SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Download as PPTX, PDF0 likes1,681 views
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması ve SIEM korelasyon özelliğin KVKK tarafındaki kritikliği.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
- 1. SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Dr. ErtuğrulAKBAŞ Manager, ANET Software
- 2. ANET SureLog SureLog temel olarak logları merkezileştirme, raporlama ve arama&tarama(Search) yeteneklerine sahip ve ileri seviye güvenlik analizi, korelasyon ve veri analizi yapabilen ve bir platformdur. Tamamen yerli kaynaklarla üretilen ve Log arama ve raporlamanın ötesinde üreticilerin Signature ID veri tabanları ve data mining kullanarakTaxonomy üretebilen ve en ileri seviye korelasyon senaryolarını kolayca geliştirip uygulayabileceğiniz bir güvenlik çözümüdür.
- 4. Neden SIEM? KVK Kurumu aşağıdaki tabloda birden çok maddede SIEM e atıf yapmıştır. https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf En temelde; • Erişim Logları • Yetki Kontrolü • Log Kayıtları maddeleri SIEM e doğrudan atıf yapmaktadır. • Saldırı tespiti • Veri kaybının tespiti noktalarında da iyi bir SIEM korelasyon yeteneği ile avantajlar sağlar
- 5. Neden SIEM? Erişim Logları Nelerdir? İşletim sistemleri Windows Linux Mac .. Veritabanları Oracle MSSQL MySQL PostgreSQL .. FirewallYönetim Paneli SwitchYönetim Paneli APYönetim Paneli Internet Erişimi
- 6. Neden SIEM? Yetki Kontrolü; Yetki kontrolü için Identity & Access Management ürünlerinden birini uyguladığınızın düşünelim. Bu yeterli mi? Aşağıdaki gibi kontrol mekanizmasına ihtiyaç var. «A Kullanıcısı X,Y IP lerinden A veritabanına erişebilir ama diğer IP lerden erişememeli.» İyi bir SIEM çözümü ile yukarıdaki senaryo kural olarak sisteme eklenip takip edilebilir. Ayrıca yetki kontrolünde veri keşfi uygulamaları gerekir ki hangi veriler kişisel veri bulalım «kişisel veri içeren A sunucusuna VPN ile yurt dışından bağlantı kurulamasın» şeklinde SIEM kuralları geliştirilebilsin. Bu noktada ANET Siperium Veri Keşfi çözümü devreye girer ve SureLog SIEM ile entegre
- 7. Neden SIEM? Yetki Kontrolü; Özel nitelikli kişisel verilerin olduğu sunucuya ertugrul.akbas kullanıcısı sadece 192.168.1.137, 192.168.1.200,192.168.1.10 IP lerindne erişebilir. Başk bir yerden bağlantı isteği gelirse alarm üret.
- 8. Neden SIEM? Log Kayıtları. Bu en bilinen konu. 5651, PCI , ISO27001 vb.. konulardan dolayı aşinayız. Aşağıdaki kategorilerdeki her şeyin logu alınabilir.
- 9. Neden SIEM? SaldırıTespiti veVeri Kaybının Önlenmesi BİR SALDIRININ ANOTOMİSİ 1- Bir kullanıcı arka arkaya 5 dakika içerisinde 2 defa başarısız oturum yapıyor (Neden 3 olmadığı malum!), 2) Sonra aynı kullanıcı ile 3–5 dakika içerisinde başarılı oturum gerçekleştiriliyor. 3) 1–2 dakika içerisinde bu kullanıcıya özel yetkiler (Special privileges ) veriliyor, 4) 5–10 dakika içinde yeni bir kullanıcı oluşturuluyor, 5) 2–3 dakika sonra Security-disabled özelliği aktif yeni bir global grup oluşturuluyor, 6) 2–3 dakika içinde Explorer gibi, psexec gibi gözlenmesi gereken bir process başlıyor, 7) 1–2 dakika içinde "4905: An attempt was made to unregister a security event source" olayı gerçekleşiyor, 8) Hemen sonra 4. adımda oluşturulan kullanıcı aktif ediliyor (Enabled), 9) 2–3 dakika içinde event kategorisi "Object Access " olan bir olay gerçekleşiyor, 10)Ve kullanıcı oturumu kapatıyor(4679,4634 ,4779).
- 10. Neden SIEM? SIEM İLE BİR SALDIRININ ANOTOMİSİNİ HER SIEM İLEYAPABİLİR MİYİZ? • Senaryo adımları arasındaki Zaman bağlaçları. Bir kullanıcı arka arkaya 5 dakika içerisinde 2 defa başarısız oturum yapıyor ve daha sonra aynı kullanıcı ile 3–5 dakika içerisinde başarılı oturum gerçekleştiriliyor. • Çapraz Korelasyon. 20. adımdaki Kullanıcı ile 1. adımdaki kullanıcı aynı olacak.
- 11. SureLog SIEM ve Korelasyon.
- 12. SureLog SIEM de KVKK ile ilgili aşağıdaki hazır alarmlar mevcuttur. Gönderilen maillerin konu kısmında Kredi Kartı veyaT.C Kimlik Numarası varsa alarm üret. File Server da erişilen dosyaların adında kredi kartı veyaTC kimlik kartı geçerse uyar E-mail eklentisindeki dosya adında kredi kartı veyaTC kimlik kartı geçerse uyar Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, Sonicwall SSLVPN cihazları da entegre ederek kredi kartı bilgisi tespit edilirse uyar Veritabanından çekilen SQL sorgularındaTC kimlik veya kredi kartı bilgisi varsa uyar? Özellikle kendi ekibi ile kod geliştiren firmaların yazılımcıların uygulama loglarında kişisel veri yazdırıp yazdırmadığını kontrol etmeleri KVKK açısından önemli. Loglarda kredi kartı veyaTC kimlik verisi varsa uyar
- 13. SureLog SIEM de KVKK ile ilgili hazır alarmlar mevcuttur.
- 14. SureLog SIEM ve Siperium Birlikteliği Ne Sağlar? Siperium ile kişisel veriler aranıp bulunabilir, sınıflandırılabilir ve veritabanı anonimleştirilebilir. Siperium bu işleri yaparken yaptığı bu işleri dışarıda 3. Parti bir log yazılımına Syslog ile gönderebilir. SureLog SIEM Siperium loglarını tanıdığı için bu Syslog mesajlarını direkt tanıyıp aşağıdaki gibi hazır raporlar ve alarmlar üretebilir.
- 16. SureLog SIEM ile Sperium birlikteliği ile herhangi bir dosyada kişisel veriye erişildiği anda bunun haberini almak da mümkündür. Bu haber alma işi SureLog SIEM alarm özelliği ile sağlanır.
- 17. T E Ş E K K Ü R L E R www.anetyazilim.com.tr