Vebende Akademi - siem-systems
Vebende Akademi
Uzmanla Konuşun
Blog
MAKALE

SIEM Systems — Güvenlik Bilgi ve Olay Yönetimi: Mimarisi, Kullanımı ve En İyi Uygulamalar

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~60–180 dk

SIEM Systems — Güvenlik Bilgi ve Olay Yönetimi: Mimarisi, Kullanımı ve En İyi Uygulamalar

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~60–180 dk

1. GİRİŞ

SIEM (Security Information and Event Management), kurumların güvenlik telemetrisini toplayıp korele ederek tehditleri, anormallikleri ve uyumluluk ihlallerini tespit etmeye yarayan merkezi platformlardır. Bulut‑native altyapıların, mikroservislerin ve hızla yayılan uç nokta sayısının arttığı günümüzde SIEM, güvenlik operasyonlarının omurgasını oluşturur. SIEM sayesinde güvenlik ekipleri saldırıları erken tespit edip hızlıca müdahale edebilir; aynı zamanda regülasyonlar için gerekli log ve raporlama ihtiyaçları karşılanır.

Neden bugün SIEM konuşuluyor?

  • Karmaşık altyapılar ve hızlı değişim görünürlüğü zorlaştırıyor; merkezi korelasyon ihtiyacı artıyor.
  • APT'ler ve otomatik saldırılar dwell time'i uzatıyor; hızlı tespit hayat kurtarıyor.
  • Uyumluluk ve denetim talepleri (PCI/DSS, GDPR, KVKK) loglama ve saklama gerektiriyor.

Kimler için önemli?

  • SOC ekipleri: olay tespiti, triage ve response görevleri için
  • DevOps / SRE: sistem telemetrisi ve güvenlik olaylarının operasyonel etkilerini anlamak için
  • Güvenlik yöneticileri ve CISO: risk göstergelerini izlemek ve raporlamak için

2. KAVRAMSAL TEMELLER

2.1 SIEM nedir — kısa tanım

SIEM, log toplama, normalizasyon, uzun dönem saklama, korelasyon, uyarı üretme ve raporlama işlevlerini bir arada veren yazılım veya hizmetlerdir. Modern SIEM çözümleri ayrıca UEBA (User and Entity Behavior Analytics), Threat Intelligence entegrasyonu ve makine öğrenmesi tabanlı anomali tespiti sağlar.

2.2 Temel bileşenler

  • Collectors/Agents: Kaynaklardan (OS, uygulama, DB, cloud) log toplayan ajanlar veya syslog/collector'lar.
  • Event Pipeline: Parsing, enrichment, normalization ve indexing adımlarının yer aldığı veri hattı.
  • Storage: Hot/warm/cold katmanlar — arama performansı, maliyet ve uyumluluk dengesi.
  • Detection Engine: Kural tabanlı korelasyon, istatistiksel modeller, ML/UEBA komponentleri.
  • Case Management & SOAR: Olay triage, playbook ve otomasyon entegrasyonu.
  • Dashboard ve Reporting: Gerçek zamanlı gösterge panoları ve uyumluluk raporları.

3. NASIL ÇALIŞIR? — TEKNİK MİMARİ VE VERİ AKIŞI

3.1 Veri toplama ve kaynaklar

SIEM veri kaynağı olarak geniş bir yelpaze kullanır: sunucu (syslog), uygulama logları, veritabanı audit logları, güvenlik cihazları (firewall, IDS/IPS), cloud provider audit log'ları (CloudTrail, Azure Activity Log), kimlik sistemleri (IdP, AD) ve endpoint çözümleri (EDR). Data ingestion sırasında agent‑side filtreleme, JSON yapılandırması ve meta bilgi eklenmesi en iyi uygulamalardandır.

3.2 Normalizasyon ve zenginleştirme

Farklı formatlardaki logların ortak bir şemaya dönüştürülmesi (normalization) analiz ve korelasyon için gereklidir. Zenginleştirme adımları (threat intelligence lookup, geoIP, user context) tespitin doğruluğunu artırır.

3.3 Korelasyon ve detection

Korelasyon kuralları basit eşleştirmelerden (ör. belli bir IP'den çok sayıda failed login) karmaşık zincirlere (çok aşamalı saldırı göstergeleri) kadar çeşitlenir. Modern SIEM'ler: kural‑bazlı detection, zaman serisi istatistikleri, davranış analizi (UEBA) ve ML tabanlı anomaliler kullanır. Detection pipeline genellikle score üretir; score eşiklerine göre uyarılar oluşturulur ve incident generator tetiklenir.

3.4 Olay yönetimi ve otomasyon

Uyarı triage'ı SOC içinde manuel veya SOAR tarafından otomatikleştirilir. SOAR playbook'ları enrichment, containment (firewall block, isolate endpoint), ticket oluşturma ve raporlama adımlarını otomatikleştirerek MTTR'yi (mean time to respond) azaltır.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Büyük ölçek örnekleri

Finans, telekom ve cloud sağlayıcılar yüksek veri hacimleri ve sıkı düzenlemeler nedeniyle gelişmiş SIEM çözümleri kullanır. Örneğin banka ortamında transaction monitoring ile birleşik SIEM, dolandırıcılık tespiti ve uyumluluk raporlama için kullanılır. Cloud sağlayıcı müşterileri CloudTrail, GuardDuty çıktısını merkezi SIEM ile birleştirir.

4.2 Hybrid ve multicloud senaryoları

Hybrid ortamlar SIEM tasarımını karmaşıklaştırır: farklı bulutların log formatları, veri yerleşimi ve network erişim kısıtları göz önünde bulundurulmalıdır. Centralized logging altyapısı genellikle bir event bus (Kafka, Kinesis) üzerinden tasarlanır ve ingestion katmanında tenant/region bazlı ayırma yapılır.

4.3 Orta ve küçük ölçek için managed SIEM

Küçük ekipler için managed SIEM veya MSSP (Managed Security Service Provider) uygun maliyetli çözüm sunar; başlangıç aşamasında SIEMayı kendiniz kurmak yerine hizmet satın almak daha hızlı görünürlük sağlar.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

  • Merkezi görünürlük: tüm güvenlik telemetrisi tek noktada toplanır.
  • Korelasyon ile çok aşamalı saldırıların tespiti mümkün hale gelir.
  • Uyumluluk ve adli analiz için güvenilir kanıt ve arşiv sağlar.

Sınırlamalar

  • Maliyet: özellikle yüksek ingest hacminde lisanslama ve depolama maliyetleri yüksek olabilir.
  • Yüksek false positive oranı: kötü tasarlanmış kurallar SOC'u yorabilir.
  • Veri gizliliği ve veri lokasyon gereksinimleri: bazı loglar lokal saklanmak zorunda olabilir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

YaklaşımAvantajDezavantaj
On‑prem SIEM (Splunk, QRadar)Full control, veri localizasyonuOperasyon ve HW/infra maliyeti
Cloud SIEM (SaaS)Hızlı kurulum, ölçeklenebilirlikVeri transfer maliyeti, vendor lock‑in
Managed SIEM / MSSPOperasyonel yükü azaltırGizlilik, SLA ve uzman bağımlılığı
Lightweight log aggregation (ELK, OpenSearch)Maliyet etkin, esnekGüvenlik analitiği için ek geliştirme gerekebilir

7. EN İYİ PRATİKLER

Production kullanımı

  • Kaynak seçimi: kritik kaynaklardan log toplanmasını garanti altına alın (auth, admin, network, EDR, cloud audit).
  • Structured logging: JSON tabanlı ve schema'lı log formatları tercih edin.
  • Agent‑side filtering & enrichment: gereksiz hacmi azaltmak için collector seviyesinde ön işleme yapın.
  • Threat intel ve context enrichment: IOC, domain reputation, CVE feed'leri ile zenginleştirme yapın.
  • SOAR entegrasyonu: repeatable containment playbook'larını otomatikleştirin.

Performans ve maliyet optimizasyonu

  • Ingest kontrolü: hangi logların hangi frekansta gönderileceğini tanımlayın.
  • Cold storage: uzun süreli arşiv için obje depolama kullanın ve sıcak katmanı küçük tutun.
  • KPI'lar: MTTR, false positive oranı, alert doğruluk oranı gibi metrikleri takip edin.

Güvenlik operasyonu

  • Detection engineering: kuralları test eden CI süreçleri kurun.
  • Purple team: detection yeteneklerini düzenli saldırı simülasyonları ile test edin.
  • Playbook revizyonu: tüm otomasyon adımlarını düzenli olarak gözden geçirin ve güncelleyin.

8. SIK YAPILAN HATALAR

  • Tüm logları toplayıp hiçbirini analiz etmeme — visibility yanılsaması.
  • Kural spagetti: birbirine bağımlı, test edilmemiş kuralların SOC'u yorması.
  • Eksik context: alert'leri user/service context olmadan açmak triage sürecini uzatır.
  • MSSP/SIEM entegrasyonunu yapıp kabul testlerini atlamak; SLA başarısızlıkları ortaya çıkar.

9. GELECEK TRENDLER

AI/ML destekli detection ve explainability

ML tabanlı modellerin artmasıyla detection yetenekleri gelişecek; bununla birlikte explainability gereksinimi de yükselecek. Modellemenin nasıl karar verdiğini anlamak SOC analistleri için kritik olacak.

Observability ve security convergence

Observability (traces/metrics/logs) ve security monitoring entegrasyonu daha sıkı olacak; dev ve sec ekipleri ortak telemetri platformları kullanacak.

Privacy‑aware monitoring

Veri gizliliği regülasyonları nedeniyle SIEM mimarileri veri maskeleme, field‑level masking ve differential privacy gibi yaklaşımları entegre edecek.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

  1. 1. SIEM'e hangi loglar öncelikli olarak gönderilmeli?

    Authentication/authorization, admin actions, network flow logs, EDR alerts ve cloud audit trails önceliklidir.

  2. 2. SIEM ve ELK ikisini birlikte kullanmalı mıyım?

    ELK/OpenSearch log yönetimi ve arama için, SIEM ise korelasyon ve detection için kullanılabilir; entegrasyon gerektirir.

  3. 3. False positive nasıl azaltılır?

    Context enrichment, detection engineering, threshold tuning ve ML destekli sınıflandırma ile false positive azaltılabilir.

  4. 4. SIEM maliyetleri nasıl optimize edilir?

    Agent‑side filtreleme, sampling, cold storage ve retention politikaları ile maliyet kontrolü sağlanır.

  5. 5. Managed SIEM mi yoksa on‑prem tercih etmeli?

    Kaynaklar, uzmanlık, veri lokalizasyon gereksinimleri ve bütçe değerlendirilerek karar verin; küçük ekipler için managed SIEM hızlı değer sağlar.

  6. 6. SIEM ile SOAR arasındaki ilişki nedir?

    SIEM tespit üretir, SOAR bu tespitleri alıp otomatikleştirilebilir müdahale ve triage akışlarını çalıştırır.

  7. 7. UEBA SIEM'e nasıl entegre edilir?

    SIEM data warehouse veya stream'ine UEBA feature'ları beslenir; entity baslined ve anomaliler score'lanır.

  8. 8. SIEM proje başlatırken ilk adım nedir?

    Current state inventory — hangi logların mevcut olduğu, ingestion yolları ve öncelikli use case'leri belirlemekle başlayın.

Anahtar Kavramlar

  • SIEM: Güvenlik loglarının toplanıp analiz edildiği platform.
  • UEBA: Kullanıcı ve varlık davranışlarının temel alındığı anomali tespiti.
  • SOAR: Olay yanıtlama otomasyonu.
  • IOC: Indicator of Compromise — bilinen saldırı göstergeleri.

Öğrenme Yol Haritası

  1. 0–1 ay: Temel loglama, syslog, JSON log formatları, temel SIEM kavramlarını öğrenin.
  2. 1–3 ay: SIEM rule yazma, parsing, normalization ve threat intel entegrasyonunu pratik yapın.
  3. 3–6 ay: UEBA, ML tabanlı detection ve SOAR playbook oluşturma becerileri kazanın.
  4. 6–12 ay: Purple team tatbikatları, model explainability ve enterprise scale monitoring projelerinde deneyim edin.