Loglama

Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır.  Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir.

Log yönetiminin daha verimli gerçekleştirilebilmesi için:

– Büyük hacimli log kayıtlarının hızlı arama ve çabuk erişim sağlama seçenekleriyle saklanması verimliliği artırır.
– Olayların erken tespiti saldırının etkilerinin azaltılabilmesi adına hızlı bir şekilde karşılık verilmesini ve aksiyon alınmasını sağlar.
– Olayları tespit yeteneğinin gelişmiş olması doğru aksiyonları araştırma ve uygun yanıtı kararlaştırma için kontrol mekanizmaları sunar.
– İhlalleri, sızmaları ve yetkilendirilmemiş erişimleri tespit; analiz için veri akışı sağlamak, denetim izlerini ve takibini sağlamak gibi birçok rutinin otomatize bir şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarının belirlenmesi fayda sağlar.

Log İzleme

Logların kaydedilmesinin ötesinde izlenmesi ve analiz edilmesi bilgi varlıklarının tam anlamıyla korunabilmesi için büyük önem taşır. Saldırıların hızlı bir şekilde saptanması ve yapılacak müdahalenin etkili bir şekilde gerçekleştirilebilmesi için yalnızca loglama yapmak yeterli olmamaktadır, loglama işleminin yanında logların olabildiğince gerçek zamana yakın bir hızda izlenmesi ve analiz edilmesi gerekmektedir.

Log İzleme için Gereksinimleri Belirlemek

– Nelerin izlenmesi gerektiğini saptamak
– İzleme sürecine hangi sistemler ya da sistem bileşenleri eklenmeli
– Sistemler hangi bilgileri güvenlik loglarına kaydetmeli
– Güvenlik loglarının nasıl yakalanacağı ve nasıl analiz edileceği gibi planlamaları yapmak
– Güvenlik log verileri ne kadar sıklıkla gözden geçirilmeli
– Log verileri ne kadar süre saklı tutmalı

Bu gereksinimler belirlenirken kurumun işletmesi zorunlu görülen yasal düzenlemeler ve güvenlik standartları göz önünde bulundurulmalıdır.

Etkili Log İzleme için Hazırlıklar

– Log yönetimi için hangi araçların ve kaynakların kullanılacağını tanımlamak
– Logların toplanması için merkezi bir depolama sistemi kurmak
– Logları merkezi depolama sistemine aktarmak
– Logları işlemek için hazırlamak

Logları İşlemeye Hazırlama Aşaması

Filtreleme mekanizmalarının etkili bir şekilde uygulanabilmesi ve log datasının verimli bir şekilde işlenmesi için farklı formatlara sahip olan ve farklı kaynaklardan toplanan logların ortak bir formata dönüştürülmeleri gerekir. Bu sürecenormalizasyon denilir.

Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır. Normalizasyon gerçekleştirildikten sonra sıradaki işlem belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit edilip harekete geçilmesine yardımcı olan korelasyon tekniğinin uygulanmasıdır.

Etkili Log İzleme

– Log kayıtlarını toplamak ve analiz etmek
– Baseline belirlemek

– Normal ve anormal trafik hakkında fikir verecek paternları belirlemek(Kaynak IP/port ve Hedef IP/port bilgilerini sınıflandırmak ve istatistiklerini çıkarmak gibi)
– Ortalama görülme sıklığını aşan aktiviteleri belirlemek, (normal ve sıradışı aktiviteleri birbirinden ayırmak için sıklık(frequency) eşik değerini belirlemek gibi)

– Riskleri ve olası saldırıları mümkün olan en yüksek doğruluk derecesiyle tespit ederek otomatize alarmları tanımlamak
– Şüpheli aktivitelerin saldırıya dönüşmeden müdahale edilmelerini sağlamak için alarmlara hızlı ve etkili şekilde cevap vermek
– Bildirilen olayın doğruluğunu denetlemek(Alarm bildirimi alındıktan sonra olayın gerçekleştiği ortamın analiz edilmesi ve bu şüpheli aktivitenin gerçekten anormal veya zararlı bir işlem barındırıp barındırmayacağının denetlenmesi gibi)
– Riskleri ve oluşabilecek zararları en aza indirecek önlemleri uygulayarak hızlı ve koordineli bir şekilde olaya müdahale etmek
– Olaya ve uygulanan müdahale yöntemlerine dair bilgileri dokümente etmek ve analiz etmek
– Sonuçları raporlamak