Günümüzde ağlar hiç olmadıkları kadar büyük ve karmaşıktır. Bunları kötü amaçlı etkinliklere karşı korumak ise bitmek bilmeyen bir görevdir. Fikri mülkiyetlerini güvence altına almak, müşterilerinin kimliklerini korumak ve iş aksamalarını önlemek isteyen kurumların, günlükleri ve ağ akış verilerini izlemekten fazlasını yapmaları gereklidir; bu etkinlikleri kullanılabilir bir şekilde algılamak için gelişmiş araçlar kullanmaları
gerekir. IBM Security QRadar bilgi güvenliği ve olay yönetimi (SIEM), yılların verdiği bağlamsal kavrayışları kullanarak, kullanılabilir ağ verilerini toplamak, normalleştirmek ve ilişkilendirmek için küçük veya büyük bir kurumun güvenlik operasyon merkezinde bir bağlayıcı çözüm işlevi görebilir. Sonuç olarak ortaya güvenlik zekası çıkar
Bu ürünün temelinde, gerçek zamanlı günlük olayını ve ağ akış verilerini yakalayarak olası saldırganların izini ortaya çıkarmak üzere tasarlanmış yüksek düzeyde ölçeklendirilebilir bir veritabanı bulunmaktadır. QRadar SIEM, her etkinliği kendi ham biçiminde depolayarak ve ardından gerçek tehditleri yanlış algılamalardan ayırt etmeye yardımcı anında bağıntı etkinlikleri gerçekleştirerek, bir ağda dağıtılmış binlerce aygıttaki günlük kaynağı olay verilerini birleştiren kurumsal bir çözümdür. Ayrıca, gerçek
zamanlı Katman 4 ağ akış verilerini ve daha da benzersiz olarak Katman
7 uygulama yüklerini derin paket inceleme teknolojisini kullanarak yakalar.
Tüm QRadar ailesi bileşenlerinde paylaşılan sezgisel bir kullanıcı arabirimi, BT personelinin ağ saldırılarını önem derecesine göre hızlı bir şekilde tanımlayıp gidermesine yardımcı olur binlerce uyarı ve anormal etkinlik düzenini sıralar ve daha fazla inceleme sağlayacak şekilde saldırı sayısını büyük ölçüde azaltır.
Önemli özellikleri
- Günlük yönetimi ve ağ tehdidi koruma teknolojilerini ortak bir veritabanı ve paylaşımlı pano kullanıcı arabirimi ile entegre etme
- Binlerce güvenlik olayını, şüpheli saldırıların yönetilebilir bir listesine indirgeme
-
Kötü amaçlı etkinliği algılayıp uzun süreler boyunca izleyerek, diğer güvenlik
çözümlerinin genellikle kaçırdığı gelişmiş tehditlerin ortaya çıkarılmasına yardımcı
olma.
- Gelişmiş yetenekler ile içerideki sahteciliği algılama
- Düzenleme zorunluluklarının ve destek uyumluluğunun aşılmasına yardımcı olma
QRadar SIEM şunları içeren bilgileri toplar:
Güvenlik olayları: Güvenlik duvarları, sanal özel ağlar (VPN’ler), saldırı algılama sistemleri, saldırı önleme sistemleri ve daha fazlasındaki olaylar
Ağ olayları:
Anahtarlar, yönlendiriciler, sunucular ve daha fazlasındaki olaylar
Ağ etkinlik bağlamı: Ağ ve uygulama trafiğindeki Katman 7 uygulama bağlamı
Kullanıcı veya varlık bağlamı: Kimlik ve erişim yönetimi ürünlerinde ve güvenlik açığı
tarayıcılarındaki bağlamsal veriler.
İşletim sistemi bilgileri: Ağ varlıkları için satıcı adı ve sürüm numarası özellikleri
Uygulama günlükleri: Kurumsal kaynak planlama (ERP), iş akışı, uygulama veritabanları, yönetim platformları ve daha fazlası
IBM QRadar Security Intelligence Platform ürünleri şunları sağlar:
- Günlük, akış, güvenlik açığı, kullanıcı ve varlık verileri analizi için tek bir mimari.
- Yüksek risk taşıyan tehditleri belirlemek için neredeyse gerçek zamanlı ilişki ve davranışlarda olağandışı durum tespiti.
- Milyarlarca veri noktası arasından yüksek öncelikli olay belirleme.
- Ağ, uygulama ve kullanıcı etkinliğine ilişkin eksiksiz görünürlük.
- Toplama, ilişkilendirme raporlama yetenekleriyle otomatikleştirilmiş mevzuata uygunluk.
Daha etkili tehdit yönetimi için temel sorulara cevap verme
Güvenlik ekiplerinizin, potansiyel tehditlerini tamamen anlaması için temel soruları yanıtlaması gerekir: Kim saldırıyor? Saldırıya uğrayan ne? İşe olan etkisi ne? Nerede inceleme yapayım? QRadar SIEM önemli olayları ve tehditleri izleyerek, destek verisinin ve ilgili bilgilerin bir geçmişini oluşturur. Saldırı hedefleri, zaman noktası, varlık değeri, güvenlik açığı durumu, saldırıda bulunan kullanıcıların kimlikleri, saldırgan profilleri,
etkin tehditler ve önceki saldırıların kayıtları gibi ayrıntıların tümü, güvenlik ekiplerine gerçekleştirmeleri gereken zekayı sağlar.
Analiz ve adli olaylar için olay ve akış verilerinin gerçek zamanlı, konum tabanlı ve geçmişe yönelik aramasını yapmak, etkinlik değerlendirme ve olay çözümleme becerisini büyük ölçüde arttırabilir. Kullanımı kolay panolar, zaman serili görünümler
ayrıntılı arama, paket düzeyinde içerik görünürlüğü ve binlerce ön tanımlı arama ile birlikte kullanıcılar anormallikleri ve en üst seviyedeki etkinlik katılımcılarını özetlemek ve tanımlamak için verileri hızlı bir şekilde toplayabilir. Ayrıca, geniş, coğrafi olarak dağıtılmış ortamlarda birleşik arama gerçekleştirebilirler.
Qradar Siem ürünü, Security Information and Event Management kategorisinde Gartner’s Magic Quadrant raporuna göre liderler arasında görülmektedir.
Ürünün genel özelliklerini anlattıktan sonra siem nedir siem ürünlerinde kullanılan terimlerden bahsedelim.
SIEM (Security Information and Event Management) : SIEM teknolojisi, ağ donanım ve uygulamalar tarafından oluşturulan güvenlik uyarılarının gerçek zamanlı analizi sağlayarak loglarin merkezi olarak kaydedilip bunlarin korelasyonunun sağlanması ve istenirse bu korelasyon sonucuna göre otomatik olarak aksiyon alınmasını sağlayan sistemlerin bütünüdür.
Correlation : Merkezi olarak kaydettiğimiz logların anormal bir olay gerçekleştiğinde bu olaya karşı aldığımız önleme denir. Örneğin ( Mesai saatleri dışında kimler kritik sunuculara Log On oldu? Kim Log On Olmaya Çalıştı ve Başarısız oldu? ) bunun sonucunda ilgili hesapların disable edilmesi vb.
Alerting : Yine bir önceki kolerasyon örneğinde yaşadığımız bir aktivitenin ilgili ekiplere e-mail yolu ile gönderilmesi.
Dashboards :
Güvenlik, ağ etkinliği, uygulama etkinliği, sistem izleme ve uyumluluk dahil olmak üzere beş adet varsayılan gösterge panosu vardır ve kullanıcılar kendi çalışma alanlarını oluşturup özelleştirebilmektedirler. Bu panolar, bir saldırının başlangıcını gösterebilen uyarı etkinliğindeki ani değişikliklerin algılanmasını kolaylaştırır. Bir grafik tıklatıldığında, güvenlik ekiplerinin vurgulanan etkinlikleri veya şüpheli bir saldırıyla ilgili ağ akışlarını hızla araştırmasını sağlayan bir ayrıntılandırma yeteneğini başlatılır.
Compliance report: QRadar SIEM, bir kurumun yasal zorunlulukları karşılama ve uyumluluğu rapor etmedeki başarısı için önemli olan şeffaflık, güvenilirlik ve ölçülebilirlik öğelerini sağlar. Çözümün gözetim beslemelerini ilişkilendirme ve entegre etme becerisi, denetçiler için BT riskleri üzerine daha fazla tam metrik raporlamasını sağlamanın yanında, endüstri uyumluluk gereksinimlerinin karşılanmasına yönelik binlerce rapor ve kural şablonu da sağlar.Kurumlar, otomatik güncellemeler üzerinden yeni tanımları, düzenlemeleri ve en iyi uygulamaları eklemek için QRadar SIEM’in genişletilebilirliği ile uyumluluk odaklı BT güvenliği gereksinimlerine etkili olarak yanıt verebilir. Ayrıca, tüm ağ varlıklarının profilleri iş fonksiyonuna göre gruplandırılabilir – örneğin, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) uyumluluk denetimlerine tabi olan sunucular.Çözümün önceden oluşturulmuş gösterge panoları, raporları ve kural şablonları şu düzenlemeler ve kontrol çerçeveleri için tasarlanmıştır: CobiT, SOX, GLBA, NERC/FERC, FISMA, PCI DSS, HIPAA, UK GSi/GCSx, GPG ve daha fazlası
Anormally Dedetcion : QRadar SIEM, uygulamaları, sunucuları ve ağ alanlarını etkileyen davranış değişikliklerini belirlemek için çeşitli anormallik algılama yeteneklerini destekler. Örneğin QRadar SIEM, bir uygulamanın veya bulut tabanlı hizmetin kapalı zamanlarını veya yoğun kullanımını veya geçmiş, hareketli ortalama profilleri ve dönemlik kullanım düzenleriyle tutarlı olmayan ağ etkinlik düzenlerini algılayabilir. QRadar SIEM, bu günlük ve haftalık kullanım profillerinin fark edilmesini öğrenerek, BT personelinin anlamlı sapmaları hızlı bir şekilde tanımlamasına yardımcı olur.QRadar SIEM merkezi veritabanı ise günlük kaynağı olaylarını ve ağ akış trafiğini birlikte depolayarak, aynı IP kaynağından yayılan çift yönlü ağ akışı etkinliği ile ayrı etkinliklerin ilişkilendirilmesine yardımcı olur. Ayrıca, depolama tüketimini azaltmaya ve lisans gereksinimlerini korumaya yardımcı olmak için, ağ akışı trafiğini ve kayıt operasyonlarını çok kısa sürede tek bir veritabanı girişi olarak gruplandırabilir.Uygulama trafiğini Katman 7’de algıma becerisi ile QRadar SIEM, bir kurumun ağ ilkesi, tehdit ve genel ağ etkinliği izlemesine doğru analiz ve görüş sağlamasına olanak tanır. Bir IBM Security QRadar QFlow veya VFlow Collector gerecinin eklenmesiyle QRadar SIEM, ağ dahilindeki ERP, veritabanları, Skype, IP üzerinden ses (VoIP) ve sosyal medya uygulamalarının kullanımını izleyebilir. Bu, kimin neyi kullandığı, içerik aktarımı için analiz ve uyarılara ilişkin kavrayışı ve uygun olmayan veri transferleri ile aşırı kullanım düzenlerini ortaya çıkarmak için diğer ağ ve günlük etkinliği ile ilişkilendirmeyi içerir. QRadar SIEM çok sayıda anormallik ve davranışsal algılama kurallarıyla birlikte gelirken, güvenlik ekipleri de, zaman serileri verilerine karşı anormallik algılama sağlayan filtreleme yeteneği üzerinden kendi kurallarını oluşturabilirler.
Sonraki yazımızda bir log kaynağından log nasıl alınır konusuna değineceğiz.
Kaynak : http://public.dhe.ibm.com/common/ssi/ecm/tr
Hocam Qradar ile elinizde daha detayli turkce kaynak var mi? Buradaki bazi resimlerin aynen ingilizcesi sunum halinde var. Turkcesi varsa paylasirmisiniz?
detaylı türkçe kaynak yok sunum halinde ibm http://www-03.ibm.com/software/products/tr/qradar-siem sayfasında yeterli bilgiler var ne yapmak istiyorsunuz ?
Paylaşım için teşekkürler :)
Hocam Merhaba,
ISO file olarak elinizde demosu var mıdır Qradar’ın?