Bugün doğrudan bir saldırı veya savunma yönteminin aksine log yönetiminin siber güvenlikteki yerinden ve öneminden bahsedeceğiz. Çoğu zaman gözden kaçan log yönetiminin aslında ne kadar kritik olduğunu bu makalede göreceğiz. Log yönetimine bakılarak siber saldırı tespitinin nasıl yapılacağı gibi konulara da bu makalede söz edeceğiz. Ancak şunu da belirtmekte fayda var bu makalede doğru log toplama işleminin nasıl yapıldığına değinmeyeceğiz.

Log Nedir?

Meydana gelen olayların kayıt altına alınması işlemine log/log kaydı denmektedir. Bir örnekle açıklayacak olursak; bir sunucuda site yayınladığımız var sayalım. Bu siteye istek gönderen ziyaretçilerin birtakım bilgilerinin tutulduğu bir dosya olduğunu var sayalım. İşte bu dosyaya log kaydı demekteyiz. Bu kayıtlarda ziyaretçinin nereden geldiği, kullandığı tarayıcı, hangi istekleri gönderdiği gibi çok çeşitli bilgiler depolanabilir. Güvenlik tarafının yanı sıra sistem hatalarının tespitinde de log kaydı tutulması oldukça önemlidir.

5651 Anayasası

Yeri gelmişken kısaca 5651 anayasasından da bahsetmekte fayda var. Fazla bilgi göz çıkarmaz. Türkiye Cumhuriyeti kanunlarına göre her kurum log kaydı tutmak zorunda ve bu kayıtları 2 yıl saklamak zorundadır. Böylece halka açık alanlardaki toplu internet erişimi sağladığımız takdirde olası bir siber suç işlenmesi durumunda log kayıtları incelenecektir. Bu log kayıtları zaman damgası ile birlikte tutulur ve bu sayede mahkemede gerçek bir kanıt olarak kabul edilir.

Log Kaydının Siber Güvenlikteki Önemi

Siber güvenlik tarafından saldırıların analizinin yapılabilmesi açısından log kaydının oldukça önemli bir yeri vardır. Doğru yapılandırılmış bir log kaydının uzman kişiler tarafından analizi takdirinde olası saldırı potansiyellerinin önceden fark edilmesi mümkün olacaktır. Log analizi esnasında özel araçlar kullanılmaktadır. En önemli husus log analizinde aranan şeyin ne olduğunun belirlenmesidir. Saldırı ile ilişkilendirilen tarihe ait şüphe olup olmadığı incelenmelidir. Log kaydı encode edilmeli ve gereksiz satırlar ayıklanmalıdır. Böylece daha temiz bir dizim olacaktır.

Log Analizinde Kullanılan Araçlar

Büyük boyutlu olmayan log kayıtlarının analizlerinde standart UNIX araçları kullanılabilir. Bu noktada temel sistem yönetimi biliyorsanız rahatlıkla log kayıtlarınızı analiz edebileceksinizdir. Bunun yanı sıra Apache Logs Viewer, Splunk, OSSIM ve daha pek çok araçtan da faydalanabilirsiniz.

SIEM

Security Information and Event Management şeklinde açılıma olan SIEM’in Türkçe karşılığı Güvenlik Bilgi ve Kayıt Yönetimi olarak karşımıza çıkmaktadır. Log analizine göre daha planlı, ince detaylı bir yapılandırmaya sahiptir. Bağımsız gibi görünen olaylar arasında bağlantı kurarak daha verimli bir analiz gerçekleştirir ve tüm bu işlemler önceden uzman kişi tarafından belirlenen politikalar dahilinde gerçekleşir. Kısaca SIEM sistemlerin ürettiği logları belli bir merkeze toplayan, bu logları analiz eden ve raporlayan sistemdir.

Ağ Üzerinde Log Kaydı

Ağ sistemleri üzerinde log kaydı tutmak da yukarıda bahsettiğimiz gibi oldukça önemlidir. Kurum içi ağlarda bu önem daha da hayati olmaktadır. Çoğunlukla sniff işlemi için WireShark, Snort, tcpdump gibi araçlardan faydalanılır.

Merkezi Kayıt Sunucusu & Zaman Damgası

Peki tüm bu işlemleri geçelim. Düzenli olarak log kaydını tuttuğunuz, web hizmeti sunduğunuz sunucunuzun hacklendiğini varsayalım. Mahkemeye log kaydınızı da alıp gittiniz. Fakat log kayıtlarınızın geçerliliği yok. İşte bu noktada zaman damgası kavramı devreye giriyor. Eğer bir log kaydında zaman damgası yoksa o kaydın hukuki geçerliliği yoktur. Bunun en temel sebebi log kaydı üzerinden değişiklik yapılıp yapılamadığının zaman damgası olmadan anlaşılamamasıdır. Gelelim merkezi kayıt sunucusunun ne olduğuna, önemine. Merkezi kayıt sunucusunu aşağıdaki görsel ile açıklayalım.

Yine sisteminizin hacklendiğini düşünün. Ve bu sefer saldırgan arkasında hiç iz bırakmamış ve sunucudaki log kayıtlarını silmiş. Bu durumda olayın üstüne soğuk bir su içmemek adına merkezi kayıt sunucusu devreye gidiyor. Baştan söylemekte fayda var merkezi kayıt sunucusu masraflı bir işlemdir. Yukarıdaki görsele bakalım. Sunucuda yaptığımız her işlemin kaydı Main Server’a düşmekte. Main Server bu kayıtları Log Server’a iletmekte. Bu sayede saldırgan Main Server’dan asıl log kayıtlarını silse dahi Log Server’da kayıtların yedeği alınmış durumdadır. Mümkünse tüm bu yedekleme işlemleri otomatik olarak yapılmalıdır.

Bu yazımızda bizden bu kadar. Fazla detaya girmeden kısa ve öz bilgi vermek amaçlı bu makaleyi hazırladık. Güvenli günler dileriz.