağınızdaki tüm ipuçlarını toplar, birbirleriyle ilişkilendirir ve tehlike anında sizi uyarır.
SIM ve SEM Arasındaki Fark
SIM uzun vadeli depolama ve uyumluluk raporlarına odaklanırken, SEM gerçek zamanlı izleme ve anında uyarı verir. Modern SIEM çözümleri ikisini de kapsar. Örneğin, bir SIM geçmişteki saldırı girişimlerini gösterir, SEM ise o anda olan saldırıyı tespit edip alarm oluşturur.
2. SIEM Nasıl Çalışır?
SIEM sistemleri veri toplama, düzenleme, analiz etme ve uyarı oluşturma adımlarından oluşur. Her adımda farklı görevler vardır.
2.1 Veri Toplama
Güvenlik duvarları, sunucular, çalışan bilgisayarları, veritabanları ve hatta bulut sistemler gibi tüm kaynaklardan loglar toplanır. Bu toplama işlemi ya küçük yazılımlar (ajan) ya da syslog gibi protokollerle yapılır.
2.2 Düzenleme ve Zenginleştirme
Farklı cihazlardan gelen loglar farklı biçimlerdedir. SIEM önce bu logları ortak bir formata dönüştürür (normalleştirme). Ardından IP adreslerinin hangi ülkeden geldiği, hangi kullanıcıya ait olduğu gibi ek bilgilerle zenginleştirir.
2.3 Olay İlişkilendirme (Korelasyon)
SIEM’in beyni olan korelasyon motoru, toplanan olaylar arasında bağlantı kurar. Örneğin; bir kullanıcı 5 dakika içinde 10 kez yanlış şifre girer, ardından başarılı bir giriş yaparsa SIEM bunu bir saldırı olarak değerlendirip alarm oluşturur.
2.4 Uyarı ve Otomatik Müdahale
Tehdit algılandığında SIEM, e-posta veya SMS ile ilgili ekibi uyarır. Gelişmiş sistemler, otomatik olarak hesabı kilitleme veya saldırganın IP’sini engelleme gibi işlemler de yapabilir.
3. SIEM’in Temel Bileşenleri
SIEM mimarisi birbiriyle uyumlu çalışan birkaç ana bileşenden oluşur. Bu bileşenlerin her biri sistemin başarısında önemlidir.
| Bileşen | Görevi | Açıklama |
|---|---|---|
| Toplayıcı (Collector) | Kaynaklardan logları toplar | Syslog, Windows olayları, API üzerinden veri alır. |
| Ayrıştırıcı (Parser) | Logları anlaşılır hale getirir | Ham veriyi tablo haline dönüştürür. |
| Korelasyon Motoru | Olaylar arasında ilişki kurar | Kurallar ve makine öğrenmesiyle tehditleri tespit eder. |
| Depolama | Logları saklar | Hızlı erişim için SSD, uzun süreli saklama için HDD kullanılır. |
| Panel ve Raporlama | Verileri görselleştirir | Grafikler, tablolar ve haritalarla durumu özetler. |
| Otomatik Müdahale (SOAR) | Tehditlere anında yanıt verir | Hesap kilitleme, IP engelleme gibi işlemleri otomatik yapar. |
3.1 Gelişmiş Özellikler
- Kullanıcı Davranış Analizi (UEBA): Çalışanların normal davranışlarını öğrenir, anormal hareketleri tespit eder.
- Tehdit İstihbaratı: Dünyadaki güncel tehdit listeleriyle entegre çalışır, bilinen zararlı adresleri engeller.
- Ağ Trafik Analizi: Cihazların birbiriyle nasıl iletişim kurduğunu gösterir, anormal trafiği bulur.
- Uyumluluk Raporlaması: KVKK, GDPR, PCI DSS gibi standartlar için hazır raporlar sunar.
Nesil Teknoloji olarak SIEM projelerinde özellikle endüstriyel tesisler için özel sensörler geliştiriyor, fabrika otomasyon sistemlerini de koruyoruz.
4. SIEM Nerelerde Kullanılır?
SIEM hemen her sektörde kullanılır. Özellikle veri güvenliğinin kritik olduğu alanlarda zorunludur.
Bankacılık ve Finans
Bankalar, müşteri işlemlerini sürekli izlemek ve yasal raporlamaları yapmak için SIEM kullanır. Yetkisiz erişim ve dolandırıcılık girişimleri anında tespit edilir.
Sağlık Kuruluşları
Hastaneler, hasta kayıtlarının gizliliğini korumak zorundadır. SIEM sayesinde hangi doktorun hangi hastaya ne zaman eriştiği izlenir, yetkisiz erişimler engellenir.
Kamu Kurumları
Devlet daireleri, vatandaş verilerini korumak ve 7/24 güvenlik sağlamak için SIEM’den faydalanır. E-Devlet gibi kritik sistemler bu sayede izlenir.
Üretim ve Enerji Tesisleri
Fabrikalar ve enerji santrallerindeki kontrol sistemlerine yapılacak saldırılar fiziksel hasara yol açabilir. SIEM, bu sistemlerdeki anormal komutları tespit eder.
E-Ticaret ve Perakende
Online mağazalar, müşteri ödeme bilgilerini korumak zorundadır. SIEM, ödeme sayfalarına yapılan saldırıları ve hesap ele geçirmelerini engeller.
SIEM’in Sağladığı Faydalar
- Her şeyi tek ekrandan izleme imkanı
- Saldırıları dakikalar içinde fark etme
- Yasal raporlamaları otomatik yapma
- Güvenlik ekibinin iş yükünü azaltma
- Olay sonrası adli analiz yapabilme
5. SIEM Kurulum Süreci
SIEM projesi sadece yazılım yüklemekten ibaret değildir. Başarılı olması için belirli adımlar izlenmelidir.
5.1 Planlama ve Keşif
Önce hangi cihazların SIEM’e bağlanacağı, günlük ne kadar log üretileceği ve hangi yasal düzenlemelere uyulması gerektiği belirlenir.
5.2 Ürün Seçimi ve Mimari Tasarım
İhtiyaçlara göre şirket içi (on-premise) veya bulut tabanlı SIEM seçilir. Yedeklilik ve felaket kurtarma planları yapılır.
5.3 Entegrasyon
Güvenlik duvarları, sunucular, bulut sistemler ve diğer kaynaklar SIEM’e bağlanır. Bu aşamada doğru protokollerin kullanılması önemlidir.
| Kaynak Tipi | Nasıl Bağlanır? | Hangi Veriler Toplanır? |
|---|---|---|
| Güvenlik Duvarı | Syslog | İzin verilen/engellenen bağlantılar, VPN oturumları |
| Windows Sunucu | Windows Event Collector | Oturum açmalar, hatalar, uygulama logları |
| Linux Sunucu | Syslog, AuditD | SSH girişleri, yetkili komutlar |
| Active Directory | Windows Event Log | Kullanıcı ekleme/çıkarma, şifre değişiklikleri |
| Bulut (AWS/Azure) | API, CloudTrail | Yönetimsel işlemler, kaynak değişiklikleri |
5.4 Kural Yazma ve İyileştirme
SIEM devreye alındıktan sonra ilk aylarda çok sayıda yanlış alarm oluşabilir. Kurallar zamanla ince ayar yapılarak gerçek tehditlerin yakalanması sağlanır.
5.5 Eğitim ve Devreye Alma
Güvenlik ekibine SIEM’in nasıl kullanılacağı öğretilir, ardından sistem tam kapasite çalışmaya başlar.
Sık Yapılan Hatalar
- Log hacmini küçümsemek ve kapasiteyi yetersiz planlamak
- Sadece hazır kurallarla yetinip kuruma özel kurallar yazmamak
- Yanlış alarmları ciddiye almamak, zamanla ekip duyarsızlaşır
- SIEM’i diğer güvenlik ürünleriyle entegre etmemek
- Kurduktan sonra bakım ve güncelleme yapmamak
Nesil Teknoloji, deneyimli mühendisleriyle bu hataları önler, kurulumdan sonra da yönetim desteği sağlar.
6. SIEM Seçerken Nelere Bakmalı?
Piyasada birçok SIEM çözümü var. Doğru seçim yapmak için şu kriterleri değerlendirin.
| SIEM Çözümü | Dağıtım Modeli | Avantajları | Dezavantajları |
|---|---|---|---|
| Splunk ES | Şirket içi / Bulut | Çok güçlü arama motoru, geniş eklenti desteği | Lisans ücreti yüksek, büyük veride maliyet artar |
| IBM QRadar | Şirket içi / Bulut | Güçlü ilişkilendirme motoru, kurumsal odaklı | Karmaşık arayüz, yönetimi zor |
| Microsoft Sentinel | Bulut (Azure) | Azure ile uyumlu, yapay zeka destekli, başlangıç maliyeti düşük | Azure dışı kaynaklar için ek ücret, öğrenme eğrisi var |
| Wazuh | Şirket içi (Açık kaynak) | Ücretsiz, esnek, topluluk desteği | Kurumsal destek yok, ölçeklendirme için uzmanlık gerekir |
| Elastic SIEM | Şirket içi / Bulut | ELK altyapısı, güçlü arama, ölçeklenebilir | Kurulum ve yönetim uzmanlık ister, hazır kural seti sınırlı |
Seçim Yaparken Sorulacak Sorular
- Günde ne kadar log üretiyoruz? (EPS değeri)
- Bütçemiz ne kadar? Açık kaynak mı ticari ürün mü tercih ederiz?
- Şirket içi mi yoksa bulut tabanlı mı olsun?
- Hangi yasal düzenlemelere tabiyiz? (KVKK, PCI DSS, vb.)
- Kendi ekibimizle yönetebilecek miyiz, yoksa dışarıdan destek alacak mıyız?
Başarılı SIEM Kullanımı İçin İpuçları
- Küçük başlayın, en kritik sistemlerle başlayıp zamanla genişletin.
- Kuralları teker teker devreye alın, aynı anda açmayın.
- Güncel tehdit listelerini (tehdit istihbaratı) kullanın.
- Her alarm türü için nasıl müdahale edileceğini önceden belirleyin (playbook).
- Düzenli bakım yapın, kuralları güncelleyin, depolama alanını kontrol edin.
Nesil Teknoloji olarak SIEM seçiminizde tarafsız danışmanlık yapar, proof of concept (PoC) sürecini yönetir ve kurulum sonrası destek veririz. TSE A Sınıfı Sızma Testi yetkimizle SIEM kurallarınızın ne kadar etkili olduğunu test ederiz.
Sık Sorulan Sorular
SIEM ile IDS/IPS arasındaki fark nedir?
IDS/IPS sadece ağ trafiğini analiz eder ve saldırı imzalarına bakar. Oysa SIEM sadece ağ değil, sunucular, uygulamalar, güvenlik duvarları ve daha birçok kaynaktan veri toplar, bunları birbiriyle ilişkilendirir. Bu nedenle SIEM çok daha geniş bir bakış açısı sunar. En iyisi ikisini birlikte kullanmaktır.
Küçük bir işletme için SIEM gerekli mi?
Küçük işletmeler de siber saldırıların hedefi olabilir. Özellikle müşteri verisi işliyorsanız veya online satış yapıyorsanız SIEM faydalıdır. Bütçeniz kısıtlıysa açık kaynak çözümlerle (Wazuh) başlayabilir veya bulut tabanlı uygun fiyatlı SIEM hizmetlerini değerlendirebilirsiniz.
SIEM kurulumu ne kadar sürer?
Kurum büyüklüğüne göre değişir. Küçük bir işletmede 2-4 hafta içinde temel kurulum yapılabilir. Orta ve büyük ölçekli kurumlarda bu süre 3-6 ayı bulabilir. Kuralların olgunlaşması ve yanlış alarmların azaltılması da ek süre gerektirir.
SIEM maliyetleri nelerdir?
Ticari SIEM ürünleri genellikle günlük işlenen log hacmi (GB) veya saniyedeki olay sayısı (EPS) üzerinden lisanslanır. Açık kaynak çözümlerde lisans ücreti yoktur ama donanım, depolama ve uzman personel maliyeti vardır. Bulut SIEM’ler ise genelde toplanan veri hacmine göre aylık fatura çıkarır.
SIEM tüm saldırıları algılar mı?
Hiçbir güvenlik çözümü %100 koruma sağlamaz. SIEM, bilinen saldırı yöntemlerini ve anormallikleri yakalar. Ancak çok karmaşık ve yeni keşfedilmiş saldırılar (sıfırıncı gün) SIEM’den kaçabilir. Bu yüzden katmanlı güvenlik ve sürekli güncelleme şarttır.
Loglar ne kadar saklanmalı?
Yasal düzenlemelere göre değişir. KVKK’ya göre kişisel veri işleyen sistemlerde loglar 2 yıl, PCI DSS’te 1 yıl, kamu kurumlarında 5-10 yıl saklanabilir. Teknik olarak son aylar sıcak depoda, eski loglar ise arşivde tutulur.
SIEM’i kendimiz yönetmeli miyiz, dışarıdan hizmet mi almalıyız?
Eğer bünyenizde deneyimli güvenlik uzmanları yoksa SIEM size yük olabilir. Bu durumda yönetilen SIEM hizmeti (MSSP) almanız daha verimlidir. Nesil Teknoloji olarak hem kurulum hem de yönetilen SIEM hizmeti sunuyoruz.
SIEM ile Güvenliğinizi Güçlendirin
Siber tehditler her geçen gün artıyor. SIEM sayesinde ağınızdaki tüm hareketleri tek bir yerden izler, saldırıları erken fark eder ve yasal zorunlulukları kolayca yerine getirirsiniz. Unutmayın, SIEM doğru yapılandırılmaz ve sürekli bakım yapılmazsa etkili olmaz.
Nesil Teknoloji olarak 15 yılı aşkın siber güvenlik deneyimimiz, TSE A Sınıfı Sızma Testi yetkinliğimiz ve uzman kadromuzla SIEM yolculuğunuzda size rehberlik ediyoruz. İhtiyacınıza en uygun SIEM çözümünü seçmek, kurmak ve yönetmek için bize ulaşın.
