SIEM ve Log Yönetimi: KOBİ İçin Pratik Başlangıç
Özet: SIEM; firewall, AD ve endpoint loglarını tek panelde toplayıp korelasyon kuralları ile anormal davranışı uyarır. Wazuh gibi açık kaynak çözümler KOBİ bütçesine uygundur; doğru kurulum en önemli kaynaklardan (AD, e-posta, firewall) başlar.
Güvenlik olayları çoğu zaman büyük patırtıyla değil, loglardaki küçük anormalliklerle kendini gösterir. SIEM (Security Information and Event Management) çözümleri firewall, sunucu, uç nokta ve bulut servislerinden gelen logları tek merkezde toplar; önceden tanımlı kurallarla anormal davranışı tespit eder. KOBİ ölçeğinde bile hafif bir SIEM kurulumu görünürlüğü belirgin şekilde artırır.
SIEM Neden Önemli?
Log verisi dağınık olduğunda güvenlik olayı aylarca fark edilmez. KOBİ'lerde yaygın boşluklar:
- Firewall logları hiç incelenmiyor
- Başarısız oturum açma denemeleri göz ardı ediliyor
- Bir cihazda anormal davranış diğerlerinde aranmıyor
- Log saklama süresi kısa (gün yerine saat seviyesi)
- Denetim veya olay sonrası kayıt bulunamıyor
- Farklı cihazların zaman damgaları senkronize değil
- Log analizi manuel yapılmaya çalışılıyor
SIEM bu dağınıklığı merkezileştirir.
SIEM'in Temel Fonksiyonları
Toplama ve Normalleştirme
Firewall (Syslog), Windows (Event Log), Microsoft 365, bulut servisleri, uygulama logları tek bir formata dönüştürülür.
Kural Tabanlı Uyarı
"5 dakikada 10 başarısız giriş", "yönetici hesabı ofis dışı IP'den oturum açtı", "bir kullanıcı tek saatte 500 dosya indirdi" gibi kurallar uyarı üretir.
Korelasyon
Farklı kaynaklardan gelen olayları birleştirir. Başarısız giriş + başarılı giriş + dosya erişimi zinciri şüpheli aktivite olarak işaretlenir.
Arama ve Araştırma
Bir olayın ardından "bu kullanıcı son hafta neler yaptı" sorusu saniyeler içinde cevaplanır.
Raporlama ve Uyumluluk
KVKK, ISO 27001 denetimleri için hazır raporlar üretilir.
KOBİ İçin Uygun SIEM Seçenekleri
| Çözüm | Tip | Not |
|---|---|---|
| Microsoft Sentinel | Bulut | Azure entegre, kullandığın kadar öde |
| Wazuh | Açık kaynak | Ücretsiz, olgun, KOBİ dostu |
| Graylog | Açık kaynak | Log odaklı, alarm kuralları yazılabilir |
| Splunk Cloud | Ticari | Güçlü, yüksek maliyet |
| Elastic SIEM | Açık kaynak/ticari | Arama odaklı, esnek |
KOBİ başlangıç için Wazuh veya Microsoft Sentinel yaygın tercihlerdir.
Kurulum Adımları
- Log kaynaklarını belirle: Firewall, sunucu, Microsoft 365, Active Directory, EDR
- Saklama süresi belirle: 90 gün temel; regülasyon için 1-2 yıl
- SIEM aracını seç ve kur
- Kuralları etkinleştir: Hazır kural kütüphanesiyle başla, zamanla özelleştir
- İnceleme ritmini kur: Günlük hızlı bakış, haftalık detaylı inceleme
- Olay yanıt planıyla entegre et: Uyarı geldiğinde kim ne yapar belli olmalı
- Düzenli iyileştir: False positive'leri temizle, yeni tehdit senaryoları ekle
Sık Yapılan Hatalar
- SIEM kurup kural hiç yazmamak
- Her şeyi loglamaya çalışıp saklamayı abartmak
- Uyarıları inceleme sürecini kurmamak
- Zaman senkronizasyonu (NTP) yapılmaması
- SIEM sunucusunun kendisinin güvenlik altına alınmaması
- Kritik log kaynağını (M365, EDR) atlamak
- Yalnızca uyum için SIEM görmek, operasyonel değer çıkarmamak
Gerçek İşletme Örnekleri
Örnek 1: Muhasebe Firmasında Yönetici Giriş Uyarısı
Bir muhasebe firmasında yönetici hesabına gece saatinde yurtdışından oturum açıldı. SIEM kuralı "anormal coğrafya" olarak uyarı üretti. IT hemen hesabı kilitledi; parola sızıntısı tespit edildi, büyük hasar önlendi.
Örnek 2: Üretim Tesisinde Büyük Dosya İndirme
Bir üretim tesisinde bir kullanıcı kısa sürede yüzlerce dosyayı indirdi. SIEM bu anormalliği işaretledi. Araştırma sonrasında çalışanın ayrılış öncesi veri kopyaladığı tespit edildi; süreç iç politika doğrultusunda yönetildi.
Örnek 3: Danışmanlık Firmasında Uyumluluk Raporu
Bir danışmanlık firması ISO 27001 denetimi öncesi logların denetçiye sunulabilir formatta olmadığını fark etti. Wazuh kurulumu ile loglar toplandı; denetim sırasında gerekli raporlar anında üretildi.
Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?
Yamanlar Bilişim, log kaynaklarını envantere alır ve KOBİ ölçeğinde uygun SIEM çözümünü belirler. Kurulum, kural yazımı, uyarı akışı ve raporlama birlikte tasarlanır. Olay yanıt planıyla entegre çalışır.
Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:
- Log kaynakları envanteri ve SIEM ihtiyaç analizi
- Uygun aracın seçimi (Wazuh, Sentinel, Graylog)
- Kurulum ve log toplama akışı
- KOBİ için özelleştirilmiş uyarı kuralları
- Uyarı inceleme süreci tasarımı
- KVKK/ISO uyumluluk raporları
- Olay yanıt planıyla entegrasyon
- Düzenli kural iyileştirme ve false positive temizliği
SSS
SIEM küçük ofis için abartılı mı?
Tam teşekküllü ticari SIEM evet, ancak Wazuh gibi hafif çözümler küçük ofiste de uygulanabilir ve değer sağlar.
Saklama süresi ne kadar olmalı?
Temel güvenlik için 90 gün, uyumluluk için 1-2 yıl önerilir. Regülasyon gereksinimleri belirleyicidir.
SIEM uzman personel gerektirir mi?
Temel kurulum ve hazır kurallarla başlanabilir. Zamanla uzmanlaşma gerekebilir; KOBİ'ler dış destek alabilir.
Bulut SIEM mi yerinde SIEM mi daha iyi?
Bulut daha az bakım yükü getirir, yerinde daha çok kontrol sağlar. Çoğu KOBİ için bulut tercih edilir.
Uyarılar kimine gelmeli?
Tek kişi uyarı yorgunluğu yaşar. 2-3 kişilik bir döngüde on-call olmayan ekipler değerlendirilir. Kritik uyarılar birden çok kanala (e-posta + SMS) gönderilir.
Teklif Alın
SIEM, KOBİ güvenlik görünürlüğünün temelidir. Yamanlar Bilişim, log kaynaklarınızı envantere alıp size uygun çözümü kurar. Detaylı değerlendirme için /teklif sayfasından talep iletebilir, mevcut altyapı için /iletisim üzerinden ulaşabilirsiniz.
Yazar
Yamanlar Bilişim Ekibi
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Phishing Saldırılarına Karşı Çalışan Farkındalık Eğitimi Planı
KOBİ siber güvenlik olaylarının büyük çoğunluğu teknik açıktan değil, çalışanın bir tıklama hatasından başlar. Planlı bir farkındalık eğitimi, teknik önlemlerden daha yüksek korunma sağlar.
Zafiyet Taraması Nedir, KOBİ'ler Ne Zaman Yaptırmalı?
Zafiyet taraması, bilinen güvenlik açıklarını sistemlerinizde aramaktır. Yıllık denetim gerektirmeyen basit ve düzenli bir uygulama, saldırganın sizden önce açıkları bulmasını engeller.
Fidye Yazılımı Savunması: KOBİ İçin 7 Katmanlı Yaklaşım
Fidye yazılımı KOBİ'ler için en yıkıcı siber tehditlerden biridir; saldırı sonrası dosyalar şifrelenir, operasyon durur. Tek bir çözüm yerine yedi farklı katmanın birlikte çalıştığı bir savunma en etkili sonucu verir.