EN
EN

SIEM ve SOAR Olmadan SOC Olur mu?


SOC (Security Operation Center), siber güvenlik olaylarını analiz, tespit, önlem alma, süreçleri ve teknolojiyi gerekli yönde kullanarak gerekli durumda müdahale eden kuruluş içinde ki güvenlik biriminin merkezi bir fonksiyonudur.

SOC hizmetlerinin temel görevi sistemlere ait logları, SIEM veya log yönetim ve analiz araçlarını kullanarak olası bir durumda saldırı göstergelerini araştırmak, alarmları analiz etmek, alarmların kritiklik derecesini belirlemek ve aciliyetine göre sıralamak, saldırı kaynaklarını belirlemek gibi zararlı aktiviteleri tespit için gereken önemli süreçleri güvenlik izleme cihazlarının yardımıyla en iyi şekilde yönetmektir.

SOC için olmazsa olmaz şey log kayıtlarıdır ancak log yönetimi olmadan bir SOC sisteminin yada SIEM’in yönetilmesi, alınacak aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun kaynağını bilmeden nerede, ne zaman, ne şekilde yapılacağını bilmek mümkün değildir. Bu durumda bilinmeyen birşey içinde aksiyon almak ve sorun çözmek mümkün değildir. Bu durumda log yönetimi SOC yönetimi için mutlaka kullanılması gereken bir yöntemdir.

SIEM (Security Information and Event Management), log üreten olarak biliniyor fakat log üreten değil logları toparlayıp filtreleyip anlamlandıran ve anlamlı sonuçlarla alarm üreten ve log yönetimini de kapsayan sistemler bütünüdür.

SIEM, yerel ağda veya farklı kaynaklarda bulunan cihaz, sistem ve uygulamalarda, oluşan anormalliklerden haberdar olmak ve bu anormalliklere karşı önlem veya tedbir almak için alarm üretmeye yarayan sistemler bütünüdür. Üretilen alarmlar NOC ve SOC ekipleri tarafından değerlendirilip uygulanacak aksiyonlar belirlenerek gerekli tedbirler alınmaktadır.

SOAR (Security Orchestration Automation and Responce), SIEM gibi alarmları yönetme ve yanıt vermek için tasarlanmıştır. Farklı kaynaklardan gelen veriler veya logların toplanarak düzenlenmesi standardizasyonu ve otomasyonunu sağlamaya yarayan sistemler bütünüdür. SOAR sistemi SIEM’den gelen verileri otomatik olarak yöneten bir sistemdir. Bu sistem farklı güvenlik uygulama ve servislerinin birlikte çalışmasını ve birbirlerine entegre olmasını sağlar. Olası bir saldırı durumunda veya şüpheli bir davranış algıladığında anlamlı daha hızlı ve etkili cevap verme süreleri elde etmenin yolu SOAR’dan geçmektedir.

SOAR’ın bir SOC’a sağladığı temel fayda, mühendislerin ve analistlerin uzmanlık becerilerini daha iyi kullanmalarına olanak tanıyan, herhangi bir insan müdahalesine gerek duymadan bir izleme sisteminde zaman alan, elle yapılan işleri otomatikleştirmesi ve düzenlemesidir. SIEM olayları analiz ve değerlendirme yaparak sonuç bildirirken, SOAR entegre olduğu sistemlerle beraber karşı hamle yaparak olaya müdahale eder.

SOC ekiplerinin olmazsa olmazı log yönetimi ve analizidir ancak bu işlem yapılırken elde edilen log kayıtlarının işlenmesi ve anlamlandırılması zordur bu işlem için SIEM teknolojileri kullanılabilir. SIEM log toplama ve analizi yapar ve gerekli durumlarda alarm üreterek aksiyon almayı sağlar. İş gücü kullanımını ve insan faktörünü azaltır. Fakat gün geçtikçe artan saldırı çeşitliliği ve karmaşıklığı müdahale süreleri uzatmakta ve alarm yorgunluğuna sebebiyet vermektedir. SOAR bu problemi ortadan kaldırarak otomatik ve hızlı bir müdahalede bulunmakta ve güvenlik risklerinin azaltılmasına yardımcı olmaktadır.






İlgili İçerikler: