24 Oca 2020

Bilgi Güvenliği ve Olay Yönetimi (SIEM)

SIEM nedir?

TechTarget’e göre güvenlik bilgileri ve olay yönetimi veya SIEM tanımı, “SIM (güvenlik bilgi yönetimi) ve SEM (güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetim sisteminde birleştiren güvenlik yönetimine bir yaklaşımdır.”

Güvenlik bilgileri ve olay yönetimi sistemleri, hızlı olay yanıtını sınırlayan üç ana zorluğu giderir:

  1. Büyük miktarda birleştirilmemiş güvenlik verisi olup bitenleri görmeyi ve tehditlere öncelik vermeyi zorlaştırır.
  2. BT ekipleri, siber güvenlik becerileri boşluğu nedeniyle yetersiz / yetersizdir.
  3. Uygunluğu gösterme ihtiyacı tehdit tanımlama ve yanıttan zaman alır.

SIEM nedir? Bir Sonraki Seviye Mimarisi Açıklandı

SIEM sistemleri, tehditlere karşı saldırıları hafifleten kuruluşlar için kritik öneme sahiptir. Ortalama bir kuruluşun güvenlik operasyonları merkezi (SOC) günde 10.000’den fazla uyarı alıyor ve en büyük işletmeler 150.000’den fazla görüyor. Bununla birlikte, her zamankinden daha karmaşık siber tehditler nedeniyle artan risk, uyarıları göz ardı etmeyi oldukça tehlikeli hale getirmektedir. Tek bir uyarı, büyük bir olayın tespit edilmesi ve engellenmesi ile tamamen ortadan kaldırılması arasındaki fark anlamına gelebilir. SIEM güvenliği, uyarıları tetiklemek ve araştırmak için daha verimli bir yöntem sunar. SIEM teknolojisi ile, ekipler güvenlik verilerinin sınırlarını takip edebilir. [Devam eden yeni sorun eğitim belgesine bağlantı]

Güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri, tehdit algılamayı hızlandırmak ve güvenlik olayı ile olay yönetiminin yanı sıra uyumluluğu desteklemek için günlükleri toplar ve güvenlik olaylarını diğer verilerle birlikte analiz eder. Esasen, bir SIEM teknoloji sistemi, birden fazla kaynaktan veri toplayarak tehditlere daha hızlı yanıt verilmesini sağlar. Bir anormallik algılanırsa, daha fazla bilgi toplayabilir, bir uyarıyı tetikleyebilir veya bir öğeyi karantinaya alabilir.

SIEM teknolojisi geleneksel olarak uygunluğu göstermek isteyen işletmeler ve kamu şirketleri tarafından kullanılırken, güvenlik bilgilerinin ve olay yönetiminin çok daha güçlü olduğunu anladılar. SIEM teknolojileri o zamandan beri her büyüklükteki kuruluş için önemli bir tehdit algılama aracı olarak gelişti. Günümüz tehditlerinin karmaşıklığı ve siber güvenlik becerileri eksikliğinin gelişmediği düşünüldüğünde, ihlalleri ve diğer güvenlik endişelerini hızlı ve otomatik olarak algılayabilen güvenlik bilgisi olay yönetimine sahip olmak önemlidir. SIEM yetenekleri, daha küçük ve orta ölçekli organizasyonları bir güvenlik ve olay yönetimi çözümü de kullanmaya teşvik ediyor.

 

 

SIEM Nasıl Çalışır?

Bazı kuruluşlar hala “SIEM ne yapıyor?” Diye merak ediyor olabilir. SIEM teknolojisi, sunuculardan, son kullanıcı cihazlarından, ağ ekipmanlarından ve uygulamalardan ve güvenlik cihazlarından güvenlikle ilgili bilgileri toplar. Güvenlik olayı ve bilgi yönetimi (SIEM) çözümleri, verileri kategorilere ayırır ve olası bir güvenlik sorunu belirlendiğinde, önceden ayarlanmış ilkelere göre bir uyarı gönderebilir veya başka bir şekilde yanıt verebilir. Ağ genelinde toplanan verilerin toplanması ve analizi, güvenlik ekiplerinin büyük resmi görmelerini, erken aşamalardaki ihlalleri veya olayları tespit etmelerini ve hasar yapılmadan önce yanıt vermelerini sağlar.

SIEM sistemleri, günlükleri olabildiğince çok kaynaktan alır ve yorumlar:

  • Güvenlik duvarları / birleşik tehdit yönetim sistemleri (UTM’ler)
  • Saldırı tespit sistemleri (IDS) ve saldırı önleme sistemleri (IPS)
  • Web filtreleri
  • Uç nokta güvenliği
  • Kablosuz erişim noktaları
  • Yönlendiriciler
  • Anahtarlar
  • Uygulama sunucuları
  • Honeypots

SIEM sistemleri analiz, raporlar ve izleme için bu günlüklerdeki olay verilerine ve bağlamsal verilere bakar. BT ekipleri, bu sonuçlara dayanarak güvenlik olaylarına etkin ve verimli bir şekilde yanıt verebilir.

 

Neden SIEM: Kritik Faydalar?

Güvenlik bilgileri ve olay yönetimi çözümleri, temel tehdit algılama özellikleri, gerçek zamanlı raporlama, uyumluluk araçları ve uzun vadeli günlük analizi sağlar. En büyük faydaları:

  • Artırılmış güvenlik etkinliği ve tehditlere daha hızlı yanıt. SANS Enstitüsü’ne göre , bir güvenlik ve olay yönetimi çözümü, bir analistin şüpheli davranış kalıplarını bireysel sistemlerden verilere bakarak mümkün olandan daha hızlı ve etkili bir şekilde tanımlamasını ve yanıtlamasını sağlamalıdır . Gerçekten etkili olabilmek için başarılı ihlalleri önleyebilmelidir.
  • Verimli uyumluluk gösterisi. SIEM teknolojisi ayrıca SIEM BT ekiplerinin endüstri ve hükümet düzenlemelerine ve güvenlik standartlarına uyumu izlemesini ve raporlamasını kolaylaştırmalıdır.
  • Karmaşıklıkta önemli azalma. Birden fazla uygulama ve cihazdan alınan güvenlik olayı verilerinin birleştirilmesi hızlı ve kapsamlı bir analiz sağlar. Ayrıca, tekrar eden görevler otomatikleştirilir ve daha önce uzmanların gerektirdiği görevler daha az deneyimli personel tarafından gerçekleştirilebilir.

 

Bir SIEM Tedarikçisi Seçme: Satın Alma Rehberiniz

Research and’ın yakın tarihli bir SIEM raporuna göre, “Küresel güvenlik bilgileri ve etkinlik yönetimi pazarının 2018’de 2.59 milyar dolar olduğunu ve 2019-2024 tahmin döneminde% 10.4’lük bir CAGR’de büyümesi bekleniyor.

Bu hızla büyüyen pazar çok fazla rekabet besliyor, bu yüzden bir güvenlik bilgisi ve olay yönetimi çözümünde neleri arayacağınızı bilmek önemlidir. En azından bir SIEM çözümü aşağıdakileri yapabilmelidir:

  • Her güvenlik cihazından veri toplayın
  • Verileri toplama, ilişkilendirme ve analiz etme
  • Mümkün olan her yerde otomatikleştirin
  • Yalnızca cihazları değil, işletme hizmetlerini izleyin

Bir SIEM çözümü seçerken neyin gerçekten önemli olduğu hakkında daha fazla bilgi için e-Kitabı okuyun .

Çoğu kuruluş, bir güvenlik bilgisi ve olay yönetimi çözümünden temel işlevsellikten daha fazlasını isteyecektir. Aşağıdaki kontrol listesi, yatırım getirisini (YG) en üst düzeye çıkaracak belirli özellikler hakkında rehberlik sağlar:


Mevcut güvenlik ve ağ mimarilerine kesintisiz entegrasyon
Güvenlik mimarisinin Fortinet Güvenlik Dokusu’na mı yoksa çok satıcılı bir ortama mı, bir güvenlik bilgisine ve olay yönetimine mi bağlı olduğu çözüm sorunsuz bir şekilde bütünleşmelidir. Bölgeye özgü veya sektöre özgü olanlar da dahil olmak üzere çok sayıda güvenlik ve BT cihazından verileri otomatik olarak keşfedebilmeli ve alabilmelidir.

Başlangıçta, kapsamlı profesyonel hizmetlere ihtiyaç duymadan esnek dağıtım seçenekleri, hızlı dağıtım ve kolayca özelleştirilebilir olmalıdır.

Çözüm aynı zamanda iş büyümesi ile ölçeklenebilir olmalıdır.


Yüksek kaliteli, öncelikli uyarılar
Olay korelasyonu ve analizi olmadan, konsolide veriler bile değersizdir. SIEM çözümü, verilerden hangi sonuçların çıkarılması gerektiğini belirlemek için birden çok yöntem kullanmalıdır.

Ayrıca, anahtar, hem fiziksel hem de sanal altyapının, şirket içi ve genel / özel bulutların topolojisini otomatik olarak haritalayan ve olay analizi için bağlam sağlayan akıllı bir altyapı ve uygulama keşif motoru kullanmaktır. Bu, bu bilgiler manuel olarak eklendiğinde oluşabilecek boşa harcanan zamanı ve hataları ortadan kaldırır.

Ayrıca, en iyi SIEM çözümü kullanıcı kimliklerini ağ (IP) adresleri ve cihazları ile ilişkilendirecektir. Bu olay bağlamı, sağlam kural kümeleri ve gelişmiş analitikle birlikte, acil müdahale gerektirenleri işaretleyerek tehdit önceliklendirmesine olanak tanır. Sonuç olarak, yöneticiler yüksek riskli olayları hemen ele alabilir ve düşük riskli olayları otomatik yanıt süreçlerine yükleyebilir.


Otomatik olay azaltma
İdeal bir SIEM çözümü, çok satıcılı güvenlik cihazları aracılığıyla uygun yanıtı düzenlemek için güvenlik düzenleme otomasyonu ve yanıtı (SOAR) kullanır. Etkinliğin risk düzeyine ve karmaşıklığına bağlı olarak otomatik olarak yanıt verebilir veya bir insan operatörü uyarabilir. Bu esneklik, kuruluşların güvenlik verilerindeki patlayıcı büyüme ve tehditlerin hızlanması karşısında doğru tepki hızı ve insan gözetimi dengesini elde etmelerine yardımcı olur.


Tek bir cam bölmeden yüksek değerli iş bilgileri
Tipik güvenlik bilgileri ve olay yönetimi çözümleri, olay bilgilerini iş bağlamında sunmaz. Bununla birlikte, bu çok faydalıdır ve dahil edilmelidir. Örneğin, bir SIEM kontrol paneli, bu hizmeti destekleyen ayrı cihazların (sunucular, ağ ekipmanı ve güvenlik araçları) durumu yerine şirketin e-ticaret hizmetinin durumunu gösterecek şekilde yapılandırılabilir. Bu, güvenlik ekibinin iş kollarına anlamlı güncellemeler sunmasını sağlar.

Alternatif olarak, güvenlik yöneticileri belirli bir cihazın kullanılamaması veya tehlikeye girmesi durumunda hangi iş hizmetlerinin etkileneceğini hızlı bir şekilde görebilir. En önemlisi, tek bir personel tüm güvenlik bilgilerini ve olay yönetimi faaliyetlerini merkezi bir konsoldan denetleyebilir.


Uyumluluk için hazır raporlama
PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13 ve SANS Kritik Kontrolleri dahil olmak üzere çok çeşitli uyumluluk denetimi ve yönetimi gereksinimlerini destekleyen önceden tanımlanmış raporlara sahip bir çözüm, uyumluluk görevlerini üstlenirler. SIEM güvenlik ekipleri zamandan tasarruf edebilir ve uyumluluk eğitimini en aza indirebilir. Denetim / raporlama son tarihlerini düzenlemeler ve içerik gereklilikleri hakkında derinlemesine bilgi edinmeye gerek kalmadan karşılamak da avantajlıdır.

Neden Fortinet FortiSIEM?

Güvenlik yönetimi ağa daha fazla uygulama, uç nokta, IoT cihazı, bulut dağıtımı, sanal makine vb. Eklendiğinde daha karmaşık hale gelir. Bu patlayan saldırı yüzeyinin güvenliğini sağlamak için tüm cihazların ve tüm altyapının gerçek zamanlı olarak görünür olması gerekir. Ancak bağlam da gereklidir. Kuruluşların hangi cihazların bir tehdidi nerede temsil ettiğini bilmesi gerekir.

Fortinet’in güvenlik bilgileri ve olay yönetimi sistemi FortiSIEM, görünürlük, korelasyon, otomatik yanıt ve iyileştirmeyi tek bir ölçeklenebilir çözümde bir araya getirir. FortiSIEM, kaynakları etkili bir şekilde serbest bırakmak, ihlal tespitini iyileştirmek ve hatta ihlalleri önlemek için ağ ve güvenlik operasyonlarını yönetmenin karmaşıklığını azaltır. Dahası, Fortinet’in mimarisi, günlükler, performans metrikleri, güvenlik uyarıları ve yapılandırma değişiklikleri de dahil olmak üzere çeşitli bilgi kaynaklarından birleştirilmiş veri toplama ve analize olanak sağlıyor. FortiSIEM, iş güvenliği ve kullanılabilirliği hakkında daha bütünsel bir görünüm için, temel olarak güvenlik operasyonları merkezinin (SOC) ve ağ operasyonları merkezinin (NOC) geleneksel olarak izlenen analizlerini birleştirir.

FortiSIEM’in başlıca özellikleri şunlardır:

 

Bir cihazın bağlamsal yeteneklerini anlayarak yanlış pozitifleri azaltmak için varlık kendini keşfetme

 

Kullanılabilirlik, kullanım ve güvenlik duruşu hakkında gerçek zamanlı iş görünümü sağlamak için ağa duyarlı ve satıcıdan bağımsız operasyonlar ve yönetim ile     hızlı entegrasyonlar ve ölçeklenebilirlik

 

Önde gelen bir güvenlik düzenlemesi ve tehditlere hızla yanıt vermek için otomatik yanıt motoru (SOAR) tarafından yönlendirilen     otomatik iş akışı

 

Tek bölmeli cam görünümü , ekipleri hızlı bir şekilde servis sorunlarını gidermek için bir araya getirir

FortiSIEM güvenlik bilgileri ve olay yönetimi çözümü, piyasadaki tipik bir çözümün düşünülmesinin ötesine geçer. Dahil yanında sorunsuz entegrasyon, aslına uygun, öncelikli uyarılar, otomatik olay hafifletilmesini, camın tek bölmesinden yüksek değerli iş bilgileri ve uyumu hazır raporlama diğer temel yetenekleri bir numarası vardır.

FortiSIEM’in değeri eWeek ile özetlenir : “Bu çözüm, yerleşik bir yapılandırma yönetimi veritabanı (CMDB), dosya bütünlüğü izleme (FIM), uygulama ve sistem performansı izleme gibi tamamlayıcı özelliklere ek olarak temel SIEM özellikleri de sağlar.” FortiSIEM CMDB motoru, ağa bağlı tüm elemanları (cihazlar, uygulamalar, kullanıcılar, IoT cihazları, vb.) Ve bunların karşılıklı ilişkilerini otomatik olarak keşfeder. SIEM, kendi kendine öğrenmeye ve ilk taban çizgisinin ötesindeki değişiklikleri rapor etmeye devam eden kapsamlı ve bütünsel bir topoloji haritası sunar.

FortiSIEM, herhangi bir ağ mimarisine kolayca uyum sağlamak için bir dizi form faktöründe mevcuttur: donanım cihazları, sanal makineler ve Amazon Web Services (AWS). Çeşitli seçenekler sunmak için farklı performans seviyelerine sahip fiziksel cihazlar mevcuttur. FortiSIEM mimarisi, ölçeklendirme, kurumsal ve hizmet sağlayıcıya hazır, çok kullanıcılı bir çerçevedir. Her FortiSIEM Collector, yüksek performans ve kullanılabilirlik için saniyede 10.000’den fazla güvenlik olayını (EPS) ve 1.000’den fazla cihazı izleyebilir.

Kurumsal Strateji Grubu (ESG), bir SIEM teknik doğrulama testinde FortiSIEM’in yeteneklerinin ve etkinliğinin ayrıntılı bir incelemesini yaptı . ESG Lab, Fortinet’in FortiSIEM’inin, heterojen sistemlerden güvenlik, performans ve kullanılabilirlik verilerini çapraz ilişkilendirerek bağlam, görünürlük ve hızlı yanıt verdiğini doğruladı. Bu, bir güvenlik kuruluşunun güvenlik, performans ve kullanılabilirlik olaylarını hızlı bir şekilde keşfetmesini, araştırmasını ve bunlara yanıt vermesini sağlar; bu da olayları tamamen hızlı, odaklanmış, güvenli bir eylemle ele almak için gerekli araçları sağlar. Kuruluşlar, tespit edilmeden çözüme kadar olan süreyi kısaltarak, iyileştirme süreçlerinde değerli zaman geçirerek sadece zamandan değil, çabadan ve paradan da tasarruf edebilirler. ”

Test, “FortiSIEM’in siber güvenlik ve BT operasyonları yönetimindeki benzersiz yetenekleri, kuruluşların anormal faaliyetleri ve olayları güvenle tespit etmesi ve çözmesi ve iş sürekliliğini koruması için gereken gerçek zamanlı ve tarihsel analitiği – ilişkili bağlamla – sağlıyor.

Fortinet FortiSIEM hakkında daha fazla bilgi edinin .