Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) platformları, siber güvenlik tehditlerini gerçek zamanlı olarak tespit etmek, analiz etmek ve yanıtlamak için gereklidir.
Bununla birlikte, bir SIEM sisteminin etkinliği büyük ölçüde yutulan kütüklerin kalitesine ve önceliklendirilmesine bağlıdır.
Bu makalede SIEM kütük alımı, teknik hususlar için en iyi uygulamaları araştırmakta ve uygulayıcılar için yüksek öncelikli günlük kaynakları ve olay kodlarının referans tablosuna sunulmaktadır.
.png
)
SIEM kütük yutulmasını anlamak
SIEM’de kütük yutulmasının rolü
SIEM günlük yutulması, analiz ve tehdit algılaması için bir SIEM platformuna bağlı olarak, uç noktalar, ağ cihazları, bulut platformları ve uygulamalar gibi çeşitli kaynaklardan günlük verilerinin toplanma, merkezileştirilmesi ve depolanması işlemidir.
İşlem, standartlaştırılmış günlük iletimi için yaygın olarak kullanılan syslog gibi protokollerle hem ajan tabanlı hem de ajansız yöntemleri içerir.
Kilit zorluklar
- Hacim ve gürültü: Kuruluşlar, potansiyel kütük aşırı yüklenmesine yol açarak çok miktarda kütük üretir. Ezici analistlerden kaçınmak ve eyleme geçirilebilir güvenlik olaylarına odaklanmak için düşük öncelikli veya alakasız günlükleri filtrelemek çok önemlidir.
- Uyumluluk: Farklı sistemler çeşitli formatlarda kütükler üretir. Uyumluluk ve normalleşmenin sağlanması etkili analiz için hayati önem taşır.
- Önceliklendirme: Tüm günlükler güvenlik izleme için eşit derecede değerli değildir. Kritik günlük kaynaklarına ve olay türlerine öncelik vermek, algılama ve yanıt etkinliğini artırır.
Günlük kaynaklarına öncelik vermek:
Riske dayalı yaklaşım
Kuruluşlar, SIEM günlük yutma stratejilerini benzersiz risk profillerine, düzenleyici gereksinimlerine ve operasyonel ortamlara uyarlamalıdır.
Aşağıdaki günlük kaynakları, yüksek analitik değerleri ve tehdit tespiti ile ilgileri nedeniyle yutma için tipik olarak önceliklendirilir:
- Son nokta algılama ve yanıt (EDR) günlükleri
- Ağ aygıtı günlükleri (güvenlik duvarları, yönlendiriciler, anahtarlar)
- Active Directory/Etki Alanı Denetleyici Günlükleri
- Bulut Platform Günlükleri (AWS, Azure, GCP)
- Uygulama ve Veritabanı Günlükleri
- İşletim Sistemi Günlükleri (Windows, Linux, macOS)
- Kimlik Doğrulama ve Erişim Kontrolü Etkinlikleri
Örnek: Windows olay kimlikleri
SIEM için kritik Windows olay kimlikleri şunları içerir:
- 4624: Başarılı oturum açma
- 4625: başarısız oturum açma
- 4688: Süreç oluşturma
- 4672: atanan özel ayrıcalıklar
- 1102: Denetim günlüğü temizlendi
Bu olaylar, yetkisiz erişim, ayrıcalık artışı ve potansiyel log kurutma tespiti için hayati önem taşır.
Teknik Uygulama:
Güvenlik etkinlikleri için enstrümantasyon uygulamaları
Uygulamalar doğrudan SIEM’e güvenlikle ilgili olayları yaymak için aletlenebilir. Örneğin, Node.js:
javascriptfunction logSecurityEvent(eventType, details) {
const event = {
timestamp: new Date().toISOString(),
service: process.env.SERVICE_NAME,
event_type: eventType,
environment: process.env.ENVIRONMENT,
host: os.hostname(),
...details
};
console.log(JSON.stringify(event));
if (process.env.SIEM_ENDPOINT) {
axios.post(process.env.SIEM_ENDPOINT, event)
.catch(err => console.error('Failed to send to SIEM:', err));
}
}
Bu yaklaşım, hem başarılı hem de başarısız kimlik doğrulama girişimlerinin tutarlı, bağlamsal bir günlüğe kaydedilmesini sağlar ve güçlü tehdit algılamasını destekler.
SIEM verilerini sorgulamak
IBM Qradar gibi platformlar için uygulayıcılar, ilgili olayları çıkarmak için AQL sorguları çalıştırabilirler:
sqlSELECT qidname(qid) AS 'Event', username AS 'Username', devicetime AS 'Time'
FROM events
WHERE 'high-level category ID' AND 'low-level category ID'
AND LOGSOURCENAME(logsourceid) LIKE "%Low-level category name%"
LAST 3 DAYS
Bu, kimlik doğrulama hataları veya ayrıcalık kullanımı gibi belirli olay kategorilerinin hedefli analizini sağlar.
Yüksek öncelikli günlük kaynakları ve olay kodları
| Kütük kaynağı | Örnek Olay/Alan | Açıklama/Kod |
|---|---|---|
| Windows Güvenlik Günlükleri | Başarılı oturum açma | Olay Kimliği 4624 |
| Başarısız Oturum Açma | Olay Kimliği 4625 | |
| Süreç oluşturma | Olay Kimliği 4688 | |
| Denetim günlüğü temizlendi | Olay Kimliği 1102 | |
| Ağ aygıtı günlükleri | Güvenlik duvarı inkar/izin ver | Eylem, kaynak IP, Dest IP, protokol |
| VPN Bağlantısı/Bağlantısı | Olay Türü, Kullanıcı Kimliği, Genel IP | |
| Bulut Platform Günlükleri | AWS CloudTrail Etkinliği | Hepsi (örn., GetObject, Runinstances) |
| Azure Unified Denetim Günlüğü | Tüm | |
| Active Directory günlükleri | Kullanıcı hesabı oluşturuldu/değiştirildi | Olay Kimlikleri 4720, 4738 |
| Ayrıcalık kullanımı | Olay Kimliği 4672 | |
| Uygulama Günlükleri | Kimlik Doğrulama Başarısı/Başarısızlığı | Özel alanlar (user_id, source_ip) |
| Veritabanı Günlükleri | Sorgu yürütme | Sorgu, Kullanıcı, Zaman |
Etkili SIEM log alımı, yüksek değerli günlük kaynaklarının önceliklendirilmesine, gürültüyü filtrelemeye ve çeşitli sistemlerde uyumluluğun sağlanmasına bağlıdır.
Kritik olay kategorilerine odaklanarak ve standartlaştırılmış günlük formatlarından ve teknik enstrümantasyonlardan yararlanarak, kuruluşlar tehdit algılamalarını ve olay müdahale yeteneklerini geliştirebilir – SIEM’i modern siber güvenlik operasyonlarının temel taşı yapmak.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!