Log yönetim sistemleri, belirlenen sistemlerdeki logların toplanması, ilişkilendirilmesi, arşivlenmesi, raporlanması işlevlerini yerine getirir. Böylece, milyonlarca satırlık logun içinden kurum için anlamlı bilginin bulunması kolaylaşır. Loglardaki bilgilerden anlamlı raporlar oluşturulup performans, güvenlik gibi konularda veri olarak kullanılabilir. Loglar, adli amaçlı kullanılmak üzere delil olarak saklanabilir.Bilgi sistemleri içerisinde çalışmakta olan tüm ağ ve güvenlik bileşenleri her gün çok sayıda log üretir. Ancak bunlara bir de sunucular ve istemcilerin logları da eklendiğinde hareketlere ve trafiğe ilişkin değerli olabilecek bir çok bilginin süzülmesi, başka hareket ve trafik bilgileri ile ilişkilendirilmesi, analiz edilmesi, takibi ve anlamlı sonuçlar verebilecek şekilde raporlanması neredeyse olanaksız bir hale gelmektedir. Bu tür bilgilerin yeterince etkili şekilde değerlendirilemediği durumlarda, kontrol gerçek anlamda sağlanamamakta ve kontrol edilemeyen bilgi sistemleri alt yapılarına yönelik yatırımlar da, verimli kullanılamamış olacaktır.
Log yönetiminde kullanılacak araçların çeşitli yönleri ile incelenmesi de bu araştırmanın içerisinde yer alırken, ortamın ihtiyaçlarına göre bunun hangi sistemler için gerçekleştirileceği ve hangi amaçlara hizmet edebileceği, ayrıca bunun sonuçları üzerinde nasıl bir değerlendirme yapılabileceği de araştırma kapsamına girmiş, bu konuda işleyen bir organizmanın çeşitli birimleri ile görüşülerek bilgi toplanmaya çalışılmıştır. Yasal düzenlemelere göre, bilgi sistemlerinde denetim izlerinin bir çoğu, sistemler için tutulan log kayıtlarını işaret eder. Log yönetim çalışmalarında ele alınması gereken ilk konunun, bilgi sistemlerinin hangi süreçlerinde, hangi log verilerinin log yönetimi amacı ile değerlendirilmesi gerektiğine karar verilmesidir.
Log yönetimi, bilgi güvenliği yönetiminin önemli bir bölümü veya bileşeni, bilgi güvenliği yönetimi ise ağın yönetimi ile oldukça yakın ilişkideki bir yönetim sistemidir.(Network güvenliği ve yönetimi, bilgi güvenliğinin sağlanması için gereken sistemlerden yalnızca biridir.) Ağ güvenliği yönetimi için, dikkat edilmesi gereken önemli bir mesele, network üzerindeki atakların saptanabilmesi ve bunları doğru olarak tanımlayabilmektir. Aslında bu durum çok kullanıcılı ve çok çeşitli sistem-ağ yapısına sahip ortamlarda, samanlıkta iğne aramaya benzetilebilir. Bilgi güvenliğini sağlamak üzere ihtiyaç duyulabilecek en önemli veriler güvenlik raporlarıdır. Güvenlik Raporları birer birer sistemlerin kendisinden alınabilecek raporlardan çok, farklı veritabanlarında bulunan veriler kullanılarak; otomatik olarak oluşturuldukları takdirde, güvenlik durumuna ait daha kapsamlı genel bir görüntü sunabilecek ve farklı bakış açılarına ait verileri bir araya getirecektir. Yine bu sonucu elde etmek üzere toplanan olay bilgilerinin, log kayıtları şeklinde depolanarak kullanılması, log yönetimindeki amaçlardan biridir.
Bilgi Güvenliği ve Olay Yönetimi (SIEM) aranılan temel özellikler ;
• TC 5651 Sayılı Yasaya Uygunluk.
• Active Directory yapımızla entegre olabilmek.
• DHCP Kayıtlarını yasanın belirttigi kriterlere uygun imzalayabilmek.
• Toplanan kayıtların bütünlüğünden emin olunması amacıyla kayıtları şifreleyerek saklamak.(“hashleme” özelliği).
• Platform bağımsız olmak. (Sanal Sunucu,Windows/Linux vs..)
• Kayıt sistemi yönetim arayüzünde log toplayıcıları listelemek, çalışma durumlarını izleyebilmek.
• Log kaybı olup olmadığını anlık olarak izleyebilmek.
• Kurulum sonrasında sistemimize yeni eklenen ve kayıt sisteminin direkt olarak destekleyemedigi bir ürün/cihaz var ise buralardan gelecek olan kayıtların anlamlandırılabilmesi için ayrıştırıcı ve ek toplayıcı modülleri yapabilmek.(Parser ve Custom Collector özelligi).
• Sistemleri yöneten yöneticilerine, üzerinde yazılan kurallarla ilgili anlık uyarı e-postaları gönderebilmek.
• Ajanlı ve ajansız log toplama özelliğine sahip olmak.
• Log kaynakları çoğaldıkça veya saniyede toplanan mesaj sayısı arttığı takdirde yedekli ve güç dengeleyici mimaride olmak.
• Fiziksel olarak farklı lokasyonlarda bulunan sistemlerden mesajları toplayabilmek ve dağıtık mimariyi desteklemek.
• Toplanan kayıtların uzun süre saklanabilmesini kolaylaştırmak amacıyla arşivleme sistemlerini desteklemek.(SAN ,NAS vs.)
• Sıkıştırma teknolojilerini kullanarak kayıtların daha verimli tutulmasını sağlayabilmek.
• Gerçek zamanlı görüntüleme ara yüzü, yönetim ara yüzü ve raporlama ara yüzü sunabilmek.
• Görsel rapor tasarlama aracına sahip olmak ve yönetim arayüzünde grafiksel gösterge tabloları (dashboard) bulundurmak.
• Toplanan kayıtların her seviyedeki kullanıcı tarafından kolay anlaşılabilir olmasını saglamak ve bu amaçla görsel ekranlar sunmak.
• Kayıt sistemi yönetim arayüzünü kullanacak kişiler için yetkilendirme yapılabilmek.
• Toplanan logları zamana göre hiyerarşik olarak sınıflandıran bir yapı içerisinde tutulabilmek.
• Üzerinde hazır ilişkilendirme (korelasyon) kuralları ve ilgili sistem yöneticisi tarafından ilişkilendirme (korelasyon) kuralları yazabiliyor olmak.
• Üretilen raporlar üzerinde filtreleme yapılabilmek.
• Raporları istenilen zamanlarda programlı olarak üretilebilmek ve istenilen kişilere e-posta ile gönderilebilmek.
• Rapor çıktılarını XML, HTML, CSV, PDF olarak alabilmek.
Comments
Post a Comment