LogRhythm SIEM’de Alarm Yönetimi ve Olay Yanıt süreci
SIEM’i Anlamak & Alarmlar
Giderek karmaşıklaşan IT ortamları, kuruluşların hassas verilerini tehlikeye atabilecek, operasyonlarını aksatabilecek ve itibarlarına zarar verebilecek çok sayıda tehditle karşı karşıyadır. SIEM (Güvenlik Bilgi ve Olay Yönetimi ) çözümleri, kuruluşların bu tehditleri tespit etmesine, bunlara yanıt vermesine ve azaltmasına yardımcı olmada çok önemli bir rol oynamaktadır.
LogRhythm SIEM, kuruluşların IT altyapılarında üretilen büyük miktarda günlük ve olay verilerini toplamak, ilişkilendirmek ve analiz etmek için merkezi bir görev görür. LogRhythm, uç noktalardan, sunuculara, ağ cihazlarından, uygulamalara, bulut hizmetlerinden vb. kaynaklardan gelen verileri bir araya getirerek güvenlik ortamına bütünsel bir görünürlük sağlar. Platformun gelişmiş analitiği, makine öğrenimi algoritmaları, yapay zeka motoru, anormallikleri tespit etmesini, potansiyel tehditleri gösteren kalıpları belirlemesini ve gerçek zamanlı olarak alarmlar oluşturmasını sağlar.
LogRhythm Yeni Nesil SIEM çözümü, kuruluşların ortamlarını etkili bir şekilde izlemelerini ve güvenlik olaylarına gerçek zamanlı olarak yanıt vermelerini sağlayan alarm yönetimi için güçlü yetenekler sunar.
Kritik Olaylar Anında Alarm Yönetimi
Alarm, bir alarm kuralını tetikleyen bir olayın veya olaylar dizisinin kaydıdır.
Alarmlar, her zaman IT yöneticilerinin en uygun oldukları zamanda çalışmazlar. Bir alarm aldığınızda farklı tehlikeler ile uğraşıyor, öğle yemeğinde ya da sabahın çok erken bir saatinde iş dışında olabilirsiniz. Nerede olursanız olun, alarmları anlamak ve yanıt vermek için alarmın ciddiyetini hızlı bir şekilde belirlemeniz gerekir. Bu tespit sürecinin en iyi yolu, ilgili bilgilere sahip olduğunuzda belirlenir. Bir tehdidin kuruluşlar açısından kritik verileri tehlikeye atmasını veya ciddi hasara yol açmasını engellemek için ne kadar hızlı hareket edilebilirse o kadar kritik önemlidir.
LogRhythm SIEM, şüpheli faaliyetlerde alarmlar oluşturmak için önceden tanımlanmış korelasyon kuralları, davranışsal analitik ve tehdit istihbaratının bir kombinasyonunu kullanır. Bu alarmlar, kuruluş için oluşturdukları risk düzeyine göre önceliklendirilir ve güvenlik analistlerinin dikkatlerini en kritik uyarılara odaklamalarını sağlar.
LogRhythm, IT yöneticilerine Knowledge Base içe aktarma işlemi aracılığıyla yükleyebilecekleri çok çeşitli önceden tanımlanmış kurallar sağlar. Alarm kuralları Client Console’da yapılandırılır ve yönetilir.
LogRhythm’de alarmlar aşağıdaki gibi tetiklenebilir;
- Data Processor, Agent’lardan günlükleri alır. Mesaj İşleme Motoru (MPE) adı verilen günlük işleme motoru daha sonra günlük verilerini işler ve bir alt kümeyi MPE olayları olarak sınıflandırır.
- Data Processor MPE olaylarını Platform Manager’a iletir. LogRhythm, dağıtımında Yapay Zeka (AI) Motoru yapılandırılmışsa, Veri İşlemcisi ek analiz için günlüklerin kopyalarını AI Motoruna da gönderebilir. AI Motoru, günlükleri AIE Korelasyon Kurallarına göre değerlendirir. Bir günlük bir AIE Kuralını tetiklerse, AI Motoru Platform Manager’a bir AIE olayı gönderir (Alarm kuralları zaten uygulanmış olarak).
- Olaylar Platform Manager’a taşınırken, entegre Alarm ve Yanıt Yöneticisi (ARM) Alarm kurallarını olay verilerinin canlı akışına uygular. Bir Alarm kuralı bir olayla eşleşirse, bir alarm oluşturulur.
Alarmlar aşağıdaki eylemlerden birini veya her ikisini tetikleyebilir.
- Bildirim; Yöneticilere SNMP trap, e-posta (SMTP) veya metin dosyaları aracılığıyla bir uyarı gönderilir.
- SmartResponse; Otomatik bir komut dosyası, sorunu çözmek için bir eylemle yanıt verir.
LogRhythm alarm kuralları, ağa yapılan saldırılar, uyumluluk sorunları, sistem hataları vb. belirli koşulları izler. Örneğin, günlük verileri bir Trojan’ın ağa girmeye çalıştığını ortaya çıkarırsa, yöneticileri bilgilendiren “Kötü Amaçlı Yazılım Alarmı” gibi bir alarm kuralı tetiklenir. Alarm kuralı, ayrıca bir Active Directory hesabını devre dışı bırakma veya çalışan bir işlemi öldürme komut dosyaları gibi SmartResponse eylemlerini de tetikleyebilir.
Olay Yanıt Süreci (SmartResponse)
LogRhythm SIEM, güvenlik olaylarını gerçek zamanlı olarak yanıtlamak için yanıt eylemlerini otomatikleştirebilir. Bu eylemler, kötü amaçlı IP adreslerini engellemeyi, virüslü uç noktaları karantinaya almayı veya olay müdahale iş akışlarını tetiklemeyi içerebilir.
SmartResponse eylemleri tetiklenen alarm kurallarına verilen otomatik savunma veya operasyonel yanıtlardır. Aşağıda SmartResponse eylemlerinin gerçekleştirebileceği farklı işlevlerden bazı örnekler verilmiştir:
- Güvenliği ihlal edilmiş sistemler tespit edildiğinde, SmartResponse eylemleri hedef ana bilgisayarlarda güvenlik açığı taramaları veya paket yakalamaları gerçekleştirebilir.
- SmartResponse eylemleri, bir sunucuda tespit edilen uygunsuz işlemleri (BitTorrent veya bir P2P uygulaması gibi) öldürebilir.
- İki farklı ülkeden aynı hesaba eş zamanlı başarılı girişler gözlemlediğinde, SmartResponse eylemleri hesabı devre dışı bırakabilir.
- SmartResponse eylemleri, LogRhythm kritik işlem sorunlarını gözlemlediğinde ağ cihazlarını otomatik olarak hata ayıklama düzeyinde günlüğe ayarlayabilir.
Bir alarm kuralı, tetiklendiğinde 10 adede kadar SmartResponse eylemi başlatacak şekilde yapılandırılabilir. Eylemler hemen ya da bir çekirdek onay sürecinden sonra çalıştırılabilir. Çekirdek onay sürecinde, kişilerin ya da grupların eylemi çalıştırmadan önce onaylaması gerekir (en fazla üç onay seviyesi yapılandırılabilir). Aynı seviyeye birden fazla kişi atandığında, yalnızca bir kişinin onay veya ret vermesi gerekir.
Sonuç olarak, LogRhythm SIEM, kuruluşların güvenlik tehditlerini proaktif olarak tanımlamasına ve bunlara yanıt vermesine yardımcı olan alarm yönetimi için güçlü yetenekler sunar. LogRhythm, gelişmiş analitik, özelleştirilebilir uyarı ve otomatik yanıt eylemlerinden yararlanarak güvenlik ekiplerinin gelişen siber tehditlerin bir adım önünde olmasını ve kritik varlıklarını korumasını sağlar. Siber saldırıların sıklığı ve karmaşıklığı artmaya devam ettikçe, LogRhythm Yeni Nesil SIEM çözümü gibi gelişmiş çözümlere yatırım yapmak, güçlü bir güvenlik duruşu edinmek için çok önemlidir.