Doğukan KARADAĞ Siber Güvenlik Uzmanı
4 gün önceki gününüzün her dakikasında ne yaptığınızı bir kağıda yazmanızı istesem, bunu yapabilir misiniz? Eğer böyle bir hafızaya sahipseniz, kesinlikle halk arasında dahi olduğunuzu söyleyebiliriz. Ancak bunu yapabilecek birinin olması çok da muhtemel değil. Hem buna ne gerek var ki? Peki, bir de konuyu siber güvenlik bakış açısında değerlendirelim. Şirket sahibi olduğunuzu varsayalım ve 100’den fazla beyaz yakalı çalışanınız olsun. Bu çalışanlarınızdan biri iyi veya kötü niyetiyle yapabileceği bir aktivite olabilir mi? Belki de onların cihazına zararlı bir yazılım bulaştı… Fakat sonuçları belli bir süreden sonra nüksetmeye başladı. İşte tam da bu noktada, tüm bu olanların ve özellikle olması muhtemel olayların tespitini yapabilmek için kullanılan bir SIEM çözümü var. IBM QRadar.
Kurumlar, siber güvenlik mimarilerini oluştururken muhakkak SIEM ürünlerine ağırlık vermelidir. Ki zaten yasalar gereği de(5651 sayılı kanun) bu konu zorunlu kılınmıştır. Bu içeriğimde, IBM QRadar’ın ne olduğu, ne işe yaradığı ve ipuçlarına dair bilgileri keşfedebilirsiniz.
QRadar Nedir?
IBM tarafından geliştirilen QRadar; siber tehditleri algılamakta, analiz ve yanıt süreçlerini bir araya getirmektedir. Kurumunuzdaki envanter sayısının büyüklüğü fark etmeksizin log verilerini toplayabilmektedir. Bunun avantajlarını düşünmek için QRadar’ı deneyimleme şansınızın olmuş olması mühim değildir. Hadi bir düşünelim.
Eğer yeterli depolama kapasitesine sahipseniz 3 yıl önceki bir vakayı QRadar ile inceleyebilirsiniz. Sunucularınızın çalışması ile alakalı herhangi bir sorun var mı yok mu teyit edebilirsiniz. Gelen ve giden trafiğin boyutlarını, dosya aktarımlarını ve daha birçok spesifik ve genel bilgiye ulaşabilirsiniz. Bu anlamda iş süreçlerini ne kadar kolaylaştırdığını söylemek yersiz olmayacaktır. Keza siber güvenlik bakış açısıyla da gerçek anlamda ekstra avantajlar sunmaktadır.
QRadar Ne İşe Yarar?
Peki, bu SIEM çözümünü değerlendirmek istersek, neleri ele alabiliriz? Size QRadar’ın 3 temel bileşeninden bahsetmek istiyorum. Böylece aklınızda varsa flu görüntüleri biraz daha şeffaflaştırmayı amaçlıyorum.
1. Log Verilerinin Yönetimi
İster tek bir lokasyondan isterse de ülkenin veya dünyanın dört bir yanında lokasyonları olan bir kurumun ağ trafiğini baz alalım. QRadar; kurumun ağ trafiğinden uygulamalarına, sunucularından güvenlik cihazlarına değil gelen tüm log verilerini bir araya getirmektedir. Bunlar merkezi bir platformda birleştirerek yönetilebilirliği üst düzeye çıkarmaktadır. Tabii bu durum aynı zamanda verilerin dağıtık olmaması nedeniyle de daha pürüzsüz bir analiz ortamına zemin hazırlar.
2. Anomali Tespiti
Samimi olduğunuz bir arkadaşınızı düşünün. Bu arkadaşınız, birdenbire her zaman olduğundan farklı davranmaya başladıysa bir problemin olduğunu hemen anlarsınız, değil mi? Çünkü onu tanıyorsunuz. Bu örnekte yaptığım benzetme ile birlikte QRadar’ın bazı özelliklerini listeleyip, nasıl çalıştığını paylaşacağım.
- Kullanıcı ve ağ davranışı analizi,
- Veri akışı analizi,
- Yapay zeka ve makine öğrenimi,
- Tehdit istihbaratı entegrasyonu,
- Log ve olay kümeleri analizi,
- Zaman serisi analizi
IBM QRadar, bu nitelikleri sayesinde analizlerini yapıp öğrenerek anomali durumlarında alarmlar oluşturmaktadır. Dolayısıyla bilgi güvenliği ekiplerinin hızlıca aksiyon almasını ve hatta nasıl alınması gerektiğine dair bilgiler sunmaktadır. Mesela, Türkiye’de bulunan, şirket içi bir bilgisayarın 09.01.2025 saat 17.17’de bir aktivitesi bulunuyor. Ancak aradan 27 dakika sonra saat 17.44’de aynı bilgisayarın Çin lokasyonundan istekler yapmaya başladığı görünüyor. Sizce bu durumda anomali durumu var mıdır? İşte bu ve benzeri örneklerle SIEM ürününün nasıl tespitte bulunduğunu zihninizde canlandırabilirsiniz.
3. Tehdit İstihbaratı İle Entegrasyon
Siber tehdit istihbaratı’na ne kadar hakimsiniz veya yakından takip ediyor musunuz? Peki, sizce yeni oluşan güvenlik açıklarını, zero day attackları için ne zaman aksiyon almak gerekmektedir? Bir ABD firması özelinde ortaya sıfırıncı gün açığı sizi etkilemeyeceğini düşünüyor olabilirsiniz. Ancak bunlar haber haline geldiğinde, ilgili sıfırıncı gün açığını o güne değin bilmeyen kötü niyetli kişiler de hemen işe koyulmaktadır. Böylece dünyanın herhangi bir ülkesi veya sektöründe, bu zafiyetlerin sömürülmesi işten bile olmuyor… Bunun için QRadar’ın threat intelligence(tehdit istihbaratı) entegrasyonunu kullanarak yaşanabilecek olumsuz senaryoların önüne geçmek mümkündür.
4. Otomatik Olay Yanıtı
Gecenin bir vakti, evinizin kapısına beyzbol sopası ile vuran birisine kapıyı açar mısınız? Peki, şirket ağınıza siber saldırı yapma denemelerinde bulunan bir IP’yi whitelist’e alır mısınız? İki örneğin yanıtına ben hayır diyorum :). QRadar, bu gibi durumlarda otomatik olay yanıtı özelliği sayesinde aksiyon alabilir ve bunun bilgilendirmesini/alarmını ilgili operasyon ekiplerine gönderir.
5. Uygunluk Yönetimi
İçeriğimin başlarında loglama kanunundan bahsetmiştim. Regülasyonlara uymayan herhangi bir kurumun potansiyel olarak büyüme fırsatı olur mu? Cevap, asla. Uyumluluk her zaman için ön planda tutulması gereken hassas bir konudur. Bu doğrultuda QRadar, GDPR, HIPAA, PCI DSS gibi düzenlemelere uyum sağlamaktadır. İlgili regülasyonlar özelinde log izlemelerini ve raporlarını konfigüre edebilirsiniz. Hazır raporlamaya değinmişken, sizler de spesifik olarak rapor çıktıları ayarlayabilir ve bunları belirli periyotlarla tarafınıza ulaşmasını sağlayabilirsiniz. Örneğin, haftalık anomali sayısı(cihaz listesi, IP adresleri, gelen trafiğin ülkelere göre dağılımı…) içeren bir rapor.
Özellikle SOC ekiplerinin operasyonel yüküne yardımcı olan QRadar hakkında sizin düşünceleriniz neler? Görüşlerinizi aşağıda yorumlar kısmından paylaşabilirsiniz. Bir sonraki içeriğimde görüşmek üzere. Sağlıkla ve güvenle kalın.
