Loglama Nedir ?

Ülkemizde bilgi güvenliği adına ciddi çalışmalar yapılmaktadır. Bunların ilk örneklerinden biri olan 5651 Sayılı kanundur. 5651 Sayılı kanun ile internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlarla işlenen suçlara müdahale edilmesi amacı ile çıkarılmış kanundur ilgili kanunda, İnternet servis sağlayıcıların veya internet hizmeti sunan cafe, restoran, otel, işletme ve kurumların internett girişilerini loglama yapılmasını, kanunda belirlenen sürede ve istenilen şekilde tutulması olmuştur. Herkesin anlayabileceği bir dilde,eğer bir  internet hattınız varsa ve bu interneti başka bireylerle paylaşıyorsanız bunun sorumluğunun sizde olduğu kanunla sabitlenmiş durumda. Yani sizin kurumunuzun adına kayıtlı internetten yapılan bir tehdit, hakaret, saldırı, yorum, dolandırıcılık işlemlerinden kurumunuz sorumlu tutulmaktadır. Bu maksatla oluşan durumun kurumda nasıl vuku bulduğu hangi bilgisayardan hangi saatlerde yapıldığı gibi bir takım kayıtlar istenmektedir. Bu kayıtların tutulmasına loglama diyoruz. 5651 nolu kanunda bu loglama nasıl olacağına dair standartlar ve yönergelere uygun olarak tüm logların tutulması saklanması ve gerektiğinde ibraz edilmesi gerekmektedir.

Loglama

Log Nedir ?

Tüm teknolojik cihazların kullanıcılar tarafından yada ağ üzerinden diğer cihazlardan gelen, veri yazma veri, silme yeni, kayıt ekleme, iş emirleri, raporlamalar, iletişim trafikleri, kullanıcı girişleri, tüm işlemlerin detaylarını kayıt alınan her işleme log denir. Log tüm cihazları iletişim portları kullanılan yazılımlar tarafından anlık olarak üretilmektedir. Ağınız üzerinde iletişimde olan tüm cihazlar göz önünde bulundurulduğunda çok ciddi bir kayıt bilgisi anlamına gelmektedir. Bu kayıtlar neden tutuluyor sorusuna cevap verecek olursak cihazlar, network,  yazılımlar üzerinde performans ölçümleri, güvenlik açıkları, yetkisiz girişler, tehditler, kullanılan protokoller, saldırılar , gereksiz yazılan veriler,risk analizleri, adli incelemeler gibi birçok konuyu analiz etmemize  ve olası veri kayıplarını, siber saldırıları ve hataları tespit edilmesinde büyük rol oynamaktadır.  Tutulan loglar belirli sürelerde belirli standartlarda olması gerekmektedir. Loglama kapsamlı bir şekilde tüm detayları ile değişime uğramadan yapılması gerekmektedir. Log tutulması, yönetimi, bilgi güvenliğinin yönetim sistemlerinin ve performansın sağlanmasında zincirin en önemli halkasını oluşturmaktadır.

Loglama Kayıları Nasıl İzlenmeli

Sistemlerin ürettiği tüm loglama ve olay kayıtlarının tutulması kadar izlenmesi de önemlidir. Sadece kayıt tutmak çoğu zaman yeterli değildir bazı olayların real time izlenmesi gerekmektedir. Tutulan kayıtların az yer kaplaması önceliklerinin belirlenebilmesi kolay raporlanabilir olması ilgili birimlerin rahat anlayabileceği şekilde olmalı gerekli alarmlar ile kritik olayların hızlı belirlenmesinde yardımcı olabilecek şekilde olmalıdır.

Hangi Loglar Kayıt Altına Alınmalı ?

Öncelikle bilgi güvenliği yönetim standartları, kanunlarda belirtilen unsurlar, kişisel verilerin korunmasında gerekli tüm logların tutulması gerekmektedir. Bunların haricinde her hangi bir güvenlik açığı saldırı ve risleri önlemek amacı ile tutulacak diğer logların belirlenmesi gerekmektedir. Karar verilmesinde tüm sistemin ve yazılımların detaylı şekilde incelenmesi gerekmektedir.

Sistemin analiz edilmesinde uygulanacak adımlar;

  • Gerçek zamanlı izlenmesi gereken logları belirlemek
  • Log kaynaklarının belirlemek
  • Kayıt altına alınacak olayların belirlenmesi
  • Logların kritik, riskli, öncelikli olanların kategorize edilmesi
  • Log kayıtlarının tutulma sürelerinin belirlenmesi
  • Kontrol sıklığının planlaması
  • Kolerasyon kurallarını belirlemek

Temel Olarak Hangi Kayıtlar Toplanmalı ?

  • Server ( Sunucular ) ve işletim sistemleri
    • windows 7 8, windows 10, MacOs, Server 2008, Server 2012, Server 2019, Linux, Ret Hat, Suse, Oracle
  • Veri Tabanları
    • Oracle, MsSQL, mySQL, Firebirdi
  • Sanal Sunucular
    • Vmware, HyperX, citrix
  • Güvelik Cihazları
    • Güvenlik Duvarı, Firewall, UTM, Çeşitli güvenlik Donanım ve Yazılımları
  • Ağ Cihazları
    • Switch, Router, Kablosuz Ağ, Acces Point Diğer Ağ Cihazları
  • Sunucu Hizmetleri
    • DC, DHCP, DNS, FTP, SFTP, POP3, SMTP, HTTP, PHP
  • Çevre Birimleri Ağ Araçları
    • VOIP Ses Sunucuları, IP Santral, Çağrı Merkezi Sunucuları, Yazıcı, IP Kamera gibi

Log Yönetimi – Log Yönetimini Nasıl Yaparım ?

Tutulan bütün bu logların yönetilmesi yardımcı yazılımlar kullanılmadığında oldukça zor ve karmaşık hala gelmektedir. Günümüz teknolojilerinde tutulan logların yönetimi için bir çok ürün mevcuttur. Bu ürünler log büyüklüğünün, log cinsini, logların rollerini tek yerden izlenmesini tek yerden yönetilmesini raporlamasını sağlayan iş zekasında IT süreçlerin yönetilmesinde ve yapılan saldırılara kadar bir çok veriyi yönetebileceğiniz birçok program mevcuttur. Bu yazılımların genel adına SIEM demekteyiz. Siem yazılımları ile ilgili yazımız.

Başlıca Log Yönetimi Yazılımları (SIEM)

  • IBM Qradar
  • HP Arcsight
  • Logsing
  • McAfee
  • Splunk
× Nasıl yardımcı olabiliriz?