Log Nedir?
Log Nedir?
• Sistemler ve güvenlik cihazları tarafından üretilen kayıt bilgileridir.
• Sistem değerleri, güvenlik amaçlı,adli bilişim, hata ayıklama amaçlı kullanılabilir.
Güvenlik Amaçlı Loglar
• Kim hangi IP adresini kullanıyor?
• IP adresinde erişim noktaları nereler?
• Kim hangi dosyaya erişim sağladı?
• Başarısız parola denemelerinde hangi credential kullanıldı?
• Başarısız parola denemeleri hangi IP adresinden yapıldı?
• Hangi IP adresinden başarılı giriş yapıldı?
• Windowsta kullanıcı oluşturuldu mu?
• Domain admin grubuna bir kullanıcı eklendi mi?
Log Yönetimi
• Farklı kaynaklardan toplanan logların tek merkezde işlenmesine log yönetimi adı verilmektedir.
• Log yönetimi log toplama işlemini de kapsamaktadır.
• Log yönetimi loglar arasında ilişki kurarak sonuçta bir çıktı üretilmesi amaçlanmaktadır.
• Loglar arasındaki ilişki kurulması için korelasyon işlemi gereklidir.
- Merkezi log yönetimi projelerinde en önemli nokta korelasyon olmalıdır.
Terimler
SIM — Security Information Management — Verileri kayıt altında tutar.
SEM — Security Event Management — Olaylar arasında ilişki kurar.
SIEM — Security Information and Event Management
• SIEM hem logları kayıt altında tutar hem de loglar arasındaki ilişkiyi kurar.
• Logların toplanması, korele edilmesi, raporlanması, izlenmesi amaçlı geliştirilmiş yazılımlardır.
Neden Merkezi Log Yönetimi?
• Log incelemede her sisteme gidip inceleme yapmanın zorluğu
• Tek merkezden yönetim
• Tek merkezden izleme
• Korelasyon kuralları ile derinlemesine tespit
• Logların bütünlüğü