Gerçek zamanlı izleme, olaylar, bildirimler, konsol görünümleri ve korelasyon gibi kısımları yani güvenlik yönetimi bölümünü SEM(Security Event Management-Güvenlik Olay Yönetimi) ele almaktadır. Uzun süreli depolama, log ve güvenlik kayıtının ilişkilendirilmiş analizi, manipülasyonu ve raporlanması SIM(Security Information Management-Güvenlik Bilgi Yönetimi)’in alanıdır. SIEM bu iki alanın birleşmesinden oluşur ve uygulamalardan, işletim sistemlerinden ve güvenlik cihazlarından üretilen uyarıların gerçek zamanlı analizini yapmaktadır.

Özellikleri

Veri toplama, analiz, ağ ve güvenlik cihazlarındaki bilgiyi gösterme,
Güvenlik açığı yönetimi ve politika uyum araçları,
İşletim sistemi veritabanı ve uygulama araçları,
Harici tehdit verileri.
Yetenekleri ve Bileşenleri

Log Yönetimi

Ağ, güvenlik cihazları, sunucular, veri tabanları, uygulamalar gibi bir çok alandan veri toplama ve bu verileri izleyerek önemli olayların gözden kaçmamasını sağlama.

Korelasyon

Ortak alanları ve olayları anlamlı paketler halinde birleştirme Farklı kaynakları entegre ederek verileri yararlı bilgilere dönüştürme Korelasyon SEM’in tipik işlevidir.

Alarm

Alarmlar, ilişkilendirilmiş olayların otomatik analizi ve sorunların ilgili alıcılara bildirilmesi için üretilmektedir. SIEM arayüzünde, e-mail, sms vb. yöntemler ile ilgili yerlere bildirilmektedir. Bunun yanı sıra alarm otomatik fonksiyonlarda çalıştırmaktadır.

Gösterge Tabloları

Olay bilgilerini veri tablolarına dönüştürmek, standart olmayan aktiviteleri ve desenleri ortaya çıkarmaya yardımcı olmaktadır.

Analiz

Belirli kriterlere ve farklı zaman aralıklarına göre bir veya birden fazla log tipinde arama yapmamızı sağlamaktadır.

Kullanım Durumları

SIEM polimorfik kod, 0-gün saldırıları ve anomalileri bulmayı kolaylaştırmaktadır.
Anlamlandırma, log normalleştirme ve sınıflandırma, ağ cihazının veya bilgisayarın türünden bağımsız olarak otomatik yapılmaktadır.
SIEM güvenlik olaylarını ve log hatalarını görüntülü olarak aktarabilmektedir. Bu durum, desen bulmakta yardımcı olmaktadır.
Desen algılama, gösterge tabloları ve uyarılar kullanılarak yanlış yapılandırmayı veya protokol anomalilerini tespit edebilmektedir.
Gizli, zararlı ve şifrelenmiş kanalları tespit edebilmektedir.
Siber saldırılarda hem saldırganı hemde kurbanı keşfetmektedir.
SIEM ürünlerini değerlendirirken incelemeniz gereken en önemli özelliklerden bazıları şunlardır:

Entegrasyon

devam eden saldırıları önlemek veya durdurmak için diğer güvenlik cihazlarına komut verebilir mi?

Yapay zeka

makine ve derin öğrenme yoluyla kendi doğruluğunu geliştirebilir mi?

Tehdit istihbarat

istenilen tehdit istihbarat beslemelerini destekleyebilir mi, yoksa belirli bir tehdit istihbarat beslemesini mi kullanıyor?